Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
LAN nicht über DynDNS erreichbar. NAT funktioniert nicht
« previous
next »
Print
Pages: [
1
]
Author
Topic: LAN nicht über DynDNS erreichbar. NAT funktioniert nicht (Read 1482 times)
DevBySimon
Newbie
Posts: 2
Karma: 0
LAN nicht über DynDNS erreichbar. NAT funktioniert nicht
«
on:
October 15, 2023, 06:36:30 pm »
Hallo zusammen,
ich habe meine OPNsense über DynDNS mit Strato verbunden über die WAN-IPv6, da ich hinter dem Deutsche Glasfaser DS-Lite sitze und somit nur über IPv6 erreichbar bin. Das funktioniert auch einwandfrei, aber meine NAT's funktionieren im IPv6 Bereich nicht, nur im IPv4 Bereich, wenn ich aus dem WAN ins LAN "anrufe".
Jetzt meine Frage, wie kann ich IPv6 NAT einrichten, oder wie könnte ich meine Geräte im LAN über Subdomains von Strato erreichbar machen? Bei DynDNS kann ich nur die IP-Adresse (4/6) vom OPNsense WAN und LAN tracken lassen, jedoch nicht die public IPv6 Adressen meiner LAN-Devices. Und ich will nicht auf jedem Gerät im LAN eine DynDNS Software installieren. Sowas muss doch theoretisch einfach gehen, oder nicht?
Viele Grüße
Simon
Logged
Patrick M. Hausen
Hero Member
Posts: 6807
Karma: 572
Re: LAN nicht über DynDNS erreichbar. NAT funktioniert nicht
«
Reply #1 on:
October 15, 2023, 07:16:15 pm »
Bei IPv6 ist normalerweise kein NAT vorgesehen, insofern sollte sich schon jedes Gerät mit einem eigenen DynDNS-Eintrag melden. Wieviele öffentlich erreichbare Dienste hast du denn? Sicherst du die alle (?) einzeln ab? Wie wäre es mit einem VPN-Zugang stattdessen?
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
DevBySimon
Newbie
Posts: 2
Karma: 0
Re: LAN nicht über DynDNS erreichbar. NAT funktioniert nicht
«
Reply #2 on:
October 15, 2023, 07:27:09 pm »
Einer der Dienste ist meine WireGuard VPN, über die ich dann auf TrueNAS und PLEX zugreifen kann. Somit brauche ich da nur mein WireGuard erreichen und dann passt das.
Ich habe aber auch ein paar WebServer die öffentlich erreichbar sein sollen. Da wäre es vom Aufwand am einfachsten, wenn ich ein simples NAT machen könnte und einfach nur die unterschiedlichen Ports weiterreichen müsste.
Logged
Patrick M. Hausen
Hero Member
Posts: 6807
Karma: 572
Re: LAN nicht über DynDNS erreichbar. NAT funktioniert nicht
«
Reply #3 on:
October 15, 2023, 08:30:50 pm »
Die Idee ist, dass die per v6 direkt erreichbar sind.
Du kannst natürlich HAproxy benutzen, um Verbindungen auf einer zentralen Adresse, auch v6, entgegenzunehmen, und dann an verschiedene Zielhosts weiter zu reichen.
Aber eigentlich wollte man von dem Müll mit einer Adresse und N Ports doch weg ...
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
tiermutter
Hero Member
Posts: 1097
Karma: 61
Re: LAN nicht über DynDNS erreichbar. NAT funktioniert nicht
«
Reply #4 on:
October 15, 2023, 09:10:02 pm »
Was die Erreichbarkeit der Webserver angeht ist dann ja ohnehin fraglich, ob es sinnvoll ist die auf diese Weise zu hosten, schließlich haben nur diejenigen Zugriff, die IPv6 Konnektivität haben, was auch 2023 nicht Standard ist (ob gewollt oder durch Unwissenheit).
Logged
i am not an expert... just trying to help...
meyergru
Hero Member
Posts: 1684
Karma: 165
IT Aficionado
Re: LAN nicht über DynDNS erreichbar. NAT funktioniert nicht
«
Reply #5 on:
October 15, 2023, 10:33:01 pm »
Also ich mache das so (z.B. bei Deutsche Glasfaser, weil die nur DS-Lite mit CGNAT anbieten):
Die Endgeräte bekommen ja IPv6 im LAN, diese lasse ich per SLAAC, nicht per DHCPv6, zuweisen. Damit sind die unteren 64 Bits bekannt (EUI-64). Die nächsten 8 Bits ist bei "Track Interface" die "IPv6 Prefix ID".
Die oberen 56 Bits sind der vom ISP zugewiesene, dynamische IPv6 Präfix.
Und da liegt der Hase im Pfeffer: Wenn man die OpnSense die Präfixe aktualisieren lassen will, darf diese nicht mit einer eigenen, eventuell abweichenden IPv6 auf dem WAN-Interface die Verbindungen nach außen aufbauen.
Dazu muss man auf dem WAN-Interface "Request only an IPv6 prefix" auswählen. Damit erhält die OpnSense selbst nur auf den eigenen Interfaces (mit "Track Interfaces") zugewiesenen IPv6-Adressen.
Dann fehlt nur noch ein Schritt: Man benötigt einen DynDNS-Anbieter, der es zulässt, per IPv6 Einträge zu aktualisieren und dabei nur den IPv6-Präfix zu ändern - die niederwertigen 72 Bits bestimmt man selbst (wie oben). Im Idealfall kann man mehrere DNS-Einträge anlegen, die dann jeweils auf den selben dynamischen IPv6-Präfix, plus den jeweils zum Client passenden Interface-Präfix plus EUI-64 verweisen.
In den Firewall-Regeln kann man den jeweiligen Traffic dann durchlassen, indem man "Dynamic IPv6 Host" Aliase verwendet.
«
Last Edit: October 15, 2023, 10:34:46 pm by meyergru
»
Logged
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005
1100 down / 440 up
,
Bufferbloat A+
Patrick M. Hausen
Hero Member
Posts: 6807
Karma: 572
Re: LAN nicht über DynDNS erreichbar. NAT funktioniert nicht
«
Reply #6 on:
October 15, 2023, 10:41:22 pm »
@meyegru Hab ich jetzt was überlesen oder weshalb nennst du nicht einfach einen solchen DynDNS-Anbieter?
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
meyergru
Hero Member
Posts: 1684
Karma: 165
IT Aficionado
Re: LAN nicht über DynDNS erreichbar. NAT funktioniert nicht
«
Reply #7 on:
October 15, 2023, 10:51:32 pm »
Ich habe einen eigenen (nicht-öffentlichen) DynDNS-Dienst, weil ich vor ein paar Jahren (ich mach das schon
etwas
länger) keinen gefunden habe, der das kann... bei mir sieht das z.B. so aus:
Ich habe nicht recherchiert, meine aber, es gibt inzwischen einige, die auch IPv6 können. Eine kurze Suche nach "dynamic dns ipv6 prefix" führt z.B. zu
https://dynv6.com/
, die das laut Dokumentation wohl können - hab's aber nicht selbst dort probiert.
P.S.: Offenbar bietet DomainOffensive so etwas auch an, allerdings nur mit eigener Domain (kostenpflichtig):
https://www.do.de/wiki/flexdns-ipv6/
«
Last Edit: October 15, 2023, 11:30:14 pm by meyergru
»
Logged
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005
1100 down / 440 up
,
Bufferbloat A+
Patrick M. Hausen
Hero Member
Posts: 6807
Karma: 572
Re: LAN nicht über DynDNS erreichbar. NAT funktioniert nicht
«
Reply #8 on:
October 15, 2023, 10:58:39 pm »
Naja, ein VPS irgendwo geklickt - ich hab Vultr wegen des FreeBSD-Supports - kostet rund einen Fünfer im Monat.
Alternativ kann man sich da natürlich gleich einen Tunnel hin bauen und die Services darüber anbieten.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
meyergru
Hero Member
Posts: 1684
Karma: 165
IT Aficionado
Re: LAN nicht über DynDNS erreichbar. NAT funktioniert nicht
«
Reply #9 on:
October 15, 2023, 11:01:58 pm »
Jup. Im obigen Bild gibt es ja noch IP2... das ist für die IPv4-Alternative. Wenn man dann einen VPS o.ä. hat, kann man da einen HAproxy einrichten, der die IPv4 -> IPv6 Übersetzung macht, dann ist man sogar per IPv4 wieder erreichbar. Dazu benötigt man aber einen Server im Internet.
Meine Lösung lässt (per IPv6) zu, beliebige Dienste auf beliebigen Ports direkt auf Clients hinter der OpnSense zu machen. Dabei muss man aber nicht N Ports nutzen, weil die Client-IPv6 ja unterschiedlich sind.
«
Last Edit: October 15, 2023, 11:09:36 pm by meyergru
»
Logged
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005
1100 down / 440 up
,
Bufferbloat A+
micneu
Hero Member
Posts: 1912
Karma: 59
Re: LAN nicht über DynDNS erreichbar. NAT funktioniert nicht
«
Reply #10 on:
October 18, 2023, 12:39:07 pm »
Alternativ eine Linux Büchse bei einem Hoster (netcup oder ähnlich) und mit frp deine Webserver Tunneln. Schon kannst du dann auch wieder ipv4.
Gesendet von iPhone mit Tapatalk Pro
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
Router/Firewall: pfSense+ 23.09 |
Hardware: Netgate 6100
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
LAN nicht über DynDNS erreichbar. NAT funktioniert nicht