- Anzeige -

Kleiner IPv6-Workshop

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Re: Kleiner IPv6-Workshop

Beitragvon un1que » 31.07.2013, 18:51

Hallo,

vielen Dank für die schöne Erklärung zum Thema IPv6! Nun habe ich vieles verstanden und auch einige Lücken schließen können, die sogar beim IPv4 Verständnis noch offen waren :zwinker:

Allerdings habe ich noch etwas vermisst: was macht man mit VPN? An vielen Stellen habe ich gelesen, dass das nicht mehr funktionieren sollte, stimmt das so? Gibt es Lösungen dafür, wie man es doch einrichten könnte? Geplant wäre die folgende Konfiguration:
Synology DS / Computer per OpenVPN mit den VPN-Servern eines Anbieters verbinden, der z.Z. noch keine IPv6 Unterstützung bietet.

Außerdem hätte ich noch eine Verständnisfrage, was die Sicherheit angeht. Ist IPv6 nicht ein wenig unsicherer? Weil so hatte man ja vom Provider meist eine immer wechselnde IP bezogen. Nun ist diese fest und sogar noch an die MAC Adresse des jeweiligen Gerätes gebunden. Ist das nicht sogar als nachteilig anzusehen?
un1que
Übergabepunkt
 
Beiträge: 443
Registriert: 01.07.2013, 17:56

Re: Kleiner IPv6-Workshop

Beitragvon SpaceRat » 01.08.2013, 20:59

un1que hat geschrieben:vielen Dank für die schöne Erklärung zum Thema IPv6! Nun habe ich vieles verstanden und auch einige Lücken schließen können, die sogar beim IPv4 Verständnis noch offen waren :zwinker:

Freut mich, daß es was gebracht hat :)

un1que hat geschrieben:Allerdings habe ich noch etwas vermisst: was macht man mit VPN? An vielen Stellen habe ich gelesen, dass das nicht mehr funktionieren sollte, stimmt das so? Gibt es Lösungen dafür, wie man es doch einrichten könnte? Geplant wäre die folgende Konfiguration:
Synology DS / Computer per OpenVPN mit den VPN-Servern eines Anbieters verbinden, der z.Z. noch keine IPv6 Unterstützung bietet.

Prinzipiell ist VPN auch nur irgendein Dienst wie alle anderen auch, somit kann man auch nichts Generelles dazu sagen, ob das geht oder nicht geht.

Auf IPSec basierende VPNs, wie z.B. das in der Fritz!Box eingebaute, gehen - wenn man es pauschal sagen will - nicht, die erwarten zwei IPv4-Tunnelendpunkte und transportieren auch keine IPv6-Payload (Payload= Das, was innerhalb des VPNs übertragen wird), es sei denn, es wären 6in4-Pakete, was logisch ist, da das ja eigentlich technisch betrachtet doch IPv4-Pakete sind.

Wenn der bzw. die Clients NAT-Traversal (Frei übersetzt: Durchquerung von Netzwerkadress-Übersetzungen) unterstützen, dann kann man allerdings auch ein solches VPN am CGN-Anschluß zum Laufen bringen, Beispiele von an IPv4-CGN-Anschlüssen laufenden VPNs gab es auch schon im Forum.
Ich habe auch ehrlich gesagt noch nicht verifizieren können, ob das AVM-VPN wirklich nicht geht, wenn eine der Seiten noch eine öffentliche IPv4 und dementsprechend auch nur eine Seite nur IPv4 mit CGN hat. Es versuchen ja durchaus beide Seiten, das VPN aufrecht zu halten, wie man gut daran sehen kann, daß der Aufbau auch dann gelingt, wenn man mal auf der einen und mal auf der anderen die DynDNS-Aktualisierung versaubeutelt.
Ich würde sogar die Behauptung wagen, daß es geht, immerhin kann ich von meinem Smartphone aus auch im Mobilfunknetz eine VPN-Verbindung zur Fritz!Box aufbauen und im Mobilfunk hat man ja i.d.R. auch nur IPv4-CGN.

OpenVPN unterstützt IPv6 sowohl als Trägernetz als auch als Payload, natürlich nur, sofern das auch die beiden Endpunkte unterstützen.

Genaueres kann man wirklich nur sagen, wenn man wüßte, welchen VPN-Client mit welchen Einstellungen und in welcher Version Du auf der NAS benutzen würdest/müßtest und wie der VPN-Server eingerichtet ist. Ein IPv6-tauglicher Anbieter wäre allerdings vorzuziehen. Da auch die Anbieter immer schlechter an IPv4-Adressen kommen, ist das auch kein Problem, einen solchen zu finden.

un1que hat geschrieben:Außerdem hätte ich noch eine Verständnisfrage, was die Sicherheit angeht. Ist IPv6 nicht ein wenig unsicherer? Weil so hatte man ja vom Provider meist eine immer wechselnde IP bezogen. Nun ist diese fest und sogar noch an die MAC Adresse des jeweiligen Gerätes gebunden. Ist das nicht sogar als nachteilig anzusehen?

Meine Meinung hierzu habe ich schon erläutert, übrigens indirekt bereits in der "Rückschau" auf IPv4 in diesem Workshop:
NAT und dynamische IPs sind zuallererst und vorrangig Workaround-Mechanismen, um vorübergehend mit der Adressknappheit von IPv4 besser zurecht zu kommen. Sich an diese Einschränkungen zu gewöhnen, immerhin gab es die vom Start des privaten Internets an, ist die eine Sache. Da einen Sicherheitsmechanismus hinein zu interpretieren die andere und schon sehr gewagt. Ich sehe da absolut kein Problem mit. Die Gegenseite im Internet könnte jetzt, wenn Du keine Zufallskennung sondern EUI64 (Also Deine auf 64 Bit erweiterte MAC) verwendest, den Rückschluß ziehen, daß Du eine Netzwerkkarte von Marvell, Intel, 3com, Realtek, o.ä. verwendest. So wie Millionen anderer Menschen auch.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Kleiner IPv6-Workshop

Beitragvon un1que » 06.08.2013, 16:19

Vielen Dank für die ausführliche Erklärung!

SpaceRat hat geschrieben:Auf IPSec basierende VPNs, wie z.B. das in der Fritz!Box eingebaute, gehen - wenn man es pauschal sagen will - nicht, die erwarten zwei IPv4-Tunnelendpunkte und transportieren auch keine IPv6-Payload (Payload= Das, was innerhalb des VPNs übertragen wird), es sei denn, es wären 6in4-Pakete, was logisch ist, da das ja eigentlich technisch betrachtet doch IPv4-Pakete sind.

Wenn der bzw. die Clients NAT-Traversal (Frei übersetzt: Durchquerung von Netzwerkadress-Übersetzungen) unterstützen, dann kann man allerdings auch ein solches VPN am CGN-Anschluß zum Laufen bringen, Beispiele von an IPv4-CGN-Anschlüssen laufenden VPNs gab es auch schon im Forum.
Ich habe auch ehrlich gesagt noch nicht verifizieren können, ob das AVM-VPN wirklich nicht geht, wenn eine der Seiten noch eine öffentliche IPv4 und dementsprechend auch nur eine Seite nur IPv4 mit CGN hat. Es versuchen ja durchaus beide Seiten, das VPN aufrecht zu halten, wie man gut daran sehen kann, daß der Aufbau auch dann gelingt, wenn man mal auf der einen und mal auf der anderen die DynDNS-Aktualisierung versaubeutelt.
Ich würde sogar die Behauptung wagen, daß es geht, immerhin kann ich von meinem Smartphone aus auch im Mobilfunknetz eine VPN-Verbindung zur Fritz!Box aufbauen und im Mobilfunk hat man ja i.d.R. auch nur IPv4-CGN.

OpenVPN unterstützt IPv6 sowohl als Trägernetz als auch als Payload, natürlich nur, sofern das auch die beiden Endpunkte unterstützen.

Genaueres kann man wirklich nur sagen, wenn man wüßte, welchen VPN-Client mit welchen Einstellungen und in welcher Version Du auf der NAS benutzen würdest/müßtest und wie der VPN-Server eingerichtet ist. Ein IPv6-tauglicher Anbieter wäre allerdings vorzuziehen. Da auch die Anbieter immer schlechter an IPv4-Adressen kommen, ist das auch kein Problem, einen solchen zu finden.


Hmm, ich habe ein wenig gegoogelt und herausgefunden, dass Synology wohl die Version 2.1.4 verwendet. Ist wahrscheinlich komplett untauglich um auch nur auszuprobieren, ob DS-Lite zu IPv4 eine Verbindung aufbauen kann, richtig? Dann bliebe es ja nur zu hoffen, dass die beim nächsten FW Update auch OpenVPN aktualisieren. So würde ja wenigstens die Hoffnung bestehen, dass es evtl. möglich sein würde vom DS-Lite den IPv4 VPN Anbieter zu erreichen?

Ist im Moment halt so, dass ich erst vor kurzem einen VPN Anbieter gefunden habe, der voll und ganz meinen Vorstellungen entspricht und nun müsste ich auf diesen verzichten, weil er kein IPv6 unterstützt :traurig:

SpaceRat hat geschrieben:Meine Meinung hierzu habe ich schon erläutert, übrigens indirekt bereits in der "Rückschau" auf IPv4 in diesem Workshop:
NAT und dynamische IPs sind zuallererst und vorrangig Workaround-Mechanismen, um vorübergehend mit der Adressknappheit von IPv4 besser zurecht zu kommen. Sich an diese Einschränkungen zu gewöhnen, immerhin gab es die vom Start des privaten Internets an, ist die eine Sache. Da einen Sicherheitsmechanismus hinein zu interpretieren die andere und schon sehr gewagt. Ich sehe da absolut kein Problem mit. Die Gegenseite im Internet könnte jetzt, wenn Du keine Zufallskennung sondern EUI64 (Also Deine auf 64 Bit erweiterte MAC) verwendest, den Rückschluß ziehen, daß Du eine Netzwerkkarte von Marvell, Intel, 3com, Realtek, o.ä. verwendest. So wie Millionen anderer Menschen auch.

Ah gut, soweit habe ich jetzt nicht gedacht. Das heißt ja wiederum, dass auch in diesem Fall nur der Provider weiß, unter welcher realen Adresse die IP(v6) so und so zu finden ist, richtig?
un1que
Übergabepunkt
 
Beiträge: 443
Registriert: 01.07.2013, 17:56

Re: Kleiner IPv6-Workshop

Beitragvon SpaceRat » 06.08.2013, 17:07

un1que hat geschrieben:[VPN]Hmm, ich habe ein wenig gegoogelt und herausgefunden, dass Synology wohl die Version 2.1.4 verwendet. Ist wahrscheinlich komplett untauglich um auch nur auszuprobieren, ob DS-Lite zu IPv4 eine Verbindung aufbauen kann, richtig? Dann bliebe es ja nur zu hoffen, dass die beim nächsten FW Update auch OpenVPN aktualisieren. So würde ja wenigstens die Hoffnung bestehen, dass es evtl. möglich sein würde vom DS-Lite den IPv4 VPN Anbieter zu erreichen?

Ist im Moment halt so, dass ich erst vor kurzem einen VPN Anbieter gefunden habe, der voll und ganz meinen Vorstellungen entspricht und nun müsste ich auf diesen verzichten, weil er kein IPv6 unterstützt :traurig:

Nun, um zu einer IPv4-Gegenseite eine Verbindung aufzubauen reicht die Version so oder so. Die Frage ist nur, ob die Verbindung über das CGN auch aufrecht bleibt.

Ich habe das heute noch am Smartphone gehabt: Mit dem "VPNC" konnte ich eine VPN-Verbindung zur Fritz!Box aufbauen, die brach aber nach wenigen Minuten auch wieder zusammen, mit VpnCilla hält sie bzw. wird aufrecht erhalten.
Die Verbindung vom Smartphone aus ist vergleichbar mit der von einem DS-lite-Anschluß aus (zu einem IPv4-Host): Auch im Mobilfunk hat man nur CGN und keine öffentliche IPv4. Ebenfalls ändert sich die IPv4 alle paar Minuten.

Es käme also schon auf einen Versuch an, wobei ich nach wie vor einen Anbieter mit IPv6 vorziehen würde.


un1que hat geschrieben:
SpaceRat hat geschrieben:Ich sehe da absolut kein Problem mit. Die Gegenseite im Internet könnte jetzt, wenn Du keine Zufallskennung sondern EUI64 (Also Deine auf 64 Bit erweiterte MAC) verwendest, den Rückschluß ziehen, daß Du eine Netzwerkkarte von Marvell, Intel, 3com, Realtek, o.ä. verwendest. So wie Millionen anderer Menschen auch.

Ah gut, soweit habe ich jetzt nicht gedacht. Das heißt ja wiederum, dass auch in diesem Fall nur der Provider weiß, unter welcher realen Adresse die IP(v6) so und so zu finden ist, richtig?

An der Zuordnung von einer IP zu einer Person ändert sich nichts:
Jeder, den sie nichts angeht, kann sie rausfinden - Dorfpolizist, Abmahnanwalt, NSA, BND, Verfassungsschutz ...
Da tun sich IPv4 und IPv6 gar nichts.

Was sich ändert:
Der Verfassungsschutz kann jetzt auch rausfinden, von welchem der beschlagnahmten Rechner der Facebook-Eintrag "Die Stimmung ist mal wieder am Anschlag, gleich lassen wir die Bombe platzen und stellen unseren Stargast vor! Das wird vor allem die Laune bei den weiblichen Gästen zum explodieren bringen!" kam ;)

Meines Erachtens ist diese ganze Diskussion um dynamische Präfixe für den "Datenschutz" eine reine Nebelkerze.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Kleiner IPv6-Workshop

Beitragvon un1que » 06.08.2013, 17:33

SpaceRat hat geschrieben:Nun, um zu einer IPv4-Gegenseite eine Verbindung aufzubauen reicht die Version so oder so. Die Frage ist nur, ob die Verbindung über das CGN auch aufrecht bleibt.

Ich habe das heute noch am Smartphone gehabt: Mit dem "VPNC" konnte ich eine VPN-Verbindung zur Fritz!Box aufbauen, die brach aber nach wenigen Minuten auch wieder zusammen, mit VpnCilla hält sie bzw. wird aufrecht erhalten.
Die Verbindung vom Smartphone aus ist vergleichbar mit der von einem DS-lite-Anschluß aus (zu einem IPv4-Host): Auch im Mobilfunk hat man nur CGN und keine öffentliche IPv4. Ebenfalls ändert sich die IPv4 alle paar Minuten.

Es käme also schon auf einen Versuch an, wobei ich nach wie vor einen Anbieter mit IPv6 vorziehen würde.

Ok, lasse mir das ganze nochmal durch den Kopf gehen. Vielen Dank aber schon mal für die Erklärungen!

SpaceRat hat geschrieben:An der Zuordnung von einer IP zu einer Person ändert sich nichts:
Jeder, den sie nichts angeht, kann sie rausfinden - Dorfpolizist, Abmahnanwalt, NSA, BND, Verfassungsschutz ...
Da tun sich IPv4 und IPv6 gar nichts.

Was sich ändert:
Der Verfassungsschutz kann jetzt auch rausfinden, von welchem der beschlagnahmten Rechner der Facebook-Eintrag "Die Stimmung ist mal wieder am Anschlag, gleich lassen wir die Bombe platzen und stellen unseren Stargast vor! Das wird vor allem die Laune bei den weiblichen Gästen zum explodieren bringen!" kam ;)

Meines Erachtens ist diese ganze Diskussion um dynamische Präfixe für den "Datenschutz" eine reine Nebelkerze.

Jep, jetzt habe ich es eingesehen, danke!
un1que
Übergabepunkt
 
Beiträge: 443
Registriert: 01.07.2013, 17:56

Re: Kleiner IPv6-Workshop

Beitragvon mic.kan » 07.08.2013, 13:18

Hallo.

Ersteinmal vielen Dank für den tollen Workshop!!!!! Hat sicherlich sehr viel Mühe gemacht...
Ein kleine Anregung/ Wunsch habe ich noch, könntest Du auch einmal die DS-Lite "Technik" bzw. dieses Verfahren erläutern?

So ganz wird es für mich daher noch nicht rund... Ich will auf UM wechseln und überlege, ob ich ich auch mit IP6/DSlite glücklich werden kann - oder ich wirklich IP4* benötige. (* ich würde dann auf die 100 MBit ausweichen, hier kann man wohl noch IP4 mit 1play auf Wunsch bekommen.)

Vielleicht darf ich kurz skizzieren, was ich wirklich brauche bzw. was ich vorhabe. Hinter dem Kabelmodem/ UM-Router direkt meine FB7270, daran die LAN- und WLAN-Clients. An meiner FB hängt mein ISDN und es sind zwei VoIP-Anbieter (personal-voip.de, gmx.de) eingerichtet. Schön wäre darüber hinaus der Zugriff auf die FB-Weboberfläche von aussen.

Nun zu meiner Frage, kann ich dies mit IP6/DSlite umsetzen? (Die FB zu Freezen wäre für mich okay.)


Vielen Dank!
mic.kan
Benutzeravatar
mic.kan
Kabelneuling
 
Beiträge: 11
Registriert: 07.05.2013, 14:16

Re: Kleiner IPv6-Workshop

Beitragvon thestorm » 07.08.2013, 13:57

SpaceRat hat geschrieben:Es geht eigentlich alles:
  • WebInterface (HDMU/Dream) über haproxy auf dem Topf
  • OpenWebif über haproxy auf dem Topf
  • Zugriff auf vorgenannte zwei auch vom Android-Handy aus mit DreamDroid!
  • o*c*m-Web-Interface (nativ)
  • o*c*m-Kekstausch über c***am-Protokoll (Mit o*c*m nativ, mit der Gegenseite (Original c***am) über haproxy)
  • telnet
  • ssh


Könntest du bitte noch mal erläutern, wie man genau HAproxy auf der VU+ installieren muss, um das OpenWebif aufrufen zu können? Ich habe eine Vu+ Duo2 mit aktuellem VTi Team Image 6 und bin UM Neukunde, natürlich mit IPv6, DS-Lite.

Ich wäre dir sehr dankbar!
thestorm
Kabelneuling
 
Beiträge: 11
Registriert: 04.06.2009, 23:50

Re: Kleiner IPv6-Workshop

Beitragvon SpaceRat » 07.08.2013, 15:00

thestorm hat geschrieben:
SpaceRat hat geschrieben:Es geht eigentlich alles:
  • WebInterface (HDMU/Dream) über haproxy auf dem Topf
  • OpenWebif über haproxy auf dem Topf

Könntest du bitte noch mal erläutern, wie man genau HAproxy auf der VU+ installieren muss, um das OpenWebif aufrufen zu können?

Ich kann es versuchen ...

thestorm hat geschrieben:Ich habe eine Vu+ Duo2 mit aktuellem VTi Team Image 6

... ich verwende allerdings OpenPLi und habe eine Vu+ Ultimo, d.h. es könnten ein paar Pfade abweichen, insbesondere bei den Start-Scripts oder - was noch schlimmer wäre - inkompatible Binaries vorliegen.

Ich habe mal hier meinen aktuellen Entwicklungsstand abgelegt. Achtung! Das Paket enthält für MIPS kompilierte Binaries. Also kommt nicht auf die Idee, das auf anderen, nicht-MIPS-Boxen, auszuprobieren, es kann nicht klappen! Ich übernehme ganz generell keine Verantwortung für das, was Ihr mit dem Paket anstellt!

Das Paket beinhaltet folgende Dateien:
/usr/sbin/haproxy
/usr/lib/libpcreposix.so.3.13.1 inkl. Symlink auf /usr/lib/libpcreposix.so.3
/lib/libpcre.so.3.13.1 inkl. Symlink auf /lib/libpcre.so.3
/etc/init.d/haproxy inkl. Symlinks auf /etc/rc0.d/K55haproxy , /etc/rc1.d/K55haproxy , /etc/rc2.d/S55haproxy , /etc/rc3.d/S55haproxy , /etc/rc4.d/S55haproxy , /etc/rc5.d/S55haproxy und /etc/rc6.d/K55haproxy
/etc/haproxy/haproxy.tpl
/etc/haproxy/services

Vor dem Auspacken meines Paketes also bitte prüfen, ob es irgendeine der Dateien schon gibt und die ggf. sichern.

Auf einer Vu+ Ultimo oder kompatiblen unter OpenPLi müßte man nichts weiter tun, als das Paket im Wurzelverzeichnis zu entpacken:
1. Paket haproxy-mips.tgz z.B. per ftp/Samba ins Wurzelverzeichnis der Box kopieren
2. Secure Shell oder Telnet zur Box und dort dann eingeben:
Code: Alles auswählen
cd /
tar -xzf haproxy-mips.tgz
shutdown -r now


Folgendes macht das Start-Script /etc/init.d/haproxy anders als das originale haproxy-Startscript:
1. Es ermittelt vor "start" "restart" oder "reload" die lokale IPv4 (Muß mit 192. beginnen) und alle aktuellen IPv6s.
2. Daraus und aus der /etc/haproxy/haproxy.tpl bastelt er für alle in der Datei "/etc/haproxy/services" definierten Dienste einen Proxy-Eintrag in der temporären haproxy.cfg ( /tmp/haproxy.cfg )
3. Danach wird das gewünschte Kommando (Also "start", "restart" oder "reload") mit eben dieser Konfigurationsdatei ausgeführt
4. Die Symlinks in /etc/rc?.d sorgen dafür, daß haproxy beim Start/Neustart der GUI etc. pp. passend mit beendet oder gestartet wird.

Klingt kompliziert, ist es aber nicht. Prinzipiell ist das eine fire&forget-Geschichte und es muß auch nichts an der Konfiguration verändert werden, da alle IPs per auto-detect gefunden werden.

Sofern der automatische Start klappt, ist eigentlich nur die /etc/haproxy/services interessant für Änderungen. So sieht die mitgelieferte aus:
Code: Alles auswählen
http;80;;
https;443;;
stream;8001;;


Jede Zeile enthält alle Informationen, die das Script zusätzlich zu den IPs braucht, um eine Proxy-Definition zu schreiben:
Dienst-Name;Port;Ziel-IP;Ziel-Port

Wie in der Standardkonfiguration zu sehen, kann man Ziel-IP und Ziel-Port auch weglassen und sollte das auch in der Regel tun.

Aus der ersten Zeile obiger /etc/haproxy/services würde durch das Start-Script z.B. folgende Proxy-Definition erzeugt:
Code: Alles auswählen
listen http-proxy
   bind fd5b:1234:5678:affe:021d:ecff:fe03:1234:80
   bind 2001:0db8:affe:c0c0:021d:ecff:fe03:1234:80
   bind 0000:0000:0000:0000:0000:0000:0000:0001:80
   server http 192.168.1.16:80


Wird haproxy mit dieser Config aufgerufen, dann ist das Web-Interface danach unter
http://[fd5b:1234:5678:affe:021d:ecff:fe03:1234]
aus dem lokalen Netzwerk
und unter
http://[2001:0db8:affe:c0c0:021d:ecff:fe03:1234]
aus dem gesamten Internet erreichbar (Vorausgesetzt, die Firewall des Routers ist entsprechend geöffnet).

Euer Ergebnis kann anders aussehen, die fdXX-Adressen vergibt die Fritz!Box z.B. standardmäßig nur, bis ein öffentliches Präfix vorliegt, danach wird das fd00::-Präfix (Die sog. ULA) als "deprecated" verworfen. Ich habe das bei mir extra umgestellt, daß die ULA dauerhaft zusätzlich vergeben wird, damit ich meine Geräte auch im Heimnetz immer über IPv6 erreichen kann. Man sollte im Heimnetz nirgendwo die öffentliche IPv6 verwenden, wo sie dauerhaft eingetragen würde. Bei einem Verbindungsausfall hat man nämlich keine, die ULA aber schon ...

Wenn man weitere Proxies braucht, dann fügt man in /etc/haproxy/services einfach Zeilen ein:
http2;81;;
http2s;444;;
z.B. würde zwei weitere Proxies namens "http2-proxy" und "http2s-proxy" erzeugen, die die Ports 81 und 444 zwischen IPv6 und IPv4 vermitteln (Wenn man z.B. beide Web-Interfaces, das alte/Dream-WebInterface und das OpenWebIf, gleichzeitig nutzen will).
Zu beachten ist nur: Leerstellen sind nicht erlaubt!
I think you get the idea ;)

Die Möglichkeit, einen Ziel-Rechner und einen Ziel-Port anzugeben, hat folgenden Hintergrund:
http-oldbox;82;192.168.1.17;80
z.B. würde einen Proxy einrichten, der von unserer modernen, IPv6-tauglichen Box über IPv4 an eine andere Box weiterleitet, die z.B. selber kein IPv6 kann.
Das Web-Interface (Port 80) der Box 192.168.1.17 wäre danach unter der IPv6 der Box, auf der HAproxy läuft, unter Angabe von Port 82 erreichbar.

Also alles relativ banal. Problematisch sind nur folgende zwei Punkte:
  • Andere Images (Also Dein "Team" statt meines "OpenPLi") haben andere Start-Script-Organisationen. Evtl. würde also HAproxy beim Start der Box nicht automatisch gestartet, wenn die Box nicht die /etc/rc?.d-Verzeichnisse nach Start-Scripts durchsucht. In dem Fall müßte der Aufruf
    /etc/init.d/haproxy start
    halt irgendwie anders dem Systemstart zugefügt werden.
  • HAproxy kriegt nicht mit, wenn sich Dein Präfix ändert. Bei jedem Präfix-Wechsel müßte aber das Script so aufgerufen werden:
    /etc/init.d/haproxy reload
    Mangels Zwangstrennung sollte dieses Problem aber relativ überschaubar sein.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Kleiner IPv6-Workshop

Beitragvon SpaceRat » 07.08.2013, 16:05

Kleiner Nachtrag:

Für meinen Topf[ield TF7700HD PVR] habe ich das natürlich auch gemacht. Das Paket gibt es hier.
Es paßt so wie es ist für HDMU-Images ab 11160 (Davor hatten die kein IPv6).

Folgende Dateien sind enthalten:
/usr/sbin/haproxy
/usr/lib/libpcreposix.so.3.13.1 inkl. Symlink auf /usr/lib/libpcreposix.so.3
/lib/libpcre.so.3.13.1 inkl. Symlink auf /lib/libpcre.so.3
/etc/init.d/haproxy
/etc/ownscript.sh
/etc/haproxy/haproxy.tpl
/etc/haproxy/services

Dieses Image ist so Fall, wo es keine ordentlichen Runlevel-Scripts (/etc/rc?.d/[S|K]*) gibt, sondern einfach nur die /etc/ownscript.sh , die einmalig beim Start aufgerufen wird.
Ansonsten funktioniert aber alles exakt so, wie oben beschrieben.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Kleiner IPv6-Workshop

Beitragvon thestorm » 07.08.2013, 17:28

SpaceRat hat geschrieben:
thestorm hat geschrieben:
SpaceRat hat geschrieben:Es geht eigentlich alles:
  • WebInterface (HDMU/Dream) über haproxy auf dem Topf
  • OpenWebif über haproxy auf dem Topf

Könntest du bitte noch mal erläutern, wie man genau HAproxy auf der VU+ installieren muss, um das OpenWebif aufrufen zu können?

Ich kann es versuchen ...
Also alles relativ banal. Problematisch sind nur folgende zwei Punkte:
  • Andere Images (Also Dein "Team" statt meines "OpenPLi") haben andere Start-Script-Organisationen. Evtl. würde also HAproxy beim Start der Box nicht automatisch gestartet, wenn die Box nicht die /etc/rc?.d-Verzeichnisse nach Start-Scripts durchsucht. In dem Fall müßte der Aufruf
    /etc/init.d/haproxy start
    halt irgendwie anders dem Systemstart zugefügt werden.
  • HAproxy kriegt nicht mit, wenn sich Dein Präfix ändert. Bei jedem Präfix-Wechsel müßte aber das Script so aufgerufen werden:
    /etc/init.d/haproxy reload
    Mangels Zwangstrennung sollte dieses Problem aber relativ überschaubar sein.


Vielen lieben Dank. Nach der Anleitung und Installation, wie von dir beschrieben, hat der Zugriff sofort geklappt. Ich musste auch keine Start-Scripte ändern.
Jetzt muss ich mich noch belesen, wie ich aus einem IPv4-Netz, zum Bsp. mein Mobilfunkanbieter, auf das Webinterface komme. Ich glaube, man braucht einen Tunnel?!
thestorm
Kabelneuling
 
Beiträge: 11
Registriert: 04.06.2009, 23:50

VorherigeNächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: Yahoo [Bot] und 25 Gäste