[Joe-K7]

Hi,

Ich bin nun wahrlich kein Netzwerk-Guru oder ähnliches und suche nach einem Setup, mit dem man sein (Heim)Netzwerk sichern kann und dennoch (einfache) Erreichbarkeit von aussen gewährleistet. Prinzipiell stelle ich mir einen Zugriff von extern auf einen internen Server (Haussteuerung, IP-Kamera etc.) vor.

Bisher nutzte ich meine FritzBox als Zugangspunkt und habe dort entsprechende Ports für meinen Server freigeschaltet, so dass er vom Netz erreichbar war. Entweder lief der Server dauerhaft oder ich konnte ihn über die FritzBox „wecken“ (per MyFritz). Wie gesagt, bin eher halb-Ahnender denn halb- oder gar Wissender in dem Thema.


Nun habe ich den Glasfaseranschluss aktiviert bekommen und das Setup (allerdings mit fester IP) gemäß Anleitung auf fl!nk installiert (Genexis Router -> FB 7390 im IP Client Modus (DHCP daran aus, Genexis ist der Router inkl. DHCP etc. im Netzwerk) -> Netzwerkverteilung per LAN & WLAN wie bisher (abgesehen von den IP-Adressen ;-) )

Bzgl. der Erreichbarkeit wurde ja schon einiges beschrieben und ich konnte noch keine (für mich) wirklich verständliche Lösung finden, von aussen auf das Netzwerk und insbesondere auf den Server zuzugreifen.

Daher möchte ich gerne realisierte Lösungen erfahren, die ich ggf. „nachbilden“ kann. Wie gesagt, primär geht es mir um „simple“ Lösungen, da ich kein Netzwerk-Guru bin (und in meinem Leben sicher auch nicht mehr werde, da mir dazu die Zeit fehlt).

Danke und Grüße
Joe

[Arndt]

Hallo,

der Zugriff über IPv6 ist grundsätzlich möglich, aktuelle Firmware im Genexis vorausgesetzt. In dem Fall bekommt jedes Gerät seine eigenen IPv6 Adresse, und kann über den Genexis-Router freigeschaltet werden. Das ist dann keine "Portweiterleitung" mehr, sondern eine Firewall - die Bedienung ist jedoch praktisch identisch.

Das setzt aber zwei Dinge voraus: Deine Geräte müssen alle IPv6-Fähig sein, und Du musst auch von extern über IPv6 darauf zugreifen. Sprich: der entfernte Internetanschluss muss ebenfalls IPv6 beherrschen, was z.B. bei Mobilfunknetzen derzeit noch ein Problem ist.

Können einzelne Deiner Geräte nur IPv4 wäre auch die Nutzung der VPN-Einwahl der Fritzbox eine Möglichkeit. Das setzt aber ebenfalls einen externen IPv6-Zugriff voraus, nach der Einwahl sind dann aber auch alle Geräte Deines IPv4-Netzes erreichbar. Eine recht sichere Lösung im Übrigen.

Der Zugriff über IPv4 ist etwas schwierig. Reine Webseiten ließen sich noch hinbringen, aber ein Serverzugriff wird so nicht gelingen. Eine gute Möglichkeit wäre es, sich z.B. bei Portunity eine IPv4-Adresse zu mieten. Das kostet ein paar € im Monat, aber man erhält eine fixe IPv4-Adresse.

Du siehst, eine allgemeine Lösung gibt es nicht, es kommt darauf an, was Du genau brauchst. Um hier einen Tip zu geben, bräuchte man mehr Input...

cu - Arndt

[Joe-K7]

Hallo Arndt,

Danke für die Antwort. Wie ich schon schrieb bin ich kein Netzwerk-Fachmann, daher muss ich hier (aus mancher Sicht) eher einfache Fragen stellen und bitte um Verzeihung, falls das unter Niveau des Forums sein sollte ...

(23.11.2014, 18:53)Arndt schrieb:  Hallo,

der Zugriff über IPv6 ist grundsätzlich möglich, aktuelle Firmware im Genexis vorausgesetzt.

Soweit mir bekannt wird die Firmware vom Provider "automatisch" installiert und ich selber habe keinen Einfluss auf den Zeitpunkt etc., oder ? Wie/Wo kann ich denn erfahren, dass meine Firmware aktuell ist und kann ich ggf. einen Update Prozess auch selber anregen ?

(23.11.2014, 18:53)Arndt schrieb:  In dem Fall bekommt jedes Gerät seine eigenen IPv6 Adresse, und kann über den Genexis-Router freigeschaltet werden. Das ist dann keine "Portweiterleitung" mehr, sondern eine Firewall - die Bedienung ist jedoch praktisch identisch.

Das setzt aber zwei Dinge voraus: Deine Geräte müssen alle IPv6-Fähig sein, und Du musst auch von extern über IPv6 darauf zugreifen. Sprich: der entfernte Internetanschluss muss ebenfalls IPv6 beherrschen, was z.B. bei Mobilfunknetzen derzeit noch ein Problem ist.

Wie kann ich denn feststellen, ob mein Gerät IPv6 fähig ist ? Wie kann ich herausfinden, ob der entfernte Internetanschluss IPv6 fähig ist ?

(23.11.2014, 18:53)Arndt schrieb:  Können einzelne Deiner Geräte nur IPv4 wäre auch die Nutzung der VPN-Einwahl der Fritzbox eine Möglichkeit. Das setzt aber ebenfalls einen externen IPv6-Zugriff voraus, nach der Einwahl sind dann aber auch alle Geräte Deines IPv4-Netzes erreichbar. Eine recht sichere Lösung im Übrigen.

Hört sich als Lösung gut an, kann ich aber abschließend erst bewerten, wenn ich denn den Punkt darüber verstanden habe (IPv6 Fähigkeiten). Wie würde die Einrichtung denn funktionieren (ich müßte die FritzBox ja per IPv6 direkt ansprechen, oder ?) ?

(23.11.2014, 18:53)Arndt schrieb:  Der Zugriff über IPv4 ist etwas schwierig. Reine Webseiten ließen sich noch hinbringen, aber ein Serverzugriff wird so nicht gelingen. Eine gute Möglichkeit wäre es, sich z.B. bei Portunity eine IPv4-Adresse zu mieten. Das kostet ein paar € im Monat, aber man erhält eine fixe IPv4-Adresse.

Du siehst, eine allgemeine Lösung gibt es nicht, es kommt darauf an, was Du genau brauchst. Um hier einen Tip zu geben, bräuchte man mehr Input...

cu - Arndt

Arndt,
dass es eine allgemeine Lösung nicht gibt, ist mir schon klar, die oberen drei Methoden zeigen mir aber schon mal grundsätzliche Wege. Wenn ich nun den ersten Punkt verstanden habe, wird mir der Rest evtl. auch etwas klarer.

Zu meinen "Wünschen":
1. Nach mehreren Berichten, dass der Provider/Netzbetreiber scheinbar vollen Zugriff von Extern auf meinen Genexis-Router (und das dahinter liegende (evtl. offene) Netzwerk) haben, stellt sich die Frage, ob ich meine FritzBox nicht lieber als eigenständigen Router hinter dem Genexis haben möchte (anstelle eines "einfachen Switch" mit WLAN und VoIP Möglichkeiten). Hier wäre ich sehr dankbar bzgl. weiterer Infos. Es wäre sehr schade, wenn ich von außen in mein Netz nur hineinkomme, wenn "Gott und die Welt" das auch könnten
2. Hauptsächlicher Wunsch besteht in dem Zugang zur FritzBox, um von extern einen Rechner zu starten (habe ich vorher per MyFritz gemacht) und anschließend per TeamViewer im Fernzugriff darauf zu arbeiten (kommt gelegentlich vor, wenn ich dringend von Unterwegs Informationen/Dokumente benötige, die auf dem Rechner gespeichert sind).
3. Neuer Wunsch (da vorher aufgrund der niedrigen DSL Datenrate vollkommen uninteressant), ich möchte gerne Fotos/Dokumente direkt von meinem Homeserver (WHS V1) Bekannten/Freunden/Familie zur Verfügung stellen. Der Server soll nicht permanent laufen, sollte von extern (über FritzBox und nur durch mich) startbar sein und zu bestimmten Zeiten "online" für die "Gäste" sein. Der externe Zugriff soll für "Gäste" erfolgen und nur zum Daten herunterladen, keine dort hineinstellen und/oder löschen.

Alternativ zu dem bestehenden Homeserver könnte (demnächst) ein Qnap oder Synology eingesetzt werden, da bei dieser Konfiguration die Datenmenge auf dem Server deutlich steigen könnte, evtl. lassen sich diese auch besser für den externen Zugriff konfigurieren ?

Ach ja, eine eigene Webseite etc. soll nicht auf meinem Server liegen.

Danke für Anregungen und Rückmeldungen, gerne auch Hinweise auf weitere Dokumentationen, um mich etwas in die Materie einzulesen.

Grüße
Joe

[Arndt]

Hallo Joe,

Firmware: Einfach auf dem Genexis einloggen, da wird die installierte Firmware angezeigt. Ein Update erhält man üblicherweise automatisch, ggf. kann man dies auch über die Hotline auslösen lassen.

IPv6 - Fähig: Naja. IPv6 sollte man dann in den Einstellungen finden können... Dort kann man ja immer eine IPv4 - Adresse eingeben (also 192.168.1.1 oder so). Wenn dort auch eine Einstellung für IPv6 zu finden ist, ist das schon mal ein Einstieg. Einfacher test für Windows:

Dos-Eingabefenster aufmachen, dann
ping -6 google.de (+Enter)
eingeben. Kommt da eine Antwort, ist Gerät und Anschluss ipv6-fähig. Kommt eine Fehlermeldung, dann sollte die einen Hinweis geben, ob es nun am Gerät oder am Internetzugang liegt...

VPN über IPvt6: Im Prinzip richtest Du eine VPN-Verbindung über die Fritz-Box ein. Für die Einwahl in das VPN musst Du die Fritz-Box erreichen. Also benötigst Du für die Einwahl in das VPN die scope-global ipv6-Adresse der Fritz-Box. Sollte die eigentlich anzeigen... Dann musst Du noch die VPN-Ports der Fritz-Box in der Firewall des Genexis öffnen. Ich glaube, für dieses Vorgehen machen wir lieber einmal eine Anleitung, sonst wird das hier zu lang. Wie auch immer, du wählst Dich dann per VPN über IPv6 in die Fritz-Box ein und kannst über diesen VPN-Tunnel dann arbeiten, als wäre Dein Notebook gleich in der Fritz-Box eingesteckt. Ok, bissi langsamer, aber sonst genau so.

Zu 1) Ein Zugriff auf die CPE durch den Support ist in Grenzen möglich, ja, aber daraus einen Komplettzugriff abzuleiten ist gewagt. Aber ich verstehe das mulmige Gefühl im Bauch - und in der Tat würde die Fritzbox als Router das Problem weitestgehend beheben. Für die VPN-Nutzung wäre das nur vorteilhaft. Gott und die Welt kommen aber nicht über den Genexis und auch eine VPN-Verbindung gilt heute als praktisch sicher.

Zu 2) Angesichts der jüngsten Vorkommnisse bei AVM würde ich sowieso dazu raten, die Fritz-Box nicht im Internet erreichbar zu machen. Da wäre VPN das mittel der Wahl. Teamviewer kann ja sowieso auch ohne direkten Netzzugang genutzt werden, bevorzugt man jedoch den direkten Zugang (Eingabe der IP anstelle der Partner-ID) wäre auch hier VPN das Mittel der Wahl.

Zu 3) Hier wäre ein VPN-Zugang schön, aber sehr lästig. Wenn ein Zugriff über HTTP(s) ausreichend ist (und mehr würde ich keinem an meinem Server erlauben), gäbe es eine Möglichkeit: Man kann den Webserver über die Portfreigabe / Firewallkonfiguration zum IPv6-Netz öffnen. Dann könnten alle mit IPv6 sofort darauf zugreifen. Für IPv4-user gäbe es ein nettes kostenloses Gateway. Die URL zum Server sähe zwar etwas doof aus... aber dafür ist's für lauf. Den passenden Link habe ich grade nicht parat, aber war hier auch schon im forum...

Ich persönlich bin Synology-Fan, aber QNAP ist auch ganz gut. Die Bieten einiges nettes, z.B. auch einen OpenVPN-Zugang für VPN-Verbindungen, der ein wenig mehr kann als die Fritzdose... Und ja, auch diverse Zugriffsmöglichkeiten, die gut für das Internet geeignet sind. Auch OwnCloud läuft drauf

cu - Arndt

[Joe-K7]

(24.11.2014, 19:37)Arndt schrieb:  Hallo Joe,

Firmware: Einfach auf dem Genexis einloggen, da wird die installierte Firmware angezeigt. Ein Update erhält man üblicherweise automatisch, ggf. kann man dies auch über die Hotline auslösen lassen.

Es gibt zwei Anzeigen:
Software Information
Startprogramm Revision drgldr-hrg1000-1.3.1-RC14
Firmware Revision drgos-hrg1000-1.12.2-EFT17

Firmware 1.12.2 würde ich daraus lesen (bei NEW gibt es eine "DRGOS 1.13.1 Bedienungsanleitung" im Download Bereich, in der selber aber in einem Bild die Firmware 1.12.2 gezeigt wird (verwirrend, oder ?)). Firmware ist demnach aber (relativ) aktuelle.

(24.11.2014, 19:37)Arndt schrieb:  IPv6 - Fähig: Naja. IPv6 sollte man dann in den Einstellungen finden können... Dort kann man ja immer eine IPv4 - Adresse eingeben (also 192.168.1.1 oder so). Wenn dort auch eine Einstellung für IPv6 zu finden ist, ist das schon mal ein Einstieg. Einfacher test für Windows:

Dos-Eingabefenster aufmachen, dann
ping -6 google.de (+Enter)
eingeben. Kommt da eine Antwort, ist Gerät und Anschluss ipv6-fähig. Kommt eine Fehlermeldung, dann sollte die einen Hinweis geben, ob es nun am Gerät oder am Internetzugang liegt...

Eine Einstellung oder gar IPv6 Adresse kann ich in der FritzBox leider nicht finden, weiss aber nicht genau wo ich suchen sollte. (FritzBox - Internet - Online Monitor zeigt nur IPv4 an). Über WLAN an der FritzBox kann ich (zumindest) von einem Laptop IPv6 Übertragung finden (Test mit google.de)

(24.11.2014, 19:37)Arndt schrieb:  VPN über IPvt6: Im Prinzip richtest Du eine VPN-Verbindung über die Fritz-Box ein. Für die Einwahl in das VPN musst Du die Fritz-Box erreichen. Also benötigst Du für die Einwahl in das VPN die scope-global ipv6-Adresse der Fritz-Box. Sollte die eigentlich anzeigen... Dann musst Du noch die VPN-Ports der Fritz-Box in der Firewall des Genexis öffnen. Ich glaube, für dieses Vorgehen machen wir lieber einmal eine Anleitung, sonst wird das hier zu lang. Wie auch immer, du wählst Dich dann per VPN über IPv6 in die Fritz-Box ein und kannst über diesen VPN-Tunnel dann arbeiten, als wäre Dein Notebook gleich in der Fritz-Box eingesteckt. Ok, bissi langsamer, aber sonst genau so.

Hört sich gut an, insbesondere mit der Anleitung Selbst finde ich nicht einmal eine IPv6 Adresse in der FritzBox... und der Rest ist für mich auch eher "Bahnhof"

(24.11.2014, 19:37)Arndt schrieb:  Zu 1) Ein Zugriff auf die CPE durch den Support ist in Grenzen möglich, ja, aber daraus einen Komplettzugriff abzuleiten ist gewagt. Aber ich verstehe das mulmige Gefühl im Bauch - und in der Tat würde die Fritzbox als Router das Problem weitestgehend beheben. Für die VPN-Nutzung wäre das nur vorteilhaft. Gott und die Welt kommen aber nicht über den Genexis und auch eine VPN-Verbindung gilt heute als praktisch sicher.

Demnach kann die Konfiguration so wie erstellt bestehen bleiben (d.h. Genexis ist Router inkl. DHCP etc.) und bietet keien wirklichen Nachteile ?

(24.11.2014, 19:37)Arndt schrieb:  Zu 2) Angesichts der jüngsten Vorkommnisse bei AVM würde ich sowieso dazu raten, die Fritz-Box nicht im Internet erreichbar zu machen. Da wäre VPN das mittel der Wahl. Teamviewer kann ja sowieso auch ohne direkten Netzzugang genutzt werden, bevorzugt man jedoch den direkten Zugang (Eingabe der IP anstelle der Partner-ID) wäre auch hier VPN das Mittel der Wahl.

Gebe Dir Recht, auch hier gab (gibt ?) es Sicherheitslücken. Wenn ich das mit VPN mal gescheit erklärt bekommen könnte, kann ich auch die Möglichkeiten erkennen Mir ging es beim Zugang zur FritzBox von extern um die Möglichkeit, PCs im Netzwerk zu wecken, so dass diese nicht 24h lauen müssen)... TeamViewer läuft ja auch nur, wenn beide PCs eingeschaltet sind (oder kann ich damit auch aufwecken ?).

(24.11.2014, 19:37)Arndt schrieb:  Zu 3) Hier wäre ein VPN-Zugang schön, aber sehr lästig. Wenn ein Zugriff über HTTP(s) ausreichend ist (und mehr würde ich keinem an meinem Server erlauben), gäbe es eine Möglichkeit: Man kann den Webserver über die Portfreigabe / Firewallkonfiguration zum IPv6-Netz öffnen. Dann könnten alle mit IPv6 sofort darauf zugreifen. Für IPv4-user gäbe es ein nettes kostenloses Gateway. Die URL zum Server sähe zwar etwas doof aus... aber dafür ist's für lauf. Den passenden Link habe ich grade nicht parat, aber war hier auch schon im forum...

Ich persönlich bin Synology-Fan, aber QNAP ist auch ganz gut. Die Bieten einiges nettes, z.B. auch einen OpenVPN-Zugang für VPN-Verbindungen, der ein wenig mehr kann als die Fritzdose... Und ja, auch diverse Zugriffsmöglichkeiten, die gut für das Internet geeignet sind. Auch OwnCloud läuft drauf

cu - Arndt

Danke für die Infos, hört sich aber noch sehr verworren für mich an (bin halt wirklich Laie mit wenig Erfahrung bzgl. Netzwerk. Aber die o.g. Lösung hört sich gut an, falls Du den passenden Link noch finden solltest, wäre ich sehr verbunden.


Nochmals vielen Dank, habe eine ganze Reihe neuer Infos erhalten und muss diese ersteinmal verarbeiten...

Grüße
Joe

[Joe-K7]

Hi,

noch ein paar Ergänzungen, bitte nicht schlagen...

Wie kann ich denn meinen Router von aussen an-pingen ? Ich habe im Router unter WAN die erste IPv6 Adresse genommen, die so beginnt:
2a00:61e0:XXXX:XXXX:1
Leider bekomme ich immer eine Fehlermeldung bei ping -6 auf diese Adresse ? Was mache ich falsch ? Muss ich die Adresse irgendwo "freigeben", damit sie von extern erreichbar ist ? IPv6 - Buch mit sieben Siegeln (und dann auch noch in Fremdsprache ;-) ) !

Weiterhin habe ich bei AVM gefunden, dass sie kein IPv6 direkt unterstützen, kann wie beschrieben in der FritzBox 7390 auch keine entsprechende Adresse finden (nutze IP-Client Modus) ???

Verwirrte Grüße
Joe

[Arndt]

Hallo,

klar unterstützt die 7390 ipv6:

http://avm.de/nc/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/573_IPv6-Unterstuetzung-fuer-FRITZ-Box-Heimnetz-einrichten/

Muss man aber aktivieren ggf.

cu - Arndt

[Joe-K7]

Hallo Arndt,

sorry für meine späte Rückmeldung, kam vorher nicht dazu...

Die FB 7390 hat nur im "normalen" Modus die Möglichkeit zur Umstellung/Aktivierung des IPv6, wenn ich sie in den IP-Client Modus umschalte, sehe ich den Unterpunkt IPv6 nicht mehr

Daher kann ich immer noch nicht sagen, wie ich denn nun die FritzBox ansprechen soll

Und was ist mit der Sicherheit bzgl. Weiterleitung am Genexis, dann dürfte doch jeder an die Adresse bzw. das zugehörige Gerät kommen, nur getrennt durch eine Benutzer-Passwort-Kombination, oder ?

Oder ist es dann doch besser, die FrtizBox wieder als DHCP-Router hinter dem Genexis zu betreiben und damit das Netz anzusichern ???

Wie beschrieben, gerne möchte ich an die FritzBox von extern zum Starten von Server und PC, gerne möchte ich zudem Daten mit Freunden von einem eigenen Server tauschen.

Eine Anleitung in ähnlicher Situation habe ich hier gefunden
http://www.christian-kuetbach.de/blog/post/16
(von Christian Kuetbach, ich hoffe, es ist i.O. den Link hier zu posten)

Grüße
Joe

[Joe-K7]

Irgendwie komme ich hier nicht weiter.

Zum Ersten kann ich keinen PING an den Genexis machen und bekomme "Fehler bei der Übertragung. Allgemeiner Fehler." Ich habe schon die verschiedensten Kombinationen der IPv6 Adressen aus dem Genexis probiert, immer der gleiche Fehler oder "Ping-Anforderung konnte Host xyz nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut."

Gebe ich nun die falsche Adresse ein oder kann der Genexis keinen PING beantworten ?

Zum Zweiten stellt sich die Frage, was ich "öffne", wenn ich eine IPv6 Adresse im Netzwerk im Genexis "freigebe". Dann kann doch jeder von aussen auf diese Adresse zugreifen, oder ? Wie kann ich das System dann vor Mißbrauch schützen ?

Hat jemand so was schon zum Laufen gebracht und kann mir ein paar Details nennen ?

Danke und Grüße
Joe

[Arndt]

Hallo Joe,

im IP-Client Modus verhält sich die Fritzbox ja wie ein gewöhnlicher Netzteilnehmer: sie bekommt eine IP-Adresse und gut ist. Mit der weiteren Verteilung etc. hat sie nichts zu tun, diese Aufgabe verbleibt beim Genexis.

Die Freigabe einer IPv6-Adresse ist gestaltet wie auch früher die "Portweiterleitung". Wahlweise kannn man in der Firewall einzelne Ports an eine IPv6-Adresse "durchlassen" oder auch alle. Im letzteren Fall wäre natürlich auch alles erreichbar und das Gerät müsste sich selber per Firewall um einen Zugriffsschutz bemühen.

cu - Arndt