CT IPV6 Fritzbox Portforwarding

[lltodoll]

Moin,

ich hab da so ein Problem, wo ich nicht genau weiß, wo ich ansetzten muss/sollte.

Szenario:
Deutsche Glasfaser (FTTH) - Fritzbox - Proxmox Server

Soweit erst einmal kein Problem. Proxmox und Fritzbox haben IPv4 & IPv6 an, kann beide jeweils anpingen (von meinen Rechner aus) und die finden sich auch.
Auf dem Proxmox Server läuft ein Container mit NGINX. Der soll frei ins Internet gestellt werden. Soweit auch noch kein Problem, jetzt kommt das Problem mit FTTH und den Containern.

Da man ja keine IPv4 Adresse mehr bekommt, muss man auf IPv6 ausweichen. In der Fritzbox kann ich zwar eine IPv6 Portfreigabe für den Proxmox Server erstellen (Interface ID wird erkannt), jedoch für keinen Container. Da erkennt die Fritzbox nicht die Interface ID und somit (laut Handbuch und auch getestet) keine Portfreigabe via IPv6. Diese brauch ich aber. Die Container laufen alle via DHCP, anpingen kann ich diese, aber die werden nicht erkannt als Host in der FB. Alle anderen "normalen" Rechner + der Server erhalten auch sofort eine Interface ID. Somit gehe ich davon aus, dass es irgendwas mit dem interenen Container / Netzwerkhandling zutun hat. Hat jemand damit Erfahrung / das Problem schon einmal gelöst?

Netzwerkeinstellung des Servers:

auto lo
iface lo inet loopback

iface enp0s31f6 inet manual

auto vmbr0
iface vmbr0 inet static
        address 192.168.1.10/24
        gateway 192.168.1.1
        bridge-ports enp0s31f6
        bridge-stp off
        bridge-fd 0

iface vmbr0 inet6 auto

Fritzbox läuft auf 192.168.1.1 und ist ebenfalls DHCP Server

Danke und schöne Grüße

 

[ph0x]

Hat der CT denn eine v6-Adresse? Der müsste sich vom DHCPv6 der FB eine zuweisen lassen, dann sollte er dort auch bekannt sein.

 

[Dunuin]

Du könntest auch mal nett den technischen Support vom Telefonanbieter fragen ob die dich auf IPv4 umstellen könnten. Meistens sollten die das noch machen, gerade wenn du daheim für dich privat Dienste betreiben willst, welche ausschließlich mit IPv4 arbeiten. Bei mir waren die sogar so nett und haben mich kostenlos von DS Lite mit nur IPV6 auf einen vollwertigen Dualstack mit IPv4+IPv6 umgestellt. Ich kann da jetzt also sowohl meine eine IPv4 IP wie auch mein IPv6 Subnetz nutzen.

 

[lltodoll]

Du könntest auch mal nett den technischen Support vom Telefonanbieter fragen ob die dich auf IPv4 umstellen könnten. Meistens sollten die das noch machen, gerade wenn du daheim für dich privat Dienste betreiben willst, welche ausschließlich mit IPv4 arbeiten. Bei mir waren die sogar so nett und haben mich kostenlos von DS Lite mit nur IPV6 auf einen vollwertigen Dualstack mit IPv4+IPv6 umgestellt. Ich kann da jetzt also sowohl meine eine IPv4 IP wie auch mein IPv6 Subnetz nutzen.

Echt? Das machen die? Damit hätte ich niemals gerechnet, das probiere ich mal

 

[lltodoll]

Hat der CT denn eine v6-Adresse? Der müsste sich vom DHCPv6 der FB eine zuweisen lassen, dann sollte er dort auch bekannt sein.

Der Container zeigt auch eine IPv6 Adresse und und eine IPv4. Was auffällig ist, wenn ich über den Hostname die Container anpinge, antworten die auch nur über IPv4. Alle "normalen" Rechner antworten über IPv6. Irgendwas stimmt da wohl noch nicht in meiner Config -.-

 

[Dunuin]

Echt? Das machen die? Damit hätte ich niemals gerechnet, das probiere ich mal

Also bei meinem Anbieter (Wilhelm.Tel) geht das problemlos. Standardmäßig gibt es DS Lite mit IPv6. Muss man nur anrufen das VPN, Homeautomation oder sonst was nicht vom Handy geht, dann bekommt man stattdessen problemlos DS Lite mit IPv4 und hat dafür kein IPv6 mehr.
Besteht man darauf zwingend beides mit einem vollwertigen DualStack zu brauchen muss man schon etwas mit dem Techniker diskutieren

IPv4 kostet die halt mehr Geld als IPv6 weil sie die IPs ja mieten müssen. 99% der Leute wissen ja nicht mal was IPv4 oder IPv6 überhaupt bedeutet oder haben noch nie das WebUI des Routers geöffnet, geschweige denn dort einen Port-Forward versucht. Solange die irgendwie ins Internet kommen ist denen egal was da im Hintergrund passiert.

Also IPv4 geht ja technisch bei jedem Anbieter problemlos, die finden das nur nicht so toll, weil es den Gewinn mindert. Aber immer noch besser einen nerdigeren Kunden eine IPv4 zu geben als dass der stattdessen zur Konkurrenz geht, wo er den bekommt.
Würde mich daher wundern wenn die sich da querstellen würden.

Edit:
DS Lite nur mit IPv4 ist aber eigebtlich auch schon voll ok. Noch läuft ja alles mit IPv4 und ich hab meine IPv6 eigentlich noch nie wirklich benutzt.
Inzwischen hängen hinter der Fritzbox auch zwei OPNsenses die sowieso alles an IPv6 blocken, da ich keine Lust hatte mich tief in IPv6 einzuarbeiten und alle Firewalls, Hosts, VLANs etc doppelt zu konfigurieren.
Aber trotzdem ganz schön zu wissen, dass man IPv6 hat, falls man doch mal etwas im Homelab mit IPv6 experimentieren will. Oder um einfach schon einmal für die Zukunft gewappnet zu sein, falls die Software Herstellen doch irgendwann mal anfangen sollten den Support für IPv4 einzustellen.

 

[ph0x]

Der Container zeigt auch eine IPv6 Adresse und und eine IPv4.

Eine link local oder eine global unicast Adresse?

 

[NoFloXx]

Guten Morgen liebe Community,
erstmal sorry fürs Auskramen des Threads, aber der Titel und die Problematik besteht bei mir fast 1:1.

Ich bin seit gut 3 Wochen bei der Deutschen Glasfaser und bekomme ausschließlich eine öffentliche IPv6, die aus dem Internet zwar erreichbar ist, mir jedoch bei nichts bringt, da mein Mailserver, Proxmox usw. alle nur auf IPv4 hören. Genau wie meine internen Geräte.

Die Konstellation ist die Selbe wie beim Thread-Ersteller ( außer, dass ich noch keinen Proxmox bei mir installiert habe ) :
Deutsche Glasfaser -> FRITZ!Box 7590 -> Proxmox -> pfSense -> interne Geräte

Bei mir stellt sich nämlich schon die Frage, wie installiere ich den Proxmox richtig, damit er die IPv6 bekommt bzw. überhaupt Internet?
Ich habe auch von der Möglichkeit gehört, sich einen vServer bei IONOS für 1 EUR pro Monat zu Mieten und dann einen Tunnel zu einem Raspberry Pi oder MiniPC etc. herzustellen. Dies würde ich gerne, wenn möglich, über Proxmox realisieren.

Vorgestellt habe ich mir das folgendermaßen:
Deutsche Glasfaser -> FRITZ!Box 7590 -> Proxmox
Der Proxmox soll auf einem Server in meinem internen Netzwerk laufen, der im Rack verbaut ist. Momentan ist dort noch Win 10 Server drauf, was jedoch nichts mehr nützt, da nicht mehr von außen erreichbar.
Nun möchte ich den Windows 10 Server quasi formatieren und durch Proxmox ersetzen, der dann den aktuellen Mailserver auf dem Win10 Server durch eine VM ersetzen soll. Nun weiß ich aber nicht, wie ich dem Server, der ja dann als Proxmox laufen soll, Internet geben soll bzw. ob es überhaupt möglich ist, im Proxmox dann den VPN mit dem vServer von IONOS zu 'verheiraten'?
Der vServer ist schon da und hat jeweils eine öffentliche IPv4 und eine öffentliche IPv6. Den Tunnel wollte ich gerne mit Wireguard machen und evtl. der pfSense.

Ist es möglich, dass der Proxmox sich quasi sein Internet über den Tunnel vom IONON vServer holt und damit alle internen VMs, Container usw. versorgt? Oder wird mein Vorhaben nicht umsetzbar sein?

Wie gesagt, falls das überhaupt so möglich ist?

 

[Dunuin]

Also erstmal laufen Proxmox, OPNsense etc erst einmal prinzipiell mit IPv6 und es wäre überhaupt kein IPv4 nötig.
Damit Proxmox überhaupt einen Tunnel zum vServer aufbauen kann, muss er ja erst einmal direkt über IPv6 mit dem vServer verbinden. Hast du den Tunnel dann erst einmal aufgebaut kannst du das ja machen wie du magst. Proxmox ist auch nur ein Debian mit modifiziertem Ubuntu Kernel, also kannst du da prinzipiell alles bare metal drauf laufen lassen, was halt auf einem Debian gehen würde.
Wenn du eh eine OPNsense als Router willst, dann kannst du bei der ja 2 Gateways eintragen. Einmal dann normal dein IPv6 WAN von der Fritzbox und einmal dein VPN zum vServer. Die OPNsense kann dann ja das NAT machen, dass du da ein privates IPv4 Subnetz für daheim nutzen kannst, wenn du dort kein IPv6 magst.

 

[NoFloXx]

Also ich habe jetzt auf einem alten Rechner ( der in meinem Netzwerk ist ) Proxmox installiert und den Wireguard. Proxmox läuft aber nur mit Internet, wenn ich ihm das Gateway meines Routers gebe ( 192.168.1.2 ), was ja dann über die Glasfaser geht.
Das ist ja so nicht richtig, oder?
Der Tunnel zum vServer und der Handshake funktionieren ( Tunnel-IP vServer: 172.31.0.1/32, Tunnel-IP Wireguard in Proxmox: 172.31.0.3/32 ). Jedoch musste ich dem Wireguard auch neben der festen, internen IP den Gateway meines Glasfaser-Routers geben.
Meine Subdomain habe ich bereits per A-Record auf den vServer umgeleitet, aber wenn ich vom iPhone darauf zugreifen will, geht das ins Leere.
Wie erreiche ich nun, dass sämtlicher Datentraffic von den VMs und Containern auf dem Proxmox über den Wireguard-Tunnel geht?
Und welchen Gateway muss ich den VMs usw. immer geben? Ist der GW von meinem Router am Glasfaseranschluss richtig?
Momentan habe ich Wireguard nur als Container drauf, weil ich gerade auf dem Schlauch stehe, wie ich das testen kann bzw. wie ich einem anderen Container und VM sage, dass sie den Tunnel des Wireguard nehmen sollen?!

Weiss da jemand weiter?
Oder klappt das so gar nicht, was ich vor habe ( dass sämtliche VMs und Container über den Tunnel nach draussen gehen und von außen die Anfragen alle über den vServer zu meinem Proxmox, der dann später per HAProxy alles intern weiterverteilt )?

 

[Dunuin]

Also ich habe jetzt auf einem alten Rechner ( der in meinem Netzwerk ist ) Proxmox installiert und den Wireguard. Proxmox läuft aber nur mit Internet, wenn ich ihm das Gateway meines Routers gebe ( 192.168.1.2 ), was ja dann über die Glasfaser geht.
Das ist ja so nicht richtig, oder?
Der Tunnel zum vServer und der Handshake funktionieren ( Tunnel-IP vServer: 172.31.0.1/32, Tunnel-IP Wireguard in Proxmox: 172.31.0.3/32 ). Jedoch musste ich dem Wireguard auch neben der festen, internen IP den Gateway meines Glasfaser-Routers geben.
Meine Subdomain habe ich bereits per A-Record auf den vServer umgeleitet, aber wenn ich vom iPhone darauf zugreifen will, geht das ins Leere.

Also irgendwer muss sich immer zwangsweise mit deinem Router daheim über IPv6 mit dem Internet verbinden, denn sonst kann ja kein Tunnel zum vServer im Internet aufgebaut werden. Du bekommst das also nie weg, dass da dein Host oder der Wireguard-LXC direkt über IPv6 online gehen. Außer natürlich du hast da einen zweiten Host, wie z.B. ein Raspi, der für dich den Tunnel aufbaut und dann als Gateway für den PVE host sowie alle VMs/LXCs dient. Der PVE Host selbst könnte theoretisch auch nur über den Wireguard Tunnel online gehen, fände ich aber nicht sehr sinnvoll, da dein host dann immer offline wäre und auch keine Updates etc mehr durchführen kann, wenn denn da mal der Wireguard-LXC Probleme hat. Sagen wir mal ein Proxmox Update zerschießt dir die Funktion, dass da der Wireguard-LXC starten kann (was z.B. aktuell viele beim Update von PVE 6.4 zu 7.0 haben). Dann wäre dein PVE host offline und du hättest auch keine Möglichkeit mehr ein Downgrade durchzuführen, damit der LXC wieder laufen würde.

Wie erreiche ich nun, dass sämtlicher Datentraffic von den VMs und Containern auf dem Proxmox über den Wireguard-Tunnel geht?

Und welchen Gateway muss ich den VMs usw. immer geben? Ist der GW von meinem Router am Glasfaseranschluss richtig?
Momentan habe ich Wireguard nur als Container drauf, weil ich gerade auf dem Schlauch stehe, wie ich das testen kann bzw. wie ich einem anderen Container und VM sage, dass sie den Tunnel des Wireguard nehmen sollen?!

VMs und LXCs werden immer das zum Online gehen nutzen, was du ihnen als Gateway IP mitteilst. Du musst also jedem LXC und jeder VM die IP des Wireguard-LXCs als Gateway mitteilen.
Ich würde außerdem vorschlagen statt dem Wireguard-LXC gleich eine OPNsense VM aufzusetzen. Die hat auch Plugins für Wireguard und andere VPNs, kann als DHCP/DNS/Firewall/Gateway für alle deine VMs/LXCs dienen und bietet noch viele weitere Funktionen.