Unitymedia OpenVPN mit dynamischen Präfixen

[GoaSkin]

Hallo,

seit Längerem setze ich OpenVPN ein, um einen Tunnel zwischen zwei Heimnetzen aufzubauen. Der Tunnel an sich wird zwischen zwei öffentlichen IPv6-Adressen aufgebaut, die beide über einen DynDNS-Namen erreichbar sind. Während der Tunnel an sich gut funktioniert, um die privaten IPv4-Adressen des gegenüber liegenden Netzes erreichbar zu machen, bleibt es mir ein Rätsel, wie ich dafür sorgen kann, dass auch die IPv6-Adressen auf der anderen Seite durch den Tunnel erreichbar sind. Das Problem ist eben, dass die IPv6-Präfixe dynamisch sind und es bei IPv6 keine privaten Adressbereiche gibt. Letztendlich müsste OpenVPN auf beiden Seiten lauschen, ob der Router ein neues IPv6-Präfix bekannt gibt und daraufhin eine geänderte IPv6-Route pushen.

Kennt jemand eine elegante Lösung? Hintergrund ist, dass über das VPN auch Dienste genutzt werden sollen, für die es auf den Routern keine Freigaben geben soll.

 

[SpaceRat]

bleibt es mir ein Rätsel, wie ich dafür sorgen kann, dass auch die IPv6-Adressen auf der anderen Seite durch den Tunnel erreichbar sind. Das Problem ist eben, dass die IPv6-Präfixe dynamisch sind ...

Nicht nur Dir ...

Die 1dioten die uns dynamische Präfixe eingebrockt haben haben übersehen, daß wir nicht der Nabel der Welt sind:
Niemand außerhalb Deutschlands sieht dynamische Präfixe vor, weil sie flüssiger sind als Wasser.
iptables/netfilter, usw. usf. gehen allesamt davon aus, daß IPv6-Adressen auf Dauer vergeben werden, so wie es sein soll.

und es bei IPv6 keine privaten Adressbereiche gibt.

Doch, gibt es.
Nennt sich ULA.

Letztendlich müsste OpenVPN auf beiden Seiten lauschen, ob der Router ein neues IPv6-Präfix bekannt gibt und daraufhin eine geänderte IPv6-Route pushen.
Kennt jemand eine elegante Lösung? Hintergrund ist, dass über das VPN auch Dienste genutzt werden sollen, für die es auf den Routern keine Freigaben geben soll.

Ja, das Erkennen eines Präfix-Wechsels und das darauffolgende Neuschreiben aller IPv6-Konfigurationen ist der reichsdeutsche IPv6-Weg.
Die Alternative wäre eben, innerhalb des VPNs mit den ULAs der beteiligten Netze zu arbeiten.

Das bringt dann natürlich zusätzlichen Aufwand bei der Namensauflösung mit sich. Hosts in LAN B dürften ja in LAN A nur noch auf die private IPv4 und die ULA aufgelöst werden, damit auch zwingend eine dieser beiden Adressen genutzt wird und nicht die i.d.R. zusätzlich vorhandene öffentliche IPv6 der Hosts in LAN B, da diese sonst über das Internet statt durch das VPN kontaktiert würden.