Ist es notwendig, dass mein Internetanbieter IPv6 unterstützt, sodass sich mein Client die IPv6 verwenden kann?
Ja.
am einfachsten wäre jetzt, sich bei he.net -> tunnelbroker.net eine IPv6 (-tunnel) einzurichten.
die kannst du dann auch in die fritzbox eintragen und dann generell im LAN nutzen.
ich betreibe einen WireGuard VPN auf meinem VPS und würde gerne meine Public IPv6 nutzen.
Als Eingangspunkt für den Tunnel? Siehe RAD750
Als Adressierung im Tunnel selbst? Dafür braucht dein ISP dann kein IPv6
Ist es notwendig, dass mein Internetanbieter IPv6 unterstützt, sodass sich mein Client die IPv6 verwenden kann?
Was genau möchtest du erreichen? Soll der Client eine Verbindung über IPv6 aufbauen können? Oder willst du innerhalb des Tunnels IPv6 nutzen und deinem Client damit eine IPv6 Adresse bereitstellen?
Letzteres geht ohne IPv6 Unterstützung des Providers, aber bei netcup nur mit Klimmzügen (außer man nutzt ein zusätzliches IPv6 Netz).
am einfachsten wäre jetzt, sich bei he.net -> tunnelbroker.net eine IPv6 (-tunnel) einzurichten.
die kannst du dann auch in die fritzbox eintragen und dann generell im LAN nutzen.
Da war ich heute Morgen dran, habe es aber nicht wirklich "gecheckt" und dachte es geht vielleicht auch ohne! 
Was genau möchtest du erreichen? Soll der Client eine Verbindung über IPv6 aufbauen können? Oder willst du innerhalb des Tunnels IPv6 nutzen und deinem Client damit eine IPv6 Adresse bereitstellen?
Letzteres geht ohne IPv6 Unterstützung des Providers, aber bei netcup nur mit Klimmzügen (außer man nutzt ein zusätzliches IPv6 Netz).
Ich möchte, dass mein WireGuard die öffentliche IPv6 anzeigt, weil auf dem gleichen Server noch ein anderer Dienst läuft. Blöd ist dabei, dass bei einem IPv4 Lookup die FQDN meines Dienstes angezeigt wird. Das will ich vermeiden. Beim Aufruf der IPv4 im Browser kommt auch eine SSL Warnung, worin die FQDN zu erkennen ist. Der Dienst läuft auf Linux/ NGINX. Es ist zwar möglich, dass Schema HTTP und HTTPS nicht den Inhalt meiner FQDN anzeigen, trotzdem wird über das Schema HTTPS in der SSL Warnung die FQDN angezeigt, worüber man diese erfährt. Anders kann ich diesen Dienst meines Wissens nach nicht ändern. Es handelt sich um eine PBX.
Ich möchte, dass mein WireGuard die öffentliche IPv6 anzeigt, weil auf dem gleichen Server noch ein anderer Dienst läuft.
Ich verstehe kein Wort. Wie soll Wireguard den eine IP "anzeigen"? Meinst du bei einem Verbindungscheck, oder was? Sowas wie "https://www.wieistmeineip.de/"?
Blöd ist dabei, dass bei einem IPv4 Lookup die FQDN meines Dienstes angezeigt wird.
Meinst du damit einen Reverse DNS Lookup, oder was? Da will ich doch hoffen, dass der FQDN angezeigt wird. Warum sollte man das vermeiden wollen? Im Gegenteil, viele Dienste laufen nicht, wenn es anders wäre.
Beim Aufruf der IPv4 im Browser kommt auch eine SSL Warnung, worin die FQDN zu erkennen ist.
Kein Wunder, die steht ja auch im Zertifikat, und auch das muss zwangsläufig so sein.
Es ist zwar möglich, dass Schema HTTP und HTTPS nicht den Inhalt meiner FQDN anzeigen, trotzdem wird über das Schema HTTPS in der SSL Warnung die FQDN angezeigt, worüber man diese erfährt.
Ist das maschinell übersetzt? Der Satz macht für mich keinen Sinn. Warum sollte man den FQDN nicht erfahren?
Ich glaube, wir stehen hier vor einem klassischen XY Problem. Du willst irgendwas erreichen, von dem du glaubst, Wireguard oder IPv6 könnten dir helfen. Aber das Ergebnis wird nicht zielführend sein.
Das was frank_m schreibt.
Ein Hostname ist nunmal öffentlich - ihn zu verstecken bringt keinen Sicherheitszugewinn (Security through Obscurity).
Am Ende kann ich auch den gesamten IPv4 Raum scannen und finde deinen Server genau so - dafür brauche ich keinen FQDN.
Hier ist ein zweiter Server angebracht und eine Firewall für die PBX... Irgendwelche Domains / IPs zu verstecken hat mit Sicherheit nichts zu tun.
Ein Hostname ist nunmal öffentlich - ihn zu verstecken bringt keinen Sicherheitszugewinn (Security through Obscurity).
Am Ende kann ich auch den gesamten IPv4 Raum scannen und finde deinen Server genau so - dafür brauche ich keinen FQDN.
Nur aus Interesse: Wie stellst du die Verknüpfung zwischen einer IPv6 Adresse und einer IPv4 Adresse her? Was verrät dir, dass das nicht verschiedene Server sind? Es geht offenbar darum, dass die Nutzer des Wireguard-Tunnels nicht erfahren sollen, was auf dem selben Server über IPv4 läuft bzw. wessen Server das ist.
Es geht offenbar darum, dass die Nutzer des Wireguard-Tunnels nicht erfahren sollen, was auf dem selben Server über IPv4 läuft bzw. wessen Server das ist.
Aber warum? Was will man darüber machen, um diesen Rückschluss zu unterbinden.
Zum einen wird der Dienst, der auf IPv4 läuft, höchstwahrscheinlich auch auf IPv6 laufen, zumindest wenn sowas wie HTTPS Dienste involviert sind. Dann ist es unwahrscheinlich, dass der Wireguard Dienst, von dem niemand zurückschließen soll, nur über die IP erreicht wird, d.h., ich brauche auch da sowas wie eine Domain. Nicht zuletzt: Mit dem Wireguard Tunnel bin ich auf dem Server. Und zwar unmittelbar drauf. Wenn die anderen Dienste so sensibel sind, sollte man niemanden über VPN einladen.
Aber warum? Was will man darüber machen, um diesen Rückschluss zu unterbinden.
Zum einen wird der Dienst, der auf IPv4 läuft, höchstwahrscheinlich auch auf IPv6 laufen, zumindest wenn sowas wie HTTPS Dienste involviert sind. Dann ist es unwahrscheinlich, dass der Wireguard Dienst, von dem niemand zurückschließen soll, nur über die IP erreicht wird, d.h., ich brauche auch da sowas wie eine Domain. Nicht zuletzt: Mit dem Wireguard Tunnel bin ich auf dem Server. Und zwar unmittelbar drauf. Wenn die anderen Dienste so sensibel sind, sollte man niemanden über VPN einladen.
Spart euch doch mal diese ständigen Einwände der Art "Du machst das falsche, weil ich es anders machen würde".
HTTPS läuft auch nur mit IPv4. Wireguard braucht auf einem Host mit statischer IP keinen DNS-Namen. Wenig bekannte Tatsache: Der Kernel-Teil von Wireguard hat gar keine Möglichkeit, Namen aufzulösen. Das ist alles numerisch. Netfilter funktioniert auch auf dem Wireguard Interface. Es geht wahrscheinlich nicht darum, dass irgendwas sensibel ist. Warum der Bezug zwischen diesen Diensten nicht hergestellt werden soll, ist nicht wesentlich für die Frage.
Spart euch doch mal diese ständigen Einwände der Art "Du machst das falsche, weil ich es anders machen würde".
Es geht nicht darum, ob ich es anders machen würde. Es geht um die objektiven Risiken, die man dabei eingeht.
Netfilter funktioniert auch auf dem Wireguard Interface.
Klar funktioniert das - aber wie willst du das jemandem erklären, der nicht mal Ist und Sollzustand artikulieren kann?
OP will FQDNs verbergen.
Warum der Bezug zwischen diesen Diensten nicht hergestellt werden soll, ist nicht wesentlich für die Frage.
Wenn man das Problem versteht, kann man auch andere Herangehensweisen vorschlagen, die OP noch nicht betrachtet hat.
Insofern ist diese Info wesentlich für die Fragestellung.
Spart euch doch mal diese ständigen Einwände der Art "Du machst das falsche, weil ich es anders machen würde".
Ist ja nicht so als würde ich den Stuss beruflich machen. Was sind schon Argumente für ein Sicherheitsstrategie, wenn man eine Meinung hat?
