- Anzeige -

Kleiner IPv6-Workshop

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Re: Kleiner IPv6-Workshop

Beitragvon Titus » 12.02.2014, 10:46

SpaceRat hat geschrieben:Die MyFritz!-Freigabe macht zwei Dinge:
1. Sie stellt den DynDNS-Dienst für das freigegebene Gerät zur Verfügung (Die lange, teils kryptische URL)
2. Sie öffnet den in der MyFritz!-Freigabe angegebenen Port in der IPv6-Firewall für dieses Gerät

D.h. wenn Du eine MyFritz!-Freigabe für einen HTTPS-Server auf einem IPv6-fähigen Gerät anlegst, dann erhältst Du den DynDNS-Host für <Gerät>.<kryptische Buchstabenfolge>.myfritz.net und hast die IPv6-Firewall auf Port 443 für dieses Gerät geöffnet. Alle anderen Ports und auch Ping6 bleiben aber dicht!
Du kannst nun wahlweise weitere MyFritz!-Freigaben für das selbe Gerät anlegen um weitere Ports zu öffnen oder aber einfach die durch MyFritz! angelegte Regel unter "IPv6-Freigabe" um weitere Ports (z.B. 22 für ssh) ergänzen.

Vielleicht liegt da der Hase begraben und ich habe bisher die falschen Ports für die DS freigegeben. Eigentlich sind das 5000 für http und 5001 für https. Ich habe aber eben gelesen, dass jemand mal die 5002 auf die 5000 umgelenkt hat, weil die 5000 direkt auch nicht funktionieren wollte.

Allerdings finde ich dort im letzten Punkt unter "Applications" auch eine Firewall ... u.U. mußt Du also auch eine zweite Firewall öffnen, nämlich die auf dem NAS.

Bei der hatte ich zuletzt alle Ports freigegeben, um auszuschließen, dass diese Firewall dazwischen funkt.
Um die VU kümmere ich mich eventuell, wenn die DS richtig läuft. Mir fehlt da momentan aber noch etwas der Anwendungsfall für den ich einen Zugriff von außen benötige.
Titus
Kabelneuling
 
Beiträge: 48
Registriert: 29.01.2013, 10:56

Re: Kleiner IPv6-Workshop

Beitragvon SpaceRat » 12.02.2014, 14:32

Titus hat geschrieben:Vielleicht liegt da der Hase begraben und ich habe bisher die falschen Ports für die DS freigegeben.

Das wird es sein und ist auch genau das, was ich damit meine, wenn ich sage, daß sich die Leute von Verkomplizierungen aus IPv4 gedanklich nicht trennen können ...

Titus hat geschrieben:Eigentlich sind das 5000 für http und 5001 für https.

Dann mußt Du auch diese Ports in der Firewall öffnen.
Die MyFritz!-Freigabe auf Port 443 ist aber schadlos, mach einfach unter "IPv6-Firewall" für den NAS die Ports 5000-5001 zusätzlich auf.

Titus hat geschrieben:Ich habe aber eben gelesen, dass jemand mal die 5002 auf die 5000 umgelenkt hat, weil die 5000 direkt auch nicht funktionieren wollte.

Bei IPv6 wird nichts umgelenkt.

Diese ganze Umlenkerei ("Port-Forwarding") bei IPv4 ist dort nur deshalb notwendig, weil Du trotz mehrerer Geräte nur eine einzige IP-Adresse zur Verfügung hast. Deshalb muß das Gerät, welches diese IP wirklich hat (Der Router) sie von <seiner Adresse>:<freier Port> an <lokale IPv4 des tatsächlichen Zieles>:<richtiger Port> umleiten. Ist dann im Router Port 5000 schon für ein anderes Gerät verheizt, dann muß man dort eben z.B. Port 5002 nehmen, obwohl das Ziel weiterhin Port 5000 auf dem Zielgerät ist ....

Bei IPv6 entfällt dieser Nonsens, das Zielgerät hat ja seine eigene IP-Adresse und kann direkt und mit dem richtigen Port angesprochen werden.

Daß es in der Fritz!Box überhaupt "IPv6-Freigaben" gibt, hat also einzig und allein damit zu tun, daß AVM als m.W. einziger Hersteller auch eine funktionierende IPv6-Firewall hat. Ohne die Firewall wäre das NAS auch ohne "IPv6-Freigabe" direkt erreichbar, allerdings komplett, also z.B. auch per telnet, ftp oder was es sonst noch so an unsicheren Diensten gibt.
Die Fritz!Box hingegen sperrt in der IPv6-Firewall alle Zugriffe auf das Gerät, außer für die Ports, die explizit freigegeben wurden. Das ist aber eine reine "auf/zu"-Einstellung.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Kleiner IPv6-Workshop

Beitragvon Titus » 12.02.2014, 14:37

SpaceRat hat geschrieben:
Diese ganze Umlenkerei ("Port-Forwarding") bei IPv4 ist dort nur deshalb notwendig, weil Du trotz mehrerer Geräte nur eine einzige IP-Adresse zur Verfügung hast. Deshalb muß das Gerät, welches diese IP wirklich hat (Der Router) sie von <seiner Adresse>:<freier Port> an <lokale IPv4 des tatsächlichen Zieles>:<richtiger Port> umleiten. Ist dann im Router Port 5000 schon für ein anderes Gerät verheizt, dann muß man dort eben z.B. Port 5002 nehmen, obwohl das Ziel weiterhin Port 5000 auf dem Zielgerät ist ....

Bei IPv6 entfällt dieser Nonsens, das Zielgerät hat ja seine eigene IP-Adresse und kann direkt und mit dem richtigen Port angesprochen werden.

Du hast Recht und eigentlich war mir das schon bekannt. Hab's wohl in geistiger Umnachtung in dem Augenblick des Schreibens wieder verdrängt.

Daß es in der Fritz!Box überhaupt "IPv6-Freigaben" gibt, hat also einzig und allein damit zu tun, daß AVM als m.W. einziger Hersteller auch eine funktionierende IPv6-Firewall hat. Ohne die Firewall wäre das NAS auch ohne "IPv6-Freigabe" direkt erreichbar, allerdings komplett, also z.B. auch per telnet, ftp oder was es sonst noch so an unsicheren Diensten gibt.
Die Fritz!Box hingegen sperrt in der IPv6-Firewall alle Zugriffe auf das Gerät, außer für die Ports, die explizit freigegeben wurden. Das ist aber eine reine "auf/zu"-Einstellung.

Im Grunde bedeutet das doch, dass ich die Synology-Firewall gefahrlos aufmachen kann, oder? Denn bis zum NAS kommt ja eh nur, was die Fritzbox durchgelassen hat. Die würde doch nur noch bei bisher nicht bekannten Sicherheitslücken in der Fritzbox-Firewall helfen!?
Titus
Kabelneuling
 
Beiträge: 48
Registriert: 29.01.2013, 10:56

Re: Kleiner IPv6-Workshop

Beitragvon SpaceRat » 12.02.2014, 15:57

Titus hat geschrieben:
SpaceRat hat geschrieben:Daß es in der Fritz!Box überhaupt "IPv6-Freigaben" gibt, hat also einzig und allein damit zu tun, daß AVM als m.W. einziger Hersteller auch eine funktionierende IPv6-Firewall hat. Ohne die Firewall wäre das NAS auch ohne "IPv6-Freigabe" direkt erreichbar, allerdings komplett, also z.B. auch per telnet, ftp oder was es sonst noch so an unsicheren Diensten gibt.
Die Fritz!Box hingegen sperrt in der IPv6-Firewall alle Zugriffe auf das Gerät, außer für die Ports, die explizit freigegeben wurden. Das ist aber eine reine "auf/zu"-Einstellung.

Im Grunde bedeutet das doch, dass ich die Synology-Firewall gefahrlos aufmachen kann, oder? Denn bis zum NAS kommt ja eh nur, was die Fritzbox durchgelassen hat. Die würde doch nur noch bei bisher nicht bekannten Sicherheitslücken in der Fritzbox-Firewall helfen!?

Radio Eriwan: Im Prinzip schon.

An sich reicht eine Firewall und selbst wenn man berücksichtigt, daß man zum Schutz von Firmen-Netzen durchaus auch mal mehrere Firewalls unterschiedlicher Hersteller kaskadiert, um auch dann noch sicher zu sein, wenn eine davon exploitable ist, hat die Synology-Firewall den Makel, auf dem Gerät zu laufen, das sie schützen soll, was nicht der Bringer ist.

Angesichts der aktuellen Lage (Fritz!Box-Fernwartung in den Kabelfritten noch nicht sicher gemacht, obwohl der Fix schon längst vorliegt) würde ich das aber nicht so generell sagen.
Angenommen, jemand erlangt Fernzugriff auf die Fritz!Box, dann könnte er ja in Versuchung kommen, weitere Ports auf dem NAS zu öffnen, z.B. telnet, um dann dort weiter zu wüten. Ist aber der Telnet-Port ein zweites Mal auf dem NAS selber dicht gemacht, dann nutzt ihm das Öffnen in der Fritz!Box nichts.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Kleiner IPv6-Workshop

Beitragvon Titus » 12.02.2014, 16:03

Jepp. Das ist ja genau das, was ich meinte.
So, jetzt erstmal Ruhe...ich werde ausprobieren, ob ich reinkomme und dann mal 'ne Rückmeldung geben...
Titus
Kabelneuling
 
Beiträge: 48
Registriert: 29.01.2013, 10:56

Re: Kleiner IPv6-Workshop

Beitragvon Titus » 13.02.2014, 13:41

So, weiter geht's...gestern standen wir am Abgrund, heute sind wir einen Schritt weiter :heul:

Gestern Abend habe ich versucht, die FB vom Handy aus zu erreichen. Erst war ich erfreut, weil das ging. Ebenso dann die dahinter liegenden NAS. Dann fiel mir auf, dass ich noch im WLAN war :wand: Über Aiccu ging's dann nicht.
Später gestern Abend kam mir dann noch in den Sinn, dass ich hier zuhause noch einen zweiten Internetzugang über Arcor/Vodafone-DSL habe. Homeoffice. Also darüber auch mal versucht. Aiccu installiert und gestartet. meineipv6 zeigt mir dann auch artig eine v6-Adresse an. Auf die Fritzbox komme ich aber trotzdem nicht. Wobei das schon funktioniert hat. Die Tage aus dem Büro übers Handy... :confused: Muss ich nochmal ran.
Titus
Kabelneuling
 
Beiträge: 48
Registriert: 29.01.2013, 10:56

Re: Kleiner IPv6-Workshop

Beitragvon SpaceRat » 13.02.2014, 14:48

Titus hat geschrieben:So, weiter geht's...gestern standen wir am Abgrund, heute sind wir einen Schritt weiter :heul:

Gestern Abend habe ich versucht, die FB vom Handy aus zu erreichen. Erst war ich erfreut, weil das ging. Ebenso dann die dahinter liegenden NAS. Dann fiel mir auf, dass ich noch im WLAN war :wand: Über Aiccu ging's dann nicht.
Später gestern Abend kam mir dann noch in den Sinn, dass ich hier zuhause noch einen zweiten Internetzugang über Arcor/Vodafone-DSL habe. Homeoffice. Also darüber auch mal versucht. Aiccu installiert und gestartet. meineipv6 zeigt mir dann auch artig eine v6-Adresse an. Auf die Fritzbox komme ich aber trotzdem nicht. Wobei das schon funktioniert hat. Die Tage aus dem Büro übers Handy... :confused: Muss ich nochmal ran.

Wenn Du mir die entsprechenden Adressen gibst, kann ich das gerne mal von hier aus ausprobieren, um einen Fehler bei Deiner lokalen Konfiguration auszuschließen.

Beim Zugriff aus einem per aiccu/SixXS/HE-Tunnel aufgepeppten Anschluß aus kann übrigens folgendes Problem auftreten:

Symptom: Du hast zwar IPv6 und kannst auch IPv6-Seiten über ihre IP-Adresse ansprechen, nicht aber über Namen. Du kriegst dann auch bei diesem Test eine Punktzahl >0 aber <10, i.d.R. 9/10.

Ursache: Der verwendete DNS-Server ist nicht IPv6-tauglich. Das ist z.B. im Mobilfunk bei o2 der Fall. Man könnte mit dem androiccu-Tunnel auf dem Smartphone dann zwar IPv6-Server erreichen, aber bei der Namensauflösung kommt das Smartphone eben nicht an die IPv6-Adresse zu <kryptische Zeichenfolge>.myfritz.net ran und eine IPv4-Adresse gibt es ja nicht.

Lösung: Die Server von Google-DNS (Oder OpenDNS, oder oder oder) verwenden.

Auf dem Smartphone habe ich SetDNS installiert, um im Mobilfunk-Netz immer und automatisch die Google-DNS-Server statt der von o2 zu nutzen.

Wenn es auf dem Smartphone unwichtig ist, lokale Hostnames wie "fritz.box" etc. auflösen zu können, kann man die Google-DNS-Server natürlich auch im WLAN nutzen.
Ich nutze aber stattdessen zusätzlich noch DNS Changer Root um je nach aktuellem WLAN automatisch bestimmte DNS-Einstellungen zu nutzen. In meinem Heimnetz oder dem von Freunden ist das ganz normal die jeweilige Fritz!Box als DNS-Server/-Proxy (Also kein override durch DNS Changer Root, aber in WLANs mit IPv6-untauglichen DNS-Servern kann ich dann auch automatisch die Google-DNS-Server aktivieren lassen, indem ich die jeweilige SSID des WLAN in die Auto-Apply-Liste für die Google-DNS-Server eintrage.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Kleiner IPv6-Workshop

Beitragvon Titus » 13.02.2014, 15:37

Geilomat. Was es nicht alles gibt.

Auf die Fritzbox komme ich mittlerweile. Geändert habe ich nix. Einmal die Fritzbox-Internetverbindung raus- und wieder reingenommen. Weiter geht's allerdings noch nicht.

Kann das auch mit der mangelhaften Namensauflösung zusammenhängen? Eigentlich doch nicht, oder? Ich will doch nur noch auf eine Subdomain meiner Fritzbox, oder?
Titus
Kabelneuling
 
Beiträge: 48
Registriert: 29.01.2013, 10:56

Re: Kleiner IPv6-Workshop

Beitragvon SpaceRat » 13.02.2014, 15:49

Titus hat geschrieben:Auf die Fritzbox komme ich mittlerweile. Geändert habe ich nix. Einmal die Fritzbox-Internetverbindung raus- und wieder reingenommen. Weiter geht's allerdings noch nicht.
Kann das auch mit der mangelhaften Namensauflösung zusammenhängen? Eigentlich doch nicht, oder? Ich will doch nur noch auf eine Subdomain meiner Fritzbox, oder?

Kann schon.
Wenn Dein Smartphone einen DNS-Cache hat, dann merkt es sich die aufgelösten IP-Adressen für eine gewisse - bei solchen DynDNS-Hosts aber eher kurz - Zeit.

Ich beobachte aber auch vereinzelt, daß MyFritz! vergißt, daß Gerät x eine IPv6 hat und diese daher nicht mit ins MyFritz!-Update einbezieht.

Was kommt denn raus, wenn Du mal einfach nur mit nslookup auf Hostnames auflöst, also z.B.
Code: Alles auswählen
C:\>nslookup abcdefghijklmnop.myfritz.net
...
Name:    abcdefghijklmnop.myfritz.net
Addresses:  2a02:908:fc20:::2


C:\>nslookup nas.abcdefghijklmnop.myfritz.net
...
Name:    nas.abcdefghijklmnop.myfritz.net
Addresses:  2a02:908:ff00::abcd:12ff:fe34:ef01


Wobei Du die Hostnames natürlich durch die bei/von Dir verwendeten ersetzen mußt und natürlich auch nicht diese IPv6-Adressen rauskommen werden.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Kleiner IPv6-Workshop

Beitragvon Titus » 13.02.2014, 23:41

Danke für den Tipp mit dem DNS. Das macht schon was, wenn auc nicht das Gewünschte dabei herauskommt:

So sieht's aus, wenn ich den standardmäßigen DNS nehme:
Code: Alles auswählen
C:\Users\Marco>nslookup pemxxxxxxxxxxxxxx.myfritz.net
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  fd00::2665:11ff:fe03:df7a

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.


Wundert mich ein wenig, da ich auf die FB ja drauf komme.

Das liefert googles DNS:
Code: Alles auswählen
C:\Users\Marco>nslookup pemxxxxxxxxxxxxxx.myfritz.net
Server:  google-public-dns-a.google.com
Address:  2001:4860:4860::8888

Name:    pemxxxxxxxxxxxxxx.myfritz.net
Address:  2a02:908:ec00:2:xxxx:xxxx:xxxx:xxxx


Sieht schon besser aus, NAS wird auch gefunden:
Code: Alles auswählen
C:\Users\Marco>nslookup ds.pemxxxxxxxxxxxxxx.myfritz.net
Server:  google-public-dns-a.google.com
Address:  2001:4860:4860::8888

Name:    ds.pemxxxxxxxxxxxxxx.myfritz.net
Address:  2a02:908:ec24:4880:xxxx:xxxx:xxxx:xxxx


Wenn ich dann aber versuche, mit Chrome auf die Büchse zu kommen, ist Ende der Fahnenstange. Wobe ich den Fehler jetzt irgendwoanders vermute, da ich zwischendurch mal 'ne Connection-Refused-Fehler hatte. Das heißt doch eigentlich, dass das NAS gefunden wurde, dieses nur nicht mitspielen wollte.


Bin ich eigentlich paranoid, weil ich die IP-Adressen ausge-x-t habe?
Zuletzt geändert von Titus am 13.02.2014, 23:48, insgesamt 1-mal geändert.
Titus
Kabelneuling
 
Beiträge: 48
Registriert: 29.01.2013, 10:56

VorherigeNächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 17 Gäste