Ein "LAN" mit Wireguard als VPN-Server & basierend auf IPv6?

Aloha,
ich habe mir in letzter Zeit einige Gedanken gemacht, und nun wollte ich meinen Plan etwas ausformulieren & mir noch 1-2 Ratschläge abholen.

Geplant ist ein LAN, in einer VPN-Umgebung, wobei ich mindestens 3 öffentliche und routebare IP-Adressen (IPv4) habe. Ein Server, FreeBSD 14.2, soll dabei im VPN nur IPv6-Adressen ausspucken an die Clients, um ein "VLAN" mithilfe von Wireguard zu schaffen. Hinzu kommt, dass ein Server in Singapur steht, einer in Helsinki und der Dritte ist nur eine virtuelle Maschine, die über einen Server rausgeht. Ich habe mir gedacht, dass das schon eine anspruchsvolle Geschichte ist, zumal ja auch Handys oder andere Clients daran teilhaben sollen. Vom Provider habe ich ein 64er Prefix zugewiesen bekommen, und ich habe auch angefangen die virtuelle Maschine zu konfigurieren, jedoch bekomme ich es einfach nicht hin, dass die VM über IPv6-"Konnektivität" verfügt - sprich, ich kann keinen ping6 absetzen etc.
Schlussendlich:
Gibt es da irgendeine Lektüre im Moment für FreeBSD mit IPv6, im Netz habe ich nämlich bis jetzt nur unbrauchbares gefunden :(

29.01.2025, 18:53

Ergänzend:Die Topologie soll in etwa eine Möglichkeit bieten, sodass die IPv6-Clients untereinander kommunizieren können, jedoch das ganze nicht von IPv4 aus erreichbar sein darf. Demnach müsste ich also noch ein Netzwerkgerät "emulieren", sodass ein VLAN von dem Hypervisor, der die VM stellt, zur VM möglich ist, und andere Kommunikation unterbunden wird.

29.01.2025, 19:22

Abschließende Ergänzung:Die Verbindung zum VPN darf ruhig über IPv4 stattfinden, jedoch soll ab Verbindung zum VPN die erfolgreich hergestellt wurde dann 'nur noch' IPv6 für die Clients funktionieren, quasi wie ein Intranet mit Active Directory & stuff.

1 Antwort

LUKEars

31.01.2025, 06:16

FreeBSD kann sicherlich IPv6... wahrscheinlich sogar vorbildlich... warum hast du dich gegen OpenBSD (Sicherheits-Schwerpunkt) und NetBSD (Netzwerk-Schwerpunkt) entschieden?
Wireguard ist kein vollständiges VPN tool...
wieso Prefix/64 aber dann IPv4? warum gibst du deinen öffentlichen Knoten keine IPv6? Kompatibilität, falls ein phone in einem Netz steckt, dass nur IPv4 kann?
die verschiedenen Standorte müsste man eben auch mit Wireguard verbinden... und dann eben ganz normal über die IP Adressen das Routing machen... also: Bsp.: Singapur kriegt eine Gruppe IP-Adressen Prefix/96 und die anderen Standorte eine andere Gruppe, damit sich die Router keinen abbrechen müssen, um rauszufinden, wo das Paket hin soll...
und zum ping: da benutz ich immer tcpdump, um die Stelle zu finden, an der es im Firewall hängen bleibt... also tcpdump auf den diversen interfaces der virtuellen Maschine.... dann auf dem nächsten Netzwerkgerät... bis du die Stelle findest, wo es gedropt wird...

Woher ich das weiß:Studium / Ausbildung – Absolvent/Universität

NikoLove

Beitragsersteller

01.02.2025, 13:14

schlussendlich poste ich mal meine idee, damit Sie verstehen, was ich erreichen will:
im zentrum steht eine messaging-app für android, die den clients die im vpn mit ipv6 adresse sind erlaubt untereinander nachrichten auszutauschen, und so quasi die herkunft der teilnehmer verschlüsselt, denn die ipv6 hat keinen festen mieter, woran man festmachen kann, wer der teilnehmer ist.

LUKEars

01.02.2025, 14:17

@NikoLove

ok...

den usern wird also für jede Nachricht eine zufällige IPv6 zugewiesen?
und diese Zuweisungstabelle wird vor dem Empfänger geheimgehalten?
warum werden die Nachrichten nicht über einen einzigen Server geleitet, der einfach die Absender IP strip-t, wie es eigentlich alle Messaging Services machen?

NikoLove

Beitragsersteller

03.02.2025, 22:58

@LUKEars

hab jetzt mal zu openvpn gegriffen, jedoch bekomme ich da keine route zum host als fehler, wenn ich vom client den server pinge mit der vpn-lan-ip, und umgekehrt ebenfalls. hab mal ipv6 erstmal außen vor gelassen, aber ich kann auch mit client-to-client confiig nicht pingen...

LUKEars

04.02.2025, 05:35

@NikoLove

hast du mal mit tcpdump die verschiedenen interfaces genauer angesehn?

LUKEars

04.02.2025, 21:20

@NikoLove

ach so: noch ne Frage:

wozu brauchst du ühaupt eine IPv6 /64 vom Provider? sobald du in deinem VPN bist, kannst du doch IP Addys verwenden wie du willst...

https://www.elektronik-kompendium.de/sites/net/2107111.htm

Die ULA-IPv6-Adressen befinden sich im Adressbereich "fc00…" bis "fdff…"

Ähnliche Beiträge

Subnetting in proxmox?

Hey, ich habe folgendes Problem: Ich habe mir einen proxmox Server aufgesetzt. Mein Router (Fritz Box) vergibt den Adressbereich 192.168.178.20 bis 192.168.178.200. Um auf den Server bzw. dessen Web gui sicher zugreifen zu können war die Überlegung, das ich den Server selbst, bzw. einen Wireguard Container auf proxmox in ein eigenes Subnet verschiebe. Ich scheitere momentan daran, das subnet anständig aufzusetzen, da mein Router das entweder nicht unterstützt oder ich zu blöd bin alles richtig zu konfigurieren. Mein nächster Gedanke war dann, in proxmox ein Vlan zu erstellen und an die Linux Bridge anzuschließen. Die Bridge hat

diesen CIDR: 192.168.178.100/24

und dieses Gateway: 192.168.178.1

der Bridge Port ist: enp3s0 Vlan aware ist auch eingeschaltet.

Das Vlan ist folgendermaßen konfiguriert:

Vlan Tag: 10

Vlan raw device: enp3s0

ipv4/CIDR: 192.168.100.0/24

Die Netzwerkschnittstelle in der Wireguard Node ist folgendermaßen aufgesetzt:

bridge: vmbr0, vlan tag: 10, firewall: off, ipv4 static: ipv4/CIDR: 192.168.100.0/24, Gateway ipv4: 192.168.178.100

192.168.178.100 ist ausserdem die Server IP. Ich bekomme kein Internet in der Node momentan. Da das eines meiner ersten Networking Projekte ist kenne ich mich diesbezüglich leider nicht besonders gut aus bzw. bin am lernen. Ich will wenns geht auch keinen extra Router kaufen müssen. Wireguard über Routerfreigabe aufzusetzen war kein Problem, allerdings hätte ich, wie gesagt, den Server gerne nur aus dem VPN Subnet erreichbar.

...zum Beitrag

Wireguard VPN zwischen Unifi UDM Pro und Windows Server?

Hallo zusammen,

ich habe ein etwas komplexeres Anliegen zum Thema Wireguard bei welchem ich nicht mehr so ganz weiter komme...

Rahmenbedingungen:

Unifi UDM-Pro mit diversen VLANs

-- nicht von extern Erreichbar

-- keine feste IP Adresse

-- Anbindung über wechselnde Provider

Windows Server (gehostet im Rechenzentrum)

-- feste IP Adresse

-- Erreichbar von außerhalb

-- kein Router vorgeschalten auf welchem die Verbindung eingerichtet werden könnte

Funktionalität:

Auf dem Windows Server soll ein Wireguard Server gehostet werden. Von der DreamMaschine soll eine Client Verbindung zu diesem aufgebaut werden.

Auf dem Windows Server laufen local diverse andere Anwendungen welche von einem Gerät im VLAN der DreamMaschine erreichbar sein soll.

Diese Verbindung muss bidirektional möglich sein (Windows Server -> Endgerät im VLAN; Endgerät im VLAN -> Windows Server). Der Zugriff vom Windows Server auf das Endgerät im VLAN soll auf bestimmte Ports beschränkt sein.

Die anderen VLANs und Geräte im Netzwerk der UDM dürfen nicht über den Tunnel erreichbar sein. Ebenfalls soll kein generelles Routing des gesamten Traffics über den Tunnel erfolgen.

Wie kann das ganze nach diesen Vorstellungen und Wünschen in der UDM konfiguriert werden?

Wie muss die config Datei vom WireGuard Server (Windows Server) und vom Client (UDM) aussehen?

...zum Beitrag

VPN von Client zu FritzBox?

Hallo,

ich möchte mich gerne von meinem Heimnetzwerk (frisch aktiviertes Dual Stack, 6690 JM) per VPN auf das Heimnetzwerk meines Freundes (DS-Lite, 6600) verbinden.

Er hat mir dabei eine .con Konfigurationsdatei über WireGuard geschickt.

Ich habe die Importiert, und versucht zu aktivieren.

Jedoch bricht der Verbindungsaufbau mit der Logmeldung

unable to resolve one or more DNS hostname endpoints: No such host is known.

ab.

Wie kann ich diesen Fehler beheben und kennt sich da aus ?

Wichtig:

Ich habe einem anderen Freund, der eine 5070 hat den Schlüssel testweise gegeben, und er konnte den myfritznamen problemlos in die zugehörige ipv6:port auflösen und das VPN betreten.

Ich habe mir dann von diesem Freund die [ipv6]:port geben lassen und durch den Endpunkt als hostname:port ersetzt. Die Verbindung wurde danach (zum Schein) hergestellt, jedoch kam nie eine Antwort vom VPN-Server und das Programm (war zwar "verbunden") schreibt in den Logs dazu:

[TUN] [wg_config] Handshake for peer 1 ([2a02:.......::115]:56435) did not complete after 5 seconds, retrying (try 2)

PS: Dieser andere Freund konnte den Hostname Pingen, ich nie...

...zum Beitrag

VPN einrichten mit 2 Routern hintereinander?

Hallo alle Zusammen,

ich habe hinter meiner Fritzbox 6690 meinen Asus ROG Rapture GT-AXE16000 Router verbunden.

Alle meine Geräte wie Webserver oder PC sind am Asus Router angeschlossen. Ich möchte nun einen WireGuard VPN einrichten womit ich im Mobilen Netz von mein Handy oder Laptop von außen auf mein lokales Netzwerk vom Asus Router zugreifen kann.

Als Public Adresse würde ich gern die MyFRITZ!-Adresse nutzen.

Ich kann zwar an der Fritzbox einen Wireguard VPN einrichten welcher auch funktioniert, aber mit diesen kann ich nicht auf die Lokalen Adressen vom Asus Router zugreifen, da sie nicht dem Schema 192.168.178.0 sondern 192.168.50.0 entsprechen.

Hier einmal ne Übersicht von meinen Netzwerk:

Im Asus Router kann man auch einen Wireguard VPN einrichten. Scheint aber nicht zu funktionieren, da wenn ich mich mit dem VPN verbinde die Internet Verbindung vom Gerät welches sich mit dem VPN verbindet weg ist. Außerdem weiß ich nicht welche IP ich als Tunnel IPv4 and / or IPv6 Address nutzen soll.

Vielleicht kennt sich jemand etwas besser aus und kann mir ein Tipp geben.
Ich vergebe auch Daumen und Hilfreichste Antwort :)

...zum Beitrag

VPN auf Host Adapter?

Hallo,

ich benutze eine VPN um mich auf meinen Nextcloud Server zu verbinden, der WireGuard Client läuft direkt auf dem Server.

Die VPN geht automatisch an, wenn ich mich nicht mehr in meinem Heim WLAN befinde, also Mobilfunk oder fremdes WLAN.

Daheim verbinde ich mich lokal auf die 192.168.1.200. Die IP vom Server.

Die IP vom VPN Netzwerk Adapter hat aber die 10.9.0.2.

Das Problem ist, dass ich mit der VPN Tunnel IP nicht auf die 192.168.1.200 zugreifen kann, da diese einen anderen IP Bereich hat. Und ich kann ja nicht immer die IP je nach Verbindung immer erneut anpassen.

Kann man den Traffic vom VPN Adapter irgendwie auf den lokalen Adapter routen? Bzw. wie kann ich die 192.168.1.200 (PC) von der 10.9.0.2 aus erreichen?

Zur Info: Der NextCloud Server also wo auch der VPN Client läuft ist ein Ubuntu 22.04.

Der WG Server läuft auf einem VPS bei Hetzner mit Debian 10.

Danke schon mal für alle Antworten!

VG Paul

...zum Beitrag

VPN-Tunnel im VPN-Tunnel. Wo ist der Exit-Point?

Wenn ich im unterwegs bin, baue ich über meinen Reise-Router eine Wireguard-Verbindung zu meinem Heimnetz auf.

Wenn ich nun ein Laptop zu dem Reiserouter verbinde, ist der Laptop ergo in meinem Heimnetz.

Was aber passiert, wenn ich nun von meinem Laptop aus eine Wireguard-Verbindung zu z. B. Nord-VPN aufbaue?
Ist dann meine Exitpoint ins Internet mein Heimnetz oder der Nord-VPN-Server.

Nach meinem Verständnis müsste es der Nord-VPN Server sein. Liege ich da richtig?

...zum Beitrag

wie einzelne ports weiterleiten zu vpn server?

ich habe jetzt auf einem vserver einen wireguard server in docker aufgesetzt der auch so funktioniert wie er soll, jetzt habe ich noch einen zweiten server dessen ports nicht öffentlich sein sollen, sondern nur bestimmte ports über den wireguard server erreichbar sein sollen, wie erreiche ich das am besten?

...zum Beitrag

VPN auf WAN Fritz Box?

Ich habe eine Haupt-Fritzbox mit dem Netz 192.168.2.0/24 und eine zweite Fritzbox, die über WAN angebunden ist und das Netz 192.168.178.0/24 verwaltet. Die zweite Fritzbox bekommt im Hauptnetz die IP 192.168.2.197. Geräte im 178er Netz können auf das 2er Netz zugreifen, aber nicht andersherum. Statische Routen auf der Fritzbox funktionieren nicht, weil sie als unzulässig abgelehnt werden, und WireGuard-VPN hilft auch nicht. Wie kann ich es einrichten, dass Clients aus dem Hauptnetz auf Server im 178er Netz zugreifen können?

...zum Beitrag

IPs über wireguard nicht erreichbar?

Mein wireguard-server (wg-easy) hat in meinem Heimnetz die IP 192.168.178.11. Die conf-Dateien:

# Server
[Interface]
PrivateKey = <key>
Address = 10.8.0.1/24
ListenPort = 51820
PreUp = 
PostUp =  iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE; iptables -A INPUT -p udp -m udp --dport 51820 -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; 
PreDown = 
PostDown = 


# Client: iphone
[Peer]
PublicKey = <key>
PresharedKey = <key>
AllowedIPs = 10.8.0.2/32

Auf meinem iPhone, über Mobilfunk (sowohl Telekom als auch Vodafone Netz) kann ich eine Verbindung aufbauen und erreiche alle IPs. Auch, wenn ich mein iPad mit dem Hotspot verbunden habe und darauf den VPN aktiviert habe, konnte ich alle Geräte erreichen.

Wenn ich in einem anderen WLAN bin (auch 192.168.178.X), kann ich weiterhin eine Verbindung aufbauen und komme auch ins Internet. Allerdings erreiche ich die IPs nicht mehr. 192.168.178.11 (der wireguard-host) ist im Gastnetz z.B. nicht vergeben, kann aber trotzdem nicht gepingt werden.

...zum Beitrag

Ubuntu Traffic auf IPv6 leiten?

Hallo,

ich habe einen virtuellen Server bei Strato mit Ubuntu 20.04 LTS und möchte wohl das der ganze Traffic der auf die IP-Adressen der VPS auf meine öffentliche IPv6-Adresse meiner FritzBox geleitet werden. Die Firewall der FritzBox sollte den Verkehr auf ungebetenen Ports ja blockieren. Ich habe Zuhause keine öffentliche IPv4 und wollte über die eben beschriebene Methode abhilfe schaffen um meine WireGuard verbindung zu nutzen. Da WireGuard aber zufällige Eingangsport wählt, kann ich die nicht alle manuell hinzufügen. Ich habe in der Vergangenheit 6tunnel verwendet z.B für SSH verbindungen etc. Gibt es eine möglichkeit alle Ports bis auf Port 22 auf meine FritzBox umzuleiten?

...zum Beitrag

VPN Verbindung von IPv4 zu IPv6 möglich?

Hey, ich benötige eine VPN Verbindung zu einer DS-Lite Stelle die also Only eine IPv6 hat (Vodafon Cabel).
Ich bin auch Vodafon Kunde allerdings ein DSL Anschluss und verfüge nur über eine IPv4.

Wie kann ich da nun eine Verbindung aufbauen so das ich in dem anderen Netzwerk bin und ich auch über dieses Kommuniziere?

...zum Beitrag

Multicast Reflection über VPN mit iPhone als Client?

Hallo!

Ich möchte die Apple Services, die über mDNS (Bonjour, Multicast, ...) laufen, auf meinem Handy unterwegs nutzen.
Ich hatte die Hoffnung, dass der Wireguard Server der Fritz!Box das kann, allerdings kann ich keine Verbindung zu meiner selbst aufgesetzten HomeKit Bridge herstellen.

Gibt es eine Möglichkeit, Bonjour unterwegs über eine VPN zu verwenden?

...zum Beitrag

Minecraft Server Mod Simple Voice Chat über IPv6 <-> IPv4 Portmapper funktioniert nicht?

Hallo,

die Minecraft Mod "Simple Voice Chat" funktioniert auf meinen Selbst gehosteten Minecraft Server nicht, wenn ich einen IPv6 <-> IPv4 Portmapper benutze. Wenn ich mit einen Client drauf joine, kommt das Symbol, dass die Client Mod nicht mit den Server kommunizieren kann. Mit einer lokalen IP Adresse geht es aber. Gibt es eine Möglichkeit wie ich dieses Problem beheben könnte ohne den Portmapper zu deaktivieren?

PS: Ich benutze den Portmapper von https://feste-ip.net

...zum Beitrag

Gateway IPv6?

Bei IPv4 hatte der Client ein Gateway er schickte ein packet ins netzsegment Du System mit dieser ip Adresse schick mir deine macadresse wenn der Client die hatte schnürte er ein IPv4 Paket mit Ziel IPv4 und auf Ethernet Ebene die zielmacadresse des Router .wie wird das bei IPv6 realisiert, das Gateway ist ja die local link Adresse des router. Wird auf Ebene 2 (Ethernet) auch die zielmacadresse des routers angesprochen

Dank und Grüße

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen