VPS 200 G8 - Wireguard - keine Verbindung über IPv6

  • Code
    root@node ~ # cat /etc/wireguard/wg0.conf 
    ...


    Code
    root@node ~ # netstat -lnp | grep 51820
    ...                 -
    Code
    ❯ cat wg0-client.conf
    [Interface]
    ...

    Ich habe Deine Angaben mal als Grundlage für meine genommen und entsprechend angepasst.


    Bei mir sieht es jetzt so aus:


    Und ich kann melden: auch das läuft wie geschmiert!!!


    Ich muss korrigieren! Klappt nicht mehr, sobald ich ich wieder auf "internet.v6.telekom" umstelle.


    Wenn also keine Verbindung klappt und man IPv6-Zusammenhang vermutet, dann entweder im Handy schauen, dass im APN möglichst nix von "v6" steht bzw. man das ändert oder man passt seine Wireguard-Einstellungen wie oben beschrieben an.


    Ich danke Euch allen sehr!!!

  • Ich muss korrigieren! Klappt nicht mehr, sobald ich ich wieder auf "internet.v6.telekom" umstelle.

    Wie schon mehrfacht im Thread erwähnt:

    Wenn du nur eine IPv6 Adresse im Mobilfunk bekommst, muss auf dem Client die Zeile "Endpoint = 185.207.105.144:51820" auf die IPv6 Adresse des Servers abgeändert werden. Also z.B. "Endpoint = [2a03:4000:1e:742:a85f:b7ff:fe5f:c8cc]:51820".


    Möchte man es umgehen ständig die Endpoint Direktive zu ändern, kann man das durch Nutzung einer (Sub-)Domain umgehen.(A Record 185.207.105.144; AAAA Record 2a03:4000:1e:742:a85f:b7ff:fe5f:c8cc) Danach bei Endpoint dann vpn.domain.xyz:51820 verwenden. Der Client nimmt sich dann die Adresse, mit der er Umgehen kann.

    Der Vorschlag wurde auch bereits mehrfach im Thread geäußert, du bist aber leider bisher nicht darauf eingegangen.


    EDIT:

    Und nun gehe bitte als nächstes das Thema Abschottung deiner PiHole an. Die löst weiterhin fröhlich für die ganze Welt auf.

  • Dort war unter APN "internet.v6.telekom" eingetragen. Kurz im Internet geschaut und statt "internet.v6.telekom" jetzt "internet.telekom" eingetragen.

    Unglaublich, dass die tatsächlich einen IPv6 Only Ansatz durchziehen. Eigentlich finde ich das ja gut. Aber die Mobilfunkprovider haben sich ewig geziert, und jetzt kann es nicht schnell genug gehen ...


    Address = 10.6.0.1/24, 2001:8d8:1801:81c5:dada::1/80

    Ist die IPv6 Adresse aus deinem Prefix Bereich? Weil ansonsten bekommst du Probleme mit dem Routing. Frage: Warum machst du NAT auf IPv6, wenn du mit einer öffentlichen IPv6 arbeitest? Da kannst du auch vollwertig routen. Oder alternativ eine ULA Adresse nehmen.


    Nachtrag: Wenn du hier mit öffentlichen IPs ohne NAT arbeitest, musst du natürlich auch NDPP ans Laufen bringen.

  • Und auf dieses Angebot würfde ich auch gerne zurückkommen ;)


    Ich werde aber noch berichten, ob Deine Config läuft.

    Gibt es denn einen Grund warum du UFW und Iptables mixt, wenn du bereits iptables im Einsatz hast? Im Zweifel suchst du immer an 2 Stellen.


    Ich würde halt nicht nur über die Firewall DNS Anfragen blocken sondern den DNS Server entsprechend konfigurieren, dass er nur für bestimmte IPs / Netze antwortet. Für die fortgeschrittene Variante Ipset in Verbindung mit DynDNS Reverse Lookup für Verwendung des Pihole / Unbound / DNS als Upstream in der Fritzbox.. ;)

    Ist die IPv6 Adresse aus deinem Prefix Bereich? Weil ansonsten bekommst du Probleme mit dem Routing. Frage: Warum machst du NAT auf IPv6, wenn du mit einer öffentlichen IPv6 arbeitest? Da kannst du auch vollwertig routen. Oder alternativ eine ULA Adresse nehmen.


    Nachtrag: Wenn du hier mit öffentlichen IPs ohne NAT arbeitest, musst du natürlich auch NDPP ans Laufen bringen.


    Ich glaube die hat er aus meiner Konfig heraus kopiert, siehe 1. Post. Mein Zweck dahinter ist, dass ich mich nicht mit blöden Routern rumschlagen muss die sich entscheiden ULA anders zu routen, schon die besten Stories erlebt. Da mir ein /64 Ipv6 netz zugeordnet ist, nutze ich einfach das Subnetz und trickse die Router aus und bisher hatte ich keinen Fall wo das nicht geklappt hat.


    Gruß

  • Mein Zweck dahinter ist, dass ich mich nicht mit blöden Routern rumschlagen muss die sich entscheiden ULA anders zu routen, schon die besten Stories erlebt.

    Bei ULA macht man natürlich NAT6, das kam in meinem letzten Post vielleicht missverständlich rüber.

    Da mir ein /64 Ipv6 netz zugeordnet ist, nutze ich einfach das Subnetz und trickse die Router aus und bisher hatte ich keinen Fall wo das nicht geklappt hat.

    Aber wenn du NAT6 mit diesen Adressen machst, dann sehen vorgeschaltete Router die gar nicht mehr.