- Anzeige -

Port Forwarding die 500.

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Re: Port Forwarding die 500.

Beitragvon feste-ip.net » 06.01.2014, 17:27

Hallo,

Ich möchte mich nochmal kurz zu dem geschrieben äußern.
Da wir selbst "geografisch" bedingt keine DS-Lite Anbindung haben wurden die Portmapper auf Kundenanfragen hin entwickelt und bereitgestellt.

"Mit internen Präfix" meine ich das Präfix welches von der FritzBox per Routeradvertising an die internen Geräte weitergegeben wird.
Dieses ist nicht gleich dem von der Fritzbox für die externe Kommuniktion verwendeten und läßt sich auch nicht errechnen oder "erraten".
Das Auslesen über den Zugriff auf die Box ist momentan der einzige Wege dieses zu ermitteln. (Aussage AVM)
Das diese Möglichkeit aus Datenschutzsicht nicht "schön" ist, ist und bekannt und wir weisen auf unserer Seite auch darauf hin.

Dass die MYFritz Adressen "bis auf das lokale" Gerät reichen war mir bis jetzt nicht bekannt. Daraus läßt sich tatsächlich das von spacerat beschriebene Scenario abbilden.
Allerdings haben wir dann wieder das Problem, dass wir einen Präfixwechsel nicht aktiv mitbekommen würden und so die Gerätenamen alle X Sekunden im DNS Abfragen müßten.
(oder kann man myfritz und ddns parallel fahren?)
Aufgrund der Tatsache das wir dadurch keinen aktiven Boxzugang benötigen werden wir das überdenken.

@SpaceRat. Damit sollten denke ich alle Missverständnisse behoben sein?!

MfG
Rene Marticke
Feste-Ip.net
feste-ip.net
Kabelneuling
 
Beiträge: 5
Registriert: 25.11.2013, 18:24

Re: Port Forwarding die 500.

Beitragvon SpaceRat » 06.01.2014, 18:08

feste-ip.net hat geschrieben:Dass die MYFritz Adressen "bis auf das lokale" Gerät reichen war mir bis jetzt nicht bekannt. Daraus läßt sich tatsächlich das von spacerat beschriebene Scenario abbilden.

Sag ich doch :)

Die "1." MyFritz-Adresse, also die der Box selber, zeigt in der Tat nur auf die IPv6-Adresse, welche die Fritz!Box selber extern benutzt und das ist wirklich in der Regel keine aus dem Präfix/Subnet, welches dann am Ende die angeschlossenen Geräte benutzen.
Die bei MyFritz!-Freigaben angelegten "Unteradressen", also <Gerätename>.<Blahlaber>.myfritz.net verweisen hingegen wirklich auf die öffentliche IPv6 des jeweiligen Gerätes.

feste-ip.net hat geschrieben:Allerdings haben wir dann wieder das Problem, dass wir einen Präfixwechsel nicht aktiv mitbekommen würden und so die Gerätenamen alle X Sekunden im DNS Abfragen müßten.

... es sei denn, für die Proxy-Konfiguration würde nicht die IPv6 selber, sondern der o.g. MyFritz-Hostname verwendet, denn der zeigt ja immer auf die aktuelle IPv6-Adresse ...

Eine solche Proxy-Konfiguration sähe dann z.B. in HAproxy 1.5 und höher so aus:

Code: Alles auswählen
listen customer-proxy-12345
   bind kundenserver.feste-ip.net:80
   server customer-server-12345 ipv6@webserver.abcdef123456.myfritz.net:80


Dieser Proxy würde an Port 80 des Servers kundenserver.feste-ip.net anbinden (Per IPv4 und IPv6) und alle Anfragen per IPv6 an Port 80 von webserver.abcdef123456.myfritz.net weiterleiten. HAproxy 1.5 ist notwendig, da die gegenwärtige Version 1.4 die oben verwendete Syntax "ipv6@" nicht versteht. Zudem löst HAproxy 1.4 Hostnames nur in A-Records auf, niemals aber in AAAA-Records.

Sprich: Bei Verwendung von HAproxy 1.4 kommt man nicht drumherum, Hostnames vorab in IPv6-Adressen aufzulösen und in der Config vorzukauen, ab 1.5 kann das durch gezieltes Forcieren von IPv4 oder IPv6 entfallen.

Der Vorteil bei der Verwendung von Hostnames ist auch, daß es noch andere Dienste gibt. die (fast) genauso arbeiten wie MyFritz!, z.B. WD2go.
Dort zeigt <NAS-Name>.device<Kundennummer>.wd2go.com ebenfalls auf die IP-Adresse des NAS. Derzeit zwar nur für IPv4, das kann sich aber ja noch ändern ...

Möglich wäre, daß auch MyDLink ähnlich arbeitet (Ich kaufe mir jetzt nicht extra einen D-Link-Router, um das auszuprobieren).


feste-ip.net hat geschrieben:(oder kann man myfritz und ddns parallel fahren?)

MyFritz! und der DynDNS-Dienst der Fritz!Box sind absolut unabhängig voneinander.
Durch Verwendung von DNS-o-Matic als DynDNS-Dienst kann man sogar unzählige DynDNS-Dienste und MyFritz! parallel nutzen.

feste-ip.net hat geschrieben:Aufgrund der Tatsache das wir dadurch keinen aktiven Boxzugang benötigen werden wir das überdenken.

Was kriege ich eigentlich dafür? :)
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Port Forwarding die 500.

Beitragvon feste-ip.net » 16.01.2014, 09:31

Hallo SpaceRat,

Danke für die Hinweise.
Mit DNS-O-Matic würden die Daten ja auch bei 3. liegen.
Haproxy haben wir uns damals auch angesehen, dann aber einangepasstes 6tunnel eingesetzt da sich damit einzelne Instanzen starten lassen und eine Konfigänderung nicht alle aktivieren Tunnel mitreißt.

Ich werde das MyFritzthema mal weiter verfolgen.

Wenn das umgesetzt ist kann ich dir gern einen kostenfreien Account zur Verfügung stellen.

/LG Rene
feste-ip.net
Kabelneuling
 
Beiträge: 5
Registriert: 25.11.2013, 18:24

Re: Port Forwarding die 500.

Beitragvon SpaceRat » 16.01.2014, 12:16

feste-ip.net hat geschrieben:Mit DNS-O-Matic würden die Daten ja auch bei 3. liegen.

Jain.

Die Anmeldedaten für diverse DynDNS-Dienste ja (MyFritz! aber nicht, das kann nur die Fritz!Box selber), aber eben keine fernwartungsgeeignete Anmeldedaten für die Fritz!Box selber.

Und da sehe ich schon einen qualitativen Unterschied:
Mit diesen Anmeldedaten für DynDNS-Dienste könnte DNS-O-Matic mir meine DynDNS-Accounts kapern oder mir andere IPs als die tatsächlichen unter meinen DynDNS-Hostnames unterjubeln. Das bringt denen aber rein gar nichts, weil ich mich an meinen Rechnern wiederum nur über sichere Dienste (https, sftp, ssh, usw.) anmelde und da würde mir ein untergejubelter Fremdserver schon anhand der Zertifikatsfehler auffallen. Außerdem können die das einfacher haben, denn DNS-o-Matic ist vom gleichen Anbieter wie OpenDNS¹ ... d.h. die könnten sowieso schon Millionen Nutzern gefakte IPs unterjubeln.

Also für DNS-o-Matic/OpenDNS absolut unnützes Wissen, vor allem wenn man für seine DynDNS-Accounts ganz andere Passwörter nutzt als anderswo.

Gebe ich hingegen jemandem Vollzugriff auf die Fritz!Box, dann kann er sich natürlich auch meine Konfiguration extrahieren und mit dieser
- Internet-Zugangsdaten (Bei PPPoE/DSL)
- VoIP-Zugangsdaten
- E-Mail-Zugangsdaten (Wenn ich Fritz!Box-Push benutze oder mal eingetragen habe)
- u.v.m.

Insbesondere der Punkt "E-Mail-Zugangsdaten" ist hochbrisant, denn mit diesen Daten wiederum kann ich über "Passwort vergessen" auf diversen illustren Seiten - meines Wissens nach z.B. auch PayPal - neue Passwörter für diese anfordern.
Zu allem Überfluß kann man auf einer Fritz!Box, wenn man deren Zugangsdaten kennt, auch noch einen kompletten Paket-Mitschnitt durchführen, praktischer Weise direkt im Wireshark-Format.

Sorry, aber das geht gar nicht.


feste-ip.net hat geschrieben:Haproxy haben wir uns damals auch angesehen, dann aber einangepasstes 6tunnel eingesetzt da sich damit einzelne Instanzen starten lassen und eine Konfigänderung nicht alle aktivieren Tunnel mitreißt.

haproxy -p /var/run/haproxy.pid -sf $(cat /var/run/haproxy.pid)

Aber 6tunnel ist auch ok.


¹ DNS-o-Matic entstand ja aus der Misere heraus, daß Benutzer oft nur ein einziges benutzerdefinierbares DynDNS-Update im Router eintragen können und das auch brauchen, während auch OpenDNS für erweiterte Funktionalität wie personalisierte White- und Blacklists ebenfalls ein DynDNS-Update erfordert.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Port Forwarding die 500.

Beitragvon feste-ip.net » 20.01.2014, 14:01

Hallo Spacerat,

Kritik verstanden, angenommen, umgesetzt.
http://www.feste-ip.net/dslite-ipv6/uni ... ortmapper/

Zusätzlich haben wir noch die FIP-Box aus der Taufe gehoben um den Zugriff auf IPv4 only Geräte hinter einem DS-Lite zu realisieren.
Wer sowieso einen Server im LAN hat macht es eh darüber. Wer aber nur eine IPv4 Webcam oder einen Haussteuerung hat die nur IPv4 spricht kann Sie über die FIP-Box wieder erreichen.

/LG Rene
feste-ip.net
Kabelneuling
 
Beiträge: 5
Registriert: 25.11.2013, 18:24

Vorherige

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: Google [Bot] und 15 Gäste