Hoe VPN forwarden naar server met veranderend IPv6?

zaterdag 25 september 2021 16:07

Acties:

0 Henk 'm!

Topicstarter

Ik heb sinds kort een native /64 IPv6 van mijn ISP (KPN), die mijn Mikrotik router via ND/SLAAC uitdeelt aan clients op mijn LAN. Een van die clients draait een VPN server. Ik heb echter wat problemen om forwarding/firewall VPN verkeer door te sturen naar mijn server.

Via IPv4 werkt dit prima:

Ik heb een DynDNS hostname voor het geval mijn IPv4 verandert. Op die manier kan ik altijd mijn server vinden.
Mijn router geeft mijn server via DHCP een statisch (lokaal) IPv4 adres, zodat mijn router firewall VPN verkeer naar de server kan forwarden.

Nu wil ik dit ook via IPv6 opzetten, maar loop tegen wat complicaties aan:

Ik draai een DynDNS op mijn server zodat de hostname als A record de publieke IPv4 krijgt en via AAAA het specifieke IPv6 adres van de server (dus niet van de router!).
Mijn server krijgt via ND/SLAAC een IPv6 adres, maar die kan veranderen:
1. Als KPN iets doet verandert het 'publieke' deel (de eerste 64 bits)
2. Als mijn server opnieuw verbindt of mijn router iets doet kan het lokale deel veranderen (de tweede 64 bits)

Hoe kan ik op een betrouwbare manier VPN verkeer forwarden naar mijn server terwijl het IPv6 adres kan veranderen?

Als noodoplossing laat ik nu al het VPN verkeer van WAN naar LAN toe gefilterd op poort, maar dat schaalt niet handig als ik straks ook http/https wil forwarden en niet al mn clients wil openbaren.

Voor probleem 2.2 heb ik gevonden dat ik mijn server een statisch IP kan geven, maar dan zou mijn publieke prefix kunnen veranderen waardoor het statische IP niet geldig is.

zaterdag 25 september 2021 17:20

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Atomstar schreef op zaterdag 25 september 2021 @ 16:07:
...
Ik draai een DynDNS op mijn server zodat de hostname als A record de publieke IPv4 krijgt en via AAAA het specifieke IPv6 adres van de server (dus niet van de router!).
Mijn server krijgt via ND/SLAAC een IPv6 adres, maar die kan veranderen:
Als KPN iets doet verandert het 'publieke' deel (de eerste 64 bits)
Als mijn server opnieuw verbindt of mijn router iets doet kan het lokale deel veranderen (de tweede 64 bits)
...

Je kunt je server zowel een vast ipv6-adres geven, als een slaac adres. Het vaste ipv6-adres gebruik je voor het registreren van je server in dyndns.
Op je server kun je dan een scriptje schedulen, wat onderzoekt of je vaste ip-adres nog steeds valide is.
Zo niet dan krijg je een notificatie naar keuze, waarna je 't handmatig op kunt lossen.
Je zou het verder kunnen automatiseren, maar imho is dat niet de moeite waard; zo vaak verandert je prefix niet

Overigens "krijgt" je server geen ipv6 adres via SLAAC, hij genereert meerdere ipv6 adressen mbv de randvoorwaarden die SLAAC voor hem definieert

[ Voor 6% gewijzigd door Brahiewahiewa op 25-09-2021 17:34 . Reden: uitleg ]

QnJhaGlld2FoaWV3YQ==

zondag 26 september 2021 14:17

Acties:

0 Henk 'm!

nescafe

Hoe vaak is je IP-adres al gewijzigd?

Mijn ervaring met KPN is dat je makkelijk 10 jaar lang hetzelfde IP-adres behoudt (behoudens migratie Telfort). Voor IPv6 kan ik dat nog niet zeggen, maar daar heb ik nog niet zo lang ervaring mee.

Daarnaast maakt je server doorgaans meerdere adressen aan waarvan één static (PrefixOrigin = RouterAdvertisement, SuffixOrigin = Link) en één of meerdere random (privacy extensions). Die laatste zal hij voor DynDNS-updates gebruiken, dus eigenlijk is DynDNS niet zo handig voor je.

(Hoewel dat op zich goed zou moeten gaan - een random suffix verdwijnt niet zomaar, die wordt pas opgeruimd als er geen connecties meer open staan, of wil je de VPN dagenlang open laten staan?)

Welk server-OS gebruik je?

[ Voor 14% gewijzigd door nescafe op 26-09-2021 14:30 ]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zondag 26 september 2021 16:13

Acties:

0 Henk 'm!

Thralas

MikroTik

nescafe schreef op zondag 26 september 2021 @ 14:17:
Mijn ervaring met KPN is dat je makkelijk 10 jaar lang hetzelfde IP-adres behoudt (behoudens migratie Telfort). Voor IPv6 kan ik dat nog niet zeggen, maar daar heb ik nog niet zo lang ervaring mee.

Dat is inderdaad gegarandeerd geen issue. Al zou je een andere prefix willen dan krijg je 'm niet.

Daarnaast maakt je server doorgaans meerdere adressen aan waarvan één static (PrefixOrigin = RouterAdvertisement, SuffixOrigin = Link) en één of meerdere random (privacy extensions).

Ter verduidelijking @Atomstar: dit hierboven is exact je probleem. Je kunt in de output van ip address controleren welke flags er achter je v6-adres staan. Als er temporary achterstaat is dat niet de juiste.

Die laatste zal hij voor DynDNS-updates gebruiken, dus eigenlijk is DynDNS niet zo handig voor je.

Als het een beetje meezit kun je de DynDNS client wel laten binden op het juiste sourceadres.

maandag 27 september 2021 20:12

Acties:

0 Henk 'm!

Atomstar

Topicstarter

Bedankt voor de tips! @nescafe : ik gebruik Ubuntu als server.

Ik weet niet hoe vaak m'n IP (prefix) verandert, maar aangezien KPN geen statisch IP garandeert wil ik dit voorkomen zodat m'n netwerkconfig niet in elkaar dondert

Gebeurt waarschijnlijk niet vaak maar wilde weten of het makkelijk te voorkomen was.

Ik heb nu als middenweg het volgende genomen:
1. Ik gebruik de prefix via RA
2. Ik gebruik ipv6-address-token om een statische suffix te genereren.

Op deze manier zit mijn server altijd op een voorspelbare suffix, maar mocht KPN mijn prefix veranderen dan blijft ipv6 in ieder geval werken (suffix gelijk, prefix nieuw). Ik heb ook maar 1 ipv6 adres zodat ik niet in de knoop kom met DynDNS clients enzo.

Op m'n router heb ik nog geen oplossing, maar een work around voor MikroTik is om een script te draaien dat checkt of het ipv6 is verandert. Dit is voor een regenachtige zondag

Onderwerpen