Für Linux gibt es schon gefühlt seit 100Jahren ddclient als allinone
ddclient ist reines Perl und läuft natürlich auch auf OpenBSD: https://openports.se/net/ddclient. Das ist aber deutlich uneleganter:
Okay, das ist natürlich maximal 1min schneller.
Mein dyn Provider (selfhost.eu) benötigt im krassesten fall 30min um den dns bei allen providern bekannt zu geben.
Telekom dns ist meist schneller als google 
Insofern habe (ich) persönlich da keine große Priorität drauf, ist halt easy ohne gefrickel, zur not im container.
Davon ab, mein gpon anschluss bei der dg hat jetzt gerade mal 3 neue präfixe innerhalb 10Monate bekommen
@DaVu was hindert dich daran weiter Fritz Box VPN zu nutzen? Ist das VPN-Gateway über IPv6 nicht erreichbar?
Ich finde es ja schon merkwürdig, dass bei IPv6 wohl offensichtlich kein NATing mehr stattfindet. Zumindest sehe ich, wenn IPv6 aktviert ist, die IPv6 meines Laptops auf "whatismyip". Das finde ich schon gruselig, wenn ich dann dafür sorgen muss, dass mein Laptop entsprechend geschützt ist.
Mit wäre es viel lieber, wenn es geNATet wäre und ich meinen Router sehen würde. Dann würde sich mir ein VPN über IPv6 auch eher erklären
Praktisch jeder handelsübliche Router für den Heimbereich nutzt SPI.
Das heißt ohne eine explizit gesetzte Firewall-Regel, die Datenverkehr vom WAN ins LAN erlauben würde, kommt erstmal garnichts von außen nach innen.
Lediglich dann, wenn von innen aus einen Anfrage gesetzt wird (der Aufruf von "whatsmyip" von deinem Client aus ist so eine Anfrage), werden die zugehörigen Antworten auf diese Anfragen von der Firewall durchgelassen.
Das ist aber nicht nur bei IPv6 so, sonder war auch schon immer mit IPv4 so.
Ob nun die Webseite deinen Router oder die (durch die Privacy-Extensions nur) temporäre IPv6-Adresse deines Clients sieht macht dabei sicherheitstechnisch eigentlich keinen Unterschied.
Gibt es denn Anbieter / Möglichkeiten, damit man subdomains auf Ports weiterleiten kann?Also… grübel… Beispiel:
emby.meinedomain.de soll auf meineIPv6-Adresse-Port:8096 oder so verweisen…Versteht man einigermaßen was ich meine?
sonst hab ich wieder das Thema, dass ich mir zigtausend Ports merken muss
Was du suchst ist ein Reverse-Proxy
@DaVu was hindert dich daran weiter Fritz Box VPN zu nutzen? Ist das VPN-Gateway über IPv6 nicht erreichbar?
Die Fritzbox ist bei mir nur noch eine reine DECT Basisstation. Mein Gateway ins Internet ist ein Ubiquiti USG.
Das heißt ohne eine explizit gesetzte Firewall-Regel, die Datenverkehr vom WAN ins LAN erlauben würde, kommt erstmal garnichts von außen nach innen.
Das ist korrekt
Lediglich dann, wenn von innen aus einen Anfrage gesetzt wird (der Aufruf von "whatsmyip" von deinem Client aus ist so eine Anfrage), werden die zugehörigen Antworten auf diese Anfragen von der Firewall durchgelassen.
Das ist aber nicht nur bei IPv6 so, sonder war auch schon immer mit IPv4 so.
Das stimmt nur bedingt.....
Bei IPv6 wird mir die IP meines Laptops bei "whatismyip" angezeigt. Ich habs getestet Ich habe mir unter Linux mit ip a meine IP anzeigen lassen (habe eine IPv4 und eine IPv6 angezeigt bekommen) und dann auf "whatismyip" gegen gecheckt. Die IPv4, die dort gelistet wird, ist die vom CGN meines Providers, die IPv6 ist haargenau die von meinem Laptop.
Bei IPv4 ist das nicht der Fall. Dort wird mir die WAN IP meines Routers angezeigt und die IPv4 meines Laptops. Dieser hat nämlich in dem Fall gar keine WAN IP. Da scheint es wohl zwischen IPv4 und IPv6 gewisse Unterschiede zu geben. Daher auch meine Vermutung, dass bei IPv6 kein NAT mehr statt findet, so wie es bei IPv4 der Fall ist.
Ich muss mir das nochmal genauer anschauen. Ich möchte wetten, dass ich auch eine IPv6 von meinem Router (dem USG) ausgeben lassen kann und ich mich dann, gewisse Frewallregeln vorausgesetzt) auch damit verbunden kann um dann die restlichen Geräte erreichen zu können.
Was ich möchte:
Eine Verbindung gegen eine Stelle, wo ich mich dann in meinem LAN befinde und dort das gleiche machen kann, als wäre ich zu Hause (wie bei einem herkömmlichen VPN).
Was ich nicht möchte:
Freigaben zu jedem meiner einzelnen Rechner.
Aber du kannst doch vpn machen? Bietet die USG das nicht an oder woran scheitert es?
Ja, bei IPv6 sagen die IPv6 Evangelisten, das man kein NAT machen sollte, weil man es nicht "braucht", sondern das dynamische oeffnen von Ports bei Verbindungen von innen nach aussen equivalent ist. Das ist aber IMHO nicht der Fall. Das ist vielleicht sicherheitstechnisch der Fall aber Sicherheit ist halt nicht alles.
Wenn man z.b. nur dynamische IPv6 Adressen hat, dann will man vielleicht ja wie bei IPv4 auch im Heimnetz selbst statische IP adressen haben. Und dazu braucht man dann ein NAT. Da sagen die IPv6 Evangelisten natuerlich das man gar keine statischen IP adressen haben will, und das es ja eigentlich genial ist, wenn man even moeglichst haeufig wechselnde Adressen hat - um seine Privatsphaere zu haben. Dafuer gibt es dann ja auch IPv6 privacy addresses, die eben haeufig wechseln. Diese IPv6 Evangelisten sitzen uebrigens bei den grossen Cloudanbietern wie Google und Facebook und deren finanzierten Ablegern (Mozilla usw) und verkaufen natuerlich die privaten Daten der Kunden beliebig. Und die Service Provider denen die mit solchen Privacy-Adressen das Leben schwer machen wollen muessen natuerlich von Ihren Kunden auch immer die Kunde/IP-adresszuordnung aufzeichnen wenn mal wieder die Polizei kommt und nachfragt. Aber klar, so Webseiten von Drittanbietern muessen auf Cookies und anderen Webmuell ausweichen um besser spionieren zu muessen. Ein riesiger Zirkus.
So ein echter Vorteil jenseits der Sicherheit und dem Privacy-Zirkus ergibt sich aber wirklich nur, wenn da eben nicht von einem armen Router fuer jede einzelne TCP Verbindung dynamisch ein Pinhole aufgemacht werden muss. Das geht meistens noch gut, wenn das nur auf dem Home-Router passieren muss, aber bei den armen Kunden von Anbietern, bei denen CG-Nat eingesetzt wird, passiert das pinholing halt auf Routern des SP, und dann ist haeufig performancemaessig Schicht im Schacht, wenn dann eben bei Anwendungen viele gleichzeitige TCP Verbindungen aufgemacht werden. Das hat sich jetzt ein wenig verbesert durch HTTP/3, aber das sind natuerlich alles Workarounds fuer diesen dynamischen Pinhole Mist.
Richtig ist also IMHO immer noch das Sicherheitsmodell, das eben jeder Rechner selbst gut genug abgesichert ist, das er eben auch gefahrlos ohne NAT und dynamische Pinholes an einen Internetanschluss geschaltet werden kann. WIe z.b. of bei IPv6 hotspots. Windows 10/11 sind da schon nicht schlecht, allerdings auch viel zu kompliziert zu administrieren (advanced firewall rules in windows... wer hat denenen ins hirn geschissen.). Aber klar, Linux ist da noch mal eine Nummer schlimmer/schwieriger IMHO.
Naja....VPN gegen IPv4 kann ich nicht machen, da ich keine öffentliche IPv4 habe (Stichwort CGN).
Gegen IPv6 muss ich erstmal schauen, wie das mit der USG funktioniert und on ich mich dann direkt gegen das USG verbinden kann/muss. Bisherige Anleitungen haben immer nur aufgezeigt, wie ich einzelne Freigaben zu den Geräten in meinem Netzwerk einrichten kann. Das ist aber nicht das# was ich unter VPN verstehe
Die IPv4, die dort gelistet wird, ist die vom CGN meines Providers, die IPv6 ist haargenau die von meinem Laptop.
Das ist richtig und soll auch ganz genau so sein.
Entscheidend ist nicht ob die IPv4-Adresse von deinem WAN-Anschluss oder die IPv6-Adresse von deinem Client angezeigt war, sondern die Tatsache, dass die Webseite die Adresse nur anzeigen kann, weil du zuerst eine Anfrage an die Seite gerichtet hast und die Seite nur darauf geantwortet hat.
Daher auch meine Vermutung, dass bei IPv6 kein NAT mehr statt findet, so wie es bei IPv4 der Fall ist.
So wie du vermutest soll es auch hier sein.
Eine Verbindung gegen eine Stelle, wo ich mich dann in meinem LAN befinde und dort das gleiche machen kann, als wäre ich zu Hause (wie bei einem herkömmlichen VPN).
Das funktioniert ja bei IPv4 ebenso wie bei IPv6.
Bei IPv4 sagst du über eine Portforwarding-Regel, dass alle Anfragen von extern an die WAN-IP die an einen bestimmten Port gerichtet sind intern an deinen VPN-Server weitergeleitet werden sollen.
Bei IPv6 sagst du über eine Firewall-Regel, dass alle Anfragen an die WAN-Schnittstelle die an einen bestimmten Port gerichtet sind intern an die IPv6-Adresse deines VPN-Server durchgelassen werden.
Ist eigentlich sogar viel einfacher.
Freigaben zu jedem meiner einzelnen Rechner.
Die bekämst du nur, wenn du das explizit so im Regelwerk angeben würdest.
Dazu müsstest aber schon ziemlich viel falsch konfigurieren 
aber wireguard sollte dies doch lösen, oder?
IPv4 oder IPv6 ist bei vpn egal. Du verbindest dich einfach mit der Gegenstelle auf der der Server läuft. Wenn das bei IPv4 die USG ist dann bei IPv6 auch.
aber wireguard sollte dies doch lösen, oder?
Wireguard ist jetzt erstmal nur ein VPN-Dienst.
Mit dem funktioniert die VPN-Verbindung von extern ins Netzwerk sowohl unter IPv4 als auch IPv6. Sogar beides gleichzeitig.
Das geht aber auch mit anderen VPN-Diensten.
Ich habe für unraid ein openvpn plugin, war einst ein Fork von petersm1, jetzt bin ich alleiniger unterhalter
Wenn du wert auf layer 2 legst, wäre das vllt mal ein versuch für dich wert.
Bei interesse mach ich mal ein kleines howto dazu.
https://github.com/DeBaschdi/openvpnserver
Das ist richtig und soll auch ganz genau so sein.
Entscheidend ist nicht ob die IPv4-Adresse von deinem WAN-Anschluss oder die IPv6-Adresse von deinem Client angezeigt war, sondern die Tatsache, dass die Webseite die Adresse nur anzeigen kann, weil du zuerst eine Anfrage an die Seite gerichtet hast und die Seite nur darauf geantwortet hat.
Das habe ich schon verstanden und leuchtet mir auch selbst ein. Entscheidend ist aber auch, dass ich bei IPv4 ausschließlich meine WAN IP des Providers angezeigt bekomme und NIE meine Client IP von meinem Laptop auf einer öffentlichen Website. Denn das wäre bei geNATtetem IPv4 auch nie möglich. Das ist bei IPv6 anders. Zumindest bisher. Da scheint, dass jede IPv6 IP, die ich intern im Netzwerk habe auch die ist, die als WAN IP für das jeweilige Gerät gilt. Da scheint bei IPv6 anders zu sein oder mir fehlt ein grundlegendes Verständnis von IPv6
So wie du vermutest soll es auch hier sein.
Warum? Warum wird bei IPv6 nicht mehr geNATet? Kannst du mir das erklären? Ich weiß es einfach nicht.
Bei IPv4 sagst du über eine Portforwarding-Regel, dass alle Anfragen von extern an die WAN-IP die an einen bestimmten Port gerichtet sind intern an deinen VPN-Server weitergeleitet werden sollen.
Wollen wir an dieser Stelle man ganz klar von einem VPN und von Portweiterleitung differenzieren? Ein VPN ist keine Portweiterleitung. Ein VPN ist ein "virtuelle Verbindung zu einem privaten Netwerk". Das hat erstmal nichts mit einer Portweiterleitung zu tun. Bei einer Portweiterleitung öffne ich an meinem Router Anfragen an Port 30022 und leite diese nach innen in mein Netzwerk an ein bestimmtes Gerät an den Port 22 weiter um dann SSH machen zu können.
Bei einem VPN verbinde ich mich zwar auch gegen einen Port (443 z. B.). Dort findet dann aber eine Authentifizierung statt und ich kann danach, weil ich eine IP aus einem anderem Netzwerk bekommen habe (nämlich eine aus dem Netzwerk gegen das ich mich verbinde), JEDES Gerät unabhängig vom Port ansprechen.
Ich zeige dir mal einen Screenshot, wie das bei einer VPN Verbindung aussehen kann:
Das rote Kästchen zeigt eine PPP Verbindung nachdem ich den Tunnel aufgebaut habe. Das obere gelbe Kästchen zeigt die iP von dem Netzwerk, in dem ich mich gerade physikalisch befinde (ein Hotel im Allgäu...bin nämlich gerade im Urlaub 
).
Das untere gelbe Kästchen zeigt die IP, die ich über das VPN in dem entsprechenden CN habe. Ab diesem Punkt kann ich mich in dem Netzwerk relativ frei bewegen und jegliches Gerät darin erreichen (sofern es nicht durch andere Dinge geschützt ist).
Wäre das jetzt nur eine Portweiterleitung, dann könnte ich mich nur gegen ein Gerät verbinden. Nämllich gegen das, gegen das weiter geleitet werden würde.
Ich will keine Portweiterleitung. Ich will eine "virtuelle Verbindung in mein privates Netz" also ein VPN.
Ich hoffe, ich konnte es jetzt deutlich machen, was ich möchte. Ansonsten erleuchtet mich bitte, wie ich mit einer Portweiterleitung gegen einen Port eines einzelnen Gerätes mich auch gegen andere Geräte verbinden kann, wenn das Gerät keine VPN Server bereit stellt?
aber wireguard sollte dies doch lösen, oder?
Nochmal...ich benutze keine Fritzbox Ich benutze ein Ubiquiti USG. Wenn ich mir erst einen VPN Server da hin stellen muss, dann gut. Oder kann das USG Wireguard per detault?
IPv4 oder IPv6 ist bei vpn egal. Du verbindest dich einfach mit der Gegenstelle auf der der Server läuft. Wenn das bei IPv4 die USG ist dann bei IPv6 auch.
Das würde voraussetzen, dass ein NAT stattinfdet. Wenn ich der IP meines Laptops und dem Check auf "whatismyIP" glauben schenken darf, dann findet dort kein NAT mehr statt. Und dann würde das gegen deine Aussage sprechen.
Wenn ich mich aber mit SSH auf mein USG verbinde, dann sehe ich auch, dass dort alle Netzwerke gelistet sind. Somit wäre es denkbar, dass nach der Verbindung gegen das USG ich auch alle anderen Geräte innerhalb erreichen kann. Da ich mehrere Netzwerke auf meinem USG habe, die Firewalltechnisch voneinander getretnnt sind, wäre es noch interessant zu wissen, wie ich mich via VPN gegen das eine aber nicht gegen das andere Netzwerk verbinden kann. Fortigate macht das mit sogenannten "Realms", die man vergeben kann und denen dann Netzwerke zuweist. Da bin ich gerade bei meiner USG noch nicht tief genug drin um zu wissen, ob das Gerät das kann oder nicht.
Bei interesse mach ich mal ein kleines howto dazu.
Sehr sehr gern. Würde ich mir gern anschauen.
Diese Antwort hier (also die erste mit den meisten "Likes") erklärt genau mein Problem, was ich mit IPv6 habe.
https://security.stackexchange.com/questions/4406…any-more#130321
Und da wird auch bestätigt, dass NAT als Security-Feature mehr oder minder misbraucht wurde und dass wir ohne NAT schon längst am Ende von IPv4 angelangt wären. Nichts desto trotz, wird auch dort gesagt, dass bei IPv6 ein geiwsses Maß an Hirnschmalz rein gesteckt werden muss, damit man sich nichts einfängt oder anderen Tür und Tor öffnet. Denn offensichtlich findet unter IPv6 kein NAT mehr statt.
Abgesehen vom Fakt, dass durch IPv6 meine Privatsphäre extrem eingeschränkt wird. Denn jede Website kann nun direkt mein Endgerät identifizieren. Mic MAC und allem PIPaPo. Das ist bei IPv4 und NAT nicht der Fall. Da sieht die Website nur meinen Router. Nicht mehr und nicht weniger. Und mein Router weiß dann, welches Gerät innerhalb die Pakete bekommen soll. Nämlich nur das Gerät, welches es angefragt hat.
Bei IPv6 ohne NAT läuft da der Hase ein wenig anders.
Da scheint, dass jede IPv6 IP, die ich intern im Netzwerk habe auch die ist, die als WAN IP für das jeweilige Gerät gilt. Da scheint bei IPv6 anders zu sein oder mir fehlt ein grundlegendes Verständnis von IPv6
Nein, nicht ganz.
Du musst dich da etwas von der "klassischen" Denkweise der IPv4-Adresszuordnung verabschieden.
Bei IPv6 gibt es im Gegensatz zu IPv4 einen erheblich größeren Bereich verfügbarer Adressen. Folglich kann man damit auch deutlich großzügiger sein, und ist nicht auf Hilfsmittel wie NAT und PAT angewiesen.
Wenn du IPv6 im LAN aktiv hast, wirst du feststellen, dass du an deinem Client höchstwahrscheinlich mehrere IPv6-Adressen aktiv hast. Sicherlich eine Link-Local die mit fe80:.. anfängt, sowie 2 oder mehr aus dem öffentlichen Adressbereich.
Das hängt u.A. mit dem "Privacy Extensions" zusammen.
Vom Provider bekommst du dann auch nicht nur eine WAN-IP zugewiesen, sondern einen ganzen Präfix aus dem weitere IPs generiert werden können, oder sogar ganze Subnetze.
Hier ist z.B. ein Einstieg mit dem man sich ein bisschen einlesen kann:
https://www.elektronik-kompendium.de/sites/net/0812201.htm
Warum? Warum wird bei IPv6 nicht mehr geNATet? Kannst du mir das erklären? Ich weiß es einfach nicht.
Weil es genug Adressen gibt und NAT damit einfach nicht mehr nötig ist.
Wollen wir an dieser Stelle man ganz klar von einem VPN und von Portweiterleitung differenzieren? Ein VPN ist keine Portweiterleitung. Ein VPN ist ein "virtuelle Verbindung zu einem privaten Netwerk". Das hat erstmal nichts mit einer Portweiterleitung zu tun. Bei einer Portweiterleitung öffne ich an meinem Router Anfragen an Port 30022 und leite diese nach innen in mein Netzwerk an ein bestimmtes Gerät an den Port 22 weiter um dann SSH machen zu können.
Bei einem VPN verbinde ich mich zwar auch gegen einen Port (443 z. B.). Dort findet dann aber eine Authentifizierung statt und kann ich danach, weil ich eine IP aus einem anderem Netzwerk bekommen habe (nämlich eine aus dem Netzwerk gegen das ich mich verbinde) JEDES Gerät unabhängig vom Port ansprechen.
Der Unterschied ist mir bewusst.
Dein Beispiel eines VPN-Zugangs in ein Netz ohne Portweiterleitung funktioniert nur, wenn der VPN-Server auf dem Router läuft.
Der VPN-Server kann aber durchaus auch auf einem anderen Client im Netzwerk laufen.
In meinem Beispiel hatte ich das so vorausgesetzt, um die Unterschiede zwischen IPv4 und IPv6 besser hervorheben zu können.
Wäre das jetzt nur eine Portweiterleitung, dann könnte ich mich nur gegen ein Gerät verbinden. Nämllich gegen das, gegen das weiter geleitet werden würde.
Nein, das ist nicht richtig
Auch mit einer Portweiterleitung zu einem VPN-Server kann ich Zugriff auf das komplette Subnetz erhalten. Das ist dann Einstellungssache des VPN-Servers.
Wir hatten hier im Forum z.B. schon mehrfach das Szenario diskutiert: Fritzbox-integrierter VPN vs. Portweiterleitung auf VPN-Server auf QNAP oder Synology. Aus Performancegründen kann hier die Portweiterleitung auf die NAS sinnvoll sein. Aber in beiden Fällen wäre ein Zugriff auf das gesamte Subnetz möglich.
@DaVu Siehe auch meine vorherige Antwort hier im thread wegen NAT, privatsphaere, cookies, Sicherheit und IPv6.
Guck doch mal, ob man auf der Fritze im LAN eine ULA (also lokale IPv6 adresse) konfigurieren kann und die globale IPv6 adresse dort deaktivieren kann. Dann haette man (quasi) denselben Setup wie bei IPv4, also mit NAT. Auf OpenWRT geht das garantiert. Oder bei DIr wohl auf dem UGS - auch keine Ahnung ob das dort geht.
Ich wuerde da wohl eher keine echten ULA verwenden, sondern gucken, welche IPv4 Adresse ich da am kuerzesten gestalten koennte, so das ich intern im Netz dann auch maximal 32 bit adressen merken muss. Aber ich befuerchte mal, solche statischen, per DHCP zugewiesenen IPv6 adressen gehen garantiert nicht bei AVM/UGS. Waere ja auch zu praktisch.
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
