Vodafone TG3442DE: zur Nutzung pfSense – OpenVPN Server bridge-modus?

[Fidibus]

Moin,
als nächsten Schritt möchte ich nun meine HA-Instanz und ggf. mein NAS von unterwegs aus erreichbar machen.
Die Recherche lässt mich schon wieder schwarz sehen.
Letzte Information ist diese hier.
Damit schieße ich mir mein bisheriges Setup schon wieder ab.
Dual Stack scheint seit einiger Zeit bei Vodafone keine Option mehr zu sein, zumindest nicht zuverlässig.
Gibt es eine Option aus dem bestehenden Setup:
Vodafonebox mit Router und Firewallfunktion sowie Hoster des Gast-WLANs, nachgeschaltete pfsense mit Homenetz Funktionalitäten den Zugriff auf einen VPN-Server im Heimnetz zu realisieren?
Meine Frustration baut sich gerade etwas auf....

 

[blurrrr]

DynDNS (FQDN) für die Firewall (IPv6), Wireguard-VPN (Verbindung via IPv6 (FQDN), interner Zugriff via IPv4).

EDIT: Lösungen via vServer hab ich nun mal aussen vor gelassen (VPN/6tunnel), würde bedingen, dass Du Dir noch irgendwo einen entsprechenden vServer anmieten würdest.

 

[Fidibus]

Danke @blurrrr für deine Antwort.
Ich nutze gerade meine Zeit fernab der Konfigurationsmöglichkeit der pfsense zum Erkenntnisgewinn.
Ich habe in verschiedenen Diskussionen, insbesondere im Vodafone-Umfeld verstanden, dass mit DS-lite einige Schwierigkeiten mit IPv6 auftreten.
Ich werde mal ganz stumpf deine Reihenfolge ansetzen. Leider erst in einigen Tagen .
Ich habe bisher dann verstanden:
- DHCP für IPv6 an der VF-Box für das interne IF checken.
- damit müsste die pfsense am WAN-IF eine IPv6 bekommen (ich glaube, das hat sie schon)
- diese IP dann in DynDNS verwenden
- auf der pfsense das wireguard-paket installieren
- Installationsguide suchen
- hier fragen

 

[the other]

Moinsen,
wenn der vodafone Router in der Lage ist das Präfix weiterzugeben, dann sollte das doch kein Ding sein.
Du musst dann eben auf den Zugriff via IPv4 verzichten und ausschließlich v6 nutzen, was ja auch -ahem- zeitgemäß wäre.
Solange die pfsense ein Präfix bekommt, um daraus eigene v6 Netze aufzumachen, sollte es gehen.

Beispiel: der ISP gibt dir ein Präfix mit der Größe /56 (zB Telekom). Das kommt so am 1. Router an, dieser leitet das Präfix weiter an die pfsense, diese wiederum baut daraus die VLANs auf, je in /64er Größe. Wie gesagt, kommt idR auf den Provider an und auf die Möglichkeiten des Internetrouters...

DAbei steht das WAN Interface auf dhcpv6 und die übrigen Interfaces (LAN, VLANs) auf "Track Interface" (hier dann natürlich das zu trackende Interface mit WAN angeben).
Wenn du dann alles im Netz, was wichtig ist für dich, per GUA erreichen kannst (es also generell geht), dann DynDNS einrichten und dann den VPN Teil.
Erst Erreichbarkleit per IP testen, dann per DynDNS, dann VPN...wäre mein Ansatz.

 

[Barungar]

Ich weiß nicht, wie diese Vodafone-Box arbeitet.

Damit die Präfixe delegieren kann, muss die Box DHCPv6 IA_PD beherrschen.
Außerdem muss das eigene Präfix groß genug sein, um es delegieren zu können.

Ich selbst kenne das nur bei Fritz Boxen, die natürlich DHCPv6 IA_PD können, und dabei ien /60 Präfix delegieren.
Was wiederum bedeutet, dass man vom Provider ein Präfix <60 erhalten muss. In dem verlinkten Artikel aus dem Vodafone Forum wird jedoch "nur" ein /62 an die Vodafone-Box abgegeben, da ist dann nicht wirklich genug da um es zu delegieren.

Ich erhalte von meinem Provider ein /48-Präfix, und meine FritzBox gibt dann an die nachgelagerten Router jeweils ein /60 weiter.

 

[Fidibus]

Es fängt langsam an kompliziert zu werde.

Ich weiß nicht, wie diese Vodafone-Box arbeitet.

Ich glaube, das weiß niemand so recht , auf jeden Fall entnehme ich dem Grundtenor der Informationsbasis, dass es nicht so einfach ist.
Ich melde mich mit Erkenntnissen, was zumindest auf der VF-Box und der FW zu sehen ist.

 

[Barungar]

Da wären mal ein paar Infos aus/zur Box cool...

• Was für ein IPv6 Präfix hast Du? (ist es groß genug?)
• Wie sieht die DHCPv6 Einstellung aus? (was ist dort eingestellt?)

 

[the other]

Moinsen,
ach, es ist wie so oft im Leben...
EIGENTLICH ist es ganz einfach.
Aber ich gebe dir recht und auch im pfsense Forum ist das Jammern und Wehklagen laut und deutlich zu hören. Dabei ist es allerdings oft nicht irgendein setting an der pfsense, sondern die Klagen gehen eher Richtung Art und Weise der Umsetzung der ISPs, gerade auch bzgl Präfixgröße usw. Da ist (international, wenn das Gelesene so ungefähr stimmt) oft noch nicht alles im grünen Bereich.
Deine vodafone Box sollte eigentlich irgendwo anzeigen, wie groß das Präfix ist, das du bekommst (sonst Kundenhotline...wobei, is ja vodafone, viel Glück!). Und dabei kann dann gleich in Erfahrung gebracht werden, wie es sich mit DHCPv6 IA_PD verhält auf dem Gerät.

 

[blurrrr]

Nagut... ich hab dann grade mal auf meiner Cable-Box geschaut (CH7465VF, ist noch so eine Unitymedia Connectbox). Im Interface des Routers ist nix aufgeführt, konfigurieren kann man da halt auch nix, die Firewall sagt allerdings: "Delegiertes Präfix: /62", also scheint schon etwas zu kommen, im Zweifel einfach mal ausprobieren. Guck einfach mal hier rein: https://www.heimnetz.de/anleitungen/router/avm-fritzbox/fritzbox-ipv6-pfsense/ (ab "2. Arbeitsschritt an der pfSense")

 

[the other]

Moinsen,
nach einigem Hin- und Hergelese sieht es in der Tat nicht allzu prickelnd aus mit deinem Routermodell...
Es scheint, dass die Kiste weder IA_PD machen kann. Auch scheint es so, dass du das Gerät nicht einfach in einen bridge modus setzen kannst (das dachte ich als Alternative, wenn keine Präfixweitergabe, die VF box einfach nur als Router und alles über pfsense dahinter laufen lassen). Auch ein /62er ist, wie @Barungar sagte, nicht so super (klein).
Achja, ich mag es kaum sagen...aber die Geräte, Einstellungen, das ganze DS lite Geraffel und die oft berichtete "Kundenhotline" bei VF...nää. Mag ich nicht.

 

[Fidibus]

Da wären mal ein paar Infos aus/zur Box cool...

Ich muss mich jetzt erst einmal damit beschäftigen, was ich an der eindeutigen IPv6 Adresse verschleiern muss, damit eiben nicht genau meine FW hinter der Box richtig Arbeit bekommt

 

[blurrrr]

was ich an der eindeutigen IPv6 Adresse verschleiern muss

Warum? Hast Du Deine Wohnungstür mit irgendwas "verhüllt" damit sie niemand sieht? Das ist wie "Auto kaufen, aber dann bloss nicht damit fahren" (maximal reinsetzen, aber dann auch nur mit Schonbezug!), also lass Deine Firewall auch ihren Job machen, ansonsten wäre es ja auch langweilig

 

[Fidibus]

Output vom Router:

 

[blurrrr]

Najo, sieht aus wie bei mir, kannste machen

 

[Barungar]

Ein /62-Präfix ist aber nix... das sind gerade mal vier (mikrige) Subnetze (zu je /64).

 

[blurrrr]

Also mir reichts, ist derzeit eh nur für 2 Netze aktiv

 

[Fidibus]

Moin,
erst mal ein Dank an den Editor.

 

[Fidibus]

das sind gerade mal vier (mikrige) Subnetze (zu je /64)

Ok, jetzt muss eins nach dem anderen.
Zielstellung ist ja maximal 2 Geräte aus der weiten Welt erreichbar zu machen. (VPN-Server und NAS)
Dafür sollte es reichen - denke ich .
Also, das WAN IF hat eine IPv6 Adresse bekommen.
Nun werde ich also genau diese Adresse für

DynDNS (FQDN) für die Firewall (IPv6)

nehmen, da ich vermute, dass es die gleiche ist, wie die, die der VPN-Server bekommen wird, wenn ich den als Paket auf der Firewall installiere.

 

[Fidibus]

Zielstellung ist ja maximal 2 Geräte aus der weiten Welt erreichbar zu machen. (VPN-Server und NAS)

Korrektur:
Nach etwas Lesen komme ich zu dem Schluss, dass ich eigentlich nur den VPN-Server erreichen muss.
Der VPN-Server eröffnet mir doch den Weg in mein lokales Netz.
Also, der VPN-Tunnel terminiert auf der pfsense.
Von dort aus (Regelwerk entsprechend konfiguriert) erreiche ich die verschiedenen lokalen Netze und darin die Geräte.
Richtig?

 

[Fidibus]

Moin,
ich suche nun gerade einen geeigneten Anbieter für DynDNS (natürlich möglichst kostenfrei
Hier ist eine kleine Übersicht.
dynv6 oder Securepoint DynDNS wäre aktuell aus meiner Sicht 2 Kandidaten.
Gibt es Meinungen dazu?