Client IPv6 Adressen und DynDNS-Dienste

[sashxp]

Hallo zusammen,

ich glaube, ich habe noch ein großes Wissensdefizit in Bezug auf IPv6 und freue mich sehr über eure Hilfe!

Ist-Zustand:

Deutsche Glasfaser Anschluss, mit einer CG Nat IPv4 Adresse und einer IPv6 Adresse (56er Präfix). Konfiguriert ist der DG-Anschluss mittels dieser Anleitung: https://beechy.de/deutsche-glasfaser-ipv6-vs-pfsense/
Damit bekomme ich sowohl auf der OPNSense eine IPv6-Adresse, wie auch bei den Clients - die Clients erhalten die Adresse per SLAAC von der DG.

Nun möchte ich einen kleinen Webserver über IPv6 betreiben, habe dafür in meinem Netz einen NGINX als Reverse PRoxy laufen, der auch prinzipiell über IPv6 erreichbar ist.

Nur - jetzt das Problem: wie bekomme ich es hin, ohne auf jedem Client einen DynDNS Client zu installieren, dass bei einer neuen IPv6 IP-Adresse, der DynDNS Eintrag neu gesetzt wird?
Ich habe schon einen DynDNS-Eintrag für mein Wireguard Interface, das funktioniert schon einmal super. Läuft aber auch direkt auf der OPNSense und kann so direkt die IPv6 übergeben.

Wie gehe ich hier mit einem Client vor? Wie macht ihr das?

Oder bin ich komplett auf dem falschen Dampfer?

lg
sash

[juere]

Läuft der NGINX Reverse Proxy auf der OPNSense ?
Falls ja, ist zumindest der ja bereits via funktionierendem IPv6 DynDNS Eintrag erreichbar.

Der Webserver wird ohne zusätzliches DynDNS erreichbar, indem du ihm (und dem OPNSense LAN Interface) zusätzlich zu den Provider IP's fixe IPv6 ULA Adressen verpasst.
Oder aber, NGINX greift auf den Webserver via IPv4 zu.

Ich mach das hier mit NGINX und ULA Adresssen, funktioniert prima.

[sashxp]

Vielen Dank für Deine Nachricht! Das hilft mir schon einmal weiter - allerdings habe ich (glaube ich) noch ein Verständnisproblem.

Läuft der NGINX Reverse Proxy auf der OPNSense ?

Nein, der NGINX RP läuft separat (und erhält die IPv6 momemtan per SLAC)

Falls ja, ist zumindest der ja bereits via funktionierendem IPv6 DynDNS Eintrag erreichbar.

Ja, (wahrscheinlich) schon, nur kann sich die IPv6 ja ändern und dann müsste der DynDNS Eintrag wieder aktualisiert werden, ich wollte verhindern über Clients zu installieren, konfigurieren und zu warten.

Der Webserver wird ohne zusätzliches DynDNS erreichbar, indem du ihm (und dem OPNSense LAN Interface) zusätzlich zu den Provider IP's fixe IPv6 ULA Adressen verpasst.
Ich mach das hier mit NGINX und ULA Adresssen, funktioniert prima.

Heißt es, dass ich mittels Virtual IP eine zusätzliche IP verteile (auf dem OPNSENSE LAN Netzwerk Interface) und dann in den Firewall Settings die Adresse von Extern auf die interne Adresse umschreibe? Hast Du das so gemeint?

Wenn nicht, könntest Du das noch ausführen und ggf. Screenshots beisteuern?

vg
sash

[Maurice]

Du hast zwei Möglichkeiten:
1. Tatsächlich auf jedem Host einen DynDNS-Client installieren.
2. Einen DynDNS-Dienst verwenden, der IPv6-Präfix-Updates unterstützt (z. B. dynv6.com). Dann muss OPNsense nur die Adresse seines LAN-Interfaces an den Dienst senden und der generiert mittels gespeicherter Interface Identifier die AAAA-Records für alle Hosts.

Denn das DynDNS-Plugin von OPNsense kann nur eine eigene IP-Adresse übertragen, nicht die eines Hosts im LAN. Dazu hatte ich mal einen Feature Request aufgemacht, wurde aber mangels Aktivität geschlossen (habe mich nicht mehr darum gekümmert):
https://github.com/opnsense/plugins/issues/1612

(Reverse Proxy direkt auf OPNsense + ULAs ist natürlich eine Möglichkeit das Problem zu umgehen, sofern der Use Case das erlaubt).

Grüße

Maurice

[juere]

Heißt es, dass ich mittels Virtual IP eine zusätzliche IP verteile (auf dem OPNSENSE LAN Netzwerk Interface) und dann in den Firewall Settings die Adresse von Extern auf die interne Adresse umschreibe? Hast Du das so gemeint?

Nein, gemeint war's so, dass du den NGINX Reverse-Proxy auf der OPNSense laufen lässt und von diesem aus via zusätzlicher, fixer ULA Adressen auf den internen Webserver zugreifst.

Hierzu gibst du dem LAN Interface zusätzlich eine vituelle IP {ULAPREFIX}::1/64, dein Webserver sollte dann via IPv6 Router-Advertisements zwei IPv6 Adressen {DELEGATEDPREFIX}:{HOSTID} und {ULAPREFIX}:{HOSTID} erhalten und ist vom NGINX aus unter der fixen, internen Adresse {ULAPREFIX}:{HOSTID} erreichbar.

Wenn NGINX schon mal läuft, lässt sich das auf weitere Webserver ausdehnen und du kannst NGINX weitere Aufgaben (SSL Verschlüsselung, Authentifizierung ...) übertragen, das wäre dann eine ganz klassische Verwendung eines Reverse Proxy und hat mit IPv6 nicht spezifisch was zu tun.

Sollte das nicht gehen, bleiben die beiden von Maurice vorgeschlagenen Wege

1. Tatsächlich auf jedem Host einen DynDNS-Client installieren.
2. Einen DynDNS-Dienst verwenden, der IPv6-Präfix-Updates unterstützt (z. B. dynv6.com). Dann muss OPNsense nur die Adresse seines LAN-Interfaces an den Dienst senden und der generiert mittels gespeicherter Interface Identifier die AAAA-Records für alle Hosts.

 

[sashxp]

Vielen Dank für Eure Nachrichten.

Tatsächlich möchte ich es vermeiden auf der OPNsense NGINX auszuführen und auf den Clients den DynDNS Updater auszuführen.

Seht ihr noch eine Möglichkeit über die Firewall? Also z.B. darüber ein "redirect" auf den Webserver hinzubekommen? Was meint ihr?

[Maurice]

Was spricht denn gegen einen DynDNS-Dienst, der Präfix-Updates unterstützt?

[juere]

Seht ihr noch eine Möglichkeit über die Firewall? Also z.B. darüber ein "redirect" auf den Webserver hinzubekommen? Was meint ihr?

Ein simples Port-Forwarding unter "Firewall -> NAT -> Port Forwarding" sollte schon auch gehen, wenn im Port Forwarding "IPv4+IPv6" eingestellt ist. Ist zwar bei IPv6 ein wenig verpönt, aber es ist ja dein Router

Falls der Webserver auf den Port 443 hören soll, solltest du noch den WEB-GUI Port der OPNsense unter "System -> Settings -> Administration" auf 8443 oder ähnlich verbiegen.

[Bob.Dig]

2. Einen DynDNS-Dienst verwenden, der IPv6-Präfix-Updates unterstützt (z. B. dynv6.com). Dann muss OPNsense nur die Adresse seines LAN-Interfaces an den Dienst senden und der generiert mittels gespeicherter Interface Identifier die AAAA-Records für alle Hosts.

Kannst Du noch weitere Anbieter empfehlen? dynv6.com funktioniert für mich gut, aber ich hätte gerne noch was in der Rückhand.

Greetz

[sashxp]

Vielen Dank für Eure Antworten!

Ich bin gerade dabei mir das anzusehen und habe noch folgende Fragen bzw. Hinweise vielleicht habt ihr noch Tipps für mich:

1. Ich kann unter DHCPv6 nur Relay und Leases auswählen. Ich kann aber kein DHCP machen. Ich habe übersehen, dass man im Interface folgendes einstellen kann - das ist quasi die "Lösung" damit ich manuell DHCPv6 machen kann -- man muss im LAN-Interface "Allow manual adjustment of DHCPv6 and Router Advertisements" aktivieren

Ich teste das jetzt, mache manuelles DHCPv6 und versuche dann mit Dynv6 darüber den Port umzuleiten (extern LAN-Interface_v6_Adresse:443 auf intern LAN-Host_v6_Adresse:443.

2. Gibt es zu DYNv6 noch Alternativen? Ich nutze aktuell https://desec.io/ - die können aber (noch) kein Präfix Update. Siehe auch die Frage von Bob.Dig

2. Einen DynDNS-Dienst verwenden, der IPv6-Präfix-Updates unterstützt (z. B. dynv6.com). Dann muss OPNsense nur die Adresse seines LAN-Interfaces an den Dienst senden und der generiert mittels gespeicherter Interface Identifier die AAAA-Records für alle Hosts.

Kannst Du noch weitere Anbieter empfehlen? dynv6.com funktioniert für mich gut, aber ich hätte gerne noch was in der Rückhand.

Greetz

Danke & viele Grüße für Eure Tipps soweit!

sash

[Maurice]

Ich teste das jetzt, mache manuelles DHCPv6 und versuche dann mit Dynv6 darüber den Port umzuleiten (extern LAN-Interface_v6_Adresse:443 auf intern LAN-Host_v6_Adresse:443.

Port umleiten? Nein, einfach eine Firewall-Regel auf dem WAN-Interface, die eingehende Verbindungen mit Ziel 'LAN-Host_v6_Adresse:443' erlaubt. 'LAN-Host_v6_Adresse' musst Du als Host-Alias anlegen, der den dynv6-Hostnamen enthält. Aliase, die das Präfix selbst tracken können gibt es noch nicht.

2. Gibt es zu DYNv6 noch Alternativen? Ich nutze aktuell https://desec.io/ - die können aber (noch) kein Präfix Update. Siehe auch die Frage von Bob.Dig

Spontan fällt mir nur dynv6 ein, ansonsten müsstet ihr mal recherchieren.

Grüße

Maurice