- Anzeige -

Noch mal Frage zur IPv6 Weiterleitung des TC7200

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Noch mal Frage zur IPv6 Weiterleitung des TC7200

Beitragvon mettwurst » 03.01.2015, 22:38

Hallo,
nachdem ich mich jetzt sehr lange mit der gesamten Thematik befasst habe, wollte ich noch mal kurz eine Frage zum TC7200 stellen.

Aufbau: TC7200 mit Raspberry Pi als kleiner Server. Wegen DS-Lite verwende ich afraid.org als DynDNS-Anbieter mit meiner IPv6 Adresse.

Wie ich schon hier im Forum erfahren habe, kann ich den Raspi von außen erreichen, wenn ich im TC7200 die IPv6 Firewall deaktiviere. Da das ja kein dauerhafter Zustand ist, habe ich noch mal mit der Weiterleitung des TC7200 gespielt und mir ist aufgefallen, dass diese sogar funktioniert, wenn man als lokale IP des Weiterleitungsauftrages (z. B. für Port 21) die IPv6 des Raspis einträgt. Prinzipiell ist das ja schon mal gar nicht so schlecht... Da sich der Präfix dieser IP jedoch ab und an ändert, hatte ich nun die Idee, einfach die Link-Local Adresse des Raspis (anstelle des Präfixes einfach fe80::) in der Weiterleitung als lokale IP einzutragen, jedoch kann man dann leider nicht mehr von außen zugreifen. Kann mir jemand erklären, woran das liegt? Theoretisch müsste dem Router doch auch die Link-Local Adresse bekannt sein.

Falls man das so nicht zum Laufen bekommt wäre meine Frage, ob man über das Netzwerk dem TC7200 neue Weiterleitungsaufträge geben kann? Dann könnte man ja per Script einfach prüfen, ob sich der Präfix geändert hat und im TC7200 die IP der Weiterleitung abändern.

Vielen Dank für Eure Hilfe.
mettwurst
Kabelneuling
 
Beiträge: 4
Registriert: 03.01.2015, 22:13

Re: Noch mal Frage zur IPv6 Weiterleitung des TC7200

Beitragvon Leseratte10 » 04.01.2015, 00:44

Für link-Lokale Adressen muss das Interface mit angegeben werden - unter Linux z. B. mit "fe80::1234:5678::12%eth0".
Wie das dem TC beizubringen ist, weiß ich nicht.

Wie genau hast du das eingerichtet? Eine normale (IPv4-)Portweiterleitung von TC auf die IPv6 des Pi?
Leseratte10
Glasfaserstrecke
 
Beiträge: 1275
Registriert: 07.03.2013, 16:56

Re: Noch mal Frage zur IPv6 Weiterleitung des TC7200

Beitragvon mettwurst » 04.01.2015, 01:41

Für link-Lokale Adressen muss das Interface mit angegeben werden - unter Linux z. B. mit "fe80::1234:5678::12%eth0".


Habs mal ausprobiert mit dem Zusatz %eth0 bzw. %1, jedoch kam dann jedes Mal die Meldung "Target IP Addresse ist ungültig", das scheint also leider nicht zu funktionieren.

Wie genau hast du das eingerichtet? Eine normale (IPv4-)Portweiterleitung von TC auf die IPv6 des Pi?


Jup, ich habe einfach im TC7200 unter Fortgeschritten -> Weiterleitung (http://192.168.0.1/advanced/forwarding.asp) eine Weiterleitung für Port 21 auf die globale IPv6 des Pi (bestehend auf Präfix + Interface ID) eingerichtet. Ich war selbst total erstaunt, dass das funktioniert. Anscheinend versteht er in diesem Feld nicht nur IPv4 Adressen und wie gesagt, mit der IPv6 Adresse und aktivierter IPv6 Firewall kann ich so trotzdem von außen auf den Pi zugreifen.
mettwurst
Kabelneuling
 
Beiträge: 4
Registriert: 03.01.2015, 22:13

Re: Noch mal Frage zur IPv6 Weiterleitung des TC7200

Beitragvon Leseratte10 » 04.01.2015, 06:00

Und du nutzt für den Zugriff die externe IP des Pi? Oder macht dein TC jetzt auch IPv6-NAT und du nimmst die des TC?
Leseratte10
Glasfaserstrecke
 
Beiträge: 1275
Registriert: 07.03.2013, 16:56

Re: Noch mal Frage zur IPv6 Weiterleitung des TC7200

Beitragvon mettwurst » 04.01.2015, 22:13

Leseratte10 hat geschrieben:Und du nutzt für den Zugriff die externe IP des Pi? Oder macht dein TC jetzt auch IPv6-NAT und du nimmst die des TC?


Ich habe bisher die externe IP des Pi genommen (die Adresse, die ich auch in die Weiterleitung eingetragen habe). Wenn ich die des TC nehme, funktioniert es nicht (egal ob fe80:: oder die gesamte externe IP des Pi in die Weiterleitung eingetragen ist). Ich kann es mir bisher nur so erklären: Die IPv6 Firewall blockt erst mal alles weg und wenn eine Anfrage per IPv6 an ein Gerät hinter dem TC kommt, wird verglichen, ob es eine Regel für diesen Port mit übereinstimmender IP gibt. Wie ich festgestellt habe, lassen sich nämlich auch mehrere verschiedene Regeln für den selben Port (mit unterschiedlichen IPv6 Adressen) erstellen. Eigentlich gar nicht so schlecht, allerdings wäre ich eben froh, wenn man das Ganze präfixunabhängig hinbekommt...

Liebe Grüße und schon mal vielen Dank für die bisherigen Antworten :smile:
mettwurst
Kabelneuling
 
Beiträge: 4
Registriert: 03.01.2015, 22:13

Re: Noch mal Frage zur IPv6 Weiterleitung des TC7200

Beitragvon Leseratte10 » 04.01.2015, 23:04

Ist ja schonmal interessant dass das zumindest mit statischem Präfix klappt.

Kann man nicht einfach mit Wireshark oder so mal die Seitenaufrufe im Webinterface loggen und die dann mit wget nachbauen? Dann ließen sich solche Regeln sicher über ein Script anlegen.

Leider (bzw. zum Glück) habe ich kein TC7200 sonst würde ich das schnell ausprobieren.
Leseratte10
Glasfaserstrecke
 
Beiträge: 1275
Registriert: 07.03.2013, 16:56

Re: Noch mal Frage zur IPv6 Weiterleitung des TC7200

Beitragvon mettwurst » 05.01.2015, 15:27

Kann man nicht einfach mit Wireshark oder so mal die Seitenaufrufe im Webinterface loggen und die dann mit wget nachbauen


Super Idee... Leider habe ich noch nie mit Wireshark gearbeitet und momentan nicht die Zeit, mich in das Thema einzuarbeiten. Es wäre genial, wenn das mal jemand hier ausprobieren könnte. Ansonsten kümmere ich mich darum, wenn ich mal wieder ein bisschen freie Zeit habe.

EDIT: Ok, es scheint ja doch nicht soo schwer zu sein.. Das Panel des TC7200 ist passwortgeschützt und ich konnte mit Wireshark die Anmeldung abfangen:

Code: Alles auswählen
267   3.829825000   192.168.0.11   192.168.0.1   HTTP   539   POST /goform/login HTTP/1.1  (application/x-www-form-urlencoded)

Mit dem Inhalt:

Code: Alles auswählen
0000   58 23 8c 1e 2f 98 28 d2 44 3f 53 b6 08 00 45 00  X#../.(.D?S...E.
0010   02 0d 77 dd 40 00 80 06 ff b0 c0 a8 00 0b c0 a8  ..w.@...........
0020   00 01 dc ce 00 50 fc 0b 96 f6 10 e0 de 3d 50 18  .....P.......=P.
0030   01 00 9e a9 00 00 50 4f 53 54 20 2f 67 6f 66 6f  ......POST /gofo
0040   72 6d 2f 6c 6f 67 69 6e 20 48 54 54 50 2f 31 2e  rm/login HTTP/1.
0050   31 0d 0a 48 6f 73 74 3a 20 31 39 32 2e 31 36 38  1..Host: 192.168
0060   2e 30 2e 31 0d 0a 55 73 65 72 2d 41 67 65 6e 74  .0.1..User-Agent
0070   3a 20 4d 6f 7a 69 6c 6c 61 2f 35 2e 30 20 28 57  : Mozilla/5.0 (W
0080   69 6e 64 6f 77 73 20 4e 54 20 36 2e 33 3b 20 57  indows NT 6.3; W
0090   4f 57 36 34 3b 20 72 76 3a 33 34 2e 30 29 20 47  OW64; rv:34.0) G
00a0   65 63 6b 6f 2f 32 30 31 30 30 31 30 31 20 46 69  ecko/20100101 Fi
00b0   72 65 66 6f 78 2f 33 34 2e 30 0d 0a 41 63 63 65  refox/34.0..Acce
00c0   70 74 3a 20 74 65 78 74 2f 68 74 6d 6c 2c 61 70  pt: text/html,ap
00d0   70 6c 69 63 61 74 69 6f 6e 2f 78 68 74 6d 6c 2b  plication/xhtml+
00e0   78 6d 6c 2c 61 70 70 6c 69 63 61 74 69 6f 6e 2f  xml,application/
00f0   78 6d 6c 3b 71 3d 30 2e 39 2c 2a 2f 2a 3b 71 3d  xml;q=0.9,*/*;q=
0100   30 2e 38 0d 0a 41 63 63 65 70 74 2d 4c 61 6e 67  0.8..Accept-Lang
0110   75 61 67 65 3a 20 64 65 2c 65 6e 2d 55 53 3b 71  uage: de,en-US;q
0120   3d 30 2e 37 2c 65 6e 3b 71 3d 30 2e 33 0d 0a 41  =0.7,en;q=0.3..A
0130   63 63 65 70 74 2d 45 6e 63 6f 64 69 6e 67 3a 20  ccept-Encoding:
0140   67 7a 69 70 2c 20 64 65 66 6c 61 74 65 0d 0a 44  gzip, deflate..D
0150   4e 54 3a 20 31 0d 0a 52 65 66 65 72 65 72 3a 20  NT: 1..Referer:
0160   68 74 74 70 3a 2f 2f 31 39 32 2e 31 36 38 2e 30  http://192.168.0
0170   2e 31 2f 0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a  .1/..Connection:
0180   20 6b 65 65 70 2d 61 6c 69 76 65 0d 0a 43 6f 6e   keep-alive..Con
0190   74 65 6e 74 2d 54 79 70 65 3a 20 61 70 70 6c 69  tent-Type: appli
01a0   63 61 74 69 6f 6e 2f 78 2d 77 77 77 2d 66 6f 72  cation/x-www-for
01b0   6d 2d 75 72 6c 65 6e 63 6f 64 65 64 0d 0a 43 6f  m-urlencoded..Co
01c0   6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 37 31  ntent-Length: 71
01d0   0d 0a 0d 0a 43 53 52 46 56 61 6c 75 65 3d 32 32  ....CSRFValue=22
01e0   35 31 30 35 39 35 26 6c 6f 67 69 6e 55 73 65 72  510595&loginUser
01f0   6e 61 6d 65 3d 61 64 6d 69 6e 26 6c 6f 67 69 6e  name=admin&login
0200   50 61 73 73 77 6f 72 64 3d 61 64 6d 69 6e 26 6c  Password=admin&l
0210   6f 67 6f 66 66 55 73 65 72 3d 30                 ogoffUser=0

Bzw. besser lesbar (ich habe für den Test absichtlich das Passwort auf admin geändert)

Code: Alles auswählen
Form item: "CSRFValue" = "22510595"
Form item: "loginUsername" = "admin"
Form item: "loginPassword" = "admin"
Form item: "logoffUser" = "0"

Meine Fragen:

- Kann man die Anmeldung in ein Script packen?

- Was hat es mit der CSRFValue auf sich? Ist das eine Art Session Nummer die verhinden soll, dass sich jemand ungewollt anmeldet? In einem Paket davor (vom Router zu mir) gibt es nämlich folgende Zeile:
Code: Alles auswählen
<input type="hidden" name="CSRFValueL" value=22510595>\n

Das müsste man dann ja auch abgreifen, um sich per Script anzumelden, oder?
mettwurst
Kabelneuling
 
Beiträge: 4
Registriert: 03.01.2015, 22:13


Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 49 Gäste