IKEv2 VPN

Endlich ist IKEv2 VPN über Android möglich. Ging schon mit der Labor-Version, aber als mein Android Gerät ein Update auf Android 12 bekam, war ich zuerst bestürzt, dass keine VPN-Verbindung mehr möglich war. Jetzt ist es offiziell verfügbar, den Rest finde ich gar nicht so wichtig :D

Ist mittlerweile der Aufbau eines VPN von IPv6 zu einer Fritzbox mit 7.50 móglich oder klappt das immer noch nicht?
(gebeutelter Mobilfunknutzer)

Das würde mich auch interessieren.

Ich dachte Wireguard unterstützt ipv6?!

>Ich dachte Wireguard unterstützt ipv6?!
Jupp, aber hat nix mit IKEv2 zu tun

JimBean schrieb:
--------------------------------------------------------------------------------
> Ist mittlerweile der Aufbau eines VPN von IPv6 zu einer Fritzbox mit 7.50
> móglich oder klappt das immer noch nicht?
> (gebeutelter Mobilfunknutzer)

Ja, das geht jetzt. Allerdings läuft im Tunnel selbst weiterhin nur IPv4. Du kannst also weder
-auf IPv6-only Geräte im Heimnetz über das VPN zugreifen
-vom Hotel/Bahn/Cafe-WLAN* über dein Heim-VPN andere IPv6-Ziele im Internet erreichen

*von denen unterstützt aber sowieso nur mit Glück das Hotel-WLAN überhaupt IPv6.

Was sind denn ipv6 only Geräte und wieso soll zwischen ipv4 und ipv6 nicht geroutet werden können?



2 mal bearbeitet, zuletzt am 02.12.22 23:07 durch Prof.Dau.

Wieso sollte man IKEv2 noch nutzen, wenn nun Wireguard geht?
(Ernste Frage).

Per FritzApp ging der VPN Tunnel bisher übrigens auch recht verlässlich. Und ja, nativ per Android wäre mir auch noch lieber (gewesen).

Schönen Abend!

Prof.Dau schrieb:
--------------------------------------------------------------------------------
> Was sind denn ipv6 only Geräte und wieso soll zwischen ipv4 und ipv6 nicht
> geroutet werden können?

Das sind Geräte, die nur eine IPv6-Adresse haben.

Und warum nicht geroutet werden kann: weil es miteinander inkompatible Protokolle sind.

Normaloit schrieb:
--------------------------------------------------------------------------------
> Wieso sollte man IKEv2 noch nutzen, wenn nun Wireguard geht?
> (Ernste Frage).

Mh ich hab keinen Bock auf nen myfritz account, dyndns brauch ich auch nicht.

danio schrieb:
--------------------------------------------------------------------------------
> Mh ich hab keinen Bock auf nen myfritz account,
Ok, das ist natürlich ein Grund.

>dyndns brauch ich auch nicht.
Korrekt. Nicht für myFritz, nicht für IKEv2 VPN, nicht für Wireguard

VLG

treysis schrieb:
--------------------------------------------------------------------------------
> Prof.Dau schrieb:
> ---------------------------------------------------------------------------
> -----
> > Was sind denn ipv6 only Geräte und wieso soll zwischen ipv4 und ipv6
> nicht
> > geroutet werden können?
>
> Das sind Geräte, die nur eine IPv6-Adresse haben.
>
> Und warum nicht geroutet werden kann: weil es miteinander inkompatible
> Protokolle sind.

Sorry, aber die Erklärung ist mir wenig Hilfreich.

Davon ausgehend, dass sich die ipv6 only Gerate im Heimnetz befinden, sollte ein Routen von ipv6 zur ipv4 mit einem Router aof dem auch Wireguard läuft (kann auch ein Raspi sein) funktionieren.
Deshalb die Frage, was das denn für Geräte sein sollen. Abgesehen hiervon, sollte es auch möglich sein, über die ipv6 eine direkte Verbindung ohne routing und ohne VPN aus dem Netz aufzubauen - was ich aber nicht empfehlen würde.

Ich selbst meide ipv6 noch, weil ich keine Lust habe mich mit IP6table in der Firewall auseinander zu setzen. Ich würde aber erwarten, dass das routen, wie oben dargestellt, funktionieren sollte.



1 mal bearbeitet, zuletzt am 03.12.22 11:27 durch Prof.Dau.

Prof.Dau schrieb:
--------------------------------------------------------------------------------
> Davon ausgehend, dass sich die ipv6 only Gerate im Heimnetz befinden,
> sollte ein Routen von ipv6 zur ipv4 mit einem Router aof dem auch Wireguard
> läuft (kann auch ein Raspi sein) funktionieren.

Nochmal: Du kannst nicht zwischen IPv6 und IPv4 routen. Du kannst einen Tunnel über IPv4 aufbauen und im Tunnel IPv6 verwenden und so deine IPv6-only-Geräte im Heimnetz über eine IPv4-Internetverbindung erreichen. Aber das hat mit Routing gar nichts zu tun. Umgekehrt geht es natürlich genauso.

> Deshalb die Frage, was das denn für Geräte sein sollen. Abgesehen hiervon,
> sollte es auch möglich sein, über die ipv6 eine direkte Verbindung ohne
> routing und ohne VPN aus dem Netz aufzubauen - was ich aber nicht empfehlen
> würde.

Wie willst du eine Verbindung über das Internet ohne Routing aufbauen? Ganz offensichtlich hast du einige der Begriffe die du hier verwendest nicht so ganz verstanden.

Man braucht keinen öffentlichen DynDNS Provider. Du musst nur irgendwas in der FritzBox einrichten, so dass die Box den dort eingerichteten DNS Namen auf sich selbst auflösen kann. Ist nur komisch formuliert in den Hinweistexten.

z.B. funktioniert sowas:
Update URL: https://golem.de (nur ein Beispiel, bitte nicht so eintragen)
Domainname: foo.example.bar
Benutzername: foo
Passwort: bar

Ob da wirklich was funktioniert oder nicht, ist der Fritzbox egal, solange foo.example.bar auf die WAN IP der Box auflöst.

Itchy schrieb:
--------------------------------------------------------------------------------
> Man braucht keinen öffentlichen DynDNS Provider. Du musst nur irgendwas in
> der FritzBox einrichten, so dass die Box den dort eingerichteten DNS Namen
> auf sich selbst auflösen kann. Ist nur komisch formuliert in den
> Hinweistexten.
>
> z.B. funktioniert sowas:
> Update URL: golem.de (nur ein Beispiel, bitte nicht so eintragen)
> Domainname: foo.example.bar
> Benutzername: foo
> Passwort: bar
>
> Ob da wirklich was funktioniert oder nicht, ist der Fritzbox egal, solange
> foo.example.bar auf die WAN IP der Box auflöst.

Häh? Also es ist egal, dass es nicht funktioniert, aber nur, wenn es funktioniert?

Itchy schrieb:
--------------------------------------------------------------------------------
> Man braucht keinen öffentlichen DynDNS Provider. Du musst nur irgendwas in
> der FritzBox einrichten, so dass die Box den dort eingerichteten DNS Namen
> auf sich selbst auflösen kann. Ist nur komisch formuliert in den
> Hinweistexten.

Gut zu wissen, danke :)

> Ob da wirklich was funktioniert oder nicht, ist der Fritzbox egal, solange
> foo.example.bar auf die WAN IP der Box auflöst.

Kann ich nicht bestätigen. Bei der Einrichtung wird dann bemängelt, dass dyndns nicht eingerichtet sei. Zur Belohnung wird die Box neu gestartet.

Schnuffel schrieb:
--------------------------------------------------------------------------------
> Ganz offensichtlich hast du einige der Begriffe die du hier verwendest nicht so
> ganz verstanden.

Das kann schon sein ; )

treysis schrieb:
--------------------------------------------------------------------------------
> Häh? Also es ist egal, dass es nicht funktioniert, aber nur, wenn es
> funktioniert?

Erläuterung: Der HTTP Request den die FritzBox über diese Konfiguration macht, muss nichts an der DNS Auflösung bewirken. Es muss also kein "echter" DynDNS Aufruf sein. Aber der konfigurierte Hostname muss bei einer DNS Auflösung im A bzw. AAAA Record die richtige IPv4 bzw. IPv6 zurückgeben. Wenn man z.B. eh eine statische IP hat und irgendwo einen DNS hinterlegt hat oder den DNS sonstwie konfiguriert, ist der Box dann egal.

Prof.Dau schrieb:
--------------------------------------------------------------------------------
> treysis schrieb:
> ---------------------------------------------------------------------------
> -----
> > Prof.Dau schrieb:
> >
> ---------------------------------------------------------------------------
>
> > -----
> > > Was sind denn ipv6 only Geräte und wieso soll zwischen ipv4 und ipv6
> > nicht
> > > geroutet werden können?
> >
> > Das sind Geräte, die nur eine IPv6-Adresse haben.
> >
> > Und warum nicht geroutet werden kann: weil es miteinander inkompatible
> > Protokolle sind.
>
> Sorry, aber die Erklärung ist mir wenig Hilfreich.
>
> Davon ausgehend, dass sich die ipv6 only Gerate im Heimnetz befinden,
> sollte ein Routen von ipv6 zur ipv4 mit einem Router aof dem auch Wireguard
> läuft (kann auch ein Raspi sein) funktionieren.

"sollte", du sagst es.

Für die Kommunikation zwischen ipv4 und ipv6 braucht man z.B. NAT64. Ist aber alles murks.