Fritzbox VPN zwischen IPv4- und IPv6-Anschluss

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Moin,

    ich habe eine Fritzbox LTE (die nur über eine öffentliche IPv6-Adresse erreichbar ist) und eine Fritzbox DSL (mit IPv4 und IPv6). Ziel ist es, einen VPN-Tunnel von meiner FB DSL zur FB LTE aufzubauen, doch dank DS-Lite und der Tatsache, dass sich IPv4 und IPv6 nicht vertragen, funktioniert das leider nicht. Die FB LTE wird zukünftig weit entfernt sein, also physikalisch, sodass ein Fernzugriff auf die Box selbst und das Heimnetz ganz praktisch wäre. Wenn ich in einem IPv6-Netz bin, ist das alles kein Problem und es läuft mit den Bordmitteln der Fritzbox. Eine VPN LAN-zu-LAN-Kopplung wäre auch eine Idee, doch ich will die FB LTE nicht immer komplett in meinem Netzwerk haben und das Datenvolumen ist auch noch begrenzt. Es soll nur dann ein Tunnel aufgebaut werden, wenn ich gerade aus der Ferne auf das Heimnetz zugreifen möchte.

    Ich habe mir schon den "Portmapper" von feste-ip.net angesehen und ausprobiert, doch der will die MyFritz-Adresse des RPis nicht annehmen. Zudem kann ich immer nur ein Gerät mappen und nicht das ganze Heimnetz, wie es bei VPN der Fall ist und man muss jeden Port einzeln angeben. Bis jetzt brauche ich es nur für ioBroker (2 Ports), aber da wird in Zukunft sicherlich noch mehr dazukommen.

    Dann habe ich noch Wireguard mit Hilfe von PIVPN eingerichtet, doch der Client am PC will immer nur die IPv4-Adresse nehmen, die bei der FB LTE nicht existiert (bzw. nicht für mich nutzbar ist). Dort hat es auch nicht mit der öffentlichen IPv6 des RPIs geklappt.

    Hat vielleicht jemand genau so etwas schon mal umgesetzt? Im Internet finde ich immer nur Anleitungen für bestimmte Teile, die zusammen aber nicht laufen. Eine extra DynDNS-Adresse habe ich nicht, da würde ich auf die von MyFRITZ zurückgreifen. Eigentlich müsste das doch mit WireGuard/OpenVPN gehen oder fehlt mir noch mehr, wenn ich einen VPN-Tunnel von einem IPv4- in ein IPv6-Netz aufbauen möchte?

    Kelvin

  • ich habe eine Fritzbox LTE (die nur über eine öffentliche IPv6-Adresse erreichbar ist) und eine Fritzbox DSL (mit IPv4 und IPv6). ...

    Dann habe ich noch Wireguard mit Hilfe von PIVPN eingerichtet, doch der Client am PC will immer nur die IPv4-Adresse nehmen, die bei der FB LTE nicht existiert (bzw. nicht für mich nutzbar ist). Dort hat es auch nicht mit der öffentlichen IPv6 des RPIs geklappt.

    Haben deine FB-LTE und deine FB-DSL immer einen nativen IPv6-Internetanschluss (z. B. DS-lite)? Wenn ja und Du an beiden FBen einen PI (oder gleichwertig) benutzen willst/kannst, dann sollte das mit WireGuard funktionieren. Ob es auch mit PIVPN geht weiß ich nicht, aber mit WireGuard (ohne irgendwelche Installationssoftware & Co.) sollte das schon funktionieren.

    EDIT:

    BTW: Das Zuweisen der externen IPv6-Adresse (mit statischer Interface-ID), die v6-Portfreigabe mit der v6-Firewall der FritzBox und das erreichen des freigegeben Ports des PI (border device in diesem Fall und nicht die FritzBox) aus dem Internet, kannst Du schon im Vorfeld testen. Dazu ist WireGuard auf dem PI noch nicht erforderlich.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (18. November 2021 um 22:30)

  • Haben deine FB-LTE und deine FB-DSL immer einen nativen IPv6-Internetanschluss (z. B. DS-lite)? Wenn ja und Du an beiden FBen einen PI (oder gleichwertig) benutzen willst/kannst, dann sollte das mit WireGuard funktionieren.

    Also die FB-LTE hat DS-lite und mit meinem Tarif bekomme ich leider auch kein normales DS. Die FB-DSL hat DS. Ach, bräuchte ich tatsächlich auf beiden Seiten einen Pi? Also es wäre kein Problem, hatte ich so aber nicht eingeplant.

    BTW: Das Zuweisen der externen IPv6-Adresse (mit statischer Interface-ID), die v6-Portfreigabe mit der v6-Firewall der FritzBox und das erreichen des freigegeben Ports des PI (border device in diesem Fall und nicht die FritzBox) aus dem Internet, kannst Du schon im Vorfeld testen. Dazu ist WireGuard auf dem PI noch nicht erforderlich.

    Das habe ich eben sogar schon ausprobiert. Ich konnte aus dem Internet auf einen Port meines Pis zugreifen und das Licht steuern*, allerdings nur über die FB-LTE.

    *

    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne deine Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklärst du dich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

    Kelvin

  • Also die FB-LTE hat DS-lite und mit meinem Tarif bekomme ich leider auch kein normales DS. ...Ach, bräuchte ich tatsächlich auf beiden Seiten einen Pi? ...

    Das habe ich eben sogar schon ausprobiert. Ich konnte aus dem Internet auf einen Port meines Pis zugreifen und das Licht steuern*, allerdings nur über die FB-LTE.

    DS-lite sollte auch OK sein, denn DS-lite ist ja auch natives IPv6.

    Wichtig ist nur, dass dein PI an der FritzBox, auch eine externe/öffentliche IPv6-Adresse zugewiesen bekommt und, dass der PI mit dieser IPv6-Adresse aus dem Internet erreichbar ist. Das musst Du testen (mit der DSL-FB).

    Ein Pi auf beiden Seiten ist besser/einfacher für die Benutzung von WireGuard. Es sei denn Du kannst eine FritzBox so modifizieren, dass auf der FritzBox WireGuard installiert, konfiguriert und benutzt werden kann.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • DS-lite sollte auch OK sein, denn DS-lite ist ja auch natives IPv6.

    Wichtig ist nur, dass dein PI an der FritzBox, auch eine externe/öffentliche IPv6-Adresse zugewiesen bekommt und, dass der PI mit dieser IPv6-Adresse aus dem Internet erreichbar ist. Das musst Du testen (mit der DSL-FB).

    Ein Pi auf beiden Seiten ist besser/einfacher für die Benutzung von WireGuard. Es sei denn Du kannst eine FritzBox so modifizieren, dass auf der FritzBox WireGuard installiert, konfiguriert und benutzt werden kann.

    Schon mal danke für die Hinweise. Ist es möglich, MyFRITZ zu benutzen, um dem Pi eine öffentliche Adresse zu geben? Oder brauche ich doch einen anderen DynDNS-Dienst?

    WireGuard auf beiden Seiten wäre kein Problem, damit befasse ich mich mal weiter. Wollte sowieso schon immer mit einem eigenen VPN spielen.

    Aktuell habe ich doch die VPN Lan-zu-Lan Kopplung der FritzBoxen benutzt und das funktioniert echt gut. Ich gucke jetzt noch, wie hoch da der Datenverbrauch ist, weil die FB-LTE die Verbindung immer aufrecht erhalten muss. (Hatte es eilig und brauchte schnell eine Lösung, deshalb diese Kopplung. Werde mir WireGuard aber dennoch ansehen)

    Kelvin

  • Ist es möglich, MyFRITZ zu benutzen, um dem Pi eine öffentliche Adresse zu geben? Oder brauche ich doch einen anderen DynDNS-Dienst?

    ich würde MyFritz nicht benutzen und schon gar nicht wenn es um IPv6 geht. Denn mit IPv6 ist der PI dein relevantes border device und nicht die FritzBox. D. h., Du brauchst auf dem PI einen v6-dyndns-Client (z. B. ddclient) und im v6-Internet brauchst Du einen v6-dyndns-Provider (... weil Du ja keine statische öffentliche IPv6-Adressen für die Pis hast).

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!