- Anzeige -

IPv6-Problematik mal andersrum - VON IPv4 ZU IPv6 FTP

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

IPv6-Problematik mal andersrum - VON IPv4 ZU IPv6 FTP

Beitragvon EVA-01 » 26.09.2013, 10:40

Hi,

an die IPv6-Profis mal folgende Frage:

Ich hab im Heimnetzwerk ein IPv6-fähiges Endgerät (NAS) mit FTP-Server. IM Heimnetz kann ich auch per IPv6 eine FTP-Verbindung zu dem Teil herstellen. Ob das auch von außerhalb geht weiß ich primär erst mal nicht da mir ein zweiter IPv6-Anschluss zum Testen fehlt... ;)
Aber eines krieg ich derzeit auf jeden Fall nicht hin: Per IPv4 über's Internet auf den IPv6 FTP zugreifen. Der Port 21 ist in der Fritzbox für die Interface-ID des NAS freigegeben und auch offen (subnetonline IPv6 Portscan).

Gibt's ne Möglichkeit, mit einer IPv4 zu einem IPv6-FTP zu connecten? Ich dachte eigentlich, dafür gibt's Tunnelbroker wie Teredo die schon automatisch von Windows benutzt werden. Irgendeine Idee? :)


P.S.
Nur noch mal generell: Das ist NICHT das übliche DS-Lite-NAT-Problem. Ich will ja gar nicht zu einer IPv4 connecten. Bevor jetzt wer mit dem Holzhammer "Portweiterleitung bei DS-Lite ist nicht" ankommt. ;)
EVA-01
Kabelexperte
 
Beiträge: 126
Registriert: 11.03.2009, 16:00

Re: IPv6-Problematik mal andersrum - VON IPv4 ZU IPv6 FTP

Beitragvon Knifte » 26.09.2013, 10:51

Sind denn alle deine Gerät im Heimnetz IPv6-fähig?

Wenn dein Modem per IPv6 mit dem Internet verbunden ist und dahinter dann noch ein Router hängt, der bspw. kein IPv6 beherrscht, dann wird das wohl nicht funktionieren.

Mit welcher IPv6-Adresse versuchst du denn dein NAS anzusprechen? Soweit ich das bisher verstanden habe bekommt ja jedes IPv6-fähige Gerät eine öffentlich zugängliche IPv6-Adresse, die sich aus deinem öffentlichen Präfix und der geräteeigenen Adresse zusammensetzt. Portweiterleitung etc. müsste dann ja eigentlich gar nicht mehr erforderlich sein, das ja das Gerät in deinem Netzwerk direkt angesprochen wird und nicht wie bei IPv4 dein Router, der dann über die Portweiterleitungsregeln erkennen muss, an welches Gerät der eingehende Traffic denn adressiert ist.
Viele Grüße

Knifte
jetzt:Bildvorher:Bild
UM 2play Premium 150.000 mit dem Cisco EPC 3208-Modem - ASUS RT-AC66U-Router - FritzBox 7490 - FritzFon C4
Knifte
Kabelkopfstation
 
Beiträge: 2573
Registriert: 18.04.2009, 21:19
Wohnort: Kreis Kleve

Re: IPv6-Problematik mal andersrum - VON IPv4 ZU IPv6 FTP

Beitragvon EVA-01 » 26.09.2013, 11:14

Knifte hat geschrieben:Sind denn alle deine Gerät im Heimnetz IPv6-fähig?


Ja (Fritzbox 6320, Netgear GS108 ProSafe, Zyxel NSA320). Da sind noch andere Geräte die kein IPv6 können, aber die haben ja mit dieser spezifischen Verbindung nichts mehr zu schaffen. Und das Zyxel hat auch eine IPv6.

Mit welcher IPv6-Adresse versuchst du denn dein NAS anzusprechen? Soweit ich das bisher verstanden habe bekommt ja jedes IPv6-fähige Gerät eine öffentlich zugängliche IPv6-Adresse, die sich aus deinem öffentlichen Präfix und der geräteeigenen Adresse zusammensetzt. Portweiterleitung etc. müsste dann ja eigentlich gar nicht mehr erforderlich sein, das ja das Gerät in deinem Netzwerk direkt angesprochen wird und nicht wie bei IPv4 dein Router, der dann über die Portweiterleitungsregeln erkennen muss, an welches Gerät der eingehende Traffic denn adressiert ist.


Die IPv6, die mir im Konfigmenü vom NSA320 angezeigt wird. Afaik ist das ja normalerweise das IPv6-Präfix plus Interface-ID. Wie gesagt, wenn ich hier diese IPv6 auf Port 21 scanne, bekomme ich eine positive Rückmeldung. D.h. subnetonline kommt auf jeden Fall bis zum NAS durch. Über IPv6! Nehme ich zur Überprüfung nen anderen Port, ist der logischerweise dicht (so wie's auch sein sollte).
Bei IPv6 brauchst du keine Portweiterleitung mehr. Aber der Traffic muss dennoch durch den Router. Und der Router fungiert als Firewall, damit nicht bei jedem deiner Geräte Tag der offenen Tür ist. Daher muss man im Router noch für die jeweilige Interface-ID den gewünschten Port in der Firewall aufmachen. Bei der Fritze geht das. Soweit ich das mitgekriegt hab, ist das bei dem TC ja eben nicht möglich (entweder komplett dicht oder komplett offen).

Wie finde ich überhaupt eine Auflistung aller IPv6 im Netzwerk? arp -a liefert mir ja erst mal nur die IPv4 im Subnetz zurück. Und die Fritze zeigt aus unerfindlichen Gründen auch nur IPv4 in der Netzwerkübersicht an.
EVA-01
Kabelexperte
 
Beiträge: 126
Registriert: 11.03.2009, 16:00

Re: IPv6-Problematik mal andersrum - VON IPv4 ZU IPv6 FTP

Beitragvon josen » 26.09.2013, 14:54

EVA-01 hat geschrieben:Wie finde ich überhaupt eine Auflistung aller IPv6 im Netzwerk? arp -a liefert mir ja erst mal nur die IPv4 im Subnetz zurück. Und die Fritze zeigt aus unerfindlichen Gründen auch nur IPv4 in der Netzwerkübersicht an.


Code: Alles auswählen
ip -6 neigh


Und gegebenfalls apt-get install iproute oder ähnliches.

Grüße
Benutzeravatar
josen
Co-Administrator
 
Beiträge: 341
Registriert: 20.11.2008, 13:54

Re: IPv6-Problematik mal andersrum - VON IPv4 ZU IPv6 FTP

Beitragvon EVA-01 » 26.09.2013, 15:55

Na ja, unter Windows, nicht Linux... ^^
EVA-01
Kabelexperte
 
Beiträge: 126
Registriert: 11.03.2009, 16:00


Re: IPv6-Problematik mal andersrum - VON IPv4 ZU IPv6 FTP

Beitragvon SpaceRat » 27.09.2013, 07:26

EVA-01 hat geschrieben:Ich hab im Heimnetzwerk ein IPv6-fähiges Endgerät (NAS) mit FTP-Server. IM Heimnetz kann ich auch per IPv6 eine FTP-Verbindung zu dem Teil herstellen. Ob das auch von außerhalb geht weiß ich primär erst mal nicht da mir ein zweiter IPv6-Anschluss zum Testen fehlt... ;)

Ist ja schnell geändert: SixXS :)

EVA-01 hat geschrieben:Aber eines krieg ich derzeit auf jeden Fall nicht hin: Per IPv4 über's Internet auf den IPv6 FTP zugreifen. Der Port 21 ist in der Fritzbox für die Interface-ID des NAS freigegeben und auch offen (subnetonline IPv6 Portscan).
Gibt's ne Möglichkeit, mit einer IPv4 zu einem IPv6-FTP zu connecten? Ich dachte eigentlich, dafür gibt's Tunnelbroker wie Teredo die schon automatisch von Windows benutzt werden. Irgendeine Idee? :)


FTP ist das denkbar ungeeignetste Protokoll, um damit erste Gehversuche zu machen :)

Man muß nämlich noch unterscheiden zwischen aktivem FTP und passivem FTP:
Beim aktiven FTP initiiert der Client eine Verbindung von seinem Port N (TCP Port > 1024) zum FTP Control Port (TCP Port 21), der Server initiiert für Dateitransfers dann eine Verbindung von seiner Seite aus über seinen Datenport (TCP Port 20) an den Port N+1 des Client-Rechners.
Port 20 serverseitig können wir bei unserer SOHO-Hardware vernachlässigen, da ist ConnTrack voreingestellt, die ACK-Pakete des/der Client(s) kommen also auch ohne explizite Freigabe wieder beim Server an. Problematischer ist aber, daß der Client selber ebenfalls Portfreigaben braucht um mit aktivem FTP umgehen zu können, nämlich im Idealfall einen ganzen Port-Bereich.
Aktives FTP spielt von daher für öffentlich erreichbare FTP-Server keine große Rolle, da der Konfigurationsaufwand auf der Client-Seite im Endeffekt höher ist als auf der Server-Seite. Und von DS-lite-Anschlüssen wäre zu IPv4-FTP-Servern aktives FTP gar nicht möglich, da der Client gar keine Ports öffentlich erreichbar machen kann.

Beim passiven FTP gehen beide Verbindungen vom Client aus und sind damit auch ohne clientseitige Portfreigaben möglich. Der Client kontaktiert den Server über den FTP Control Port (TCP Port 21) und teilt dem Server mit, daß er passives FTP wünscht (Kommando PASV). Daraufhin öffnet der Server einen Datenport für diese Verbindung (TCP Port > 1024) und teilt dem Client die Port-Nummer mit. Der Client kann dann seinerseits eine Verbindung zu diesem Datenport aufnehmen.
Da der Konfigurationsaufwand hierfür clientseitig Null ist und passives FTP somit auch durch NAT und per DS-lite funktioniert, ist das die übliche Art und Weise für FTP-Verbindungen.
Daraus folgt aber auch, daß wir beim Server mehr konfigurieren müssen:
Am Server müssen theoretisch alle Ports > 1024 von außen erreichbar sein, da sich der FTP-Server ja für einen x-beliebigen Port für die eingehende Verbindung entscheiden kann. Um das zu vermeiden, kann man in der Konfiguration des FTP-Servers aber i.d.R. eine Port-Range einstellen, auf die sich der FTP-Server bei den Datenports beschränken soll. Diese Port-Range muß dann aber trotzdem noch in der Firewall des Servers geöffnet werden.

Hier kann man den ganzen Schwachfug auch nochmal nachlesen: http://www.alenfelder.com/Informatik/pass-akt-ftp.html

Damit aber noch nicht genug:
FTP ist als Protokoll aus den Anfangstagen des Internets auch rotzeschlecht gemacht. Diese ganzen Relikte aus den Urzeiten des ARPA-Nets sind unsicher, weil für den Gebrauch in einer Art Intranet konzipiert. FTP überträgt, so wie Telnet oder nacktes POP3 auch, die Credentials (Login+Passwort) und die Payload (Nutzdaten) unverschlüsselt. Beim Ur-SMTP hat man sich den Login gleich ganz gespart (Bis heute kann eigentlich noch jeder E-Mail-Client "POP vor SMTP", um über den POP3-Login wenigstens etwas Sicherheit zu haben, daß der nachfolgende SMTP-Connect von derselben IP auch berechtigt ist).
Verschlüsselung gibt es zwar inzwischen über TLS (Transport-Layer-Security, also Sicherheit innerhalb der Transportschicht) auch bei diesen Protokollen, allerdings muß man eben aufpassen, daß man sie auch nutzt bzw. serverseitig erforderlich macht und unverschlüsselte Verbindungen unterbindet.

Bei FTP kommen aber noch zwei Schmankerl hinzu. Der FTP-Support in Browsern (Chrome, K0tzzilla Crashfox, Internepp Exploder) beschränkt sich - zumindest ohne Erweiterungen - in der Regel auf unverschlüsseltes FTP. Macht man seinen FTP-Server also sicher, dann kommt man um einen richtigen FTP-Client wie FileZilla nicht herum. Zudem ist die Definition des FTP-Protokolls so grottig, würde man die heute als Fachinformatiker abliefern, wäre man arbeitslos. Bei FTP wird nämlich regelmäßig auch die IP mit übertragen. Wenn der Server also z.B. dem Client mitteilt, welchen Port er ihm als Datenport zugewiesen hat, dann schickt er eben nicht nur die Port-Nummer, sondern auch seine IP ...
Damit haben wir eine zusätzliche Fehlerquelle, denn wenn der FTP-Server dem Client seine ULA statt der öffentlichen IPv6 mitteilt und der Client die übertragene IP nicht einfach ignoriert, dann ist ein Verbindungsaufbau von außen zum Scheitern verurteilt.

In dieses Chaos dann auch noch Teredo/Miredo mit reinzubringen grenzt da schon an Größenwahn.

Mit anderen Worten: Versuch Dich erst einmal an einem Web-Server ... :)
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: IPv6-Problematik mal andersrum - VON IPv4 ZU IPv6 FTP

Beitragvon EVA-01 » 27.09.2013, 11:46

SpaceRat hat geschrieben:Am Server müssen theoretisch alle Ports > 1024 von außen erreichbar sein, da sich der FTP-Server ja für einen x-beliebigen Port für die eingehende Verbindung entscheiden kann. Um das zu vermeiden, kann man in der Konfiguration des FTP-Servers aber i.d.R. eine Port-Range einstellen, auf die sich der FTP-Server bei den Datenports beschränken soll. Diese Port-Range muß dann aber trotzdem noch in der Firewall des Servers geöffnet werden.


Hm, ist das immer so? Ich hab erst vor kurzem bei meinen Eltern (VDSL IPv4) einen FTP eingerichtet. Dort musste ich in der Fritze 7390 nur den 21er freigeben, und es funktionierte. Lässt das die Fritze dann automatisch durch wenn vorher schon was über Port 21 kam?

Davon mal abgesehen hab ich in meinem NAS 20 Ports >1024 voreingestellt (für bis zu 10 Verbindungen) und in der Fritze (6320) diese 20 Ports für die IPv6 des NAS auch freigegeben.

Bei FTP kommen aber noch zwei Schmankerl hinzu. Der FTP-Support in Browsern (Chrome, K0tzzilla Crashfox, Internepp Exploder) beschränkt sich - zumindest ohne Erweiterungen - in der Regel auf unverschlüsseltes FTP. Macht man seinen FTP-Server also sicher, dann kommt man um einen richtigen FTP-Client wie FileZilla nicht herum.


Also eigentlich hatte ich schon vor, Filezilla zu nutzen. Ich bin mir nur gerade nicht sicher ob mein NAS überhaupt verschlüsseltes FTP kann (ist ein Zyxel NSA320). Ich hab da zumindest keine Einstellung im Menü gefunden... :

Mit anderen Worten: Versuch Dich erst einmal an einem Web-Server ... :)


Ich brauch aber keinen Webserver... oder? Kann ich da auch Daten rauf und runter laden?

Davon mal abgesehen: D.h. das FTP-Protokoll ist zu primitiv für unser modernes IPv6? Das ist doch irgendwie bescheuert. FTP wird doch immer und überall gebraucht. oO

Ist ja schnell geändert: SixXS


Ich hab mir sowohl einen SixXs wie auch einen Hurricane Electric Account geholt. SixXs schreckt mich erst mal wegen des komischen Creditsystems ab. Jetzt hab ich aber gelesen, dass die Fritzen angeblich schon 6to4 eingebaut hätten. D.h. bei meinen Eltern könnte ich theoretisch die 7390 so konfigurieren, dass die selber schon zusätzlich zur IPv4 einen IPv6 Tunnel aufmacht. Kannst du dazu was sagen...?
EVA-01
Kabelexperte
 
Beiträge: 126
Registriert: 11.03.2009, 16:00

Re: IPv6-Problematik mal andersrum - VON IPv4 ZU IPv6 FTP

Beitragvon SpaceRat » 27.09.2013, 14:47

Poah, ich krieg die Krätze, der ganze Beitrag im Sack, weil dieses T(/&$(/% Forum wahlweise rumnervt, daß ich pro Stunde nur einen Beitrag schreiben darf oder einen MySQL-Server-Fehler ausspuckt.

Das NERVT.

Daher nur die Ultrakurzfassung:

Wieso der FTP-Server ging, weiß ich nicht.
Vielleicht war's ja aktiv oder der Server hat sich selber Ports für passives FTP freigebohrt.
Natürlich kann man auch per IPv6 einen Server betreiben

HTTP Uploads gibt es aber auch. Sonst hätte Fatzebuck weniger Katzenfotos.

Meine Idee war aber nicht, ganz auf den FTP-Server zu verzichten, sondern nur mit etwas leichter Einzurichtendem anzufangen.

Ja, die Fritz!Box kann IPv6, so wie mein Audi mit LPG fahren kann. Ich muß den Audi aber dennoch betanken, sonst nutzt die Gasanlage nix.

An einem Drosselkom-AllIP-Anschluß kannst Du die Fritz!Box auf der Seite Zugangsdaten -> IPv6 für IPv6 aktivieren, eine der Einstellungen "Immer eine native IPv4-Anbindung" oder "Immer eine native IPv6-Anbindung" sollte vollwertigen DualStack (Kein DS-lite und kein Tunnel) ergeben,
ISDN/Analog-Anschlüsse der Drosselkom sind allerdings IPv4-only, da mußt Du schon einen Tunnel einrichten, von alleine kommt die Fritte nicht an IPv6.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: IPv6-Problematik mal andersrum - VON IPv4 ZU IPv6 FTP

Beitragvon EVA-01 » 27.09.2013, 14:54

Meine Eltern sind bei nem Mini-Anbieter... also nix mit T-Com. ;)

http://www.uewag.de/breitband/prinzip-breitband

Aktuell ist da auch nur eine IPv4 aktiv. Ich denke, dass ich dort nen Tunnel werde nehmen müssen.

Edit: Ich hab gerade einfach mal bei dem Anbieter angerufen und gefragt. Die Technik-Abteilung am anderen Ende war etwas verwirrt angesichts meiner Anfrage. Aber nicht in dem Sinne, dass die nicht wussten was ich wollte. "Ja schalten sie's doch einfach an." "Äh, hä? Wie, anschalten?" "Ja, das ist bei uns alles aktiviert. *leicht gekränkt* IPv6 kommt für uns nicht aus heiterem Himmel, müssen Sie wissen." "Ja, also... soll ich einfach nur in der Fritze IPv6 aktivieren und dann krieg ich meine IPv6?" "Jupp." "Kaaaayyyy..."

Webserver ist so eine Sache. Das Ding muss ja auf dem NAS laufen. Der FTP-Client ist schon vorinstalliert. Webserver afaik nicht. D.h. ich müsste mich dann mit Linux und Zusatzpaketen und was auch immer auseinandersetzen. Ich glaub nicht, dass das leichter einzurichten wäre wenn man von null aus anfängt. ^^;

Wie gesagt - der FTP funktioniert über IPv6 (Hinterm Router halt... von vorne dran konnte ich's, wie gesagt, noch nicht testen). Von daher ist das Ding ja effektiv schon eingerichtet. Wenn das mit dem IPv6 in der Fritze aktivieren funktioniert, werd ich das aber heute abend testen können.
EVA-01
Kabelexperte
 
Beiträge: 126
Registriert: 11.03.2009, 16:00

Nächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: Bing [Bot] und 73 Gäste