[Beowulf Shaeffer]

Hi,

was hast Du denn im Genexis genau freigegeben, um ICMPv6 weiterzuleiten?


Ciao
LoUiS

[carstino]

Hallo,

ich weiß nicht, welche magische Zauberformel mir fehlt, um meinem Genexis die ipv6 Freigabe beizubringen....Ich hab´s jetzt ein paar mal nach der Anleitung von BG99 probiert, aber ständig ohne Erfolg.
Intern können sich meine Rechner per ipv6 verbinden, jedoch von außen klappt´s nicht.
Auch nicht wenn ich über den ipv6 Anschluss eines Bekannten versuche, drauf zu zugreifen.
Ich bin hier schon seit Tagen am basteln und probieren. Laut den Info Veranstaltungen,
die die Firma Bornet hier im Dorf gegeben hat, sollte das ja alles nicht so aufwendig sein....
Ich habe mal ein Foto von meinen Freigaben angehängt. Kann es vielleicht sein, dass am
Anschluss noch gar kein ipv6 anliegt, oder das Ganze nur in eine Richtung funktioniert?

Gruß,

Carstino

[Arndt]

Hallo,

ICMP ist ein Ding für sich - pack doch mal einen mini-Webserver auf den Rechner und gebe Port 80 für den Rechner im Genexis frei. Vielleicht klappt es dann? Auch sollte die aktuelle Firmware auf dem Genexis installiert sein, die alte Firmware hatte mit der Firewall so einen bug...

cu - Arndt

[Schimmelreiter]

Diese Lösung ist hochriskant:

Der NAS baut auf diese Weise eine eigene IPv6-Tunnelanbindung auf, er durchbohrt also praktisch die Firewall des vorgeschalteten Routers.
Die ihm dabei zugeteilte IPv6 ist nun öffentlich erreichbar und zwar ohne Wenn und Aber.

Genau das ist zwar für das eine Problem die Lösung, aber er schafft eben auch ein neues, viel gravierenderes Problem, nämlich daß nun der NAS oder je nach gogo6-Kontoart sogar das gesamte LAN ohne den Schutz einer Firewall direkt aus dem Internet erreichbar ist.

In dem Zusammenhang muß man sich also schon fragen, wo da der Vorteil gegenüber einer einzelnen, portweisen Freigabe im Genexis liegen soll.

[hoddelac]

Hi, ich habe auch eine Synology DS und die Synologys verfügen über eine eigene Firewall.
Die auf den ersten Blick wesentlich besser konfiguriert werden kann als die des Genexis .

[Schimmelreiter]

(05.04.2015, 14:57)HDS schrieb:  Es wird nur eine Ipv6 an das jeweilige Gerät vergeben auf dem der Client läuft.
Soweit ich das beurteilen kann, werden keine IPv6 an andere Geräte im LAN verteilt.

Das hängt von der Anmeldung ab.

Anonymer Login: Nur eine IPv6 (Damit man sich dran gewöhnt, auch die alternative Nomenklatura: Eine /128)

Registrierter Login: Ein Subnet /64

(05.04.2015, 14:57)HDS schrieb:  Warum ist gerade dieser Tunnel-Broker so riskant ?
In anderen Beiträgen in diesem Forum werden Tunnel-Broker
(z.B. SixXS und andere) angepriesen und beschrieben.

Da hast Du etwas falsch verstanden:
Es geht nicht um den Tunnelbroker, sondern um die Art der Einrichtung.

Man kann z.B. auch SixXS-AYIYA-Tunnel genau so auf irgendwelchen Geräten im LAN aufbauen lassen und das ist je nach Vorgehensweise dann genauso brandgefährlich.

Trägt man einen SixXS- oder 6in4-Tunnel hingegen in einer Fritz!Box ein, dann wird er von dieser grundsätzlich als WAN-Verbindung (Also Außenanbindung) betrachtet, die durch die Firewall der Box mit erfaßt wird.
Das selbe gilt für 6in4-Tunnel in diversen anderen Routern und auch die Anleitungen für selbige unter OpenWrt beinhalten immer auch ihre Einrichtung als WAN-Verbindung.

(05.04.2015, 14:57)HDS schrieb:  Wie hoddelac im vorherigen Beitrag schon schreibt, hat das NAS eine eigene Firewall.

Eine Firewall ist kein Stück Software sondern ein Sicherheitskonzept.

(05.04.2015, 14:57)HDS schrieb:  Und auch am PC läuft doch i.d.R. auch eine Firewall.

Diese wertet i.d.R. Zugriffe innerhalb des LAN (Also z.B. auch vom NAS aus) anders aus als solche von außerhalb.
Eine Firewall muß eben auch immer erst richtig konfiguriert werden, bevor sie irgendeine Schutzwirkung entfaltet.

"Ich habe doch eine Firewall" waren die letzten Worte aller PC-Besitzers bevor ihre PCs zum Zombie in einem BotNet wurde.

Das von Dir verlinkte How-To erwähnt die Firewall bzw. ihre Konfiguration mit keinem Wort.
Ganz im Gegenteil wird sofort freudig vermeldet, daß nun die Web-Oberfläche des NAS unter dieser IPv6 erreichbar ist ... wenn das so ganz ohne explizite Freigabe der Fall ist, dann ganz sicher deshalb, weil die Firewall zwar (als Stück Software) da ist, aber nicht konfiguriert.

Damit wäre aber dann auch jeder andere Rotz auf dem NAS direkt unter dieser IPv6 erreichbar und das ist ein absolutes Horrorszenario.

Wer den Weg aus diesem Howto gehen will, der kann das durchaus tun, dann muß er aber auch dafür sorgen, daß der NAS diese Verbindung als eine Außenanbindung betrachtet und mit seiner Firewall abriegelt, bis auf die Ports, die man wirklich erreichbar machen will.

(05.04.2015, 14:57)HDS schrieb:  Also ist doch zumindest ein gewisser Grundschutz vorhanden.

In Fachkreisen gelten Antiviren-Software plus Personal Firewall eher als Risiko denn als Schutz.

Die Firewall kann nicht schützen, wenn sie nicht dazu konfiguriert wird, aber sie kann - wie man hier ganz offensichtlich sieht - dazu beitragen, absoluten Leichtsinn an den Tag zu legen.

(05.04.2015, 14:57)HDS schrieb:  zentralen Server-PC Vereinsdaten

Mir wird gerade fürchterlich schlecht, wenn ich darüber nachdenke, was das für Daten sein könnten und wie die gesichert sind.

(05.04.2015, 14:57)HDS schrieb:  Daraus resultiert nun, dass fünf bis sieben Genexis-Router im Netz sind. (192.168.1.6 .1.16 .1.26 usw.)

Grundgütiger!

(05.04.2015, 14:57)HDS schrieb:  Jeder der im Netz aktiven Genexis-Router verteilt nun an jeden PC im Netz eine IPv6 Adresse.
Mit IPConfig am Server-PC werden dort fünf statische und fünf temporäre IPv6 angezeigt.

Oh .... mein ... Gott.

Vier rogue router in einem Netz, reife Leistung.

(05.04.2015, 14:57)HDS schrieb:  Sollte noch jemand eine andere Möglichkeit sehen, so lasst sie mich wissen. Danke.

Mir fallen mehrere ein, aber keine, die man mal eben zwischen Suppe und Kartoffeln im Forum darlegen könnte.

[Beowulf Shaeffer]

Zitat:Grundgütiger!

Zitat:Oh .... mein ... Gott.

Zitat:Vier rogue router in einem Netz, reife Leistung.

Ja, aehnliche Vokabeln sind mir beim lesen des Beitrag ebenfalls durch den Kopf gegangen! Bei mir war noch "auweia" und gegen Ende "Hilfe" dabei.


Gruss
LoUiS

[Schimmelreiter]

(07.04.2015, 16:03)HDS schrieb:  Ein rogue Router ist .....
Ein rogue Router macht folgendes im Netz ........
Dies solltest Du tunlichst vermeiden indem Du .....
usw.

Ein Forum kann Antworten auf einzelne Fragen geben oder Problemlösungsansätze liefern.

Ich wende da schon nicht mehr in Stunden zu bemessende Zeiten für auf, frag mal hoddelac.

Was es aber nicht kann ist das Ersetzen einer kompletten Ausbildung.

(07.04.2015, 16:03)HDS schrieb:  Hab ich jetzt einen oder mehrere "Schurken/Gauner" oder nicht ?

Hast Du.

Euer WLAN-Gedönse schaltet alle Eure Netz zu einem zusammen, quasi auch ein WAN.
Gleichzeitig verfügt jeder Standort auch noch über eine Außenanbindung zum Internet über den Genexis-Router.
Jeder dieser Router bringt nun seine Außenanbindung in das gemeinsame WAN mit ein und agiert für diese als Router.

Euer WAN verfügt also über insgesamt fünf Außenanbindungen.
Bei IPv4 kriegt Ihr es noch über unterschiedliche default gateways hin, daß Standort A eine andere Außenanbindung nutzt als Standort B.
IPv6 ist aber für eine einfachere Auto-Konfiguration konzipiert und jeder der "Genexisse" macht das LAN/WAN mit seinem Präfix bekannt, daher die fünf unterschiedlichen IPv6-Adressen an jedem Gerät.

Je nachdem ob Du nun als Server-IPv6-Zieladresse die nutzt, die der Server von "seinem" örtlichen Router erhalten hat oder die, die er von einem anderen Router erhalten hat wird nun entweder durch das Internet geroutet oder direkt durch Euer Privat-WAN zum Server.

Mein Hauptproblem mit Eurem ganzen Aufbau ist eigentlich, daß Ihr mehrere fremde LANs zu einem gemeinsamen WAN zusammenschaltet.
Es gibt nur wenige Personen, mit denen ich so etwas machen würde, denn so wie sich das advertised prefix der fremden Router so ins eigene LAN fortpflanzt, so könnte sich auch diverser anderer Kram fortpflanzen.
Mich gruselt es bei dem Gedanken, daß womöglich auch noch Besucher an Standort X dazukommen (Wer schon die WLAN-Kopplung der Standorte nicht absichert macht bestimmt auch kein extra Gast-WLAN), die somit Zugriff auf den Festplattenreceiver an Standort Y oder den Server an Standort Z haben.

Der nächste Punkt ist, daß der Betreiber an Standort A ja einfach nur sein default gateway von Router A auf Router B ändern muß, um z.B. seinen Torrent-Traffic durch Router B zu pumpen, womit er aus dem Schneider und Betreiber B am Haken ist.
Wenn ich der Sohnemann an Standort A wäre, würde ich es tun. Blödheit muß schließlich bestraft werden.

Was ich machen würde ist zusammengefaßt:
1. Jeder Standort kriegt sein eigenes LAN
2. Entweder koppelt man die Standorte nun per VPN oder von mir aus auch wieder über das WLAN, dann läge aber das WLAN-Netz außerhalb aller LANs und würde nur als Verbindungsnetz für diese dienen.

[Beowulf Shaeffer]

(07.04.2015, 16:03)HDS schrieb:  Wenn auch die ersten Antworten ja so weit noch OK sind, wird es
zum Ende hin aber recht seltsam:

Mir wird gerade fürchterlich schlecht,.........
Grundgütiger!
Oh .... mein ... Gott.
Vier rogue router in einem Netz, reife Leistung.

Selbst ein Administrator dieses Forums haut in die gleiche Kerbe:

auweia
Hilfe

Nennt Ihr das eine hilfreiche und konstruktive Antwort ?

Nein, das nenne ich wirklich keine konstruktive Antwort, aber evtl. sollten die Antworten Dich einfach dazu animieren ueber Dein Szenario nachzudenken. Das da etwas nicht stimmt konnte man den Antworten ja unschwer entnehmen.
Zu Thema Hilfe: Ich bin einfach nicht hier im Forum dazu da, um fremde Netz zu konfigurieren, planen oder anzupassen. Fuer solch grosse Projekte mit u.A. DSL Anbindungen von Ort A nach B und Verteilung an die Clients, gibt es Profis. Diese erledigen solche Jobs, halt gegen Einwurf von mehr oder weniger Muenzen, und erstellen ein Konzept und den Aufbau des Netz. Ich bin da persoenlich nicht gewillt eine Abhandlung zu dem Thema zu verfassen, das fuehrt zu weit und geht weit ueber das Thema dieses Forums hinaus.
Wie Schimmelreiter verbringe auch ich einen Grossteil meiner Freizeit damit hier und in auch in anderen Foren zu helfen, aber da gibt es halt eine Grenze. Ich zumindest werde mich nun auch nicht weiter zu dem Thema aeussern.


Gruss
LoUiS

[wolli-52]

LÖSUNG:
Hier eine Kurze Zusammenfassung, wie man nun mittels Genexis-Router von aussen an seine Dienste kommt:
Schritt 1:
Die "externe IP" (Bei IPv6 eher ein Adressbereich) ermitteln:
Status -> Interfaces -> WAN -> IPv6 Adresse (die, die nicht mit :: beginnt)

Hallo, BG99,

bin seit Januar Glasfaser-Neuling in Kückhoven (über fl!nk, bisher nur Internet ohne Telefonie). Als freiberuflicher Grafik-Dienstleister tausche ich mit meinen Auftraggebern regelmäßig größere Datenmengen aus (in der Regel via FTP) und habe erfreut festgestellt, daß ich mich erwartungsgemäß in einer ganz anderen Traffic-Liga befinde. Stabilitätsprobleme konnte ich bisher nicht registrieren, Aufrufe von Internetseiten erfolgen aber auch bei mir teilweise unerwartet langsam, ohne daß ich da irgendwelche Regeln erkennen könnte. Nach lesen eines Forumsbeitrags habe ich auch die MTU-Size meines PC-Adapters gecheckt: Die steht wie dort vorgeschlagen auf 1480. Die lahmste Krücke ist das Webinterface des Genexis-Routers - die Antworten kommen mit der Geschwindigkeit eines Sack Muschelns in meinem Browser (aktueller Firefox) an und häufig muss ich mehrfach auf die Links klicken.

Mein aktuelles ToDo besteht darin, mein NAS (Medion MD 86517, soll laut Hotline-Aussage ipv6-fähig sein, obwohl ich die in dessen Webinterface nirgendwo auslesen kann) von aussen zugängig zu machen, um meinen Auftraggebern via FTP ein Archiv über abgeschlossene Projekte zur Verfügung zu stellen. Daß dies mit einigen Klinken versehen ist, hatte ich schon diversen Forumsbeiträgen entnehmen können und die Lösungsansätze - u.a. auch Deine - sehe ich als sehr hilfreich an und denke, daß ich die Grundsätze einigermaßen verstanden habe. Subdomain (daten.xy.de bei Strato) ist vorhanden.

Allerdings endet mein Anbindungsversuch bereits beim ersten Schritt deines eingangs zitierten Lösungsansatztes: Ich kann an keiner Stelle in den Routereinstellungen dessen externe IPv6-Adresse finden. Wenn ich auf "Status" gehe, steht die sekundäre Auswahl schon auf "Interfaces" - das kann ich dann auch noch als große Überschrift auf der weißen fläche sehen, ansonsten ist die aber komplett leer und ohne weitere Informationen!

Zusatzinfo: In einer späteren Atwort von Dir zu diesem Thema (vom 20.12.14) listest Du die Infos zu Hard- und Firmware Deines Routers auf - bis auf das Produktionsdatum sind die identisch mit denen meines Routers.

Mit Stolpersteinen hatte ich ja aufgrund Erfahrungen anderer gerechnet, nicht aber mit solch einer Komplett-Bremse.

hast Du oder jemand anderes eine Idee? Danke im Voraus.