[Andreas]

Hallo,

Ich habe in meinem internen LAN einige Geräte (Kamera) die nur per IPv4 erreichbar sind.

Gibt es eine Schritt für Schritt Anleitung was man wie konfigurieren muss um diese von außen zu erreichen.

Danke.

[Beowulf Shaeffer]

Hi,

die Provider setzen auf der IPv4 Verbindung ein CGNAT ein. Dies bedeutet, dass die Kunden selbst keine oeffentliche IPv4 Adresse bekommen, sondern Adressen aus dem privaten Bereich und dann alle hinter einer einzigen oeffentlichen IPv4 IP "genattet" werden. Damit faellt eine individuelle Port-Weiterleitung auf dem CPE des Kunden flach.


Ciao
LoUiS

[admin]

Hallo Andreas,

Schritt für Schritt mit ipv4 haben wir leider nichts in der Schublade. Das ist aber wohl die(!) Fragestellung für alle Endkunden mit einem öffentlichen erreichbaren Gerät, wie z.B. einer Kamera, einem Mailserver, Storage, etc.

In der Theorie (habe ich noch nicht getestet) kannst du auf einem Gerät A, das eine ipv6 Adresse hat, einen Portforward auf ein internes Gerät B machen, das nur ipv4 hat.
Für einen Webserver z.B. Port 81 auf Gerät A ein Forward ipv4 Port 80 auf Gerät B, intern.

So ein Gerät kann z.B. eine aktuellere Fritzbox sein oder ein Router mit einer OpenWRT Firmware. Oder auch ein ständig laufender PC, wie ein z.B. ein NAS.

Es wäre wohl eine gute Idee, für die häufigsten Geräte mal einen Textlauf und eine Docu zu schreiben.

Gruß

Elmar

[Beowulf Shaeffer]

Hi Elmar,

das wird IMHO nicht funktionieren!
Da Du nach wie vor Geraet A vom WAN noch immer ausschliesslich per IPv6 ansprechen kannst (vorausgesetzt du bist per v6 durch den Genexis durch), bringt auch das Forwarding eines V4 Ports an Geraet B nichts. Wieso sollte ein Router, oder Rechner, der ein Paket auf IPv6 bekommt, dieses einfach auf einen Port des V4 Protokolls weiterleiten? Beide Protokolle sind kompet unterschiedlich. Dazu muesste es erst mal einen "Umsetzer" im Betriebssystem des Routers/Rechner geben und da ist mir noch nichts bekannt.


Ciao
LoUiS

[admin]

Hi,

ja, ganz exakt kenne ich mich nicht aus, aber auf einer Konsole mit einem laufenden Prozess kann ich das nachstellen.
Für mich kommen da einfach - unabhängig von ipv6 oder ipv4 - Pakete rein, die ich auf einem anderen Kanal wieder raushaue. Das mag im Kern vielleicht kein Portforwarding sein und ich habe natürlich auch nur mit Port 80 getestet - für viele Anwendungen reicht aber natürlich das Bereitstellen von http-basierten Diensten.
In meiner Terminologie wäre das also wohl eher ein Proxy und kein Repeater.

Unter *ix geht so was recht easy mit dem Tool "socat".

Wenn man dann z.B. einen Router mit openWRT hat, dann kann man dort so etwas dauerhaft einrichten und hätte ein always-on-Gerät für diese Aufgabe.

-Elmar

[Beowulf Shaeffer]

Du verstehst nicht, dass das keiner "IPv4 only Applikation" im WAN nutzt, weil Du ja nach wie vor per IPv6 zugreifen musst!
Das ersetzt einfach kein Portforwarding im IPv4, weil es kein IPv4 ist. Darum nutzt das fuer den Zweck, zu dem es Andreas einsetzen will, leider gar nichts.

[admin]

ähm ..

Andreas sagt doch "Ipv4 Geräte im LAN" - das geht doch ohne Probleme, habe ich doch selber genau so auch gemacht. Die spreche ich von außen natürlich erstmal mit der ipv6 des Proxies an, der die Umsetzung intern macht. Z.b. ein Router mit OpenWRT (andere Router mit solchen Features kenn ich derzeit nicht).
Und wenn ich das im WAN mit ipv4 machen will, dann muss ich so einen Proxy halt auf einem ipv6 fähigen Server aufbauen. Das würde auf vielen Hosting Angeboten mit SSH Zugang wahrscheinlich schon funktionieren.

Ich male mal ein Bild dazu

[Beowulf Shaeffer]

Ja genau, mal Du mal Bildchen dazu. Aber ich bleibe dabei, das ist nicht was die Kunden wollen. Die moechten gerne genau wie vorher aus dem Internet per IPv4 auf die Geraete zugreifen.

[admin]

Yip, kann ja sein, dass final ein anderes Ergebnis gewünscht wird.
Für den Moment würde ich erst einmal die erste Hürde nehmen wollen.

Dazu habe ich halt das genommen, was mir zur Verfügung steht.

Damit kann ich Geräte von außen per ipv6 aufrufen >> siehe Anhang.

Wenn ich das jetzt mit ipv4 machen will, kann ich das gleiche Spiel genau so nochmal auf einem entfernten Server aufsetzen und mir dort einen ipv4 Port an die v6 Adresse mit dem anderen Port weiterreichen. Dann wäre der Traffic zweimal mit einem Proxy umgeleitet. Nicht schön, aber mir geht es erst einmal um's Prinzip

Ich sehe jetzt schon:
1. Man kann das auch mit iptables machen, da socat nicht immer direkt verfügbar ist
2. Man kann das offenbar auf einer Fritzbox einrichten (mit Shell Access)
3. Man kann so etwas auf einem Synology NAS einrichten.

Das wären schon Dinge, die viele Leute durchaus zu Hause haben könnten. Danach sehen wir weiter

[Andreas]

So, ab heute bin ich komplett auf Glasfaser umgestellt und das "Desaster" ist perfekt.

Ich kann meine IPv6 Geräte von Außen auch nicht erreichen. Da auch kein IPv4 möglich ist bin ich faktisch von außen nicht erreichbar. Ein vollwertiger Internet-Anschluß sieht für mich anders aus.

IPv6 Port forwarding ist meiner Meinung nach auch der falsche Begriff, aber auch die einzige Möglichkeit irgendetwas IPv6-mäßiges zu konfigurieren.

Da ja nur Verbindung von "innen" ins Internet möglich sind hab ich mir folgendes überlegt.

Ausgangssituation:

Standort A ist am Glasfaser angeschlossen und nicht von außen erreichbar. Am Standort A ist eine Fritzbox, ein Synology NAS und ein Windows Server SBS 2008 vorhanden.
IPv4 am Standort A ist 192.168.1.x

Standort B ist per Telekom-DSL und IPv4 und DynDNS erreichbar. Am Standort B ist ein Synology NAS und ein Windows 7 PC vorhanden.
IPv4 am Standort B ist 192.168.2.x

Am Standort C ist ein Endgerät vorhanden welches über verschiedene Kanäle ins Internet kommt (DSL, 3G, LTE).

Ziel Gerät des Standort C soll auf den Exchange-Server vom Standort A zugreifen.


Gedankenspiel:

Standort A baut eine VPN-Verbindung zu Standort B auf.

Standort C baut eine VPN-Verbindung zu Standort B auf.

Standort C baut somit eine Verbindung zu A über B auf.

Problem:
- Unterschiedliche IP-Nummernkreise von A und B
- Und keine Ahnung, ob das mit den vorhandenen Equipment geht. Ich würde da die Synology NAS favorisieren.
- Und keine Ahnung wie es gemacht wird.