Unitymedia Zugriff auf Fritzbox 6360 VPN DUALStack Lite und IPhone IPv4

[stim]

Hallo Zusammen,

während des Umzugs von Vodafone zu UM beschäftige ich mich nun Notwendigerweise mit ipv4 TO ipv6.
Mir ist bewusst, dass die Fritzbox via ipv6 erreichbar ist. Jedoch hat mein Mobilfunkanbieter mich im UMTS Netz noch nicht auf IPV6 umgestellt.
Somit kann ich die Fritzbox von meinem Handy nicht adressieren. Ich besitze einen Rootserver welcher IPv4 und IPv6 hat.
Jetzt möchte ich eine Software haben die als Adressübersetzer fungiert. Ich connecte mich auf das IPv6 VPN via Rootserver.
Ist es dazu notwendig dass der Server eine VPN Verbindung zur Fritzbox hat und ich mit dem Handy auch ein VPN zu dem Server aufbaue? Beide sind im gleichen Netz.
Was dann noch fehlt ist dass der Server ipv4 Pakete über ipv6 tunnelt. Die Clients in meinem Lan haben alle ipv4 und ipv6.

Wenn ich es richtig sehe würde auch ein ipv4 vpn reichen welches einen ipv6 Endpoint hat.

Von kommerziellen Anbietern möchte ich gerne die Finger lassen.


Vielen Dank fürs Licht ins dunkle bringen.

stim

 

[Leseratte10]

Re: Zugriff auf Fritzbox 6360 VPN DUALStack Lite und IPhone

<t>Wenn du einen vServer hast, würde ich da einfach eine Portweiterleitung von einem IPv4-Port auf einen Port der Fritzbox-IPv6-Adresse erstellen. Das müsste mit Software wie HAProxy funktionieren.</t>

 

[stim]

Wünschenswert wäre eine vpn Verbindung von iphone zu fritzbox.
Dies alleine wegen der Authorisierung.

 

[hajodele]

Re: Zugriff auf Fritzbox 6360 VPN DUALStack Lite und IPhone

<r><QUOTE author="stim"><s>

</s>Wünschenswert wäre eine vpn Verbindung von iphone zu fritzbox.<br/>
Dies alleine wegen der Authorisierung.<e>

</e></QUOTE>
Das funktioniert leider nicht. <br/>
VPN der Fritzbox funktioniert nur über IPv4 und da hast du ja leider keine öffentlich benutzbare Adresse.<br/>
Spacerat hat hierzu einige sehr gute Tutorials geschrieben. <br/>
Wenn es nichts (extra) kosten soll, bleibt nur der Rootserver übrig.</r>

 

[SpaceRat]

Re: Zugriff auf Fritzbox 6360 VPN DUALStack Lite und IPhone

<r>Es gibt vier Lösungsansätze, die verschieden aufwendig zu realisieren sind:<br/>

<LIST><s>

• </s><LI><s>
• </s><B><s></s>Port-Forwarding vom Root-Server zur Fritz!Box/zum Heimnetz<e></e></B><br/>
  6tunnel, HAproxy, u.a. leisten das.<br/>
  <br/>
  Beispiel:<br/>
  <I><s></s>6tunnel 10443 dnigbhndfiodner.myfritz.net 10445<e></e></I><br/>
  auf dem Root-Server ausgeführt (Bei jedem Systemstart) würde alle Anfragen, die dort per IPv4 auf Port 10443 eingehen, per IPv6 an den Host dnigbhndfiodner.myfritz.net, Port 10445 weiterleiten, diesen also auch über IPv4 erreichbar machen. dnigbhndfiodner.myfritz.net wäre dabei die MyFritz!-Adresse der Fritz!Box<br/>
  Analog funktioniert das auch mit IPv6-Freigaben auf dahinter angeschlossenen Geräten, indem man deren MyFritz!-Adressen einsetzt, also z.B. ultimo.dnigbhndfiodner.myfritz.net für eine hinter der Fritz!Box laufende und freigegebene Vu+ Ultimo ...<br/>
  <br/>
  Vorteile:
  <LIST><s>
  • </s><LI><s>
  • </s>Einfache Einrichtung</LI>
    <LI><s>
  • </s>Von IPv6-fähigen Gegenstellen aus kann man auch direkt auf die MyFritz!-Freigaben zugreifen</LI>
    <LI><s>
  • </s>vServer und Heimnetz bleiben getrennt</LI>
    <LI><s>
  • </s>Wer keinen eigenen vServer hat, kann auf die Dienste alternativer Anbieter wie <URL url="http://www.feste-ip.net"><s></s>http://www.feste-ip.net<e></e></URL> zurückgreifen, die genau solche Port-Forwarder anbieten.</LI><e>
  </e></LIST>
  
  Nachteile:
  <LIST><s>
  • </s><LI><s>
  • </s>Für jede einzelne Freigabe im Heimnetz muß eine solche Port-Weiterleitung einzeln erstellt werden.</LI><e>
  </e></LIST></LI>
  <LI><s>
• </s><B><s></s>VPN zwischen vServer und dem Heimnetz<e></e></B><br/>
  Mittels OpenVPN kann man über das IPv6-Netz (als Trägernetz) eine VPN-Verbindung aufbauen, diese kann dann als Payload sowohl IPv4- als auch IPv6-Traffic zwischen vServer und Heimnetz transportieren.<br/>
  Da die Fritz!Box 6360 allerdings kein OpenVPN beinhaltet und auch nicht mittels Freetz mit einem solchen versehen werden kann, müßte man als OpenVPN-Gegenstelle ein anderes Gerät nutzen (Einen eh durchlaufenden Rechner, einen Raspberry Pi, ein NAS, ...).<br/>
  <br/>
  Vorteile:
  <LIST><s>
  • </s><LI><s>
  • </s>Einmal eingerichtet, kann man es erreichen, daß zwischen vServer und Heimnetz alles direkt erreichbar ist.</LI>
    <LI><s>
  • </s>Es sind keine öffentlichen Freigaben nötig wie beim Port-Forwarder (Für diesen muß ja vorher eine IPv6-mäßige Freigabe in der Fritz!Box bestehen, die für das gesamte Internet gilt).</LI><e>
  </e></LIST>
  
  Nachteile:
  <LIST><s>
  • </s><LI><s>
  • </s>Ungleich schwieriger einzurichten.</LI>
    <LI><s>
  • </s>Möglicherweise ist es gar nicht erwünscht, daß der (immerhin meist von Wildfremden betriebene) vServer über ein VPN mit dem Heimnetz verbunden ist.</LI><e>
  </e></LIST></LI>
  <LI><s>
• </s><B><s></s>Gegenstelle mit IPv6-Anbindung versorgen<e></e></B><br/>
  Hat man die Gegenstelle erst einmal mit IPv6 versorgt, dann kann sie danach auf das gesamte Internet zugreifen und nicht nur auf einzelne Freigaben im eigenen Heimnetz.<br/>
  Dies ist eigentlich meine Präferenz, denn sie nimmt einfach nur vorweg, was früher oder später eh kommen muß: Die Migration des Internets auf IPv6.<br/>
  <br/>
  Auf iPhones ist dies aber nur möglich, indem man vom EiFon aus eine VPN-Verbindung (über IPv4) in ein virtuelles Netzwerk mit IPv6-Unterstützung aufbaut.<br/>
  In diesem Falle wäre es also möglich, indem man sich mit dem EiFon per OpenVPN über IPv4 mit dem vServer verbindet. Der OpenVPN auf dem vServer kann dann das EiFon mit IPv6 versorgen, so daß das EiFon über dieses VPN ganz normal auf <B><s></s>alle<e></e></B> IPv6-Server zugreifen kann.<br/>
  <br/>
  Vorteile:
  <LIST><s>
  • </s><LI><s>
  • </s>Endgültige Lösung, es ist keine weitere Umstellung mehr nötig, sobald auch auf Seiten der Gegenstelle der IPv6-Regelbetrieb möglich ist.</LI>
    <LI><s>
  • </s>Auf Routern, Rechnern und Android-Smartphones (Für Android < 4.3) einfach einzurichten.</LI><e>
  </e></LIST>
  
  Nachteile:
  <LIST><s>
  • </s><LI><s>
  • </s>Auf CrApple-Schrott namens EiFon nicht über Tunnelanbieter wie SixXS oder Hurricane Electric möglich.</LI>
    <LI><s>
  • </s>Auf Android 4.3 und höher nur möglich, wenn der verwendete DNS IPv6-fähig ist, denn ab 4.3 läßt sich kein anderer DNS-Server mehr einstellen.</LI><e>
  </e></LIST></LI>
  <LI><s>
• </s><B><s></s>Heimnetz mit öffentlicher, von außerhalb erreichbarer IPv4 versorgen<e></e></B><br/>
  Genauso wie man eine externe Gegenstelle mit IPv6 versorgen kann, kann man prinzipiell auch das Heimnetz mit einer IPv4(-Anbindung) versorgen.<br/>
  <br/>
  Da es sich um eine rückwärtsgewandte Lösung handelt (Das eigentliche Problem ist das Fehlen von IPv6 außerhalb und nicht der seit Jahrzehnten vorhersehbare Verlust von IPv4 im Heimnetz) gibt es für diesen Workaround auch keinen so guten Support in Routern wie für die umgekehrte Lösung einer IPv6-Tunnelanbindung.<br/>
  Erreicht wird dies (Eine IPv4-Anbindung des Heimnetzes) durch Aufbau einer VPN-Verbindung aus dem Heimnetz zu einem entsprechenden Anbieter (z.B. Portunity). Über diese Verbindung kann man das Heimnetz dann über die vom VPN-Anbieter vergebene IPv4 erreichbar machen.<br/>
  Eine vordefinierte Funktionalität "VPN als IPv4-Anbindung" wird man aber in den meisten Routern vergeblich suchen und gewöhnlich baut man VPNs zwischen vertrauenswürdigen Netzen auf, muß sich also in diesem Fall selber um das Firewalling des Tunnels (Der hier ja eine Direktanbindung ans Internet darstellt) kümmern. Richtig gut und halbwegs komfortabel ist das nur mit OpenWRT-Routern möglich, dort kann eine VPN-Verbindung auch als WAN-Verbindung betrachtet werden.<br/>
  <br/>
  Vorteile:
  <LIST><s>
  • </s><LI><s>
  • </s>Keine. Das Unvermeidbare aufzuschieben ist keiner.</LI><e>
  </e></LIST>
  
  Nachteile:
  <LIST><s>
  • </s><LI><s>
  • </s>Eine VPN-Anbindung mit öffentlicher IPv4 kostet Geld, jeden Monat. Eine IPv6-Tunnelanbindung ist kostenlos.</LI>
    <LI><s>
  • </s>Aufwendige Konfiguration (Firewalling), sonst unsicher (IPv4-Anbindung erst hinter der Router-Firewall).</LI><e>
  </e></LIST></LI><e>

</e></LIST></r>