IPv4 in IPv6 Tunnel SSH -R - heise

[Bytechanger]

Hallo,

ich bekomme einen reinen IPv6 Anschluss und möchte ihn für IPv4 erreichbar machen.
In der heise-CT 2018 Heft 2, Seite 138, gab es einen Beitrag, der eine einfache Vorgehensweise beschrieb.

Grundvoraussetzung ist ein Root-Server, der per IPv4 erreichbar ist und auf dem eine ssh Instanz läuft. Dies ist bei vielen Providern schon für 5€/Monatlich möglich.

Dort wird eine SSH-Shell mit GatewayPorts (PortForwarding) freigeschaltet.

Das Heimnetz verbindet sich dann per SSH -R (also z.B. -R 443:localhost:443) mit diesem Root-Server.

Meine Frage, lässt sich der Heim-SSH über OPNsense realisieren. Also quasi per ssh die ReverseTunnelaufbau zum Root-Server. Da wären meine Fragen, mache ich das über die Konsole.
Wo kann ich Firewallregeln zu eintreffendem Traffic und entsprechendes Port-Forwarding einrichten?

Greets

Byte

[JeGr]

Nunja ganz ehrlich, wenn du schon extern irgendwo eine Kiste mietest, dann könnte man auch schlicht nen VPN Tunnel dahin bauen. Wenn es nur um öffentliche Erreichbarkeit via v4 geht, kann man sich auch durchaus entscheiden, ob man da Verschlüsselung braucht oder nicht - hängt natürlich vom Einsatz ab. Aber besser als händisches SSH rumgewühle (und stabiler) wäre das IMHO sicherlich. Und v4 über einen v6 Tunnel zu routen ist jetzt auch nicht so schwer.

[mimugmail]

Offtopic: Es gibt einen alten PR für AutoSSH, das müsste sogar klappen, aber ich denke nicht das es in nächster Zeit offiziell wird:

https://github.com/opnsense/plugins/pull/818

Wäre eher ein PoC wenn das für dich interessant ist.

[Bytechanger]

OK, danke für die Antwort.

Vielleicht kann mich jemand aufklären, wie es mit IPv6 überhaupt gedacht ist.
Grundsätzlich bekäme ja jedes Endgerät in meinem Netz eine eigene IPv6 Adresse.

Ich habe es so verstanden, dass mein Provider mir einen "Adresspool IPv6" zur Verfügung stellt und OPNsense daraufhin die Endgeräte damit versorgt. Was mich verwirrt ist, dass nach der nächsten Einwahl (Zwangstrennung) der Pool erneut und geändert zugewiesen wird. Meine Geräte erhalten also ständig neue IPv6 Adressen?!

Müsste ich nun für JEDES der Geräte, was von außen erreichbar sein soll ein DynDNS Dienst bedienen, so dass die Geräte ihre derzeitige IPv6 Adresse mitteilen? Wenn ja, komisch und wie würde das gehen?

NAT ist verpöhnt und nicht gewollt. Meine Idee wäre gewesen, einen DynDNS Dienst meine IPv6 Adresse mitzuteilen und dann, wie geabt, per NAT verschiedene PORTS auf die Geräte verteilen:

a) auf IPv6 Adressen, die aber nach jeder Einwahl neu sind, kann nicht funktionieren, oder?
b) auf IPv4 ? Geht das? Von IPv6 auf IPv4 intern umleiten??

Also ich benötige etwas Starthilfe.



Gruß

Byte

[JeGr]

> Grundsätzlich bekäme ja jedes Endgerät in meinem Netz eine eigene IPv6 Adresse.

Nicht nur eine, meistens mehrere. Aktiv können Kisten wie Windows bspw. schon rund 4-6 Adressen in use haben, weil sie für die Privacy Extensions oft mehrere haben.

> Ich habe es so verstanden, dass mein Provider mir einen "Adresspool IPv6" zur Verfügung stellt

Nein. Dein Provider stellt dir einen "Adressbereich" IPv6 zur Verfügung. Bei IP6 sind das keine "Subnetze" mehr, sondern Prefixe. Das "normale" bzw. Default Prefix (und das kleinste was man nutzen sollte) ist ein /64er Prefix. Daher bekommt man meist ein /56er Prefix für internen Gebrauch, damit man sich da mehrere /64er Prefixe draus rausschneiden kann und mehrere Netze definieren kann.

> und OPNsense daraufhin die Endgeräte damit versorgt.

Jein. Es gibt auch bei IP6 DHCP6, die meistgenutzte Variante für Clients ist aber SLAAC (stateless autoconfiguration) bei denen Clients nur im Netzbereich hören, ob ein Router ihnen das aktuell verwendete Netzprefix mitteilt. Wenn sie eins empfangen, dann vergeben sie sich automatisch eine Adresse, checken gegen, ob die Adresse ggf. schon genutzt wird/wurde und vergeben sich notfalls ne neue. Dann wird diese genutzt und gut. Sind privacy extensions an, wird die Adresse zusätzlich ab und zu durchrotiert, damit man draußen nicht ständig die gleiche IP6 sieht.

> Was mich verwirrt ist, dass nach der nächsten Einwahl (Zwangstrennung) der Pool erneut und geändert zugewiesen wird.

Richtig, weswegen ich auch an vielen Ecken gegen diese verdammte Unsitte der dynamischen IP Vergabe wettere, weil es der größte Mist ist. Und die Gebetsmühlenartige Argumentation von wegen es wäre ein "Privacy/Datenschutzgrund" ist eben bei all den möglichen Trackingmaßnahmen die einem zur Verfügung stehen ziemlicher Marketing Bullshit. Gerade IP6 ist davon ziemlich betroffen und im Arsch, was nicht heißt, dass es als Client nicht funktioniert, aber einige Bereiche funktionieren eben nicht optimal/schlecht wegen dem unsinnigen ständigen Prefix rotieren.

> Meine Geräte erhalten also ständig neue IPv6 Adressen?!

Nein, die Geräte erhalten bei jedem Prefixwechsel ein neues Prefix. Den Adressblock rotieren sie aber eh schon durch IP6-PE (privacy extension) etc. ständig durch, somit kein großes Problem. Probleme gibts eher dann, wenn man intern eben auch noch Server oder Geräte wie NAS etc. hat, die natürlich auch IP6 haben und wollen. Wenn man dann mal gerade sich Daten zieht, dummerweise ein Prefix Wechsel reinfliegt und das NAS sich ne andere Adresse gibt (wobei die alte noch für eine Übergabezeit gehalten wird), ist das potentiell doof. Dann hat man nen Netzruckler/Schluckauf, bis jedes Gerät das neue Prefix intus hat.

> NAT ist verpöhnt und nicht gewollt.

Das ist falsch. NAT ist unnötig und bei IP6 überhaupt nicht vorgesehen. Es gibt kein NAT mit IP6.

> Müsste ich nun für JEDES der Geräte, was von außen erreichbar sein soll ein DynDNS Dienst bedienen, so dass die Geräte ihre derzeitige IPv6 Adresse mitteilen?

Willkommen in der völlig bekloppten Welt von dynamischen Prefixen, die dein Internet SO sicher und dich so datengeschützt, dass du auch ja keinen Server Dienst bei dir betreibst. Ein Schelm wer dabei denkt, es könnte sich gar um das Verhindern von gehosteten Diensten bei Kunden mit Privatanschlüssen handeln... Tz tz!

> Wenn ja, komisch und wie würde das gehen?

Nein, gar nicht so komisch. Es geht leider nicht anders. Wenn du einen Provider hast, der wirklich alle 24h das Prefix ändert - was wirklich komisch wäre denn inzwischen dürfen sie das eigentlich nicht mehr genausowenig wie Zwangstrennen - dann ist das die einzige halbwegs sinnige Form.

Allerdings ist es dann sowieso problematischer, denn für ein sinnvolles Hosting von eigenen Diensten brauchst du (zusätzlich) statische Adressen die sich nicht ändern. Also nicht unbedingt SLAAC Mode, sondern eher static IP6. DAS aber wiederum geht nicht so ohne weiteres, weil sich ja dein Prefix ständig ändert. Ein Teufelskreis.

> einen DynDNS Dienst meine IPv6 Adresse mitzuteilen

Das geht durchaus, wenn du einen Dienst hast, der das unterstützt.
Sinnvoller ist es bspw. mit eigener Domain und einem Dienst, der eine gescheite API hat. Damit kann man dann auch mehrere Adressen/IP6 pushen und aktualisieren.

> wie geabt, per NAT verschiedene PORTS auf die Geräte verteilen:

Wie gesagt, IP6 HAT kein NAT mehr. Du kannst es also auch nicht verwenden wenn du dich auf den Kopf stellst IP6 hat soetwas wie DNAT/SNAT nicht mehr und das ist eigentlich auch verdammt gut so.


Die Optionen, die du sinnvoll machen kannst wären:

1) Hol dir einen IPv6 Tunnel (zusätzlich). Niemand verbietet dir ausgehend das IPv6 deines ISPs zu nutzen für Clients, trotzdem aber in einem separaten Netz oder parallel dazu noch ein v6 Netz via Tunnel zu haben. Dieses ist dann statisch und kann wie statische IP4s konfiguriert werden. Simpel, einfach.

Problem: Meistens sind die Tunnel nicht wahnsinnig performant. Wenn es also für was ist, was nicht irrsinnige Performance benötigt klappt das gut (nutze ich selbst, geht super).

2) NPt. Das funktioniert "so ähnlich" wie 1:1 NAT bei IP4. Ja es gibt kein NAT mehr, aber NPt (Network Prefix Translation) hat auch ursprünglich nen anderen Grund gehabt und man sollte es nicht ohne Sinn einsetzen. Im Prinzip kannst du damit intern IP6 Adressen vom Typ FDxy:abcd:.... vergeben (ULA - unique link locals), von der Art her wie private IPv4 Adressen. Damit kannst du intern dein Netz völlig normal konfigurieren mit Static IP6 und ggf. auch mit zusätzlich SLAAC. Dann wird NPt konfiguriert, dass das eingehende externe Adressen (GUA - global unicast addresses) Prefix auf Prefix gematcht werden. Also eingehendes GUA Prefix xyz/64 auf internes FDxy/64.

Problem: soweit ich weiß (gern korrigieren) kann NPt momentan auch noch nix mit dynamischen Prefixen anfangen, man muss konkret angeben welches externe Prefix intern gemappt wird und kann kein Interface Tracking machen. (?)

Eigentlich nimmt man NPt eher, wenn man bspw. MultiWAN mit zwei WANs hat und für beides statische V6 Prefixe und über beide erreichbar sein möchte. Für sowas ist das dann gedacht.

3) Genau wie du schreibst, DynDNS für/mit IPv6 Adressen einrichten, die Geräte generieren ja im Normalfall anhand von diversen Algorithmen einmalig eine statische Adresse (die hinteren 64bit der IP6) und können das an jedes Prefix vorne anhängen. Somit könnte man DynDNS auf den entsprechenden Adressteil anwenden und das Prefix aktualisieren.

Sind aber - bis auf die Tunnellösung - alles sehr anfällige Lösungen und Basteleien - leider. Ich hab irgendwann vor Gram mir einfach nen he.net Tunnel angeworfen damit ich den ganzen dynamischen Dreck losgeworden bin. Schön ist das leider nicht.

Grüße

[Bytechanger]

OK, für einen Neuling in IPv6 alles kompliziert und Neuland, viele neue Dinge.
Vielen Dank für die ausführliche Antwort!

Ich wechsle einfach nur von Telekom IPv4 zu Deutsche Glasfaser IPv6 und wollte meine NAS, OpenVPN-Server und Raspi von außen erreichbar machen.

Gibt es PortForwarding,
Grundidee IPv6 Adresse meiner Firewall in einen DNS-Eintrag.
Einzelne IPv6 Ports intern auf entsprechende IPv6 Adressen umsetzen (Forwarding)?
Forwarding sollte doch noch funktionieren? (Unter Linux /etc/sysctl.conf -> net.ipv6.conf.all.forwarding=1  )

Jedes Gerät eigenen DynDNS-Dienst? Hieße alle Geräte, die ich extern verfügbar machen möchte melden sich selbst beim DynDNS Dienst oder kann das OPNsense übernehmen?


Ein Bekannter, der derzeit auch meine Domain mit E-Mails hostet und mein DynDNS-Anbieter ist, könnte das IPv4 in IPv6 Tunneling übernehmen.

Ich bin mir aber nicht klar, wie das dann funktioniert?
D.h. wie mache ich meine Geräte dann erreichbar?

"ich hab irgendwann vor Gram mir einfach nen he.net Tunnel angeworfen"
Was ist das?

Welche Lösung würdest Du mir empfehlen?

Gibt es Tipps, wo und wie ich mich in die Materie einlesen kann?

Greets

Byte

[JeGr]

> Gibt es PortForwarding,

Wie gesagt, es gibt kein Forwarding, da es kein NAT gibt. IP6 Adressen (globale, GUAs) sind public IPs. Die werden einfach geroutet und gut. Firewallregeln, mehr nicht. Kein NAT, kein rumgeeier, eigentlich toll. Nur dass sie sich ständig ändern.

> Einzelne IPv6 Ports intern auf entsprechende IPv6 Adressen umsetzen (Forwarding)?

Ports sind Ports. Ganz egal an welcher Adresse sie hängen. Es gibt keine v6 Ports. IP6 ist ein eigenes Protokoll, genauso wie IP4. Da ist nichts umzusetzen. Wie gesagt, einfach simples Routing. Nur mit dem Knackpunkt, dass die ISPs dir in den Plan pieseln, weil sie denken es wäre total töfte die IP Prefixe zu rotieren um es den Leuten schwer zu machen eigene Sachen zu hosten.

> Forwarding sollte doch noch funktionieren? (Unter Linux /etc/sysctl.conf -> net.ipv6.conf.all.forwarding=1  )

Das ist nicht forwarding, die Option bedeutet einfach nur dass die Kiste "routet" --> Packet Forwarding (das IST Routing).

> Jedes Gerät eigenen DynDNS-Dienst? Hieße alle Geräte, die ich extern verfügbar machen möchte melden sich selbst beim DynDNS Dienst oder kann das OPNsense übernehmen?

Ich hab nichts von Dienst gesagt. Der Dienst muss nur IPv6 können. Wenn du da verschiedene Hostnamen anlegen kannst, geht das ja. Aber die Geräte müssen ihre eigene IP6 publishen oder der Adressteil muss gleich bleiben und du änderst dann nur das v6 Prefix davor. Das war m.W. mal im Gespräch bei irgendeinem Dienst.

> Hieße alle Geräte, die ich extern verfügbar machen möchte melden sich selbst beim DynDNS Dienst oder kann das OPNsense übernehmen?

Wenn sie eigene Adressen pushen, dann ggf. jedes Gerät selbst. Ansonsten müsste der Adressteil der Sense bekannt sein, damit sie die Geräte pushen kann. Es wird ja nicht wie bei IPv4 die WAN IP der Sense gepusht, sondern es muss die vollständige IP6 mit Prefix+Adressteil übermittelt werden. Wie gesagt wenns nen Dienst gibt, bei dem man nur das aktuelle Prefix pusht und der Adressteil gleich bleiben kann, dann könnte das auch die Sense alleine machen.

> Ein Bekannter, der derzeit auch meine Domain mit E-Mails hostet und mein DynDNS-Anbieter ist, könnte das IPv4 in IPv6 Tunneling übernehmen.

Das ist doch wieder ne ganz andere Geschichte. Von v4 in v6 Tunneling war bis jetzt ja nie die Rede. Oder meinst du meinen HE.net IPv6 Tunnel? Das ist was anderes. Da gehts darum, dass du statische IPv6 Prefix(e) bekommst. Da das via v4 getunnelt wird, ist die Performance nicht so toll, aber dafür ist es sauber konfigurierbar. OpenVPN oder Raspi geht da gut, wenn du aber dicke Bandbreite darüber abrufen willst, dann wird die Performance nicht ganz so top.

> Was ist das?

he.net - Hurricane Electric - bietet dir ein /64er Prefix (nach Angabe von ein paar Daten wegen RIPE/ARIN Richtlinien auch ein /48er Prefix) dass sie via IPv4 Tunnel und einen Knotenpunkt (in DE Frankfurt oder Berlin) direkt zu dir routen. Weil das eben ein Tunnel ist der über v4 aufgespannt ist, ist er nicht so performant wie natives echtes IPv6 dafür hast du deine IP6 Prefixe immer statisch fix und kannst die vergeben und verplanen wie du Lust hast.

> Welche Lösung würdest Du mir empfehlen?

Hängt an deiner Performance Anforderung. Für ein bisschen SSH auf einen Raspi oder sich mal Remote ins eigene LAN per VPN einwählen und ab und an mal was runterladen/hochladen - Tunnel. Wenn du damit größere Datenmengen schieben willst (bspw. nen Film direkt von deinem NAS anschauen), dann evtl testen aber dann wohl eher mit was anderem versuchen. Wobei du jederzeit auch per OpenVPN via IPv6 auf deine Sense kämst und darüber dann problemlos auch IPv4 sprechen kannst (dein LAN Netz). Könnte je nach Performance der Sense und deines Tunnels auch ganz gut laufen. Wenn du bei DG (Glasfaser) aber gar kein v4 mehr hast (?) dann sind die Möglichkeiten beschränkt (ich vermute aber mal dass du DS-Lite hast, also CGN und IPFT).

[Bytechanger]

Na ja, schöne neue Technikwelt, alles wird doch nicht besser.

Also, man kann dann wohl im eigenen Netz nicht komplett auf IPv6 umsteigen, da sich die IPv6 Adressen ständig ändern. Damit scheiden diese Adressen für eine Geräteadressierung innerhalb meines Netzes aus, da das NAS dann immer wieder eine neue IP bekommt. Man bracht also einen DynDNS Dienst für lokale Geräte?


>
Natürlich greife ich von außen (Handy) auf mein NAS zu und möchte auf Filme, Videos, etc. zugreifen. Das war u.a. auch ein Grund für einen Glasfaseranschluss. Super, dass es sich mit IPv6 (oder genauer, weil die Mobilfunkbetreiber es nicht umsetzen) stark schwieriger bis unmöglich gestaltet.
Ich möchte natürlich die beste Bandbreite nutzen.

Also dann habe ich jetzt verstanden dass:

1. alle Geräte bekommen eine Dynamische IPv6 Adresse, die sich spätestens bei jeder Zwangstrennung ändert
2. NAT ist nicht möglich, also eine "Umleitung"
         wie z.B. von IPv6 Adresse des Routers auf 5000 auf die IPv4/IPv6 Adresse meines NAS umleiten,
         damit fallen auch statische IPv6 Adressen aus, auf die man "routen" könnte.
         (Ich habe es richtig verstanden, dass NAT bei IPv6 technisch nicht möglichist?!)

3. Für ein IPv4 in IPv6 Tunnel
          - vermutlich Geschwindigkeitseinbußen
          - ganz bestimmt Reaktionseinbußen (ping-zeit) (es wird träge werden)
          - Dem "Tunnelbetreiber" muss die aktuelle IPv6 Adresse jedes Endgerätes mitgeiteilt werden, das
             erreichbbar sein soll. Er routet dann den IPv4-Verkehr auf die entsprechende IPv6 Adresse

>> ich vermute aber mal dass du DS-Lite hast, also CGN und IPFT)?
Ähm, bin nicht sicher, DS-Lite/CGN habe ich gegoogelt und etwas gefunden, IPFT nicht.


Ich bekomme definitiv nur eine IPv6 Adresse.
D.h. ich muss irgendwo/irgendwie IPv4 empfangen und auf IPv6 umsetzen (extern)
und das ganze (Filme, Musik, etc.) in akzeptabler Geschwindigkeit,
sonst hätte ich bei Telekom 50/10 MBit bleiben können,
die haben wenigstens einen IPv4 Anschluss.


Greets

Byte

[JeGr]

> da das NAS dann immer wieder eine neue IP bekommt. Man bracht also einen DynDNS Dienst für lokale Geräte?

Oder man greift a) wieder zur "Krücke" und adressiert im internen Netz mit ULAs statt GUAs oder b) nutzt einen Tunnel der einem ein statisches Netz bringt

>          (Ich habe es richtig verstanden, dass NAT bei IPv6 technisch nicht möglichist?!)

Nicht vorgesehen. Gibt es nicht. Es gibt NPt was aber wie beschrieben etwas anders funktioniert und auch verlangen würde, dass die Prefixe fest eingetragen sind. Also würde es nur mit einer Art DynPrefixHelper gehen.

>           - vermutlich Geschwindigkeitseinbußen

Ja

>           - ganz bestimmt Reaktionseinbußen (ping-zeit) (es wird träge werden)

Nein. Ping Zeiten sind nahezu gleich. Da wird nichts träger. Ich nutze selbst einen Tunnel für statisches v6 und die Pings sind annähernd die selben. ca. 16ms via IP4 und ca. 18ms für IP6.

>           - Dem "Tunnelbetreiber" muss die aktuelle IPv6 Adresse jedes Endgerätes mitgeiteilt werden, das erreichbbar sein soll. Er routet dann den IPv4-Verkehr auf die entsprechende IPv6 Adresse

Nein, der Tunnel wird über IPv4 aufgebaut. Deine IP4 verbindet sich mit der IP4 des Tunnelanbieters und darüber wird ein transparenter v6 Tunnel aufgebaut, der direkt das Prefix zu dir routet.

> D.h. ich muss irgendwo/irgendwie IPv4 empfangen und auf IPv6 umsetzen (extern)

Wenn du nur eine IPv6 bekämst, würde einiges an Internet nicht gehen. Da muss definitiv noch was anderes laufen, wahrscheinlich dann DS-Lite, dass du also via CarrierGradeNetwork oder/und IPFamilyTranslation dann eine IP4 bekommst, die dann potentiell geshared ist. Wenn das der Fall ist, kann es sein, dass ein Tunnel eh ausscheidet weil keine echte v4 Adresse und nicht pingbar bzw. deine IP4 ständig wechseln kann/könnte.

> D.h. ich muss irgendwo/irgendwie IPv4 empfangen und auf IPv6 umsetzen (extern)

Oder eben eine IP6 oder dein aktuelles Prefix irgendwo statisch verfügbar machen. Mini-VM bei Hoster anmieten und dort bspw. OVPN einrichten wäre eine Idee dafür.

ODER: Du fragst einfach an, ob du ein statisches v6 Prefix bekommen kannst. Bei Telefom oder Kabel eher unwahrscheinlich aber bei einem neuen Player wie einem Glasanbieter durchaus denkbar.

[Bytechanger]

OK, noch eine Frage zu einer Idee, die mir gekommen ist:

Was ist denn, wenn ich auf der OPNsense den HAproxy betreibe.
Dieser würde über die IP der Firewall (also eine IPV6 Adresse) die Anfragen entgegennehmen und als Porxy fungieren.
Entsprechend des Ports würde er sich die Infos dann über IPv4 in meinem Netz ziehen.
Also um die Ecke ein IPV6 to IPv4 NAT.
Ich hoffe ich habe es korrekt erklärt.

Greets

Byte

[fabian]

da kannst du dir auch gleich ein NAT64 überlegen. Ein reverse proxy kann selbstverständlich nach hinten hin ein anderes Protokoll verwenden.