da wir nun einen Anschluss via Glasfaser haben und dazu DS-light haben, besitzen wir zuhause keine vollwertige IPv4 Adresse mehr.
Das heißt, ich kann auf meine Webseite, Gameserver etc nicht mehr via IPv4 zugreifen.
Via IPv6 ist das grundsätzlich möglich.
Nun habe ich mich schlau gemacht und die Lösung bietet ein 4in6 Tunnel.
Dazu brauche ich einen vServer welcher eine IPv4 und v6 Adresse bietet.
Diese Anforderung ist auch bereits erfüllt.
Der vServer soll im nächsten Schritt ein VPN Server werden. Diesen Schritt habe ich via OpenVPN bereits erledigt, eine Verbindung zwischen vServer und Server bei mir zuhause war erfolgreich. (Ping etc funktioniert).
Nun kommt das knifflige. An dieser Stelle bekommt man leider kaum verwendbares Material.
Soweit ich das verstanden habe, müsste ich auf dem vServer Portweiterleitungen an meinen Server zuhause einrichten.
Allerdings weiß ich da gerade nicht so wie ich das einrichte.
Der vServer ist ein Ubuntu Server 14.x LTS.
Über Hilfe wäre ich dankbar.
Bei Fragen oder fehlenden Informationen einfach fragen, kostet nix
Liebe Grüße
Profi
Main: ASUS ROG MAXIMUS X FORMULA|Intel Core i9 9900k @ 5 GHz|DUAL AMD RX VEGA 64 @WATER|Samsung 950 Pro NVMe M2 256 GB|BeQuiet DarkBase 900 Rev. 2|Corsair AX 1600i
Unter IPv6 dürftest du dank Punkt-zu-Punkt-Prinzip eigentlich keine Portweiterleitungen mehr benötigen, weil keine NAT mehr stattfindet. Vielmehr ist es ja so, dass am vServer deine IPv4 Pakete in IPv6 Pakete "verpackt" werden, durch den ipv6 Tunnel gehen und am heimischen Server wieder "entpackt" werden. In umgekehrter Richtung genauso. Deswegen heißt es ja auch 4in6.
Dazu brauchst du im Prinzip auch keine VPN-App: Linux Hacks: HOWTO: ipv6-ipv6 tunnel and ip4-ipv6 tunnel in linux (im unteren Abschnitt geht's um 4in6).
Es ist bei diesem Howto natürlich zu beachten, dass zu keine zwei LANs über einen Tunnel verbindest, insofern überschneidet sich in deinem Fall die Konfiguration von "Host" und "Router", weil zumindest der heimischer Server im Grunde beides in einem ist.
Nachdem ich von feste-ip.net bis einschließlich heute Portmapper genutzt habe, der Durchsatz betrug dort gut 6-8 MB/s, fühlte sich aber was zäh an, hab ich mich mit dem Thema noch mal beschäftigt
Also hab ich mir wieder einen vServer mit garantierten 100 Mbits und natürlich ner Traffic Flat geholt. CPU hab ich 2 vCores und RAM waren 2 GB. Natürlich waren ne statische v4 und ne v6 auch dabei. Also praktisch nen mini Setup
Das OS war dann ein Ubuntu Server.
Die benötigten Pakete sind screen und socat.
Dann einfach via nem Editor die /etc/rc.local öffnen und vor der Zeile mit exit 0 folgendes erstellen
Die IPv6-Ziel-Adresse natürlich mit passender Adresse von zuhause ergänzen.
Screen hat den vorteil, dass im nachhinein auch einfach ein Tunnel beendet werden kann.
Die beiden Ports dürfen btw abweichen, also kann etwas von außen auf Port 80 angesprochen werden und intern kann ein anderer Port verwendet werden, wie mans gebrauchen kann.
Nachdem der Eintrag erstell wurde entweder das gleiche einmal in den Kommandozeile hauen, dann läuft der Tunnel direkt oder einfach neustarten.
Der/die Tunnel werden automatisch bei jedem start geöffnet.
Ich hab mal i-wo gelesen, dass 4in6-Tunnel ein großes Sicherheitsrisiko birgt, da man dort quasi alle Pakete abfangen o.s.ä. kann bzw. keine Verschlüsselung möglich ist.
Ich wollte das bloß erwähnen, auch wenn ich da jetzt keine Fakten bringen kann.
Weiß auch nicht, wie wichtig das Thema in der Hinsicht überhaupt ist.
Außerdem ist es möglich, dass es vlt. den 6in4-Tunnel betrifft.
Natürlich ist der Tunnel selber nicht verschlüsselt, ist aber ne normale unverschlüsselte verbindung (HTTP bsp.) ja auch nicht. Daher kann an der Stelle genauso abgegriffen werden, wie sonst auch.
Schick ich jetzt aber nen HTTPs Traffic über den Tunnel, so bleiben die Pakete, egal an welcher Stelle, verschlüsselt.
socat funktioniert an dieser Stelle wie folgt:
Es wird auf ankommende Pakete, z.B., auf Port 80 gewartet.
Kommt ein Paket an, so leitet socat dieses einfach an die Ziel IPv6 und Port weiter. Antworten auf dieses Paket werden dann ebenfalls über den Tunnel und über socat weitergeleitet.
Daher stellt der Tunnel selbst keine besondere Gefahr dar, sondern es spielt eine Rolle, ob du deine eigenen Dienste verschlüsselt oder unverschlüsselt anbietest.
Da bei mir fast nur unwichtige Daten laufen, habe ich noch keine Zeit investiert um alles zu verschlüsseln.
Kurz: Der Tunnel selbst kann nicht verschlüsselt werden, allerdings Dienste wie HTTP können verschlüsselt betrieben werden.
der Beitrag ist ja schon einige Zeit her, aber jetzt stehe ich vor genau dem gleichen Problem und hoffe du kannst mir da weiterhelfen.
Ich habe also einen nativen IPv6 Anschluss, bekomme die IPv4 Adresse aber über einen AFTR, also ein DS-light Anschluss.
Wenn man sich jetzt einen Cloud Server mit Dual Stack und Root Zugriff mietet und man das darauf einrichtet, frage ich mich wie denn dann eine Anfrage von einem Client aus einem IPv4 Netz an meinem Server aussehen muss?
Also sagen wir mal mein Server ist im IPv6 Netz mit der Adresse test.net via https erreichbar. Wenn jetzt so ein 4in6 Dienst von mir "dazwischen" sitzt für Anfragen aus dem IPv4 Netz, muss ich doch eine andere Domain aufrufen oder? Also für Clients aus dem IPv4 Netz z.B. ipv4.test.net oder?
Aber wenn ich da kein Zertifikat einrichten kann, woher soll denn der IPv4 Client wissen, das der Dienst eigentlich https ist?
Ich hoffe ich konnte meine Fragen richtig formulieren
Dein vServer hat:
IPv4: 1.1.1.1
IPv6: ab:cd (nur gekürzt für das Beispiel )
Zuhause:
IPv4: Irrelevant
IPv6: ef:gh (IPv6 des Zielservers bei dir zuhause. Jedes Device sollte eine eigene IPv6 haben)
Du brauchst:
Einen vServer mit Dual-Stack und installiertem Linux (für mein kurzes How-To mit Debian oder Ubuntu Server). Am besten ohne Spielereien wie Plesk.
Auf dem vServer brauchst du folgende Softwarepakete:
- Screen
- Socat
- nano, vi, einen beliebigen Texteditor unter Linux
Nun wird die Datei /etc/rc.local bearbeitet:
Dort fügen wir, exemplarisch, folgende Zeile am Ende ein:
screen -dmS BeliebigerNameFuerScreenSession1 socat TCP4-LISTEN:443,fork,su=nobodyTCP6:[ef:gh]:443
Wie zu sehen ist, wird explizit Port 443 eingetragen. Dies muss für jeden einzelnen Port separat gemacht werden.
Bei BeliebigerNameFuerScreenSession1 kannst du dir was beliebiges eintragen. Dies ist die Sessionbezeichnung von Screen. Diese muss unique sein.
Bei Port 80 auf das gleiche Ziel:
screen -dmS BeliebigerNameFuerScreenSession2 socat TCP4-LISTEN:80,fork,su=nobodyTCP6:[ef:gh]:80
Wenn du lediglich HTTPs willst, kann ich dir empfehlen, beide Zeilen von oben zu verwenden, also für Port 443 und 80, und sofern du einen Webserver wie z.B. Apache @home nutzt, dort einen Redirect von HTTP auf HTTPs einzurichten.
Im DNS trägst du nun für test.net die IPv4 des vServers und die IPv6 deines Webservers Zuhause ein.
Das führt dazu:
Hat dein Client IPv4 und IPv6 zur Verfügung: IPv6 wird verwendet
Hat dein Client nur IPv4: IPv4 wird verwendet
Daher brauchst du keine verschiedenen (Sub) Domains.
Das der Dienst HTTPs macht, bestimmst du über die Adresszeile deines Browsers
Sofern HTTPs nicht von Port 443 abweicht, reicht https://test.net zur Signalisierung.
Über den oben angesprochenen Redirect reicht auch test.net
Wird vom Browser dabei http://test.net aufgerufen, wirst du zu https://test.net weitergeleitet.
Das Zertifikat brauchst du schlussendlich bei jedem Webserver. Da kein Webserver auf dem vServer verwendet wird, sondern Socat, welches nur TCP/UDP Datenpakete weiterleitet, benötigen wir dort kein Zertifikat.
Ich hoffe das ist so verständlich für dich. Ansonsten, fühl dich frei und zitiere den Part, wo es Fragen gibt
PS: Das ganze sieht mittlerweile bei mir auch ganz anders aus. Ich habe auf einem Rootserver VMware mit VMs laufen, darauf sitzt u.A. eine Firewall (PFSense), welche zu mir nach Hause einen IPSec VPN-Tunnel aufbaut. Darüber baue ich die Verbindung auf.
PPS:
Den Redirect von HTTP auf HTTPs löst du in Apache2, indem du folgenden Code am Anfang deiner Virtual-Hosts Datei einfügst:
<VirtualHost *:80>
ServerName test.net
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
</VirtualHost>
ich denke jetzt müsste ich alles eingestellt haben, aber beim Aufruf meiner Domain kommt "ERR_CONNECTION_REFUSED".
Beim DNS meiner Domain habe ich es wie folgt:
Name | Typ | Wert
| A | ~IPv4 vServer~
* | AAAA | ~IPv6 @homeServer~
Auf dem vServer ist Ubuntu installiert und habe die beiden Pakete Socat und Screen installiert (apt-get install screen / socat). Die Datei "rc.local" war aber leer. Laut Inet sind wohl die ersten paar Zeilen Kommentare und dann kommt eine Zeile "exit 0" die habe ich nun bei mir als erste Zeile drin stehen.
Danach kommen die Einträge die du mir geschrieben hattest. (Muss da nicht noch irgendwo die IPv6 meines @home Servers angegeben werden, woher weiß er sonst wohin damit oder anstatt der [ef:gh]?)
Aber selbst wenn ich mit einem IPv6 Client meine Domain aufrufe kommt auch "ERR_CONNECTION_REFUSED".
Bei meiner Fritz!BOX sind für meinen @home Server sowohl 80, 443 und noch der von der Anwendung benötigte Port offen. Beim Tracert landet er auch beim vServer.
Ich habe bestimmt noch irgendwas vergessen und hoffe du kannst mir dabei helfen
Beim DNS meiner Domain habe ich es wie folgt:
Name | Typ | Wert
| A | ~IPv4 vServer~
* | AAAA | ~IPv6 @homeServer~
Korrekt!
Zitat:
paar Zeilen Kommentare und dann kommt eine Zeile "exit 0"
Mein Fehler bei der Erklärung. exit 0 ist bei der Textdatei das Ende der Befehlsverarbeitung. Du muss die Befehle also vorher einführen, die Reihenfolge ist aber egal.
Zitat:
Aber selbst wenn ich mit einem IPv6 Client meine Domain aufrufe kommt auch "ERR_CONNECTION_REFUSED".
Ja, sollte in dem Fall richtig sein, da socat nicht aktiv ist.
Zitat:
Muss da nicht noch irgendwo die IPv6 meines @home Servers angegeben werden, woher weiß er sonst wohin damit oder anstatt der [ef:gh]?
Ja musst du
screen -dmS BeliebigerNameFuerScreenSession2 socat TCP4-LISTEN:80,fork,su=nobodyTCP6:[ef:gh]:80
--> ef:gh durch deine öffentliche IPv6 des Homeservers ersetzen.
Dann fügst du die Befehle in die rc.local vor exit 0 ein.
Im Anschluss MUSST du den vServer einmal neustarten.
Die rc.local wird nur bei einem Start des Servers ausgeführt.
Ja, sollte in dem Fall richtig sein, da socat nicht aktiv ist.
Aber sollte das aufgrund der DNS Einträge nicht trotzdem funktionieren, das er mich an meinen Server weiterleitet?
Zitat:
Zitat von Profi Overclocker
screen -dmS BeliebigerNameFuerScreenSession2 socat TCP4-LISTEN:80,fork,su=nobodyTCP6:[ef:gh]:80
--> ef:gh durch deine öffentliche IPv6 des Homeservers ersetzen.
Dann fügst du die Befehle in die rc.local vor exit 0 ein.
Im Anschluss MUSST du den vServer einmal neustarten.
Die rc.local wird nur bei einem Start des Servers ausgeführt.
Habe ich jetzt genauso gemacht mit einem Neustart und nach mehreren Stunden warten geht es aber immer noch nicht
Noch zur Info:
Es ist jetzt eine nackige Ubuntu Version (18.04.2 LTS) und habe nach dessen Installation nichts weiter gemacht als socat und screen installiert.
Und zudem ist mir bei meinem Hoster aufgefallen, dass ein reverse DNS Eintrag auf der IPv4 liegt. Sollte aber nicht stören oder? Ich komme ja nicht mal per IPv6 drauf, was ja eigentlich mindestens gehen sollte...
Aber sollte das aufgrund der DNS Einträge nicht trotzdem funktionieren, das er mich an meinen Server weiterleitet?
Solange Socat nicht aktiv ist, wirst du nicht weitergeleitet. Erst, sobald das ganze aktiv ist.
Warten bringt dir da nichts. Du musst deinen vServer, nachdem du die rc.local angepackt hast, einmal neustarten.
Sobald der Server wieder erreichbar ist, ist die Weiterleitung direkt aktiv. Da musst du nicht warten.
Zitat:
Ich komme ja nicht mal per IPv6 drauf, was ja eigentlich mindestens gehen sollte...
Du kommst per IPv6 nicht an deinen vServer? Ist da ggf. irgendwo eine Firewall durch den Provider?
Kannst du einmal versuchen einen Ping via IPv6 an den vServer zu senden? Geht das? Wenn ja, dann ist der erreichbar.
Das Reverse-DNS stört uns nicht.
Edit sagt:
Ich bin natürlich nicht unter Ubuntu Server 18 unterwegs. Scheinbar gabs da ne Änderung.
Schau dich mal hier durch: https://ubuntuforums.org/showthread.php?t=2398956
Bei Fragen einfach melden.
Laut dem Befehl "systemctl status rc-local.service" ist der Dienst wohl aktiv. (Folgender Link half mir https://www.linuxbabe.com/linux-serv...l-with-systemd
und der vServer wurde neugestartet)
Die rc.local sieht jetzt folgendermaßen aus:
#!/bin/bash (ohne dieser Zeile lässt sich der Dienst nicht starten)
screen -dmS lalalHTTP01 usw....
screen -dmS lalalHTTPS02 usw....
exit 0
Trotzdem geht es leider nicht. Vom vServer einen Ping an meinem @homeServer über die IPv6 Adresse geht nicht (auch mit abgeschalteter Windows FW). Ich denke die FRITZ!Box sperrt ICMP Pakete?!
Aber eigentlich müsste ich ja mit einem IPv6 Client mit dem Aufruf meiner Domain z.B.: test.de zumindest auf meinen @home Server landen, weil im DNS der Domain das ja so eingetragen ist. Das geht aber auch nicht, was ich schon sehr merkwürdig finde. Sperrt da die FRITZ!Box vielleicht auch irgendwas?
Bei einem Tracert auf test.de lande ich mit einer ipv4 Adresse auf meinem vServer (DNS für IPv4 funktioniert schonmal), der vServer leitet also nicht weiter. Aufruf der test.de im Browser sagt immer noch "ERR_CONNECTION_REFUSED".
Bei einem "tracert -6 test.de" (erzwingt ipv6) kommt "Der Zielname test.de konnte nicht aufgelöst werden."
Von meinem PC komme ich per IPv6 an meinem vServer und "pingbar" ist der auch
Das ist alles irgendwie sehr sehr merkwürdig. Ich müsste doch zumindest per IPv6 mit dem Aufruf der Domain auf meinen @homeServer kommen oder ich habe einen Knoten im Kopf.
Aber eigentlich müsste ich ja mit einem IPv6 Client mit dem Aufruf meiner Domain z.B.: test.de zumindest auf meinen @home Server landen, weil im DNS der Domain das ja so eingetragen ist. Das geht aber auch nicht, was ich schon sehr merkwürdig finde. Sperrt da die FRITZ!Box vielleicht auch irgendwas?
Das klingt danach, dass du nicht an den Server kommst - wieso müsste man prüfen.
Welche IPv6 Adresse verwendest du denn? Die LinkLocal oder die Global-Unicast? Gerne kannst du uns einmal die ersten 5 Zeichen deiner IPV6 des Servers nennen.
Zitat:
Bei einem Tracert auf test.de lande ich mit einer ipv4 Adresse auf meinem vServer (DNS für IPv4 funktioniert schonmal), der vServer leitet also nicht weiter. Aufruf der test.de im Browser sagt immer noch "ERR_CONNECTION_REFUSED"
Ja das ist so richtig. Weitere Ergebnisse siehst du in dem Tracert auch nicht. Daher ist die Namensauflösung so richtig. Dein Tracert wird hier auch immer nur bis zu dem vServer gelangen.
Zitat:
Von meinem PC komme ich per IPv6 an meinem vServer und "pingbar" ist der auch
Perfekt!
Zitat:
Bei einem "tracert -6 test.de" (erzwingt ipv6) kommt "Der Zielname test.de konnte nicht aufgelöst werden."
Was passiert, wenn du anstatt der Domain direkt die IPv6 verwendest?
Zitat:
#!/bin/bash (ohne dieser Zeile lässt sich der Dienst nicht starten)
screen -dmS lalalHTTP01 usw....
screen -dmS lalalHTTPS02 usw....
exit 0
Das passt so.
Kannst du auf dem vServer unter top oder besser htop (apt-get install htop) entsprechende Prozesse von socat/screen sehen?
Das klingt danach, dass du nicht an den Server kommst - wieso müsste man prüfen.
Welche IPv6 Adresse verwendest du denn? Die LinkLocal oder die Global-Unicast? Gerne kannst du uns einmal die ersten 5 Zeichen deiner IPV6 des Servers nennen.
Die IPv6 mit der ich auch sonst von außen auf meinen Server komme, "2a00:6020:usw..."
Zitat:
Zitat von Profi Overclocker
Was passiert, wenn du anstatt der Domain direkt die IPv6 verwendest?
Das funktioniert...
Zitat:
Zitat von Profi Overclocker
Das passt so.
Kannst du auf dem vServer unter top oder besser htop (apt-get install htop) entsprechende Prozesse von socat/screen sehen?
Nein leider finde ich da nichts :/
Gibt es da Befehle wie Status socat oder so?
wenn ich socat TCP4-LISTEN:443,fork,su=nobody TCP6:[2a00:6020:usw]:443 als Command direkt absetze, dann komme ich mit einem IPv4 Client auf meinem Server
Wie mache ich das jetzt, sodass der vServer das immer macht?
4in6 Tunnel 
Linear-Darstellung
