[Hardwarechaos]

Ahoi,

ich stehe gerade ein wenig auf dem Schlauch...

Ich scheitere gerade an nem simplen Testszenario.
Hinter dem Genexis hängt ein einfacher Linux Server (Ubuntu) mit nem Apache drauf, welcher auf Port 80 lauscht.

Code:

tcp6       0      0 :::80                   :::*                    LISTEN

Der Server hat natürlich seine IP6 Addressen

Code:

inet6 2a00:61e0:4070:202:c898:9b35:5194:dbb8/64 scope global temporary dynamic
       valid_lft 3154sec preferred_lft 597sec
    inet6 2a00:61e0:4070:202:2e0:cafe:fe36:4f3d/64 scope global dynamic
       valid_lft 3154sec preferred_lft 597sec
    inet6 fe80::2e0:cafe:fe36:4f3d/64 scope link
       valid_lft forever preferred_lft forever

Nach meiner Logik muss ich doch nur im Genexis "IPv6 Port-Weiterleitungskonfiguration"
2a00:61e0:4070:202:2e0:cafe:fe36:4f3d 80 tcp eintragen. (bzw könnte die IP sogar ganz rauslassen wenn die Beschreibung stimmt.)

Das ganze hab ich mit mehren IPV6 Portscannern online testen lassen und keiner kommt durch. Den Genexis hab ich schon prophylaktisch factory resettet.

Könnte mir kurz jemand bestätigen, dass die Vorgehensweise richtig ist, bzw. hat noch jemand ne Idee?

mfg
Manuel

[cyp]

Guten Tag,

also was du da machst dürfte das öffnen der Ipv6 Firewall sein, eine Portweiterleitung ist bei Ipv6 nicht vorgesehen.

Trägst du keine Ip dazu ein wird das auch funktionieren, dann müsste der Port 80 aber für alle Endgeräte geöffnet sein.

Kannst du denn lokal per local link bzw. deiner öffentlichen Ipv6 auf den Apache zugreifen?
Vll hast du ja noch eine Firewall auf dem Server an wo der Port nich nicht geöffnet ist.

Grüße

EDIT: wichtig ist natürlich das du vom WAN aus die Ipv6 von deinem Apache nimmst (für diese ist auch Port 80 geöffnet), nicht die deines Routers.
2a00:61e0:4070:202:2e0:cafe:fe36:4f3d

[Hardwarechaos]

Hi,

schon klar das es kein Forwarding ist ;-)
Die dumme Seite heißt nun mal so im Genexis.

Hab auch die richtige Adresse genommen.

Der Server ist ein schnell installiertes Ubuntu 14.04. mit SSH & Apache. Sollte meines Wissens in der Standardkonfig nix aktiv sein was das blockt. (ufw oder iptables,etc.)

LAN hab ich nur IP4 getestet, weil ich hier noch in nem anderen Netz unterwegs bin. Wird dann der nächste Schritt.

Danke
Manuel

[cyp]

Ist wirklich unverständlich das es so genannt wird, aber probier mal die öffentliche Router Ip auf Port 80 vll ist es ja doch ein forwarding xD zuzutrauen ist denen alles.

iptables ist ausschließlich für ipv4

ipv6 -> ip6tables

Der lokale Test wird erstmal aufschluss geben.

Grüße

[DaSpook]

Also ich habe das genau so laufen. Die Standard Ubuntu Installation sollte dir die Apache Testseite liefern. Sowohl per IPv4 als auch per IPv6.

Du musst im Genexis einfach nur die Globale IPv6 des Servers eintragen und den gewünschten Port und das Protokoll. ifconfig auf dem server zeigt dir diese Globale IP. Du musst NICHT die Adresse des Routers angeben, sondern die Adresse des Servers, sonst klappt es nicht.

Ich würde dringend empfehlen, sowohl IP als auch Port als auch Protokoll anzugeben. Sozusagen eine selektive Freischaltung vorzunehmen. Das ist Port 80 TCP für den WebServer und Port 443 TCP für https (Webserver SSL Verschlüsselt)

Klappt ganz hervorragend.

Du müsstest die Webseite sehen unter:

http://IPv4-des-Servers (aus dem internen Netz!)

und

http://[IPv6-des-Servers] (Die Klammern sind wichtig!) Das müsste (sofern die Eingaben im Genexis richtig sind) aus jedem IPv6 fähigem Netz funktionieren, intern wie extern.

[Hardwarechaos]

Hi
Danke für die Bestätigung dass das Setup so klappt.

Mittlerweile funktioniert die Sache und ich hab keine Ahnung warum, bzw was das Problem war.
Ich habe nur im Genexis das WLAN aktiviert um mal schnell nen Test mit nem Android Tablet zur IPV6 Adresse zu machen. Und auf einmal gingen beide IPV6 Portscanner auch.

Vielen Dank
Manuel

[Schimmelreiter]

"Forwarding" ist streng genommen schon richtig, was nicht auf dem Rechner terminiert, auf dem die Firewall läuft ist eine Forward-Rule.

Was es halt nicht ist, ist ein "Port Forward", der wiederum genau genommen eine DNAT (Destination NAT) rule ist.

PS:
2a00:61e0:4070:202:2e0:cafe:fe36:4f3d Port 80
ist schon die richtige Weiterleitungsregel.

Womöglich lauscht der Apache zwar per IPv6, ist aber für IPv6 so konfiguriert, Zugriffe nur aus demselben Netz anzunehmen, garnichts zu zeigen, o.ä.

Außerdem ist natürlich bei einem Port-Scan auch noch zu beachten, daß man auch einen für IPv6 geeigneten nimmt und die Bedienhinweise beachtet ...

Z.B. diesen Portscanner benutzen.
Dabei beachten: Die vorbelegte IPv6 ist die vom Quell-PC, nicht die des Servers.

Manche IPv6-Port-Scanner kommen auch nicht damit klar, wenn der zu prüfende Host als Hostname angegeben wird und nicht als IPv6.

[cyp]

Jetzt habe ich meinen Beitrag gelöscht also nochmal

(11.01.2015, 22:17)Schimmelreiter schrieb:  "Forwarding" ist streng genommen schon richtig, was nicht auf dem Rechner terminiert, auf dem die Firewall läuft ist eine Forward-Rule.

Müsste es nicht ganz streng genommen eine Filterregel sein.

Normalerweise ist ja "ip6tables" für die Ipv6 Firewall/Filter Regeln bei Linux zuständig.
Hier ein Auszug aus der man page:

Zitat:DESCRIPTION

Ip6tables is used to set up, maintain, and inspect the tables of IPv6 packet filter rules in the Linux kernel.

Wenn ich mich recht entsinne wird ja das "forwarding" allgemein einfach nur aktiviert.
z.B. mit echo "1" >/proc/sys/net/ipv6/conf/all/forwarding

Was wohin weitergeleitet wird regelt bekanntlich die Routingtabelle (Parameter -6). (hierbei würde ich am ehesten zu dem Begriff "Forward-Rule" tendieren)


Um den weiterzuleitenden Traffic zu Filtern legt man nun z.B. mit ip6tables (der Menüpunkt in der Genexisoberfläche macht nichts anderes) Filterregeln an, damit kann man bestimmen welche Pakete durchgelassen werden und welche nicht.
ala eingehend Accept meine Regeln, sonst Drop.

Also denke ich "forwarding" ist in dem Fall der falsche Begriff, da das forwarding sich auf die Router und nicht auf die Firewall Eigenschaft bezieht. Korrekt wäre meiner Meinung nach Filterregeln, denn das wird hier Konfiguriert.

Grüße

EDIT: Bei einer Ipv4 Firewall wären das genauso Filterregeln, kommt in der Praxis bei SOHO Konfigurationen mangels öffentlicher IP-Adressen jedoch seltener vor, da die "Firewall" Eigenschaft durch das NAT erreicht wird. Hier ist es korrekterweise eine "Port-Forward-Rule", da das Paket empfangen wird (der Router selbst hat ja die Zieladresseort) und auf ein neues Ziel umgeschrieben/weitergeleitet wird (lokale Adresseort). Ist keine solche Regel definiert, landet das Paket beim Router selbst, wo wiederum die Filterregeln (iptables) zum Einsatz kommen sollten. (sonst wäre z.B. die Routeroberfläche erreichbar, entsprechendes Bind vorausgesetzt).

[Schimmelreiter]

(13.01.2015, 18:59)cyp schrieb:  Müsste es nicht ganz streng genommen eine Filterregel sein.

Das wäre der Überbegriff, beides ist eine Filterregel.

(13.01.2015, 18:59)cyp schrieb:  Also denke ich "forwarding" ist in dem Fall der falsche Begriff, da das forwarding sich auf die Router und nicht auf die Firewall Eigenschaft bezieht. Korrekt wäre meiner Meinung nach Filterregeln, denn das wird hier Konfiguriert.

Da hast Du zwar im Prinzip Recht, aber auch das gilt für beides.

Bei "handelsüblichem" IPv4 kommt halt noch hinzu, daß Du ohne die Filter-Regel gar nicht erst routen kannst, weil keine brauchbare Zieladresse vorliegt bzw. das Paket mit dem Router sein eigentliches Ziel bereits erreicht hat.
Bei IPv4 fehlt es den eigentlichen Zielgeräten an echten IP-Adressen. Erst durch den DNAT-Paketfilter werden die Pakete mit einer neuen, im LAN gültigen Zieladresse versehen, mit der das Routing überhaupt erst weitergehen kann.

Bei IPv6 gibt es dieses Problem nicht, die Pakete laufen bereits korrekt adressiert am Router auf.

So wie es eigentlich gedacht ist, gibt es dieses Problem aber auch bei IPv4 nicht. Wenn wir das Problem der Adressknappheit nicht hätten, bekäme jeder Kunde einfach seine 256, 512, 1024, ... Adressen und könnte seinen Geräten richtige IPs geben.

Grundsätzlich funktionieren also beide Protokolle auch ganz ohne Paket-Filter, indem man einfach nur die entsprechenden Routing-Regeln erstellt.
Bei IPv4 geht es halt nicht, weil Du die Adressen dafür nicht hast ...

[cyp]

(13.01.2015, 19:21)Schimmelreiter schrieb:  Da hast Du zwar im Prinzip Recht, aber auch das gilt für beides.

Bei "handelsüblichem" IPv4 kommt halt noch hinzu, daß Du ohne die Filter-Regel gar nicht erst routen kannst, weil keine brauchbare Zieladresse vorliegt bzw. das Paket mit dem Router sein eigentliches Ziel bereits erreicht hat.
Bei IPv4 fehlt es den eigentlichen Zielgeräten an echten IP-Adressen. Erst durch den DNAT-Paketfilter werden die Pakete mit einer neuen, im LAN gültigen Zieladresse versehen, mit der das Routing überhaupt erst weitergehen kann.

Das ist vollkommen korrekt, war ich gerade oben noch als EDIT am hinzufügen.