Dynamischer ip6 Präfix und OpenVPN

ghostadmin

Grand Admiral Special
Mitglied seit
11.11.2001
Beiträge
25.179
Renomée
184
Standort
Dahoam Studios
Hallo

so ganz blicke ich die IP6 Welt immer noch nicht, aber man kommt ja langfristig nicht drum herum weil es immer mehr DS-Lite Stacks gibt. Habe zahlreiche Tuts überflogen wie man OpenVPN zusätzlich für IP6 einrichtet. Ich hatte dort immer den Eindruck das dem Client eine globale öffentliche IP6 Adresse zugewiesen wird.

Jetzt ist es allerdings so das man hierzulande fast immer einen dynamischen Präfix vom ISP zugewiesen bekommt der sich regelmäßig ändert. Das macht also wenig Sinn den derzeitigen Präfix in OpenVPN als Serveradresse einzutragen.
Wie geht man da vor? Mit einem privaten VPN Subnet und der OpenVPN macht NAT? Wie wird das dann geroutet? Ich dachte immer bei IP6 braucht man sowas wie NAT nicht weils genug Adressen gäbe.
 
Adressen gäbe es genug nur wollen Dir die gierigen Provider eben keinen Adressblock zuweisen, denn sie wollen daran verdienen.
Damit wird weiter alles unternommen damit Du, kostenfrei, keine statischen Adressen bekommst.
Ansonsten müssten Sie Dir einen /64er Block zur Verfügung stellen, denn das ist der kleinste Block, der vergeben wird.
 
Kann man bei OpenVPN keine URL eintragen? Auch für IPv6 gibt es Dynamic-DNS Anbieter. Ich nutze z.B. den hier: https://freedns.afraid.org/

Edit: Bei IPv6 macht man besser NPt (Network Prefix Translation) statt NAT.

Edit2: Normalweise bekommt man ja in Deutschland auch wenigstens einen /56-IPv6-Block dynamisch zugewiesen, damit man Subnets bilden kann.
 
Zuletzt bearbeitet:
Adressen gäbe es genug nur wollen Dir die gierigen Provider eben keinen Adressblock zuweisen, denn sie wollen daran verdienen.
Damit wird weiter alles unternommen damit Du, kostenfrei, keine statischen Adressen bekommst.
Ansonsten müssten Sie Dir einen /64er Block zur Verfügung stellen, denn das ist der kleinste Block, der vergeben wird.

Es wird vor allem auch alles unternommen das immer mehr in die Cloud wandert.

--- Update ---

Kann man bei OpenVPN keine URL eintragen? Auch für IPv6 gibt es Dynamic-DNS Anbieter. Ich nutze z.B. den hier: https://freedns.afraid.org/

Soviel ich weiß nicht, da muss man Präfix und Adressblock in der Serverdirektive angeben.

Dann habe ich das noch gefunden:
https://www.sugar-camp.com/openvpn-und-ipv6-ein-harter-kampf/
so wirklich "privat" sind die Adressen aber nicht und vor allem muss man da am Client angeblich die Routen auch noch manuell setzen.

Normalweise bekommt man ja in Deutschland auch wenigstens einen /56-IPv6-Block dynamisch zugewiesen, damit man Subnets bilden kann.

56 habe ich auch aber ändert sich eben ständig. Man müsste dann jedes mal die Config ändern. Warum bekommt man denn nicht wenigstens einen kleineren Teil fest zugewiesen? Das sind derart viele Adressen, ist doch absolut idiotisch.

Da wirds irgendwann noch ein böses erwachen geben denn das meiste läuft ja noch mit IP4.
 
Zuletzt bearbeitet:
Naja, da braucht man dann wohl irgendein Script das auf die Änderung des Prefix reagiert und das bei OpenVPN einträgt. Bietet Dein ISP keine festen IPv6-Adressen?
 
Bei einem Privatanschluss ist das Wunschdenken. Die reden sich dann wieder mit Privatsphäre und Datenschutz raus das man Rückverfolgbar wäre blabla.
Diese ganze Hysterie schadet auch mehr als sie nutzt.

Welchen Sinn macht es dann bitte dem Kunden ein Subnet mit 4.722.366.482.869.645.213.696 Hosts zu geben? Das erinnert ein wenig an die Zeit wo man gesagt hat das 640KB für alles reichen.

Beispiel um den Prefix zu erhalten:
ip -6 address | grep mngtmpaddr | sed -e 's/ *inet6 //' | cut -d':' -f1,2,3,4

Ersetzen einer Zeile:
sed -i '/TEXT_TO_BE_REPLACED/c\This line is removed by the admin.' /tmp/foo
 
Zuletzt bearbeitet:
Naja, die Menge ergibt sich nur aus dem großen Host-Anteil. Es wäre vermutlich schlauer gewesen den kleiner zu wählen, oder direkt ein größeres Prefix. Aber da /64 das Minimum ist, hat man halt mind. 18.446.744.073.709.551.616 Adressen, oder ein vielfaches davon.

Also ich glaube manche Anbieter bieten mittlerweile feste IPv6-Präfixe, eventuell gegen Aufpreis. Muss man im Zweifel mal nachfragen.

Was ich aber wirklich nicht verstehe ist, warum Software wie OpenVPN keine DHCPv6-PD unterstützt? Es ist extra vorgesehen dass Präfixe von Router an Router dynamisch weitergereicht werden. Meine Fritzbox kann z.B. IPv6 Präfixe an meinen pfSense-Router delegieren.
 
Ich habe mal gelesen das Synology das mit OpenVPN verwendet aber keine Ahnung was man dazu braucht oder wie man das einstellt.

In der Fritzbox steht das das Präfix für heute ist: 2003:c7:83cc:xxxx::/56
Und wenn ich nach der IP am LAN interface schaue steht da: 2003:c7:83cc:xxxx:3631:c4ff:fe23:xxxx/64

Ja was denn nun?

Und wenn ich dem VPN Subnet einen kleineren Bereich z.B. /112 geben wollte, müsste dann die ip6 Adresse von der FB darin enthalten sein?

Wenn OpenVPN Adressen verteilt müsste man ja eigentlich korrekterweise diese im DHCP rausnehmen aber das ist ja gar nicht vorgesehen. Wobei das praktisch ja eh nie vorkommen sollte bei soviel Adressen.

An der Fritzbox habe ich ddns für ip6, dort wird die ip vom dsl interface zugeordnet. Wenn ich von aussen auf OpenVPN möchte, läuft das nicht über das lan interface? Die haben beide verschiedene Adressen. Wo sehe ich denn an welches interface OpenVPN gebunden ist?
 
Ja, die Fritzbox nutzt natürlich nur das erste Subnet aus dem /56-Block für das LAN, die anderen 255 Subnetze kannst Du nach belieben verwenden, idealerweise vermutlich per Prefix-Delegation damit die FB weiß wohin sie das dann routen muss nehme ich an.

Edit: Da IPv6 voll geroutet ist musst Du natürlich die zugewiesene IPv6 aus dem entsprechenden Subnet verwenden. Dafür bräuchte man vermutlich dann einen eigenen DDNS.
 
was ist denn die minimal Config für ip6 damit der Client ins LAN kommt? Auf jeder Seite steht was anderes.

server-ipv6 2003:c7:83cc:xxxx:bbbb::/112 <- das ist klar, subnet für vpn
tun-ipv6 <- geroutet statt tap
push tun-ipv6 <- für den client?
ifconfig-ipv6 2003:c7:83cc:xxxx::1 2003:c7:83cc:xxxx::2 <- überflüssig da bereits in server enthalten?
push "route-ipv6 2003:c7:83c6:xxxx::2/56" <- route für den client
push "route-ipv6 2000::/3" <- optional vpn als def gw für gesamten traffic?

bei der ersten Zeile server-ipv6 (intern macht das ifconfig tun0 add ....) bekomme ich aber bereits:
Linux ifconfig inet6 failed: external program exited with error status: 1
nur mit ip4 wird tun0 aber erstellt
 
Zuletzt bearbeitet:
Ein kleineres Subnetz als /64 geht nicht.
 
Geht schon, macht nur wenig Sinn (vor allem wenn man ein /56 zur Verfügung hat) und schränkt einige Funktionalität ein.
 
Also der Grund heisst wohl SLAAC warum man nicht kleiner als 64 machen soll. Aber nur für OpenVPN könnte man auch 112 benutzen.

Angenommen man bekommt vom ISP eine /56 Adresse zugewiesen die mit aa00 endet. Man könnte damit 255 Subnetze anlegen. Jetzt könnte man da ein /64 Subnet aaff für OpenVPN erstellen. Muss die Adresse der Netzwerkkarte vom OpenVPN Server auch in diesem Bereich sein? Denn die ist bei mir wegen SLAAC eben auf aa00. Ist denn mit der Fritzbox überhaupt dieser /56 Bereich im LAN verfügbar oder nur /64? Muss man da irgendwo was routen?

Wo sehe ich beim Linux Client eigentlich ob das SLAAC oder DHCPv6 ist?

Ich hab das in der Fritzbox eingestellt aber mir kommt vor als ob das alles nur SLAAC ist:
DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen
FRITZ!Box als DNS-Server via DHCPv6 bekannt geben. Teile des vom Internetanbieter zugewiesenen IPv6-Netzes an nachgelagerte Router weitergeben. Geräte im Heimnetzwerk bekommen eine IPv6-Adresse via DHCPv6 zugewiesen.

Linux Client bringt bei der Schnittstelle: scope global mngtmpaddr dynamic

in sysctl habe ich:
net.ipv6.conf.all.use_tempaddr=0
net.ipv6.conf.all.autoconf=0
net.ipv6.conf.all.accept_ra=0
 
Zuletzt bearbeitet:
Zurück
Oben Unten