HTTPS, SSL, Port 443, via IPv4 und das alles an einem Vodafone IPv6 Anschluss

[Barungar]

Hallo elvito,

eine kreative Lösung für Mobilgerät hat nur IPv4 und FritzBox nur IPv6.
Wie gehst Du mit dem zyklischen Wechsel des IPv6-Präfixes auf der Seite der FirtzBox um?
Wie erkennt der vServer, dass sich die IPv6 der FritzBox geändert hat und der "socat" neugestartet werden muss?

 

[elvito]

Hallo und guten Morgen,

der frühe Vogel fängt den Wurm

Ich hab den GF Anschluss seit 2 Wochen. Die Lösung mit socat läuft erst seit vorgestern bei mir. Das ist also alles noch recht "roh". Ich hab vorher nie was mit socat gemacht. Ein Youtube-Video war jedenfalls sehr hilfreich!

Das Finetuning wollte ich die nächsten Wochen machen. Nun zu deinen Fragen.

Ich meine gelesen zu haben, daß sich die IPV6 Adresse bei Dt. GF nicht ändert. Innerhalb der letzten 2 Wochen hat sich die Adresse zumindest bei mir auch nicht geändert. Ich hab ein paar Domains bei All-inkl. Da kann man auch einen DynDNS Dienst einrichten. Die Update URL für IPv6 only bei All-inkl wäre:

dyndns.kasserver.com/?myip=<ip6addr>

Das kann man so unter DynDNS bei der Fritzbox eintragen. Bei anderen Anbietern sollte das ähnlich sein.

Man darf bei einer DynDNS Lösung keinesfalls die CGNAT Adresse mit reinbringen sonst laufen die Anfragen wieder ins Leere. Ich vermute dass dies bei einer myfritz Adresse der Fall ist. Mit so einer Adresse hab ich das jedenfalls nicht zum laufen gekriegt. Das IPv6 Prefix für die Geräte hinter der Fritzbox hat sich bei mir auch nicht geändert, das könnte man aber vermutlich auch mit einem DynDNS Dienst irgendwie umgehen. Ein AAAA DNS Eintrag mit Verweis auf eine feste IPv6 Adresse der Fritzbox vereinfacht das Ganze ebenfalls erheblich, sofern man über eine Domain verfügt. Das würde ich bei den langen Addressen unbedingt empfehlen, um Fehler zu vermeiden.

Die Optionen reuseaddr und fork ermöglichen mehrere gleichzeitige Verbindungen über socat. Ich hab das gestern mal kurz mit einem zweiten Handy getestet und man kann so tatsächlich parallel 2 Wireguardverbindungen (vermutlich auch mehr) aufbauen. Scheinbar kann es bei wiederholtem Auf- und inkorrektem Abbau der Verbindungen zu einer Häufung von socat Prozessen im Hintergrund führen. Das habe ich aber nur gelesen, bei mir waren es bisher immer nur 2 Prozesse. Im Netz lösen das einige Leute per cronjob indem im eingestellten Intervall alle socat Prozesse gekillt und anschließend neu etabliert werden. Eine kurze Unterbrechung des UDP Datenstroms ist Wireguard vermutlich "egal". Wie gesagt das müsste man aber alles noch testen.

Socat liefert beim Start keine Rückmeldung und man kann auf der Konsole dann auch nichts mehr machen und sich auch nicht mehr ausloggen. Ich starte socat daher in einer screen Session, damit ich das Ganze in den Hintergrund schicken und mich ausloggen kann. Bedarfsweise kann man den Prozess dann jederzeit wieder hocholen. --> screen . Ein "&" am Ende des Befehls sollte aber auch funktionieren. Das würde ich dann in einem Shellscript für den cronjob so machen.

 

[Barungar]

Ich kenne mich mit Anschlüssen der DGF nicht aus, ich selbst bin bei einem anderen Provider. Natürlich wünsche ich Dir, dass Du da keine Probleme bekommst mit IPv6-Adresswechseln. Aber vielleicht kann ja jemand, der schon länger bei DGF ist, was zu sagen, ob und wann sich da das IPv6-Präfix mal ändert.
Allerdings habe ich auch "Paket" mit festen IPs (v4 & v6), so dass sich bei mir garantiert nix ändert.

Wenn Du den "socat" startest, egal nun ob mit der IPv6 oder einem DynDNS-Namen nimmt der Prozess die jeweils gültige IPv6 zum Startzeitpunkt. Sollte sich die IP der FritzBox dann zur Laufzeit des "socat" ändern, wird er das, nach meiner Vermutung/Befürchtung, nicht bemerken, selbst dann nicht wenn man als Startparameter den DynDNS-Namen verwendet hat.

Ich kenne das nämlich nur von "stunnel", das ich mal eine zeitlang genutzt habe um einen SOCKS-Proxy zu realisieren, wenn sich dort die IP des Endpunktes geändert hat, musste ich den stunnel-Prozess auf dem vServer restarten; daher meine Vermutung, dass sich ein socat-Prozess ähnlich verhalten könnte.

Seiner Zeit hatte ich minütlich ein cron-Skript auf dem vServer laufen lassen, dass eine Namenauslösung der DynDNS-Adresse des Anschlusses gemacht hat, und diese gegen die letzte Antwort verglichen hat. Ergab die letzte und die aktuelle Namensauflösung die gleiche IP war das cron-Skript "fertig", bei einer Abweichung (IP-Wechsel) hat es den stunnel-Prozess neugestartet.

 

[blurrrr]

Moin allerseits!

Leider überträgt 6tunnel aber nur TCP

Man kann statt 6tunnel auch socat verwenden

Dazu mal kurz 2 Dinge:

1) Thread-Titel: "HTTPS, SSL, Port 443, via IPv4 und das alles an einem Vodafone IPv6 Anschluss"... HTTPS -> TCP
2) 6tunnel ist gegenüber socat für weniger bewanderte Leute doch deutlich einfacher und verständlicher:

6tunnel <lokaler Port> <Remote-Host> <Remote-Port>

Alles in allem also eine deutlich anwenderfreundlichere Lösung für das gewünschte Ziel, da es bei der Anforderung lediglich um einen HTTPS-basierten (und somit TCP) Zugriff ging. Für einfache TCP-Verbindungen -> 6tunnel, da ist die man-page auch nicht so abschreckend für die meisten Leute

Btw wäre es nicht evtl. günstiger, wenn man den socat/wireguard-Teil in einen eigenen Thread packt? Wäre doch auch irgendwie schade, wenn das hier untergeht (lt. Thread-Titel geht es hier ja um etwas anderes), von daher ggf. mal einen Mod anhauen und die Sachen hier in einen neuen Thread mit aussagekräftigem Titel verschieben lassen? Ich mein...das Problem werden ja sicherlich einige haben bzw. werden sich sicherlich einige eine entsprechende Lösung wünschen

EDIT: screen benutzt man doch eigentlich nur für Dinge, welche halt einfach mal länger laufen bis sie fertig sind und man keine Lust hat solange die Session offen zu halten. Wenn das ganze sowieso "permanent" laufen soll, erstell Dir dafür eher einen Dienst (systemd-service), guckste mal hier rein: https://wiki.ubuntuusers.de/systemd/Service_Units/

 

[elvito]

Hallo,

ich hab in diesem Thread geantwortet weil es hier auch zu der Anleitung ging, dank der ich mein Problem lösen konnte und ich mich hierfür nur kurz bei dir bedanken wollte. Ich mach einen neuen Thread zu diesem Thema auf und verlinke ihn dann hier.

besten Dank nochmal, die Anleitung hat mir sehr viel Zeit gespart

Nachtrag: screen bisher nur zum testen. Wenn das so ein paar Wochen "rock solid" läuft, stell ich das auf einen cronjob um. screen ist nicht schlecht um es übersichtlich zu halten, weil man für jede Verbindung eine eigene Session erstellen und separat in den Hintergrund schicken und wieder hochholen kann. Ich tendieren später eher zu einem repetetivem cronjob weil es so maximal simpel, robust und auch zu einem späteren Zeitpunkt leicht nachvollziehbar ist. Wer weiß wie das bei systemd in 5 Jahren läuft bzw. ob systemd dann überhaupt noch der standard ist.

2. Nachtrag: Es würde dann hier weitergehen

 

[blurrrr]

Alles gut, das sollte keine Kritik sein (vllt wurde es so auch nicht verstanden) - fände es nur schade, wenn solche Infos in einem Thread untergehen, weil es primär um etwas völlig anderes ging. Finde es gut, dass Du Dein Vorgehen auch nochmal beschrieben hast - haben ja schliesslich auch andere etwas von