[olzzen]

Hallo zusammen.

Da dies mein erster Post ist, hier ein paar kurze Angaben. Ich habe seit Nov. 2016 einen Glasfaseranschluß der DG und als Anbieter NEW.

Installiert wurde ein FiberTwist p2410. Da ich bei Vertragsabschluß kundeneigener Router angegeben habe, wurde mir kein Router bereitgestellt. Mein aktueller Router ist eine FritzBox 7360, mit welcher ich bisher auch keine Probleme habe ins Internet zu kommen.

Nun zum eigentlichen Problem. Ich benötige Zugriff auf Rechner in meinem Heimnetzwerk, wie soviele vor mir auch. An dieser Stelle meine ich über eine IPv6. Leider bekomme ich das nicht hin und ich glaube die ganzen Beiträge die ich bisher gelesen habe, haben mich nur noch mehr verwirrt und verunsichert. Daher nun mein Frage hier im Forum...

FritzBox-Konfiguration;
Anschlussart: Anschluss an externes Modem oder Router
Betriebsart: Internetverbindung selbst aufbauen
IPv6 Untersützung: aktiv
IPv6 Anbindung: native IPv4-Anbindung verwenden (empfohlen)
Verbindungseinstellungen: DHCPv6 Rapid Commit verwenden
IPv4, verbunden seit 05.03.2017, 20:15 Uhr
IPv4-Adresse: 100.65.xxx.xx
IPv6, verbunden seit 05.03.2017, 20:15 Uhr
IPv6-Adresse: 2a00:####:####:####:####:####:####:####
IPv6 Freigaben konfiguriert.

Angaben laut ipv6-test:
IPv6 Supported
Address 2a00:####:####:####:####:####:####:####
Type Native IPv6
SLAAC No
ICMP Filtered
Hostname None
ISP DGW Network [Germany]

Die IPv6 der FritzBox und die IPv6 des FiberTwist p2410 sind unterschiedlich. Die durch ipv6-test angezeigte IP ist nicht die, die in der FritzBox angezeigt wird.

Nach Rückfrage bei NEW ist das FiberTwist p2410 auf Durchzug gestellt und es ist ein IPv6 6RD zur Verfügung gestellt.

Wer kann mir nun die Frage beantworten, warum ich von Außerhalb via IPv6 nicht auf meine FritzBox bzw. meine Rechner im Heimnetz komme?

Grüße und vielen Dank im voraus
olzzen

[tomy79]

Ipv6 Test sollte die IP vom Rechner sein mit dem du ipv6 Test aufgerufen hast

[olzzen]

(08.03.2017, 23:56)tomy79 schrieb:  Ipv6 Test sollte die IP vom Rechner sein mit dem du ipv6 Test aufgerufen hast

Korrekt, die angezeigte IP gehört dem Rechner, mit welchem ich den Test aufgerufen habe. Ich bin davon ausgegangen, dass die angezeigte IP dem FiberTwist p2410 gehört. Danke für die Korrektur.

[olzzen]

Hier nochmal als Beispiel eine von mehreren eingerichteten Portfreigaben:

Gerät:
raspi

IP-Adresse:
192.168.5.4
::8deb:127:f3d2:3655

Freigaben: ssh
Port extern (IPv4): 22
Port extern (IPv6): 22

Selbständige Portfreigabe: 0 aktiv

BTW: DynDNS via dynv6 ist eingerichtet und die IPv6 der FritzBox ist eingetragen. Leider auch hier keine Erreichbarkeit von außen.

[EricNelson]

(09.03.2017, 17:13)olzzen schrieb:  Hier nochmal als Beispiel eine von mehreren eingerichteten Portfreigaben:

Gerät:
raspi

IP-Adresse:
192.168.5.4
::8deb:127:f3d2:3655

Freigaben: ssh
Port extern (IPv4): 22
Port extern (IPv6): 22

Selbständige Portfreigabe: 0 aktiv

BTW: DynDNS via dynv6 ist eingerichtet und die IPv6 der FritzBox ist eingetragen. Leider auch hier keine Erreichbarkeit von außen.

Ist dir bewusst, dass bei IPv6 keine Portweiterleitung wie bei IPv4 NAT benutzt wird, sondern tatsächlich Ports auf bestimmten IP Adressen freigegeben werden, also nur die Firewall für diese IPv6:Port Kombination auf Durchlass gestellt wird? Wenn per DynDNS die IPv6 Adresse der Fritzbox bekannt gemacht wird, dann enden Verbindungen auf diesen Domainnamen natürlich auch bei der Fritzbox. Es sieht so aus, dass du auf die Adresse des "raspi" verbinden möchtest. Die Fritzbox macht aber eine Portfreigabe, keine Portweiterleitung.

[olzzen]

(09.03.2017, 21:19)EricNelson schrieb:  Ist dir bewusst, dass bei IPv6 keine Portweiterleitung wie bei IPv4 NAT benutzt wird, sondern tatsächlich Ports auf bestimmten IP Adressen freigegeben werden, also nur die Firewall für diese IPv6ort Kombination auf Durchlass gestellt wird? Wenn per DynDNS die IPv6 Adresse der Fritzbox bekannt gemacht wird, dann enden Verbindungen auf diesen Domainnamen natürlich auch bei der Fritzbox. Es sieht so aus, dass du auf die Adresse des "raspi" verbinden möchtest. Die Fritzbox macht aber eine Portfreigabe, keine Portweiterleitung.

Nein, war mir nicht bewusst. Wenn ich das richtig verstehe, müsste ich doch über den Domainnamen dann auf das Login der Fritzbox kommen, oder nicht?
Des Weiteren Frage ich mich, warum ich mit der entsprechenden IPv6 des "raspi" keine Verbindung zu diesem bekomme...

[EricNelson]

(09.03.2017, 22:10)olzzen schrieb:  Wenn ich das richtig verstehe, müsste ich doch über den Domainnamen dann auf das Login der Fritzbox kommen, oder nicht?
Des Weiteren Frage ich mich, warum ich mit der entsprechenden IPv6 des "raspi" keine Verbindung zu diesem bekomme...

Wenn die Fritzbox auf der Adresse einen SSH-Server anbieten würde und der Port auch in der Firewall freigegeben wäre. dann müsste das gehen. Beides ist aber wahrscheinlich nicht der Fall. Eine SSH Verbindung auf die IPv6 Adresse des Raspi, Port 22, sollte aber funktionieren. Die "Adresse" in deinem Beispiel ist aber nur das Suffix, also das, was an das Prefix, die ersten 64 Bit, angehängt wird, um die IPv6 Adresse des Raspi zu bilden. Die Adresse ist also nicht "::8deb:127:f3d2:3655", sondern "2a00:####:####:####:8deb:127:f3d2:3655".

[olzzen]

(09.03.2017, 23:31)EricNelson schrieb:  Wenn die Fritzbox auf der Adresse einen SSH-Server anbieten würde und der Port auch in der Firewall freigegeben wäre. dann müsste das gehen. Beides ist aber wahrscheinlich nicht der Fall. Eine SSH Verbindung auf die IPv6 Adresse des Raspi, Port 22, sollte aber funktionieren. Die "Adresse" in deinem Beispiel ist aber nur das Suffix, also das, was an das Prefix, die ersten 64 Bit, angehängt wird, um die IPv6 Adresse des Raspi zu bilden. Die Adresse ist also nicht "::8deb:127:f3d2:3655", sondern "2a00:####:####:####:8deb:127:f3d2:3655".

Was ich mit dem Login der Fritzbox meinte war kein SSH-Server, sondern das normale Router-Login zur Konfiguration, welches ich auch aus dem Heimnetzwerk aufrufen kann. Ich hätte gedacht, dass ich über den Domainnamen auf dieses Router-Login komme, da dort ja die IPv6 des Routers hinterlegt ist.

Ok, die Adresse in meinem Beispiel ist die im Router für die Freigabe eingetragene Adresse des raspi, welche auf diesem mit "Gültigkeitsbereich: Verbindung" angegeben ist. Im Online-Portscanner habe ich jedoch die Adresse des raspi eingetragen, welche auf diesem mit "Gültigkeitsbereich: Global" angegeben ist (2a00:####:####:####:####:####:####:####/64). Ich hätte gedacht, dass der Portscanner auf dieser Adresse auf Port 22 erfolg meldet, da der Server auf dem raspi wie folgt lauscht:
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 9626 509/sshd
tcp6 0 0 :::22 :::* LISTEN 0 9628 509/sshd

Ich verstehe nicht warum das alles nicht funktioniert

[EricNelson]

(10.03.2017, 09:22)olzzen schrieb:  Was ich mit dem Login der Fritzbox meinte war kein SSH-Server, sondern das normale Router-Login zur Konfiguration, welches ich auch aus dem Heimnetzwerk aufrufen kann. Ich hätte gedacht, dass ich über den Domainnamen auf dieses Router-Login komme, da dort ja die IPv6 des Routers hinterlegt ist.

Dazu müsste die Fritzbox das auch auf der externen Adresse anbieten. Man kann Dienste auch nur an bestimmte Adressen binden statt an alle. Das Webinterface wird normalerweise nur über die internen Adressen angeboten. Außerdem müsste die Firewall den Zugriff erlauben, damit das klappt.

(10.03.2017, 09:22)olzzen schrieb:  Ok, die Adresse in meinem Beispiel ist die im Router für die Freigabe eingetragene Adresse des raspi, welche auf diesem mit "Gültigkeitsbereich: Verbindung" angegeben ist. Im Online-Portscanner habe ich jedoch die Adresse des raspi eingetragen, welche auf diesem mit "Gültigkeitsbereich: Global" angegeben ist (2a00:####:####:####:####:####:####:####/64). Ich hätte gedacht, dass der Portscanner auf dieser Adresse auf Port 22 erfolg meldet, da der Server auf dem raspi wie folgt lauscht:
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 9626 509/sshd
tcp6 0 0 :::22 :::* LISTEN 0 9628 509/sshd

Ich verstehe nicht warum das alles nicht funktioniert

Der Raspi bietet den SSH-Dienst offenbar auf allen seinen Adressen an. Wenn auf dem Raspi keine separate Firewall konfiguriert ist, wird es nicht am Raspi liegen, dass es bisher nicht funktioniert hat.

Wichtig ist aber, dass Geräte typischerweise mehrere IPv6 Adressen haben. Wenn nur Verbindungen zur Adresse mit "Gültigkeitsbereich: Verbindung" in der Firewall durchgelassen werden, kommen Verbindungen zur Adresse mit "Gültigkeitsbereich: global" nicht durch. Mit IPv6 werden keine Adressen mehr umgeschrieben. Das TCP-SYN Paket wird in der Fritzbox nur durchgereicht oder eben nicht, je nach Firewallkonfiguration. Damit der Raspi auf seiner globalen Adresse durch die Fritzbox hindurch erreichbar ist, muss die Firewall in der Fritzbox für diese Adresse und diesen Port durchlässig sein.

[olzzen]

(10.03.2017, 12:53)EricNelson schrieb:  Der Raspi bietet den SSH-Dienst offenbar auf allen seinen Adressen an. Wenn auf dem Raspi keine separate Firewall konfiguriert ist, wird es nicht am Raspi liegen, dass es bisher nicht funktioniert hat.

Wichtig ist aber, dass Geräte typischerweise mehrere IPv6 Adressen haben. Wenn nur Verbindungen zur Adresse mit "Gültigkeitsbereich: Verbindung" in der Firewall durchgelassen werden, kommen Verbindungen zur Adresse mit "Gültigkeitsbereich: global" nicht durch. Mit IPv6 werden keine Adressen mehr umgeschrieben. Das TCP-SYN Paket wird in der Fritzbox nur durchgereicht oder eben nicht, je nach Firewallkonfiguration. Damit der Raspi auf seiner globalen Adresse durch die Fritzbox hindurch erreichbar ist, muss die Firewall in der Fritzbox für diese Adresse und diesen Port durchlässig sein.

Ok, wenn ich dann irgendetwas korrekt verstanden habe, kann ich über die IPv6 des Routers mit Angabe des Ports 22 nicht auf den SSH-Server des raspi zugreifen, da der Router die Anfrage nicht an den raspi weiterleitet?!

Der raspi selbst hat keine Firewall laufen. Wie kann ich feststellen, ob die Firewall des Routers die Verbindung blocked, bzw. wie kann ich diese Konfigurieren?

Und warum bietet die Fritzbox eine IPv6-Portfreigabe an?