Ik heb sinds kort een native /64 IPv6 van mijn ISP (KPN), die mijn Mikrotik router via ND/SLAAC uitdeelt aan clients op mijn LAN. Een van die clients draait een VPN server. Ik heb echter wat problemen om forwarding/firewall VPN verkeer door te sturen naar mijn server.
Via IPv4 werkt dit prima:
Als noodoplossing laat ik nu al het VPN verkeer van WAN naar LAN toe gefilterd op poort, maar dat schaalt niet handig als ik straks ook http/https wil forwarden en niet al mn clients wil openbaren.
Voor probleem 2.2 heb ik gevonden dat ik mijn server een statisch IP kan geven, maar dan zou mijn publieke prefix kunnen veranderen waardoor het statische IP niet geldig is.
Via IPv4 werkt dit prima:
- Ik heb een DynDNS hostname voor het geval mijn IPv4 verandert. Op die manier kan ik altijd mijn server vinden.
- Mijn router geeft mijn server via DHCP een statisch (lokaal) IPv4 adres, zodat mijn router firewall VPN verkeer naar de server kan forwarden.
- Ik draai een DynDNS op mijn server zodat de hostname als A record de publieke IPv4 krijgt en via AAAA het specifieke IPv6 adres van de server (dus niet van de router!).
- Mijn server krijgt via ND/SLAAC een IPv6 adres, maar die kan veranderen:
- Als KPN iets doet verandert het 'publieke' deel (de eerste 64 bits)
- Als mijn server opnieuw verbindt of mijn router iets doet kan het lokale deel veranderen (de tweede 64 bits)
Als noodoplossing laat ik nu al het VPN verkeer van WAN naar LAN toe gefilterd op poort, maar dat schaalt niet handig als ik straks ook http/https wil forwarden en niet al mn clients wil openbaren.
Voor probleem 2.2 heb ik gevonden dat ik mijn server een statisch IP kan geven, maar dan zou mijn publieke prefix kunnen veranderen waardoor het statische IP niet geldig is.