• Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
    Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Kleiner TCP/IP-Workshop - IPv6 und IPv4

Diskutiere Kleiner TCP/IP-Workshop - IPv6 und IPv4 im Internet und Telefon über das TV-Kabelnetz Forum im Bereich Internet und Telefon bei Unitymedia; Hallo! Vorwort Da zum Thema IPv6 viel Un- und Halbwissen existiert, habe ich mich entschlossen, mal einen kleinen "Workshop" zu machen, wie man...
Status
Es sind keine weiteren Antworten möglich.
SpaceRat

SpaceRat

Beiträge
2.468
Reaktionen
0
Hallo!

Vorwort

Da zum Thema IPv6 viel Un- und Halbwissen existiert, habe ich mich entschlossen, mal einen kleinen "Workshop" zu machen, wie man mit IPv6 arbeitet und z.B. IPv6-Freigaben einrichtet.

Für Lesefaule, Eilige und technisch weniger Interessierte mache ich am Ende der "Backgroundwissen"-Kapitel eine stark vereinfachende Zusammenfassung.

Wer bereits meine erste Fassung des "Kleiner IPv6-Workshop" gelesen und verstanden hat, kann sich das erneute Durchlesen der beiden ersten Grundlagen-Kapitel sparen, sie wurden nur unwesentlich verändert und teilweise etwas vereinfacht. Alle weiteren Kapitel wurden grundlegend überarbeitet.

Ich bitte darum, keine Antworten bzw. Rückfragen in diesem Thread zu (er)stellen, sondern dafür diesen Thread zu benutzen.


Inhalt
 
SpaceRat

SpaceRat

Beiträge
2.468
Reaktionen
0
Rückblick IPv4 / Warum eigentlich IPv6?

<r><SIZE size="200"><s></s><B><s></s>Rückblick IPv4 / Warum eigentlich IPv6?<e></e></B><e></e></SIZE><br/>
<br/>
Als das Protokoll erfunden wurde, auf dem unser aller Internet basiert, also TCP/IP, gab es das Internet noch gar nicht. Es hieß da noch Arpanet und war ein Forschungsnetzwerk, welches unterschiedliche US-amerikanische Universitäten, die für das US-Verteidigungsministerium forschten, verband. Für diesen Zweck erschien der von TCP/IP v4 angebotene Adressraum von 4 Mrd. Adressen noch mehr als ausreichend. Zur zeitlichen Einordnung: Wir reden hier von den späten 60er und den 70er Jahren.<br/>
<br/>
<SIZE size="150"><s></s><B><s></s>Adressierung in einem TCP/IP-Netzwerk<e></e></B><e></e></SIZE><br/>
<br/>
Das Protokoll TCP/IP sieht eigentlich vor, daß <B><s></s>jedes netzwerkfähige Gerät eine eigene Adresse (IP)<e></e></B> erhält und durch Angabe einer <B><s></s>Port-Nummer der anzusprechende Dienst bestimmt<e></e></B> wird. Die <B><s></s>IP unterteilt<e></e></B> sich noch weiter in einen <B><s></s>Netzwerk- und einen Hostteil<e></e></B>.<br/>
<br/>
Vergleichbar ist die IP mit einer Postadresse:
<LIST><s>
  • </s><LI><s>
  • </s><B><s></s>Anschrift samt Nachname<e></e></B> (Familie Mustermann, Sowiesostraße 10, 12345 Musterhausen) könnte man mit der <B><s></s>Netzwerkadresse<e></e></B>,</LI>
    <LI><s>
  • </s>den <B><s></s>Vorname<e></e></B>n mit der <B><s></s>Hostadresse<e></e></B><br/>
    und</LI>
    <LI><s>
  • </s>den <B><s></s>Betreff<e></e></B> eines Briefes an diese Anschrift mit dem <B><s></s>Port<e></e></B></LI><e>
</e></LIST>
vergleichen.<br/>
<br/>
Somit ist <B><s></s>jede Person in jeder Wohnung<e></e></B> und <B><s></s>um was es geht<e></e></B> (Z.B. eine Zahlungsaufforderung, die Aufforderung zu einer Antwort, die Bekanntgabe einer Erbschaft, ...) <B><s></s>eindeutig adressierbar<e></e></B>.<br/>
<br/>
Wenn ich möchte, daß Max Mustermann seine Rechnung bezahlt, dann adressiere ich auch an Max Mustermann und schreibe "Zahlungsaufforderung" in den Betreff. Das Netzwerk "Familie Mustermann" weiß dann, daß das Familienmitglied Max gemeint ist und Max weiß, daß er vergessen hat, etwas zu bezahlen.<br/>
<br/>
Exakt das selbe läuft ab, wenn ich einen Web-Server aufrufe. Um <URL url="http://www.heise.de">http://www.heise.de</URL> aufzurufen, wird dieser Name in die IP 193.99.144.85 aufgelöst, was unseren Postboten im Netzwerk (Also den Routern) sagt, daß unser Paket ins Netzwerk 193.96.0.0/14 zum Rechner 0.3.144.85 muß. Und weil ich den Web-Server erreichen will, füge ich der Adresse noch den Port 80 hinzu, damit der Rechner weiß, daß ich eine Webseite von ihm geschickt haben möchte.<br/>
<br/>
<br/>
<SIZE size="150"><s></s><B><s></s>Grenzen der Adressierbarkeit mit TCP/IP v4<e></e></B><e></e></SIZE><br/>
<br/>
Solange das ArpaNet ein reines Forschungsnetz war, war dieses Schema auch ohne weiteres einzuhalten. 1990 aber wurde das Arpanet für die kommerzielle Nutzung freigegeben und 1993 kam der erste grafische Webbrowser (Mosaic). Danach begann die wachsende Verbreitung des Internets und es war klar, daß der Adressraum von 4 Mrd. Adressen auf Dauer nicht reichen würde. Deshalb begann man zum einen mit der Entwicklung von IPv6 und auf der anderen Seite mit Maßnahmen, um mit den IPv4-Adressen besser zu haushalten.<br/>
<br/>
<br/>
<SIZE size="150"><s></s><B><s></s>Workaround 1: Dynamische IPs<e></e></B><e></e></SIZE><br/>
<br/>
Als Folge der Adressknappheit haben private Endkunden eigentlich nie einen vollwertigen IPv4-Anschluß bekommen, sondern z.B. nur dynamische IPs. Durch dynamische IPs konnte dieselbe IP an Einwahlverbindungen für mehrere Kunden genutzt werden: War Kunde A offline, dann bekam Kunde B die freigewordene Adresse und umgekehrt. Solange die Kunden den Internetzugang nach Zeit bezahlt haben, funktionierte das auch einigermaßen.<br/>
<br/>
Mit der steigenden Verbreitung von Flatrates und DSL entfiel der Kostendruck, die Verbindung zu trennen, allerdings bekam man zu Beginn i.d.R. auch nur ein DSL-/Kabel-Modem, so daß nach wie vor der angeschlossene PC die Verbindung herstellen mußte und da viele Nutzer ihren PC nicht durchlaufen lassen, hatte man so nach wie vor eine gewisse Reserve durch dynamische IPs.<br/>
<br/>
Durch das Aufkommen von SOHO-(Small Office/Home Office)-Routern wurde es dann aber zunehmend zur Normalität, daß die Kunden ihre Internet-Verbindung dauerhaft aufrecht hielten. Mit dynamischen IPs kann man nun nur noch unwesentlich Adressen sparen, denn selbst bei ausgeschalteten PC ist ja der Router bzw. die Modem/Router-Kombi noch online.<br/>
<br/>
<B><s></s>Dynamische IPs und die Zwangstrennung haben nur noch den Zweck, den Betrieb von Servern an Privatkundenanschlüssen zu erschweren. Eine Sicherheitsfunktion oder Privatsphärenschutz ist mit dynamischen IPs nicht verbunden!<e></e></B><br/>
Durch die Hinzunahme von Protokollen und Datum/Zeitpunkt des Zugriffs läßt sich problemlos jederzeit jede IP einem Anschluß zuordnen und eine genauere Zuordnung ist auch nicht nötig, da sowieso der Anschlußinhaber haftet.<br/>
<br/>
Damit bleibt als wahrer Grund für dynamische IPs nur die technische Beeinträchtigung der Erreichbarkeit eines Anschlusses für Serverdienste.<br/>
Noch mal am Beispiel der Postadressen:<br/>
<B><s></s>Ich weiß zwar, daß ich einen Web-Server (Port 80) bzw. einen Max erreichen will, ich kenne aber seine IP und damit Postanschrift nicht mehr, da sich diese ständig ändert. Die bekannte Krücke zur Lösung des Problems sind DynDNS-Dienste, also praktisch Nachsendeaufträge.<e></e></B><br/>
<br/>
<br/>
<SIZE size="150"><s></s><B><s></s>Workaround 2: NAT (Network Address Translation)<e></e></B><e></e></SIZE><br/>

<LIST><s>
  • </s><LI><s>
  • </s><B><s></s>Adressierung im LAN mit privaten IPs<e></e></B><br/>
    <br/>
    Um IPv4 einzusparen, nutzt man NAT. Statt jedem Kunden auch wirklich ein Subnet zuzuweisen, mit dem man jedem Gerät im Heimnetz seine eigene IP zuteilen könnte, bekommt man auch im Zeitalter von Routern und Zweit-PCs/Notebooks weiterhin nur <B><s></s>eine einzige öffentlich erreichbare IP<e></e></B> und muß seine <B><s></s>Geräte zuhause über NAT anbinden<e></e></B>. Dabei erhält zwar jedes Gerät eine eigene <B><s></s>IP, die jedoch nur im heimischen Netzwerk eindeutig<e></e></B> ist.<br/>
    Um die Konsequenz klar auszusprechen: Hierbei wird das Grundprinzip der TCP/IP-Netzwerkadressierung verletzt, daß jeder Rechner seine eigene Adresse hat. Aus Sicht des Internets ist jeder solche NAT-Anschluß nur ein einziges Gerät und erst vor Ort gibt es eindeutige Adressen für alle Geräte, die aber nach außen hin nicht sichtbar sind.<br/>
    <br/>
    Um bei unserem Beispiel zu bleiben:<br/>
    <B><s></s>Max, Franz und Petra Mustermann wissen zwar voneinander und können sich auch innerhalb der eigenen Wohnung gezielt ansprechen, aber nach außen hin treten sie nur als "Familie Mustermann" in Erscheinung<e></e></B>.<br/>
    <br/>
    Für diesen Zweck sind die bekannten Adressen im Muster 192.168.x.y sowie die weniger bekannten Adressbereiche 10.x.y.z und 172.16.0.0 bis 172.31.255.255 reserviert und werden im Internet nicht durchgeleitet.</LI>


    <LI><s>
  • </s><B><s></s>Kommunikation aus einem LAN mit privaten IPs ins Internet<e></e></B><br/>
    <br/>
    Diese Adressen werden nur innerhalb von privaten Netzen genutzt und erst der Router "bündelt" den ausgehenden Traffic aller Geräte dieses Netzwerkes auf der einen öffentlichen IP, leitete ihn mit dieser als Absender ins Internet und sorgte dafür, daß die eingehenden Antworten auch wieder an den PC im Heimnetz gehen, der auf diese Antwort wartet.<br/>
    <br/>
    Dieser <B><s></s>Vorgang der Network Address Translation (NAT) ist mit der Frage "Max, hast Du was bei Amazon bestellt?" vergleichbar<e></e></B>, die auftritt, wenn <B><s></s>Petra Mustermann ein an "Familie Mustermann" adressiertes Paket annehmen soll, selber aber nichts damit anzufangen weiß<e></e></B>. Eine Frage, die nicht nötig wäre, wenn schon in der Anschrift "Max Mustermann" oder eben "Franz Mustermann" stünde. Petra Mustermann ist in diesem Beispiel der Router, der versucht, das eingegangene Paket demjenigen im Netzwerk/der Familie zuzuordnen, der es auch angefordert hat.<br/>
    <br/>
    <B><s></s>Somit können alle angeschlossenen Geräte sich eine Internetverbindung und -adresse teilen, solange alles von außen eingehende auch von irgendeinem Rechner erwartet wird, analog unserem Paket von Amazon, das ja irgendjemand bestellt hat. Direkt von außen erreichbar sind die einzelnen Geräte aber nicht.<e></e></B><br/>
    <br/>
    Genau wie ständige Nachfragerei, wer etwas bei Amazon, Bonprix, Otto, Conrad, ... bestellt hat, ist auch beim Router die Zuordnung von Antworten zu dem Gerät, welches darauf wartet, mit erheblichem (Rechen-)Aufwand verbunden.</LI>


    <LI><s>
  • </s><B><s></s>Zugriffe vom Internet auf ein LAN mit privaten IP-Adressen<e></e></B><br/>
    <br/>
    Unangeforderte Zugriffe von außen enden am Router, der nichts damit anzufangen weiß.<br/>
    <br/>
    Durch <B><s></s>Port-Weiterleitungen<e></e></B> kann man dem Router nun sagen, daß z.B. Zugriffe auf einen <B><s></s>Web-Server<e></e></B> (Erkennbar daran, daß <B><s></s>Port 80 angesprochen<e></e></B> wird) <B><s></s>auf <COLOR color="#FF0000"><s></s>einen<e></e></COLOR> ganz bestimmten Rechner im Heimnetz geleitet<e></e></B> werden sollen, auf dem eben der Web-Server läuft. Das konnte man mit jedem einzelnen der 65535 Ports machen, mit jedem davon aber nur ein Mal.<br/>
    <br/>
    Ein <B><s></s>zweiter Web-Server ist also nicht möglich<e></e></B> (Da der dafür benutzte <B><s></s>Port 80 schon für den ersten Web-Server benutzt<e></e></B> wird), bzw. der <B><s></s>zweite Web-Server müßte dann einen anderen, nicht standardgemäßen, Port nutzen<e></e></B>.<br/>
    <br/>
    Beispiel: Im Heimnetz steht ein NAS mit Web-Zugriff und ein Receiver mit Web-Interface. Der NAS habe die lokale IP 192.168.1.10 und der Receiver die lokale IP 192.168.1.11. Das Heimnetz habe die öffentliche IP 176.198.22.67.<br/>
    Im lokalen Netzwerk kann man nun per Webbrowser durch Eingabe der o.g. lokalen IPs beide Geräte direkt ansprechen. Für den Zugriff von außen müßte man in der Fritz!Box aber Portfreigaben nach diesem Muster einrichten:<br/>
    Als Freigabe namens "Receiver WebInterface" leite TCP-Anfragen von Port 80 an das Gerät Receiver auf Port 80<br/>
    Als Freigabe namens "NAS WebInterface" leite TCP-Anfragen von Port 81 an das Gerät NAS auf Port 80<br/>
    Nun kann man von außen mittels Eingabe der Adresse 176.198.22.67 direkt auf den Receiver zugreifen, für den Zugriff auf den NAS muß man aber 176.198.22.67:81 eingeben, da Port 81 nicht der Standardport für Web-Server ist.<br/>
    <br/>
    <B><s></s>Am Beispiel unserer Postadresse würde das bedeuten, daß z.B. nur Max Mustermann alle Rechnungen für "Familie Mustermann" auf den Tisch gelegt bekäme. Franz hingegen könnte so keine Rechnungen bekommen, es sei denn, ich schriebe in den Betreff explizit "Rechnung Franz Mustermann" hinein.<e></e></B></LI><e>
</e></LIST>

<SIZE size="150"><s></s><B><s></s>Workaround 3: CGN (Carrier Grade NAT, also "Network Address Translation durch den Anbieter")<e></e></B><e></e></SIZE><br/>
<br/>
Das bisher am Heimanschluß vorherrschende Szenario war<br/>
- eine einzige öffentliche IPv4<br/>
- NAT für das lokale Heimnetz mit privaten IP-Adressen<br/>
<br/>
Beim CGN kommt nun eine NAT-Ebene hinzu, d.h. die Pakete werden bereits beim Provider durch eine "Adressübersetzungen" gejagt.<br/>
Vereinfacht gesagt funktioniert diese ganz genau so, wie im vorherigen Abschnitt beschrieben, nur daß in diesem Fall nicht nur die diversen Geräte im Heimnetz via NAT-Router über nur eine IP gebündelt nach außen kommunizieren, sondern zusätzlich auch <B><s></s>mehrere Kunden bzw. Anschlüsse nur noch <COLOR color="#FF0000"><s></s>private<e></e></COLOR> IPv4-Adressen<e></e></B> erhalten und wiederum <B><s></s>über einen NAT-Router beim Anbieter<e></e></B> (Das "AFTR-Gateway") über eine <B><s></s>gemeinsame öffentliche IPv4<e></e></B> auf das Internet zugreifen.<br/>
Als Konsequenz "sieht" das Internet hier nicht nur keine einzelnen Geräte, sondern auch den kompletten einzelnen Anschluß nicht mehr. Stattdessen scheinen alle Zugriffe aus dem CGN heraus von nur einem einzigen Rechner zu stammen.<br/>
<br/>
Auf unser Beispiel mit der Postadresse übertragen bedeutet dies, das nun ein Portier alle <B><s></s>Antwort<e></e></B>-Pakete annimmt. Dieser kann - weil er die Bestellungen im Auftrage der Familien selber weggeschickt hat - die Pakete einer im Hause wohnenden Familie zuordnen, nicht aber einer Person aus der Familie. Letztere Zuordnung erledigt weiterhin die Person in der Familie, die immer die Pakete annimmt (Also Petra, unser Router).<br/>
<br/>
Genauso wie unsere Petra/unser normaler NAT-Router zuhause ist auch der Portier/das AFTR-Gateway nicht in der Lage, unverlangt eingehende Pakete zuzuordnen. Somit kann die ganze Familie Mustermann (Genauso wie die Schmitzens, Müllers und Meiers aus demselben CGN-Haus) keine Anfragen von außen/aus dem Internet beantworten, da diese nie bei ihnen ankommen.<br/>
Anders als unser NAT-Router zuhause kann das AFTR-Gateway auch nicht mit Portfreigaben dazu gebracht werden, zumindest auf bestimmte Betreffs/bestimmten Ports zu reagieren.<br/>
<br/>
<B><s></s>Ergebnis: Die Rechner bzw. Netze hinter einem AFTR-Gateway sind von außen gar nicht mehr ansprechbar, sie können nur Antworten auf Anfragen von innen heraus erhalten.<e></e></B><br/>
<br/>
<br/>
<SIZE size="200"><s></s><B><s></s>Grundlagen zu IPv6<e></e></B><e></e></SIZE><br/>
<br/>
<SIZE size="150"><s></s><B><s></s>Änderungen durch IPv6<e></e></B><e></e></SIZE><br/>
<br/>
Mit all diesem Humbug räumt IPv6 auf. Durch eine längere Adresse stehen nun nicht mehr nur 4 Mrd. (3,7 Mrd. nutzbare) IPv4-Adressen, sondern 340 Sextillionen IPv6-Adressen zur Verfügung und damit genug für alle. <B><s></s>Dank IPv6 kann jedes Smartphone, jeder PC im Heimnetz, jede Spielkonsole, jeder Receiver, jeder NAS usw. seine eigene Adresse erhalten und ohne Umwege angesprochen werden.<e></e></B><br/>
<br/>
Ansonsten bleibt eigentlich alles genau wie vorher, abgesehen davon, daß ich jetzt wieder mit dem ursprünglichen Adressierungskonzept arbeiten kann, welches ja nur deshalb im privaten Umfeld nicht ging, weil ich nicht genug Adressen zur Verfügung hatte.<br/>
<br/>
<br/>
<SIZE size="150"><s></s><B><s></s>Aufbau von IPv6-Adressen im Vergleich zu IPv4-Adressen<e></e></B><e></e></SIZE><br/>

<LIST><s>
  • </s><LI><s>
  • </s>Während <B><s></s>IPv4-Adressen<e></e></B> aus <B><s></s>4 Blöcke<e></e></B>n <B><s></s>a 256 Werte<e></e></B>n aufgebaut sind, also z.B. 176.198.22.67, sind es bei <B><s></s>IPv6 8 Blöcke<e></e></B> mit <B><s></s>jeweils 65536 Werte<e></e></B>n.</LI>

    <LI><s>
  • </s>Zur <B><s></s>Unterscheidung zu IPv4<e></e></B> nutzt man zum <B><s></s>Trennen der Blöcke keine Punkte mehr, sondern Doppelpunkte<e></e></B>.</LI>

    <LI><s>
  • </s>Und weil 8193:19920:65280:33837:547:4607:65044:57278 sehr unhandlich aussieht, schreibt man diese <B><s></s>Adressen in Hexadezimal<e></e></B>, also so: 2001:db8:affe:c0c0:223:11ff:fe14:1234.</LI>

    <LI><s>
  • </s>Wie bei <B><s></s>IPv4<e></e></B> gibt es <B><s></s>Subnetze<e></e></B> und die werden auch fast genauso beschrieben.<br/>
    <br/>
    Da man als Privatkunde bei IPv4 selten einen vollwertigen IPv4-Zugang bekommen hat, dürfte vielen nur das private Subnetz<br/>
    <B><s></s>192.168.x.y Subnetzmaske 255.255.255.0<e></e></B> bzw. <B><s></s>192.168.x.y/24<e></e></B><br/>
    etwas sagen.<br/>
    <br/>
    Beide Schreibweisen bezeichnen das selbe Subnetz, nämlich das, bei dem der Teil 192.168.x feststeht und die Stelle y für Hosts im Subnetz (Also die Vornamen der Familienmitglieder) vergeben werden kann.<br/>
    Der erste Teil hätte - wie zu Beginn beschrieben - normalerweise die Funktion der eigentlichen Postanschrift, um die Familie Mustermann an sich zu erreichen. Da es sich aber nur um einen speziell reservierten privaten Adressbereich handelt, fehlt ihm diese Aussagekraft, weil dieser Teil nur "Irgendein lokales, nicht ins Internet geroutetes LAN" beschreibt. Praktisch wie die Antwort "Zuhause" auf die Frage, wo man wohnt.<br/>
    <br/>
    Die Maske drückt aus, welche Bits unveränderlich sind.<br/>
    255 = 11111111 in Dual, d.h. alle 8 Bits sind unveränderlich.<br/>
    Da wir bei der Subnetzmaske 255.255.255.0 die 255 für die ersten drei Blöcke haben, heißt das, das sich an den Zahlen der ersten drei Blöcke auch nichts ändern darf, sonst wären wir in einem anderen Subnetz.<br/>
    Weil die Schreibweise mit Maske lang und unhandlich ist und die Bits auch immer von hinten zwischen Subnetz und Hosts verschoben wird, geht man immer mehr dazu über, einfach die Anzahl der festgelegten Bits anzugeben, also z.B. 192.168.178.0<B><s></s>/24<e></e></B> für das Standard-Subnetz einer Fritz!Box, bei dem der Teil 192.168.178 (Die ersten 24 Bit) unveränderlich ist.<br/>
    <br/>
    Innerhalb eines Subnetzes sind die erste und die letzte Adresse reserviert als Netzwerk- und Broadcastadresse, stehen also für Hosts nicht zur Verfügung.<br/>
    Im Netzwerk 192.168.178.0/24 sind das die 192.168.178.0 als Netzwerk- und die 192.168.178.255 als Broadcast-Adresse.<br/>
    <br/>
    Bei <B><s></s>Unitymedia-Business-Anschlüssen mit fester IPv4 erhält man übrigens auch Subnetze<e></e></B>, nämlich entweder<br/>
    a.b.c.d/30 ("1" IPv4-Adresse) oder a.b.c.d/29 ("5" IPv4-Adressen)<br/>
    bzw. an zwei praktischen Beispielen:
    <LIST><s>
    • </s><LI><s>
    • </s>176.198.22.64/30<br/>
      entspricht dem Adressraum 176.198.22.64 bis 176.198.22.67,<br/>
      da von den 32 Bits nur 2 (32-30) für Hosts genutzt werden können, also die Bits für die 1 und die 2, also 64+0 (=64) , 64+1, 64+2 und als letzte 64+1+2 (= 67)<br/>
      <br/>
      Von diesem Adressraum mit 4 Adressen ziehen wir die Netzwerk- und Broadcastadressen ab, bleiben 2 IPs, eine kriegt der Router und schon sind wir bei genau <B><s></s>einer statischen IP<e></e></B> für die angeschlossenen Geräte.<br/>
      <br/>
      Ergebnis:<br/>
      176.198.22.64 = Netzwerkadresse<br/>
      176.198.22.65 = Für den Unitymedia-Router verwendete IP<br/>
      176.198.22.66 = 1. Host-IP, zur Verwendung durch den Router/Rechner des Kunden<br/>
      176.198.22.67 = Broadcast-Adresse</LI>
      <LI><s>
    • </s>176.198.22.64/29<br/>
      entspricht dem Adressraum 176.198.22.64 bis 176.198.22.71,<br/>
      diesmal sind es 3 Host-Bits, also die für die 1, die 2 und die 4, somit also 64+0 (=64), 64+1, 64+2, 64+1+2, 64+4, 64+4+1, 64+4+2, 64+4+2+1 (=71)<br/>
      <br/>
      Von diesem Adressraum mit 8 Adressen ziehen wir die Netzwerk- und Broadcastadressen ab, bleiben 6 IPs, eine kriegt der Router und schon sind wir bei <B><s></s>fünf statischen IPs<e></e></B> für die angeschlossenen Geräte:<br/>
      176.198.22.64 = Netzwerkadresse<br/>
      176.198.22.65 = Für den Unitymedia-Router verwendete IP<br/>
      176.198.22.66-176.198.22.70 = 1. bis 5. für Hosts verwendbare IP<br/>
      176.198.22.71 = Broadcast-Adresse</LI><e>
    </e></LIST></LI>

    <LI><s>
  • </s><B><s></s>Subnetze<e></e></B> funktionieren bei <B><s></s>IPv6<e></e></B> genauso wie bei IPv4,<br/>
    wobei hier nur die Schreibweise mit der Anzahl der feststehenden Bits (/64) üblich ist,<br/>
    denn 65535:65535:65535:65535:0:0:0:0 oder FFFF:FFFF:FFFF.FFFF:0:0:0:0 sähe doch arg bescheuert aus.<br/>
    <br/>
    Bei IPv6 ist es vorgesehen, daß jeder Endkunde mindestens ein 64er Präfix und Subnetz kriegt. Bei einem Subnetz 2001:db8:affe:c0c0::/64 haben wir den feststehenden Teil 2001:db8:affe:c0c0 (Die ersten 64 Bit) und dahinter Platz für Hostadressen von ::0 bis FFFF:FFFF:FFFF:FFFF. Ich mag das jetzt nicht vorrechnen, aber das sind 18446744073709551616 Adressen (2^64), vorerst genug auch für kleine WGs und Familien.<br/>
    Im Gegensatz zu unserem bekannten IPv4-Subnetz 192.168.x.y ist dieses Subnetz auch ein vollwertiges, routingfähiges Subnetz, das nicht nach außen hin durch eine andere, öffentliche IP ersetzt werden muß!<br/>
    <br/>
    Subnetze kleiner als 64 sind bei IPv6 unüblich, weil das die Mindestgröße für die Adressvergabe per SLAAC (State-Less Address Auto Configuration bzw. zustandslose Adressautokonfiguration) ist.</LI>

    <LI><s>
  • </s>Zur <B><s></s>Schreibweise (Notation) von IPv6-Adressen<e></e></B> gibt es <B><s></s>Vereinfachungen<e></e></B>, um Adressen kürzer zu schreiben:
    <LIST><s>
    • </s><LI><s>
    • </s>Führende Nullen kann man streichen. Statt 2001:0db8:affe:0000:0000:01ff:0e14:1234 dürfte ich also schreiben: 2001:db8:affe:0:0:1ff:e14:1234</LI>
      <LI><s>
    • </s>Aufeinanderfolgende Blöcke zu 0 dürften einmalig zusammengefaßt werden und werden durch zwei aufeinanderfolgende Doppelpunkte gekennzeichnet. Die o.g. Adresse dürfte ich also so schreiben: 2001:db8:affe::1ff:e14:1234<br/>
      Einmalig heißt, das ich das nur ein einziges Mal in einer Adresse machen darf. Die Adresse 2001:0:0:0:01ff:0:0:0fbe darf ich also zu 2001::01ff:0:0:0fbe zusammenfassen, die hinteren zwei Blöcke mit Nullen müssen stehenbleiben, weil es ja sonst zwei Möglichkeiten gäbe, wieder auf 8 Blöcke zu kommen, nämlich vorne zwei plus hinten drei einerseits und vorne drei und hinten zwei andererseits. Wenn man also einer Adresse mit mehreren Sequenzen von 0er Blöcken begegnet, streicht man natürlich den größeren zusammen.</LI><e>
    </e></LIST></LI>

    <LI><s>
  • </s><B><s></s>Spezielle Adressen IPv4 und IPv6 im Vergleich<e></e></B><br/>
    <br/>
    Sowohl bei IPv4 als auch bei IPv6 gibt es einige spezielle Adressen.<br/>
    Die wohl bekannteste davon bei IPv4 ist die 127.0.0.1 oder "localhost". Diese adressiert sozusagen "sich selbst". Man begegnet ihr daher z.B. dann, wenn ein Dienst auf dem eigenen Rechner im Hintergrund läuft und über eine entsprechende Schnittstelle konfiguriert werden kann. Man nutzt sie auch, wenn man z.B. auf seinen eigenen FTP-Server zugreifen will, oder oder oder.<br/>
    Die entsprechende Adressse bei IPv6 lautet ::1/128 (Also in lang: 0:0:0:0:0:0:0:1 bzw. in ganz lang 0000:0000:0000:0000:0000:0000:0000:0001).<br/>
    Ansonsten gibt es noch spezielle Adressen in Form der Netzwerk-Adresse oder der Broadcast-Adresse, die ich oben bereits erwähnt hatte, die zu erklären hier aber zu weit führen würde. Vergleichbares gibt es auch bei IPv6, es ist aber zum weiteren Verständnis nicht notwendig.<br/>
    Eingehen möchte ich noch auf die link-local-Adressen, die mit fe80:0000:0000:0000 oder fe80::/64 beginnen. Adressen in diesem Subnet gelten nur lokal, also in einem abgeschlossenen Netzwerk und spielen hauptsächlich für die Adressvergabe eine Rolle.</LI><e>
</e></LIST>

<br/>
<SIZE size="150"><s></s><B><s></s>Adressvergabe IPv6<e></e></B><e></e></SIZE><br/>

<LIST><s>
  • </s><LI><s>
  • </s><B><s></s>DHCP vs. DHCPv6<e></e></B>
    <LIST><s>
    • </s><LI><s>
    • </s>Bei <B><s></s>IPv4<e></e></B> nutzen wir vor allem <B><s></s>DHCP<e></e></B> zur Adressvergabe.<br/>
      Sei es, weil wir eine einfache Einwahlverbindung nutzen und uns der Einwahlserver so eine Adresse zuweist, oder weil wir hinter einem Heim-Router sitzen, der so den angeschlossenen Geräten eine Adresse zuweist. Auch der Router selber erhält meist auf diese Weise seine öffentliche IP.<br/>
      <br/>
      Daneben gibt es noch die statische IP, bei der wir auf einem Gerät eine feste IP (Meist eine aus dem Heimnetz) fest eintragen, z.B. weil wir wollen, daß der Receiver oder ein Netzwerkdrucker auch immer unter der selben IP erreichbar ist. Diese Methode ist, ohne da weiter drauf eingehen zu wollen, großer Mist, da wir selber Buch darüber führen müßten, welches Gerät nun welche IP hat, damit wir z.B. nicht dieselbe IP nochmals vergeben. Bei einer Änderung des Subnetzes, z.B. bei einem Routerwechsel, stünde ein derart konfigurierter Host auch auf einmal außerhalb des angestammten Subnetzes.<br/>
      <br/>
      Eleganter ist da die statische Adressvergabe per DHCP. Dazu sagen wir einfach dem DHCP-Server, daß er dem Gerät mit einer bestimmten Hardware-Adresse (MAC) immer eine bestimmte IP zuweisen soll. Die Adresskonfiguration erfolgt dann immer noch per DHCP, nur eben immer mit derselben Adresse. In der Fritz!Box geht das, indem man auf der Seite Heimnetz beim gewünschten Gerät einen Haken in die Box "Diesem Gerät immer dieselbe Adresse zuweisen" machen. Bei einer Änderung des Subnetzes müssen wir so wenigstens nur an einer Stelle, im Router, eingreifen.<br/>
      Heutzutage erfolgt meist auch die Zuweisung von DNS-Servern und die Definition des "Standard-Gateways" (Wohin angeschlossene Geräte alle Daten-Pakete hinschicken sollen, wenn sie nicht selber wissen, was damit zu tun ist) über DHCP.</LI>

      <LI><s>
    • </s>Auch für <B><s></s>IPv6<e></e></B> kann man DHCP zur Adressvergabe verwenden, also <B><s></s>DHCPv6<e></e></B>.<br/>
      Das ist aber relativ unüblich, i.d.R. wird man SLAAC verwenden wollen. Bei SLAAC weisen sich die angeschlossenen Geräte den Host-Teil der Adresse selber zu und das bereits bevor sie eine Verbindung haben. Daher auch das "State-Less" bzw. "Zustandslos" in "StaleLess Address AutoConfiguration".<br/>
      <br/>
      Dazu verwendet das Gerät seine Hardware-Adresse (MAC), die folgendes Format hat<br/>
      AA:BB:CC:DD:EE:FF, also 48 Bit<br/>
      fügt in der Mitte "FF:FE" ein (Damit haben wir die benötigten 64 Bit) und kippt das 7. Bit (Wert = 2) des ersten Blocks. Zu guter Letzt wird das ganze noch in 16 Bit-Blöcke geschrieben.<br/>
      Aus der MAC 00:22:15:15:BE:7D wird also ...<br/>
      ... Einfügen von FF:FE -> 00:22:15:FF:FE:15:BE:7D<br/>
      ... Kippen des 7. Bits: -> 02:22:15:FF:FE:15:BE:7D<br/>
      ... in 16 Bit Blöcken -> 0222:15ff:fe15:be7d<br/>
      Damit hat jedes Gerät schon einen <B><s></s>fertigen Host-Teil<e></e></B> für eine IPv6-Adresse.<br/>
      <br/>
      Um die Adresskonfiguration abschließen zu können, braucht es aber noch ein Subnet. Hierzu nimmt es einfach <B><s></s>fe80::<e></e></B> und fertig ist eine <B><s></s>link-local-Adresse<e></e></B>, also z.B. fe80::222:15ff:fe15:be7d oder in lang fe80:0:0:0:222:15ff:fe15:be7d<br/>
      Sobald das Gerät Informationen über das <B><s></s>verwendete öffentliche IPv6-Präfix<e></e></B> weiß, weist es sich <B><s></s>dieselbe Adresse mit diesem Präfix zusätzlich als öffentliche IPv6-Adresse<e></e></B> zu. Bei dem Präfix 2001:db8:affe:0 wäre das also die 2001:db8:affe:0:222:15ff:fe15:be7d.<br/>
      <br/>
      Auf einer Kommandozeile kann man sich das mit "ipconfig /all" sehr schön ansehen (Vgl. die Parallelen zwischen "physikalischer Adresse" (=MAC) und IPv6, 2. Hälfte):
      <CODE><s>
      Code:
      </s>Beschreibung. . . . . . . . . . . : Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller
      Physikalische Adresse . . . . . . : 00-22-15-XX-XX-XX
      DHCP aktiviert. . . . . . . . . . : Ja
      Autokonfiguration aktiviert . . . : Ja <-- = SLAAC
      IPv6-Adresse. . . . . . . . . . . : 2001:db8:affe::222:15ff:feXX:XXXX(Bevorzugt)
      Verbindungslokale IPv6-Adresse . : fe80::222:15ff:feXX:XXXX%11(Bevorzugt)<e>
      </e></CODE>

      <B><s></s>Was das Gerät auf diese Weise nicht konfigurieren kann, sind das Standardgateway und der oder die DNS-Server. Hierzu verwendet man auch weiterhin meistens DHCP bzw. DHCPv6, nur eben ohne Adressvergabe.<br/>
      Die Kombination aus SLAAC für die Adresskonfiguration und DHCPv6 für die Zuweisung von Gateway und DNS nennt sich auch "Stateless DHCPv6".<e>
      </e></B></LI><e>
    </e></LIST></LI>

    <LI><s>
  • </s><B><s></s>Privacy Extension<e></e></B><br/>
    Weil es Paranoiker gibt, die die Preisgabe der MAC-Adresse für heikel halten, gibt es die sog. Privacy Extensions.<br/>
    <br/>
    Die Adressbildung erfolgt genauso wie zuvor beschrieben bei SLAAC, es wird jedoch ein anderer konstanter Wert für die Adressbildung verwendet wird und nicht die MAC-Adresse.<br/>
    Zusätzlich weisen sich Geräte mit Privacy Extensions eine zweite öffentliche IP zu, bei der der Hostteil NICHT konstant ist, sondern regelmäßig gewechselt wird, also praktisch eine dynamische IPv6 (Innerhalb des zugewiesenen Subnetzes natürlich).<br/>
    <br/>
    Ein Gerät kann auch mehrere öffentliche IPv6 haben, z.B. eine mit Privacy Extensions und gewürfeltem IP-Hostteil zum Surfen und eine mit statischem Hostteil, um Dienste/Server daran zu binden. Bei Windows ist dies übrigens der Standard.</LI>

    <LI><s>
  • </s><B><s></s>Öffentliche IP-Bereiche (Routingfähige IP-Bereiche)<e></e></B><br/>
    Als routingfähig ist Stand heute der Bereich 2000 bis 3fff definiert.<br/>
    <br/>
    Adressen aus diesem Bereich sind "normale" öffentliche IPs, mit folgenden Spezialbereichen:<br/>
    Beginnend mit 2001:0: = Übergangsmechanismus Teredo<br/>
    Beginnend mit 2001:db8: = Für Dokumentationszwecke zu verwenden (Werden nicht vergeben)<br/>
    Beginnend mit 2002: = Übergangsmechanismus 6to4</LI>

    <LI><s>
  • </s><B><s></s>IPv6-Subnetze<e></e></B><br/>
    Diese werden von den Providern wahlweise statisch (Jeder Kunde erhält immer wieder das selbe Subnetz) oder dynamisch (Das Subnetz ändert sich mit jeder Einwahl) zugewiesen.<br/>
    <br/>
    Es ergibt sich aus der Kombination von Autokonfiguration und Subnetzvergabe, daß die resultierenden IPv6-Adressen sein können:
    <LIST><s>
    • </s><LI><s>
    • </s>komplett statisch<br/>
      Statisches Subnetz und SLAAC ohne Privacy Extensions</LI>
      <LI><s>
    • </s>komplett dynamisch<br/>
      Dynamisches Subnetz und SLAAC mit Privacy Extensions</LI>
      <LI><s>
    • </s>teilweise dynamisch
      <LIST><s>
      • </s><LI><s>
      • </s>Bei einem dynamischen Subnetz und SLAAC ohne Privacy Extensions bleibt der Host-Teil der Adresse immer gleich.<br/>
        Bei einem unveränderten und offenbar aus einer MAC generierten Hostteil ist die Wahrscheinlichkeit groß, daß es sich trotzdem um denselben Rechner handelt, auch wenn sich das Subnetz geändert hat. Noch größer ist diese Wahrscheinlichkeit, wenn beide Subnetze dem selben Provider oder gar der selben Region zugeordnet werden können.</LI>
        <LI><s>
      • </s>Bei einem statischen Subnetz und SLAAC mit Privacy Extensions bleibt der Subnetz-Teil der Adresse immer gleich.<br/>
        In diesem Fall sind alle Vorgänge mit dieser IP eindeutig immer demselben Anschluß zuzuordnen, es ist nur nicht transparent, welches Gerät im Heimnetz ihn veranlaßt hat.</LI><e>
      </e></LIST></LI><e>
    </e></LIST>

    Statische Subnetze wären also im Sinne eines vollwertigen Zuganges das Ideal, denn damit wäre ohne weitere Verrenkungen ein stabiler Zugriff von außen auf Geräte zuhause möglich (Z.B. NAS, Receiver, IP-Webcam, Heimautomatisierung, ...).<br/>
    Es ist aber abzusehen, daß die Provider uns unter dem Vorwand der "Privatsphäre" nur dynamische Subnetze geben werden. Für Zugriffe von außen werden wir also weiterhin DynDNS-Dienste benötigen, während Hinz und Kunz sowieso anhand von Subnetz und Uhrzeit vom Provider gesagt bekommen, welcher Anschluß dahintersteckt.</LI><e>
</e></LIST>

<COLOR color="#FF0000"><s></s><SIZE size="150"><s></s><B><s></s>Zusammenfassung<e></e></B><e></e></SIZE><e></e></COLOR><br/>
<br/>
IPv6 wurde nötig, um bei einer steigenden Anzahl internettauglicher Geräte jedem Gerät eine eigene IP zuweisen zu können und somit einen vollwertigen Internetzugang zu ermöglichen:<br/>
Auch Endkunden erhalten nun nicht mehr nur eine einzige IPv4, die über Hilfsmechanismen mit allen Geräte im Heimnetz geteilt werden muß, sondern ein ganzes Subnetz mit Abermillionen Adressen. Bei üblichen Standardeinstellungen werden sich IPv6-taugliche Geräte im Heimnetz selbständig konfigurieren. Ob die resultierenden IP-Adressen statisch oder dynamisch sind, wird im wesentlichen dadurch beeinflußt, ob der eigene Provider ein statisches oder dynamisches Subnetz zuweist, da der Hostteil der IP durch Konfiguration am Gerät beeinflußt werden kann (statisch oder dynamisch oder beides gleichzeitig). IPv6-Adressen haben 128 Bit, die in 8 Blöcken hexadezimal geschrieben werden, z.B. 2001:db8:affe:0:0:1ff:e14:1234. Aufeinanderfolgende Doppelpunkte :: in IPv6-Adressen stehen immer für so viele Blöcke mit dem Wert 0, wie nötig sind, um die Adresse auf 8 Blöcke zu erweitern :):1 = 0:0:0:0:0:0:0:1).<br/>
<br/>
<B><s></s>Zwischen einem vollwertigen Zugang mit IPv4 und einem vollwertigen mit IPv6 besteht bezüglich der technischen Möglichkeiten kein Unterschied. Da private Endkunden in der Vergangenheit eigentlich noch nie vollwertige IPv4-Zugänge erhalten haben, hat IPv6 hier technisch betrachtet nur Vorteile.<br/>
Eventuelle Nachteile bei der Benutzung von IPv6 entstehen aus der Inkompetenz diverser Hard- und Softwarehersteller und der Trantütigkeit der Internet-Provider und sollen in einem späteren Teil des Workshops beleuchtet werden.<e>
</e></B></r>
 
SpaceRat

SpaceRat

Beiträge
2.468
Reaktionen
0
Kommunikation in TCP/IP-Netzen, also auch dem Internet

<r><SIZE size="200"><s></s><B><s></s>Kommunikation in TCP/IP-Netzen, also auch dem Internet<e></e></B><e></e></SIZE><br/>
<br/>
Dieses Kapitel ist für diejenigen gedacht, die wissen wollen, wie wir über IPv6 kommunizieren können.<br/>
Eigentlich stellt sich diese Frage nämlich gar nicht, da es in diesem Punkt keine Unterschiede zu IPv4 gibt. <br/>
<br/>
<SIZE size="150"><s></s><B><s></s>Funktionsweise<e></e></B><e></e></SIZE><br/>
<br/>
Lassen wir einmal die bekannten Einschränkungen von Privatkunden-IPv4-Anschlüssen beiseite, dann funktioniert die Kommunikation in TCP/IP-Netzen unabhängig von IPv4 oder IPv6 nach folgendem Prinzip (Wobei ich stark vereinfache, das OSI-Schichten-Modell erspare ich Euch):<br/>
<br/>
In einem TCP/IP-Netzwerk hat jedes angebundene Gerät eine IP-Adresse, durch die es eindeutig gekennzeichnet ist. Wenn Rechner A einen Server auf Rechner B erreichen möchte, dann wird ein Paket auf die Reise geschickt, das die IP-Adresse von Rechner A als Absendeadresse und die IP-Adresse von Rechner B als Zieladresse enthält. Zusätzlich enthält das Paket noch Informationen darüber, mit welchem Dienst des Zielrechners Rechner A verbunden werden möchte.<br/>
Bei den Diensten gibt es einige "wohlbekannte" (well defined), definierte Dienste mit einem standardisierten Port, wodurch wir selten Ports mit angeben müssen, weil der beteiligte Client einfach den Standardport annimmt, wenn wir keinen angeben.<br/>
<br/>
Beispiel:
<LIST type="decimal"><s>
  1. </s><LI><s>
  2. </s>Rechner A habe die IP 217.45.67.13 und Rechner B die IP 173.194.70.106</LI>
    <LI><s>
  3. </s>Rechner A möchte den Web-Server auf Rechner B erreichen</LI>
    <LI><s>
  4. </s>Der Web-Client schickt nach Eingabe der Adresse 173.194.70.106 einen Anfrage an 173.194.70.106:80, also die IP-Adresse von Rechner B, ergänzt um den Port 80, den wohlbekannten Port für das http-Protokoll.</LI>
    <LI><s>
  5. </s>Rechner B empfängt das von A geschickte Paket und erkennt anhand des angefragten Ports 80, daß er die Anfrage an den auf ihm laufenden Web-Server (Der ja an eben diesen Port 80 gebunden ist) weiterleiten soll.</LI>
    <LI><s>
  6. </s>Rechner B leitet das Paket an den Web-Server weiter und dieser gibt die gewünschte Antwort raus</LI>
    <LI><s>
  7. </s>Rechner B schickt nun ein an Rechner A rückadressiertes Paket mit der Antwort des Webservers</LI>
    <LI><s>
  8. </s>Rechner B erhält das Antwortpaket, leitet es an den Web-Browser weiter und der kann es nun anzeigen</LI><e>
</e></LIST>

<B><s></s>An diesem Beispiel ändert sich absolut gar nichts, wenn Rechner A nun nicht mehr die IPv4-Adressen 217.45.67.13 sondern die IPv6-Adresse 2001:db8:affe:c0co:27b:d0d1:675:abca <COLOR color="#FF0000"><s></s>und<e></e></COLOR> Rechner B nicht mehr die IPv4-Adresse 173.194.70.106 sondern z.B, die IPv6-Adresse 2a00:1450:4001:c02::68 hätte!<e></e></B><br/>
<br/>
Aus diesem Grund reicht es eigentlich völlig, wenn sich ein Server sowohl an die IPv4 als auch an die IPv6 des Rechners bindet, um sowohl mit IPv4-Clients als auch mit IPv6-Clients zusammenarbeiten zu können.<br/>
Ich habe das "und" gesondert markiert, weil ein IPv4-Client nicht mit einem IPv6-Server und ein IPv6-Client nicht mit einem IPv4-Server kommunizieren kann, sondern immer nur protokollgleiche Client<>Server-Kombinationen. Dazu später mehr.<br/>
<br/>
Weil wir Menschen uns Zahlenkolonnen schlecht merken können, benutzen wir statt dieser numerischen IP-Adressen lieber sprechende "URL" (Uniform Ressource Locators), also z.B. <URL url="http://www.google.com">http://www.google.com</URL> statt 2a00:1450:4001:c02::68 oder 173.194.70.106.<br/>
Für diese "Magie" findet vor jeder neuen Verbindung zu einem Server ein vergleichbarer Zugriff auf einen anderen Server statt, den DNS-Server (Das S ist hier nicht doppelt gemoppelt, denn DNS steht für Domain-Name-System). Der DNS-Server ist der einzige Rechner, den jedes angebundene Gerät mit Nummer kennen muß, wenn es über URLs auf andere Rechner zugreifen können will.<br/>
<br/>
Für das Beispiel von vorhin heißt das, wenn Rechner A den DNS 217.45.67.1 nutzt:<br/>

<LIST type="decimal"><s>
  1. </s><LI><s>
  2. </s>Rechner A habe die IP 217.45.67.13 und Rechner B die IP 173.194.70.106</LI>
    <LI><s>
  3. </s>Rechner A möchte den Web-Server auf Rechner B erreichen, kennt aber nicht dessen IP, sondern nur seinen Namen "<URL url="http://www.google.com">www.google.com</URL>".</LI>
    <LI><s>
  4. </s>Der Web-Client schickt nach Eingabe der Adresse <URL url="http://www.google.com">http://www.google.com</URL> eine Anfrage an den Rechner 217.45.67.1 auf Port 53, also die IP-Adresse des DNS, ergänzt um den Port 53, den wohlbekannten Port für das DNS.</LI>
    <LI><s>
  5. </s>Der Rechner "DNS" mit der IP 217.45.67.1 empfängt ein Paket von Rechner A und erkennt anhand des angefragten Ports 53, daß er die Anfrage an den auf ihm laufenden DNS-Server (Der ja an eben diesen Port 53 gebunden ist) weiterleiten soll.</LI>
    <LI><s>
  6. </s>Rechner "DNS" leitet das Paket an den DNS-Server weiter und dieser gibt die gewünschte Antwort raus (Nämlich, welche IP(s) hinter <URL url="http://www.google.com">http://www.google.com</URL> steckt/stecken, also 2a00:1450:4001:c02::68 und 173.194.70.106)</LI>
    <LI><s>
  7. </s>Rechner "DNS" schickt nun ein an Rechner A rückadressiertes Paket mit der Antwort des DNS-Servers</LI>
    <LI><s>
  8. </s>Rechner B erhält das Antwortpaket, leitet es an den Web-Browser weiter und der weiß nun, daß er entweder über IPv6 mit 2a00:1450:4001:c02::68 oder über IPv4 mit der 173.194.70.106 sprechen will</LI>
    <LI><s>
  9. </s>Der Web-Browser schickt nun eine Anfrage an 173.194.70.106:80, also die IPv4-Adresse von Rechner B, ergänzt um den Port 80, den wohlbekannten Port für das http-Protokoll.</LI>
    <LI><s>
  10. </s>Rechner B empfängt das von A geschickte Paket und erkennt anhand des angefragten Ports 80, daß er die Anfrage an den auf ihm laufenden Web-Server (Der ja an eben diesen Port 80 gebunden ist) weiterleiten soll.</LI>
    <LI><s>
  11. </s>Rechner B leitet das Paket an den Web-Server weiter und dieser gibt die gewünschte Antwort raus</LI>
    <LI><s>
  12. </s>Rechner B schickt nun ein an Rechner A rückadressiertes Paket mit der Antwort des Webservers</LI>
    <LI><s>
  13. </s>Rechner B erhält das Antwortpaket, leitet es an den Web-Browser weiter und der kann es nun anzeigen</LI><e>
</e></LIST>

<B><s></s>Wieder ändert sich absolut gar nichts, wenn der Rechner A in Schritt 8 entschieden hätte, das Paket an [2a00:1450:4001:c02::68]:80 zu schicken, statt an 173.194.70.106:80 (IPv6-Adressen schreibt man innerhalb von URLs in eckigen Klammern, damit der entsprechende Client die IP von einer eventuellen Port-Angabe unterscheiden kann, die ja ebenfalls mit Doppelpunkt abgetrennt wird). Es wäre lediglich die Antwort entsprechend an die IPv6-Adresse von Rechner A rückadressiert worden, statt an die IPv4-Adresse.<e></e></B><br/>
<br/>
<br/>
<SIZE size="150"><s></s><B><s></s>Kommunikationshindernisse<e></e></B><e></e></SIZE><br/>
<br/>
Wie im vorherigen Kapitel beschrieben, reicht es prinzipiell völlig aus, einen Server auf dem einen Rechner zu starten, damit andere Rechner auf diesen Server zugreifen können. Im Heimnetz machen wir das ständig. Hat der neue Sat-Receiver z.B. ein WebInterface, mit dem man ihn programmieren kann, brauchen wir ihn nur ins Netzwerk zu stöpseln und können von anderen Rechnern im Heimnetz direkt per Web-Browser darauf zugreifen. Ich gebe zu, daß Sat-Receiver im Unitymedia-Forum nicht das beste Beispiel sind, aber bei einem NAS, einer IP-Cam o.ä. ist das auch nicht anders ... <E>:)</E><br/>
Indem wir einfach die IP des Sat-Receivers im lokalen Netzwerk in die Adresszeile unseres Browsers eingeben, öffnen wir dessen Web-Interface, fertig.<br/>
<br/>
Grundsätzlich würde das aus dem gesamten Internet heraus ganz genauso klappen, wenn es da nicht ein paar Hindernisse gäbe, die es auszuräumen gilt, wenn wir diesen Zugriff wünschen:
<LIST type="decimal"><s>
  1. </s><LI><s>
  2. </s><B><s></s>Die Adresse ist blöd zu merken und ändert sich u.U. auch noch ständig<e></e></B><br/>
    Aus diesem Grund gibt es das DNS und sprechende URLs. Das Problem ist, daß wir dem DNS erst noch mitteilen müssen, unter welchem Namen wir unser Gerät zuhause ansprechen wollen, also z.B. als "enigma2.heimnetz.org". Weil es sich aufgrund der ständig ändernden IP des Heimanschlusses auch nicht lohnt, das einem DNS dauerhaft mitzuteilen, nutzen wir DynDNS-Dienste, z.B. afraid.org, no-ip.com, DynDNS.org etc. pp.<br/>
    Dies erledigt zum Glück bei den meisten Benutzern auf Wunsch die Fritz!Box gleich mit, sobald sie eine Verbindung (neu) aufbaut, so daß man relativ problemlos dieses Ziel erreicht ...
    <CODE><s>
    Code:
    </s>C:\>nslookup ultimo.blah.com.
    [...]
    Nicht autorisierende Antwort:
    Name: ultimo.blah.com
    Addresses: 2001:db8:fd23:842d:21d:ecff:fe02:5df6 176.198.12.15<e>
    </e></CODE>
    ... also daß sich unser gewünschter Name jederzeit zu der aktuellen IP unseres Receivers auflösen läßt.<br/>
    Bei IPv6 haben wir hier ein kleines Problem: Die Witz!Box stellt sich etwas störrisch, dazu später mehr ...</LI>
    <LI><s>
  3. </s><B><s></s>Firewalls<e></e></B><br/>
    Windows und diverse Linux-Distributionen besitzen standardmäßig eine Firewall oder der Benutzer hat selber eine (oft sogar zusätzliche <E>;)</E> ) installiert.<br/>
    Eine stinknormale "gute" Firewall macht folgendes: Sie reagiert auf allen Ports und läßt alle Pakete fallen, die darauf eingehen. Sie erfüllt damit eine enoooorm wichtige Aufgabe, denn genau das selbe hätte der TCP/IP-Stack auch so gemacht, wenn auf dem entsprechenden Port kein Dienst konfiguriert ist. Eine stinknormale schlechte Firewall antwortet mit Paketen nach der Devise "Du kummst hier net rein" und verrät damit einem potentiellen Angreifer
    <LIST><s>
    • </s><LI><s>
    • </s>daß es einen Rechner mit dieser Adresse gibt</LI>
      <LI><s>
    • </s>daß dieser Rechner auch läuft und freudig auf Angriffe wartet</LI>
      <LI><s>
    • </s>das verwendete Betriebssystem und damit, auf welche potentiellen Schwachstellen man sich als Angreifer konzentrieren kann</LI>
      <LI><s>
    • </s>die verwendete Firewall-Software und damit, auf welche zusätzlichen potentiellen Schwachstellen - die es ohne die zusätzliche Software gar nicht gäbe - man sich als Angreifer konzentrieren kann</LI><e>
    </e></LIST>
    An dieser Stelle wird der berechtigte Benutzer eine entsprechende Ausnahme zum Firewall-Regelwerk definieren, die Zugriffe von außen auf den gewünschten Dienst ermöglicht, also ein Problem lösen, das er ohne die Firewall nicht hätte. Der unbedarfte Benutzer wird übrigens genauso gut jeder Schadsoftware den Zugriff vom bzw. auf das Internet ermöglichen, weshalb Fachleute auch nichts von "Personal Firewalls" (Das sind solche Firewalls, die direkt auf dem entsprechenden Rechner laufen) halten.<br/>
    Besser als eine Personal Firewall ist es allemal, den Rechner vernünftig zu konfigurieren, also Dienste, die nicht benötigt werden, ganz abzuschalten, statt sie offen zu lassen und dann nachträglich durch eine PFW "abzuschranken". Wenn auf einem Rechner eh nur das an Diensten läuft, was auch erreichbar sein soll, dann bringt eine PFW keine zusätzliche Sicherheit mehr (Durch das zusätzliche Stück Software sogar das Gegenteil), weil der Rechner eh nur da angreifbar ist, wo er auch antwortet, diese Dienste würde man in der Firewall aber eh öffnen.<br/>
    Ich will nicht so weit gehen, jedem zu empfehlen, den bremsenden Firewall-Kram auf dem PC zu deinstallieren, dafür können einfach zu wenige Normalnutzer einen PC sicher konfigurieren, aber alles, was über die standardmäßige Windows-Firewall hinausgeht ist reine Geldschneiderei. Merkt man auch schon an der nach Aufmerksamkeit heischenden, grellbunten, peppigen Aufmachung dieser ganzen "Security Suites". <br/>
    <br/>
    Ausdrücklich ausgenommen von dieser Kritik sind übrigens
    <LIST><s>
    • </s><LI><s>
    • </s>Die Firewall des Routers<br/>
      und/oder</LI>
      <LI><s>
    • </s>externe, dedizierte Firewalls (Also Geräte, deren Hauptaufgabe es ist, nachgeschaltete Geräte zu schützen)<br/>
      denn diese verhindern, daß unerwünschte Pakete überhaupt bis zum Angriffsziel kommen.<br/>
      <br/>
      Auf jeden Fall lautet die Lösung an dieser Stelle: Wenn wir von außen mit einem Dienst auf einem lokalen Rechner kommunizieren können wollen, dann müssen wir die dazugehörigen Ports auch in der/den Firewall(s) auf dem Weg dorthin freigeben.</LI><e>
    </e></LIST></LI>
    <LI><s>
  4. </s><B><s></s>IPv4: Network Address Translation (NAT) oder IPv4-Adressmangel<e></e></B><br/>
    Wie schon erwähnt sind IPv4-basierte Privatkunden-Internet-Zugänge selten vollwertig. Dies äußert sich darin, daß man als Endkunde nicht genug IPv4-Adressen für alle Geräte bekommt, sondern nur eine einzige für das gesamte Netzwerk.<br/>
    Als Abhilfe werden die Geräte im lokalen Netzwerk in einem vom Internet getrennten Netz betrieben und mit privaten IPv4-Adressen versehen, meistens aus dem Bereich 192.168.x.y. Das einzige Gerät, das wirklich eine öffentliche IPv4-Adresse hat, ist der Router. Alle Geräte im Heimnetz können über das Hilfsmittel NAT von innen nach außen mit dem Internet kommunizieren. Dazu muß der Router bei jedem Zugriff nach außen Buch darüber führen, welcher Rechner jetzt welche Antworten erwartet, damit Rechner A aus unserem Beispiel von oben auch wirklich die Antwort von <URL url="http://www.google.com">http://www.google.com</URL> erhält, die er wollte und nicht die, die zeitgleich das Notebook 1 oder das Smartphone 1 angefordert hat. Im Beispiel aus dem ersten Abschnitt heißt das, daß sich der Router in einem zwischen Schritt 3 und 4 einzufügenden Abschnitt merken muß, daß Rechner A (Der nun nicht mehr über eine öffentliche sondern nur über eine private IP verfügt) eine Anfrage an Rechner B rausgeschickt hat und in einem Zusatzschritt zwischen Schritt 6 und 7 rausklamüsern muß, daß das empfangene Antwortpaket zu dieser Anfrage gehört.<br/>
    Der hier beschrieben Vorgang ist letztlich etwas, das auch richtige Firewalls machen: Stateful Packet Inspection (SPI), also eine "zustandsbasierte Paket-Untersuchung". Basierend darauf, daß die eingehenden Pakete zu einer offenen Verbindung (Das ist der besagte "Zustand") gehören, werden sie durchgelassen, bei NAT werden die Pakete noch anhand der Tatsache zu <B><s></s>welcher<e></e></B> Verbindung sie gehören, an den passenden Rechner umgeleitet.<br/>
    All dies kostet übrigens richtig Rechenpower und ist der Grund dafür, daß gerade ältere Fritz!Boxen bei vielen gleichzeitigen Zugriffen so gerne abschmieren!<br/>
    <br/>
    Für einen Zugriff von außen nach innen, müssen wir dem Router aber weitere Informationen geben.<br/>
    Aus Sicht des Internets kommuniziert ein einziger Rechner mit dem Rest des Internets, nämlich unser Router: Jeder ausgehende Traffic wird dort auf unserer einen IP gebündelt und die Antworten werden a la Müllsortierung wieder den Maschinen im Netz zugeordnet, die darauf warten. <br/>
    Eingehende Pakete kann der Router aber nicht nach dem Prinzip der Mülltrennung dem entsprechenden Rechner zuordnen, an den sie weitergeleitet werden sollen. Dazu müssen wir diesem einzigen wirklich mit dem Internet verbundenen Gerät mitteilen, welches Gerät im lokalen Heimnetz diese Anfragen beantworten soll. Dazu dienen Port-Weiterleitungen, die dem Router sagen "Wenn Du eine Anfrage auf Port xx empfängst, dann leite sie zur Beantwortung an Rechner C weiter, der sie auf Port yy beantwortet". Daß hierbei zwei Ports bzw. Portbereiche angegeben werden (müssen) hängt damit zusammen, daß der Router für jeden seiner Port natürlich nur eine einzige Regel haben kann und wir somit bei mehreren gleichen Diensten auf der Außenseite unterschiedliche Ports benutzen müssen.<br/>
    Heißt also: Nur ein Webserver kann auf dem Standardport 80 antworten, alle anderen müssen extern auf nicht-standardisierte verbogen werden.</LI>
    <LI><s>
  5. </s><B><s></s>IPv4: CGN / Carrier Grade NAT<e></e></B><br/>
    Nutzt zusätzlich auch der Provider NAT, dann CGN (Carrier Grade NAT) genannt, können wir eine wie im vorherigen Abschnitt beschriebene Port-Weiterleitung nicht einrichten, da wir keinen Zugriff auf den NAT-Router des Providers (Das AFTR-Gateway) haben.<br/>
    <br/>
    <B><s></s>Die unseligen Punkte NAT und CGN können wir dank IPv6 mit seinen ausreichend großen Subnetzen zunehmend aus dem Gedächtnis streichen!<e></e></B></LI>
    <LI><s>
  6. </s><B><s></s>IPv4 vs IPv6: Ein Kommunikationspartner verfügt nicht über IPv6-Konnektivität<e></e></B><br/>
    Selbst wenn ansonsten alle Probleme ausgeräumt sind, nutzt uns ein IPv6-angebundener Server samt IPv6-tauglichem Client nichts, wenn uns an dem Anschluß, von dem aus wir auf den Server zugreifen wollen, keine IPv6-Anbindung zur Verfügung steht.<br/>
    In einem weiteren Kapitel werde ich erklären, wie man diesem Problem ganz leicht Abhilfe schafft, wenn uns der Internet-Anbieter kein IPv6 zur Verfügung stellt.</LI>
    <LI><s>
  7. </s><B><s></s>IPv4 vs IPv6: Ein Server bzw. Dienst ist nur für IPv4 programmiert<e></e></B><br/>
    <B><s></s>Ein Client und ein Server können nur dann miteinander kommunizieren, wenn beide dieselbe Sprache sprechen, also entweder beide IPv4 oder beide IPv6.<e></e></B><br/>
    Im Idealfall sind Server heutzutage Dual-Stack-kompatibel, funktionieren also sowohl mit IPv4- als auch über IPv6-Clients.<br/>
    Da dieser Workshop den Hintergrund IPv6 hat und die Kommunikation über IPv4 in diesem Zusammenhang wegen DS-lite meist ausfällt, werde ich in späteren Kapiteln Wege aufzeigen, wie man einige solcher Serverdienste, die von sich aus nur IPv4 können, IPv6-tauglich macht.</LI><e>
</e></LIST>

<COLOR color="#FF0000"><s></s><SIZE size="150"><s></s><B><s></s>Zusammenfassung:<e></e></B><e></e></SIZE><e></e></COLOR><br/>
<B><s></s>TCP/IP-Kommunikation<e></e></B> erfolgt auf Grundlage der <B><s></s>IP-Adressen der Teilnehmer<e></e></B> sowie auf der <B><s></s>Angabe eines Ports<e></e></B>, der angibt, welcher Server-Dienst (HTTP, POP3, IRC, HTTPS, TeamSpeak, ....) erreicht werden soll.<br/>
<B><s></s>Grundsätzlich funktioniert diese Kommunikation unabhängig davon, ob IP-Adressen im Format IPv4 oder im Format IPv6 verwendet werden.<e></e></B><br/>
Für die <B><s></s>Kommunikation von "innen nach außen" sind keine weiteren Schritte nötig<e></e></B>, diese funktioniert notfalls auch über NAT, <B><s></s>da sich Antworten immer ihren zugehörigen Anfragen und damit dem darauf wartenden Rechner zuordnen lassen<e></e></B>.<br/>
<B><s></s>Um selber einen Server/Dienst zu betreiben, genügt es <COLOR color="#FF0000"><s></s>prinzipiell<e></e></COLOR>, diesen zu installieren und ihn ggf. in zwischengeschalteten Firewalls zu öffnen.<e></e></B>
<LIST><s>
  • </s><LI><s>
  • </s><COLOR color="#00BF40"><s></s><B><s></s>Bei Zugriff über IPv6 sind keine weiteren Maßnahmen nötig.<e></e></B><e></e></COLOR></LI>
    <LI><s>
  • </s><COLOR color="#FF8000"><s></s>An den üblichen eingeschränkten IPv4-Zugängen muß zusätzlich eine Port-Weiterleitung eingerichtet werden, da nur der Router eine echte Internet-Verbindung hat, i.d.R. aber ein Rechner im mit lediglich privaten IP-Adressen versehenen Heimnetz statt des Routers antworten soll.<e></e></COLOR></LI>
    <LI><s>
  • </s><COLOR color="#FF0000"><s></s> An IPv4-Zugängen mit CGN (Carrier Grade NAT) kann eine solche Port-Weiterleitung nicht eingerichtet werden.<e></e></COLOR></LI><e>
</e></LIST>

In den folgenden Kapiteln werde ich mich damit befassen, wie man die o.g. Kommunikationshindernisse ausräumt.</r>
 
SpaceRat

SpaceRat

Beiträge
2.468
Reaktionen
0
DynDNS für IPv4-Adressen

<r>Ab diesem Kapitel werde ich mich der Lösung der im vorherigen Kapitel genannten Kommunikationshindernisse widmen, beginnend mit dem 1. Punkt ...<br/>
<br/>
<B><s></s><SIZE size="200"><s></s>Lösung Hindernis 1: Nicht zu merkende IP / DynDNS<e></e></SIZE><e></e></B><br/>
<br/>
Damit wir uns nicht unsere - auch immer wieder wechselnde - IP merken müssen, um von unterwegs auf Rechner im Heimnetz zugreifen zu können, gibt es diverse DynDNS-Dienste. Diese ermöglichen es uns, unsere Rechner zuhause unter einer sprechenden Adresse wie z.B. spacerat.dyndns.org o.ä. zu erreichen, hinter der immer die jeweils aktuelle öffentliche IP hinterlegt ist.<br/>
<br/>
<SIZE size="150"><s></s><B><s></s>DynDNS für IPv4-Adressen<e></e></B><e></e></SIZE><br/>
<br/>
Diesen Abschnitt werde ich extrem kurz halten:<br/>
Wer einen DynDNS-Dienst für IPv4 braucht, weiß eh schon, wie es geht oder findet jede Menge Quellen im Internet. Noch eine weitere Auflistung, wie man DynDNS-Dienste in Router A, B, C, D bis ZZZ einrichtet, braucht kein Mensch.<br/>
<br/>
Wichtig sind hier eigentlich nur folgende zwei Aspekte:
<LIST type="decimal"><s>
  1. </s><LI><s>
  2. </s><B><s></s>Wenn wir keine öffentliche IPv4-Adresse mehr haben, weil unser Anschluß per DS-lite erfolgt, dann brauchen wir auch keinen DynDNS mehr für die IPv4-Adresse! Sie ändert sich sowieso innerhalb von wenigen Minuten und bietet uns auch keinen Zugriff von außen!<e></e></B></LI>
    <LI><s>
  3. </s>Mit IPv4 hatten wir als Privatkunden immer nur eine einzige öffentliche IP-Adresse (Die des Routers) und haben Geräte im Heimnetz nur über den Port bzw. entsprechende Port-Weiterleitungen gezielt ansprechen können.<br/>
    Diesen Aspekt einfach im Hinterkopf behalten ...</LI><e>
</e></LIST>

<br/>
<SIZE size="150"><s></s><B><s></s>DynDNS für IPv6-Adressen<e></e></B><e></e></SIZE><br/>
<br/>
Bedeutsam für diesen Workshop ist es, wie wir unsere IPv6-Adresse unter einem sprechenden Namen erreichbar machen.<br/>
<br/>
Leider gibt es hierbei mehrere Probleme:
<LIST type="decimal"><s>
  1. </s><LI><s>
  2. </s>Es gibt nicht sonderlich viele (kostenfreie) DynDNS-Dienste, die mit IPv6-Adressen umgehen können.<br/>
    Eigentlich gibt es überhaupt kaum noch kostenfreie DynDNS-Dienste, fast alle kosten zumindest Nerven, weil man sie ständig aktiv halten muß.</LI>
    <LI><s>
  3. </s>Wir brauchen fortan <B><s></s>für jedes Gerät<e></e></B>, das aus dem Internet erreichbar sein soll, <B><s></s>einen eigenen DynDNS<e></e></B>, so wie auch jedes Gerät seine eigene IP hat.<br/>
    In vielen Fällen disqualifiziert das "spendable" Dienste wie DynDNS.org, wo man sage und schreibe einen einzigen Host-Eintrag kostenlos kriegt.</LI>
    <LI><s>
  4. </s>Die Unterstützung für IPv6 in DynDNS-Diensten in Routern ist mau bis nicht vorhanden.</LI>
    <LI><s>
  5. </s>Es gibt nicht mehr "die eine" IP-Adresse, die es zu aktualisieren gilt, sondern mehrere (Die wir für ein Update ja auch erst einmal herausfinden müssen).</LI><e>
</e></LIST>

Aus den vorgenannten Gründen gehe ich hier nur auf den "FreeDNS"-Dienst von afraid.org ein, weil
<LIST><s>
  • </s><LI><s>
  • </s>er sich in den Punkten 1 und 2 wohltuend abhebt - Wir erhalten wirklich kostenfrei und ohne ständige Nerv-Mails 5 Einträge.</LI>
    <LI><s>
  • </s>er Optionen bietet, die anderen DynDNS-Diensten fehlen, uns das Leben aber deutlich einfacher machen</LI>
    <LI><s>
  • </s>es gibt Update-Clients für nahezu alle Betriebssysteme, was uns sehr bei den Punkten 3 und 4 hilft.</LI><e>
</e></LIST>

Um es mit Merkels Worten zu sagen: Für IPv6 ist afraid.org derzeit alternativlos.<br/>
<br/>
<SIZE size="150"><s></s><B><s></s>Einrichtung von DynDNS-Diensten bei IPv6<e></e></B><e></e></SIZE><br/>
<br/>
Ich gehe davon aus, daß die eigentliche Registrierung eines Kontos bei <URL url="http://freedns.afraid.org">http://freedns.afraid.org</URL> niemandem Probleme bereiten dürfte und vor den weiteren Schritten bereits erfolgt ist.<br/>
<br/>
Prinzipiell erfolgen die Updates von DynDNS-Diensten bei IPv6 genauso, wie bei IPv4 auch. Der Hauptunterschied liegt darin, daß wir nicht mehr mit einem einzigen Update für die eine öffentliche IPv4 fertig sind, sondern die DynDNS-Einträge für alle Geräte aktuell halten müssen, die von außen erreichbar sein sollen.<br/>
Bei IPv4-DynDNS-Diensten hat diese Aufgabe meistens unser Router für uns erledigt, denn er kennt seine öffentliche IPv4 und kriegt auch einen IP-Wechsel als Erster mit. Wenn der Router diese Möglichkeit nicht anbot, war es aber auch kein Problem, das Update stellvertretend durch ein beliebiges anderes Gerät im Heimnetz erledigen zu lassen, da die externe/öffentliche IPv4 ja auch für alle gleich war. Das ist so nun nicht mehr der Fall, weshalb solche stellvertretenden Updates auch deutlich schwieriger sind.<br/>
<br/>
<B><s></s>Ich werde im Folgenden zwei Wege aufzeigen, diese Updates zu bewerkstelligen, einen einfachen, aber an bestimmte Voraussetzungen (Aktuelle Fritz!Box als Router) gebundenen, Weg und einen allgemeingültigen, aber aufwendigeren.<e></e></B></r>
 
SpaceRat

SpaceRat

Beiträge
2.468
Reaktionen
0
DynDNS-Updates über MyFritz!

<r><B><s></s><SIZE size="200"><s></s>Fortsetzung Lösung Hindernis 1: Nicht zu merkende IP / DynDNS<e></e></SIZE><e></e></B><br/>
<br/>
<SIZE size="150"><s></s><B><s></s>DynDNS-Updates über MyFritz!<e></e></B><e></e></SIZE><br/>
<br/>
<B><s></s>Dieser Weg steht allen offen, die eine Fritz!Box 63x0, 73x0, 7270v3, 7270v2 oder diverse 72x0 <COLOR color="#FF0000"><s></s>als Router<e></e></COLOR> nutzen und ist kinderleicht einzurichten.<e></e></B><br/>
Herausragender Aspekt ist, daß auf diese Weise tatsächlich die <B><s></s>Fritz!Box die Aktualisierung beliebig vieler DynDNS-Einträge<e></e></B> für uns übernimmt, diese also auch sehr zeitnah nach einem Präfix-Wechsel erfolgen.<br/>

<LIST><s>
  • </s><LI><s>
  • </s>Auf der Einstiegsseite der Fritz!Box-Oberfläche, die wir durch Eingabe von <URL url="http://fritz.box">http://fritz.box</URL> in der Adresszeile des Browsers erreichen, wählen wir links aus dem Menü "Internet" und daraus den Unterpunkt "Freigaben" und dann rechts den Reiter "IPv6" (Oder von der Startseite direkt rechts aus den Komfortfunktionen den Punkt "IPv6-Freigabe")</LI>
    <LI><s>
  • </s>Sollten hier bereits Freigaben existieren, dann löschen wir diese nun (Ggf. vorher Screenshots anlegen, um zu wissen, was freigegeben war)</LI>
    <LI><s>
  • </s>Nun wechseln wir über das Menü auf der linken Seite zum "Internet"-Unterpunkt "MyFRITZ!"</LI>
    <LI><s>
  • </s>Von dort aus können wir ein <B><s></s>MyFRITZ!-Konto anlegen<e></e></B>, sofern nicht bereits geschehen.</LI>
    <LI><s>
  • </s>Sobald das Konto angelegt ist und unsere Fritz!Box damit angemeldet ist, erhalten wir an der vorgenannten Stelle ungefähr folgende Ansicht:<br/>
    <IMG src="http://www.bilder-hosting.info/bilder/bwy1376412862v.png"><s>
    </e></IMG></LI>
    <LI><s>
  • </s>Jetzt wählen wir, immer noch unter "Internet"->"MyFRITZ!" den Reiter "MyFRITZ!-Freigaben" aus.</LI>
    <LI><s>
  • </s>Unterhalb der, noch leeren, Liste finden wir den Button "<B><s></s>Neue MyFRITZ!-Freigabe<e></e></B>", den wir anklicken<br/>
    Wir erhalten in etwa folgende Ansicht:<br/>
    <IMG src="http://www.bilder-hosting.info/bilder/arx1376413816m.png"><s>
    </e></IMG></LI>
    <LI><s>
  • </s>Aus der ersten Dropdown-Auswahl wählen wir das <B><s></s>Gerät<e></e></B> aus, für das eine Freigabe erstellt werden soll <B><s></s>und aus der zweiten den Dienst, der freigegeben werden soll<e></e></B>.<br/>
    Wenn wir den freizugebenden Dienst hier nicht finden sollten, können wir auch einfach "HTTPS-Server" auswählen, wir können später nämlich noch beliebig viele weitere Dienste hinzufügen.<br/>
    Das Ergebnis sieht dann in etwa so aus:<br/>
    <IMG src="http://www.bilder-hosting.info/bilder/klz1376413985g.png"><s>
    </e></IMG></LI>
    <LI><s>
  • </s>Mit einem Klick auf "OK" speichern wir unsere neue Freigabe ab.</LI>
    <LI><s>
  • </s>Wir kommen zurück zur Übersicht der MyFRITZ!-Freigaben, wo wir nun unsere neue Freigabe bewundern können:<br/>
    <IMG src="http://www.bilder-hosting.info/bilder/viu1376414427m.png"><s>
    </e></IMG></LI>
    <LI><s>
  • </s>Spätestens an diesem Punkt wird wohl klar, wieso ich hier etwas von Freigaben beschreibe, wo wir doch eigentlich einen DynDNS einrichten wollten ...<br/>
    Die Fritz!Box hat nämlich mit diesen Schritten mehrere Dinge auf einmal erledigt:
    <LIST><s>
    • </s><LI><s>
    • </s>Eine neue IPv6-Freigabe für dieses Gerät angelegt</LI>
      <LI><s>
    • </s>Eine neue IPv4-Portweiterleitung auf dieses Gerät eingerichtet (Zumindest an Dual-Stack-Anschlüssen)</LI>
      <LI><s>
    • </s>Und, last but not least, <B><s></s>einen DynDNS-Namen für das Gerät angelegt, bestehend aus dem Gerätenamen (Hier: "Plasma") und der MyFRITZ!-Adresse (Der Buchstabensalat, gefolgt von .myfritz.net), komplett also plasma.<Buchstabensalat>.myfritz.net<e></e></B></LI><e>
    </e></LIST></LI>
    <LI><s>
  • </s><B><s></s>Wem dieser kryptische DynDNS reicht, kann hier aufhören. Zur Not kann man die Adresse auch jederzeit von außerhalb herausfinden, indem man auf "<URL url="http://myfritz.net">http://myfritz.net</URL>" geht und dort vor dem Login unter "Mehr" die "Geräteübersicht" auswählt. Dann kriegt man alle Geräte mit ihrer jeweiligen Adresse angezeigt, für die es MyFRITZ!-Freigaben gibt.<e></e></B></LI>
    <LI><s>
  • </s>Um den doch etwas <B><s></s>kryptischen Namen durch einen einfacher zu merkenden zu ersetzen<e></e></B>, gehen wir nun im Web-Browser auf <B><s></s><URL url="http://freedns.afraid.org/subdomain/">http://freedns.afraid.org/subdomain/</URL><e></e></B> , wo wir ja schon ein Konto angelegt haben.</LI>
    <LI><s>
  • </s>Dort können wir nun über das <B><s></s>Menü in der Mitte mit "Add" einen neuen Eintrag anlegen<e></e></B>.</LI>
    <LI><s>
  • </s>Wir wählen "<B><s></s>CNAME<e></e></B>" als Record Type aus, suchen uns eine <B><s></s>schöne Subdomain<e></e></B> (Hostname) und eine schöne <B><s></s>Domain<e></e></B> aus und tragen <B><s></s>die nackte MyFRITZ!-URL für unser Gerät<e></e></B> ein, also weder das https:// noch die Portangabe, nur die URL<br/>
    Die fertig ausgefüllte Maske sollte wie folgt aussehen:<br/>
    <IMG src="http://www.bilder-hosting.info/bilder/bwy1376415379g.png"><s>
    </e></IMG><br/>
    Optional darf auch noch Wildcard: [X] angekreuz werden.</LI>
    <LI><s>
  • </s>Nur noch eben mit "Save" abspeichern und unser Rechner "Plasma" ist <B><s></s>fortan unter der Adresse "plasma.crabdance.com" aus dem Internet erreichbar<e></e></B>. Wenn wir im vorherigen Schritt "Wildcard" mit ausgewählt haben, führen uns auch <URL url="http://www.plasma.crabdance.com">http://www.plasma.crabdance.com</URL>, ftp.plasma.crabdance.com, schrompf.plasma.crabdance.com etc. pp. auf unseren Rechner.<br/>
    Das können wir überprüfen, indem wir auf einer Windows-/Linux-Kommandozeile eingeben
    <CODE><s>
    Code:
    </s>nslookup plasma.crabdance.com<e>
    </e></CODE>
    wobei das Ergebnis in etwa so aussehen sollte:
    <CODE><s>
    Code:
    </s>Server: fritz
    Address: 192.168.1.1
    Nicht autorisierende Antwort:
    Name: plasma.ekufgjhnfgjnfggj.myfritz.net
    Addresses: 2001:db8:affe:c0c0:21d:ecff:fe16:1234
    Aliases: plasma.crabdance.com<e>
    </e></CODE></LI>
    <LI><s>
  • </s>Fertig.<br/>
    <B><s></s><COLOR color="#408000"><s></s>Die Fritz!Box erledigt jetzt für uns die Aktualisierung der kryptischen MyFRITZ!-Adresse mit der jeweils aktuellen IP und der FreeDNS ist sowieso nur ein Alias für die MyFritz!-Adresse, braucht also nicht weiter gepflegt werden.<e></e></COLOR><e></e></B></LI><e>
</e></LIST></r>
 
SpaceRat

SpaceRat

Beiträge
2.468
Reaktionen
0
DynDNS-Updates auf dem "klassischen" Weg

<r><B><s></s><SIZE size="200"><s></s>Fortsetzung Lösung Hindernis 1: Nicht zu merkende IP / DynDNS<e></e></SIZE><e></e></B><br/>
<br/>
<SIZE size="150"><s></s><B><s></s>DynDNS-Updates auf dem "klassischen" Weg<e></e></B><e></e></SIZE><br/>
<br/>
<B><s></s>Wer eine Fritz!Box 63x0, 73x0, 7270v3, 7270v2 oder diverse 72x0 <COLOR color="#FF0000"><s></s>als Router<e></e></COLOR> nutzt, ist mit dem zuvor beschriebenen Weg deutlich besser bedient und sollte ihn daher nach Möglichkeit auch nutzen!<e></e></B><br/>
Für Besitzer des TC7200 oder des Cisco 3208G wage ich auch die Aussage, daß sich ein Umstieg auf die Fritz!Box 6360 (Durch Buchen von Telefon Komfort) oder 6320 (WLAN-Option) durchaus lohnt, denn bei den erstgenannten Geräten sind zwar die DynDNS-Updates lösbar, aber der Ärger geht bei den Freigaben weiter. Von allen Unitymedia-Zwangsroutern sind die Fritz!Boxen noch am wenigsten kastriert.<br/>
<br/>
<B><s></s>Mit der hier beschriebenen Methodik können DynDNS-Updates auf afraid.org auch mit (fast) jedem im Heimnetz angeschlossenen Gerät durchgeführt werden, sie müssen dann aber - mit gewissen, komplizierteren Ausnahmen - durch und für jedes von außen erreichbar zu haltende Gerät einzeln vorgenommen werden.<e></e></B><br/>
<br/>
Um einfach nur den FreeDNS-Eintrag für ein Gerät durch eben dieses Gerät aktuell zu halten, brauchen wir den Update-Client "<B><s></s>inadyn<COLOR color="#FF0000"><s></s>-mt<e></e></COLOR><e></e></B>". Leider zirkuliert auf vielen Geräten immer noch der antiquierte Client "inadyn" (ohne -mt) herum, der inzwischen eigentlich völlig wertlos ist.<br/>
<br/>
<SIZE size="150"><s></s><B><s></s>Schritt 1: FreeDNS-Eintrag anlegen<e></e></B><e></e></SIZE><br/>

<LIST><s>
  • </s><LI><s>
  • </s>Auf <URL url="http://freedns.afraid.org">http://freedns.afraid.org</URL> einen FreeDNS/afraid.org-Account anlegen, sofern noch nicht geschehen.</LI>
    <LI><s>
  • </s>Im Web-Browser die Seite <URL url="http://freedns.afraid.org/dynamic/">http://freedns.afraid.org/dynamic/</URL> aufrufen.</LI>
    <LI><s>
  • </s>Über das Menü in der Mitte mit "Add" einen neuen Eintrag hinzufügen</LI>
    <LI><s>
  • </s>Als "Type" wählen wir "AAAA" für einen IPv6-Eintrag. (A= IPv4, AAAA= IPv6, CNAME= ein Alias für einen anderen Hostname, ....)<br/>
    Nun suchen wir uns eine schöne Subdomain (Hostname) und eine schöne Domain aus. Bei Destination tragen wir vorerst "::1" ein, die wird durch ein späteres Update noch korrigiert.<br/>
    Im Ergebnis sieht die Maske nun in etwa so aus:<br/>
    <IMG src="http://www.bilder-hosting.info/bilder/jdv1376426894t.png"><s>
    </e></IMG><br/>
    Optional können wir noch Wildcard: [X] ankreuzen, dann führen uns später auch <URL url="http://www.plasma.crabdance.com">http://www.plasma.crabdance.com</URL>, ftp.plasma.crabdance.com, schrompf.plasma.crabdance.com etc. pp. auf unseren Rechner.</LI>
    <LI><s>
  • </s>Der FreeDNS-Eintrag wird nach einem Klick auf "Save!" abgespeichert und wartet darauf, in Zukunft von uns aktuell gehalten zu werden.</LI>
    <LI><s>
  • </s>Wir brauchen für die spätere Verwendung durch den Update-Client noch den "Hash"-Wert zum aktualisieren dieses Hosts.<br/>
    Dazu gehen wir wieder auf <URL url="http://freedns.afraid.org/dynamic/">http://freedns.afraid.org/dynamic/</URL> und klicken mit der rechten Maustaste auf den Link "Direct URL" (Siehe Bild)<br/>
    <IMG src="http://www.bilder-hosting.info/bilder/klz1376427300x.png"><s>
    </e></IMG><br/>
    und dort ja nach verwendetem Brower auf "Link-Adresse kopieren", "Adresse des Links kopieren", o.ä.<br/>
    Der Link sieht in etwa wie folgt aus, wovon wir später den <COLOR color="#FF0000"><s></s>rot<e></e></COLOR> markierten Teil noch benötigen:<br/>
    <URL url="http://freedns.afraid.org/dynamic/update.php">http://freedns.afraid.org/dynamic/update.php</URL>?<COLOR color="#FF0000"><s></s>MXY4C0Y5BhBMbkFHVFhXcnllMnpSaWM1Ojk5NzE5NTE=<e></e></COLOR></LI>
    <LI><s>
  • </s>Hinweise:
    <LIST><s>
    • </s><LI><s>
    • </s>Jeder (weitere) FreeDNS-Eintrag hat hier seinen eigenen Hash-Wert und muß entsprechend separat ausgewertet werden.</LI>
      <LI><s>
    • </s>Wir können für denselben Hostname auch zwei Einträge anlegen, einen mit Type AAAA für IPv6 und einen mit Type A für IPv4, was natürlich nur Sinn ergibt, wenn wir auch wirklich einen Dual-Stack-Anschluß haben.</LI><e>
    </e></LIST></LI><e>
</e></LIST>

<SIZE size="150"><s></s><B><s></s>Schritt 2a: FreeDNS-Update auf Windows-Rechnern<e></e></B><e></e></SIZE><br/>

<LIST><s>
  • </s><LI><s>
  • </s>Da es im Netz keine brauchbare Windows-Version gab, habe ich selber eine kompiliert und <URL url="http://www.navijoy.org/inadyn-mt.zip"><s></s>hier<e></e></URL> hochgeladen.<br/>
    Diese bitte zuerst herunterladen und das gesamte in dem ZIP-Archiv gespeicherte Verzeichnis z.B. nach "C:\Programme" bzw. "C:\Program Files (x86)" bzw. "C:\Program Files" auspacken. Ich gehe im weiteren Verlauf von "C:\Programme\inadyn-mt" als Speicherort aus.</LI>
    <LI><s>
  • </s>In das Verzeichnis C:\Programme\inadyn-mt wechseln</LI>
    <LI><s>
  • </s>Es befinden sich drei Beispielkonfigurationen in dem Verzeichnis (Der Bestandteil .reg wird evtl. nicht auf allen Rechnern angezeigt):
    <LIST><s>
    • </s><LI><s>
    • </s>freedns_DualStack.reg - Für Rechner mit vollwertigem Dual-Stack (z.B. IPv4 durch den Provider und IPv6 per Tunnel)</LI>
      <LI><s>
    • </s>freedns_IPv4.reg - Für Rechner mit IPv4-only (Für den Workshop eher uninteressant, aber der Vollständigkeit halber vorhanden)</LI>
      <LI><s>
    • </s>freedns_IPv6.reg - Für Rechner mit IPv6-only bzw. DS-lite</LI><e>
    </e></LIST>
    Wir suchen uns die passende aus (Für die Leser dieses Workshops i.d.R. freedns_IPv6.reg) , klicken diese mit der rechten Maustaste an und wählen "Bearbeiten", um die Datei in Notepad zu öffnen.</LI>
    <LI><s>
  • </s>Wir sehen nun in Notepad ungefähr Folgendes:
    <CODE><s>
    Code:
    </s>REGEDIT4
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\inadyn-mt\Parameters]
    "AppParameters"="--dyndns_system [email protected] --background --update_period 60000 --alias meinpc.mooo.com,KRyPTiScHerHaSHGEHOERTHiERHeREInGEFuEGt....= ip6 --log_file inadyn_srv.log --ip_server_name dhis.org /"<e>
    </e></CODE>
    davon müssen wir die hier <COLOR color="#FF0000"><s></s>rot<e></e></COLOR> und <COLOR color="#408000"><s></s>grün<e></e></COLOR> markierten Teile anpassen:<br/>
    --alias <COLOR color="#FF0000"><s></s>meinpc.mooo.com<e></e></COLOR>,<COLOR color="#408000"><s></s>KRyPTiScHerHaSHGEHOERTHiERHeREInGEFuEGt....=<e></e></COLOR> ip6</LI>
    <LI><s>
  • </s>An Stelle des rot markierten Teiles fügen wir unsere in Schritt 1 angelegte Subdomain ein, also in unserem Beispiel "plasma.crabdance.com", der grün markierte Teil wird durch den am Ende von Schritt 1 ermittelten "Hash" ersetzt.</LI>
    <LI><s>
  • </s>Anmerkung: Hätten wir die Konfiguration für IPv4 benutzt, stünde dort<br/>
    --alias <COLOR color="#FF0000"><s></s>meinpc.mooo.com<e></e></COLOR>,<COLOR color="#408000"><s></s>KRyPTiScHerHaSHGEHOERTHiERHeREInGEFuEGt....=<e></e></COLOR> ip4<br/>
    zum Aktualisieren eines vorher von uns angelegten "A"-Type Records (IPv4) und bei der DualStack-Konfiguration entsprechend beide Einträge, also einen für unseren A-Type Records (IPv4) und unseres AAAA-Type Records (IPv6), die wir analog zur vorher beschriebenen Weise mit ihren jeweiligen Hashes versorgen müßten.</LI>
    <LI><s>
  • </s>Die Änderungen abspeichern und Notepad schließen</LI>
    <LI><s>
  • </s>Durch Doppelklick auf die Datei und bestätigen der Abfrage(n) werden die Angaben aus der Datei in der Registry gespeichert.</LI>
    <LI><s>
  • </s>Durch Doppelklick auf die Datei "install_inadyn-mt_service.bat" (Evtl. ist das .bat nicht zu sehen) wird der inadyn-mt-Dienst installiert</LI>
    <LI><s>
  • </s>Der inadyn-mt-Dienst wird beim nächsten Systemstart gestartet, prüft fortan jede Minute (60000 Millisekunden) , ob sich die IPv6 geändert hat und aktualisiert sie ggf.</LI>
    <LI><s>
  • </s>Wird ein längeres Prüfintervall gewünscht, einfach das gewünschte Intervall in die gewählte Konfigurationsdatei schreiben und diese erneut in die Registry importieren. Sie überschreibt dabei die alten Werte.</LI><e>
</e></LIST>

<SIZE size="150"><s></s><B><s></s>Schritt 2b: FreeDNS-Update auf Linux/*ix-Rechnern (Hier läuft Ehnix, weil's Zunix-kompatibel ist)<e></e></B><e></e></SIZE><br/>

<LIST><s>
  • </s><LI><s>
  • </s>Zuerst einmal müssen wir uns inadyn-mt beschaffen und installieren. Je nach Prozessorarchitektur (Also eigentlich auf jedem Gerät außer normalen PCs) müssen wir es sogar selber kompilieren.<br/>
    Für diesen Workshop würde es zu weit führen, alle möglichen Varianten zu beschreiben, wie man inadyn-mt installiert bekommt, da Linux nicht einmal von einer zur anderen Distribution konsistent bleibt.</LI>
    <LI><s>
  • </s>Zumindest in aller Regel sollte die Konfigurationsdatei von inadyn-mt "/etc/inadyn-mt.conf" heißen.<br/>
    Sie sollte in etwa folgenden Inhalt haben:
    <CODE><s>
    Code:
    </s>--dyndns_system [email protected]
    --background
    --update_period 60000
    --alias meinpc.mooo.com,KRyPTiScHerHaSHGEHOERTHiERHeREInGEFuEGt....= ip6
    --ip_server_name dhis.org /<e>
    </e></CODE>
    Genau wie bei Windows müssen wir die hier <COLOR color="#FF0000"><s></s>rot<e></e></COLOR> und <COLOR color="#408000"><s></s>grün<e></e></COLOR> markierten Teile anpassen:<br/>
    --alias <COLOR color="#FF0000"><s></s>meinpc.mooo.com<e></e></COLOR>,<COLOR color="#408000"><s></s>KRyPTiScHerHaSHGEHOERTHiERHeREInGEFuEGt....=<e></e></COLOR> ip6</LI>
    <LI><s>
  • </s>An Stelle des rot markierten Teiles fügen wir unsere in Schritt 1 angelegte Subdomain ein, also in unserem Beispiel "plasma.crabdance.com", der grün markierte Teil wird durch den am Ende von Schritt 1 ermittelten "Hash" ersetzt.</LI>
    <LI><s>
  • </s>Die inadyn-mt.conf abspeichern, die Rechte geeignet setzen (Im Zweifelsfall "chmod 777 inadyn-mt.conf" <E>:)</E> ) und gucken, wie die "Methode des Tages" geht, um inady-mt beim Systemstart mit zu laden. Will heißen: Wie die verwendete Version der verwendeten Distribution der verwendeten Unox-Abart Dienste startet.<br/>
    Tut mir leid, ich kann dem inkonsistenten Flickwerk aus den 60ern, genannt Unix, GNU, Linux, BSD, oder wie auch immer, nichts abgewinnen. Leider findet man genau dieses System mit Sicherheit spätestens dann vor, wenn man einen Enigma2-Receiver mit erreichbar machen will.</LI><e>
</e></LIST>

<SIZE size="150"><s></s><B><s></s>Schritt 2d: FreeDNS-Update auf einem Gerät, stellvertretend für ein oder mehrere andere(s) Gerät(e). (Nur für Profis)<e></e></B><e></e></SIZE><br/>
<br/>
Was jetzt folgt ist keine abschließende Anleitung, die zu einem direkt nutzbaren Ergebnis führt, sondern mehr ein Brainstorming zu einem Lösungsansatz für ein noch zu schreibendes Script/Tool.<br/>

<LIST><s>
  • </s><LI><s>
  • </s>Wenn es uns nicht möglich ist, die FreeDNS-Updates für ein Gerät auf diesem selber durchführen zu lassen, können wir das auch durch ein anderes Gerät erledigen lassen.</LI>
    <LI><s>
  • </s>Dazu nutzen wir folgende Kenntnis aus:<br/>
    An der IP ändert sich, normale Adresskonfiguration vorausgesetzt, immer nur das Subnetz und das ist für alle Rechner im selben Netz gleich. Der Hostteil hingegen ergibt sich ja aus der Hardware-Adresse/MAC und ist damit dauerhaft gleich.</LI>
    <LI><s>
  • </s>Wir benötigen dafür die gesamte "Direct Update URL" aus Schritt 1 statt nur des Hashes</LI>
    <LI><s>
  • </s>An die "Direct Update URL", die ja wie folgt aussieht ... <br/>
    <URL url="http://freedns.afraid.org/dynamic/update.php?MXY4C0Y5BhBMbkFHVFhXcnllMnpSaWM1Ojk5NzE5NTE="><LINK_TEXT text="http://freedns.afraid.org/dynamic/updat ... k5NzE5NTE=">http://freedns.afraid.org/dynamic/update.php?MXY4C0Y5BhBMbkFHVFhXcnllMnpSaWM1Ojk5NzE5NTE=</LINK_TEXT></URL><br/>
    ... hängen wir an ...<br/>
    &address=<br/>
    sowie das durch unser das Update durchführende Gerät ermittelte aktuelle Subnetz (Schlichtweg die ersten 4 Blöcke seiner eigenen öffentlichen IPv6) und den vorher hinterlegten Hostteil der Adresse des Gerätes, für das wir das Update durchführen (Die letzten 4 Blöcke dessen öffentlicher IPv6).</LI>
    <LI><s>
  • </s>Die komplettierte Update-URL, dann in etwa so aussehend ...<br/>
    <COLOR color="#008000"><s></s><URL url="http://freedns.afraid.org/dynamic/update.php?MXY4C0Y5BhBMbkFHVFhXcnllMnpSaWM1Ojk5NzE5NTE=&address="><LINK_TEXT text="http://freedns.afraid.org/dynamic/updat ... =&address=">http://freedns.afraid.org/dynamic/update.php?MXY4C0Y5BhBMbkFHVFhXcnllMnpSaWM1Ojk5NzE5NTE=&address=</LINK_TEXT></URL><e></e></COLOR><COLOR color="#0000FF"><s></s>2001:db8:affe:c0c0:<e></e></COLOR><COLOR color="#FF0000"><s></s>02ab:cdff:feef:1234<e></e></COLOR><br/>
    (<COLOR color="#008000"><s></s>grün<e></e></COLOR> = gleichbleibender Teil ; <COLOR color="#0000FF"><s></s>blau<e></e></COLOR> = Subnetz, ändert sich zwar, ist aber für alle Geräte im Netz gleich ; <COLOR color="#FF0000"><s></s>rot<e></e></COLOR> = Hostteil der Adresse, ändert sich bei normaler SLAAC-Adressvergabe nie, kann also vorher einmalig ermittelt werden)<br/>
    .. müssen wir dann nur noch auf <B><s></s>irgendeine<e></e></B> Weise öffnen, völlig egal ob das im Browser, per wget oder curl und/oder in einem Perl-/Python-/PowerShell-/AutiIt- oder Sonstwas-Script erfolgt, es erfüllt seinen Zweck.</LI><e>
</e></LIST></r>
 
SpaceRat

SpaceRat

Beiträge
2.468
Reaktionen
0
Lösung Hindernis 2 (& 3): Firewalls / IPv4-NAT

<r><B><s></s><SIZE size="200"><s></s>Lösung Hindernis 2 (& 3): Firewalls / IPv4-NAT<e></e></SIZE><e></e></B><br/>
<br/>
In diesem Abschnitt werde ich erklären, wie man die Router-Firewall für Anfragen von außen öffnet, um einen Server betreiben zu können.<br/>
Für IPv4 wird dabei immer auch gleichzeitig eine Port-Weiterleitungsregel erzeugt.<br/>
<br/>
<SIZE size="150"><s></s><B><s></s>Einrichtung von Port-Weiterleitungen bei IPv4<e></e></B><e></e></SIZE><br/>
<br/>
Ich werde an dieser Stelle kurz die Einrichtung von Port-Weiterleitungen bei IPv4 erklären, um später bei IPv6 auf Gemeinsamkeiten oder eben Unterschiede verweisen zu können.<br/>
<br/>
Wie wir gelernt haben, sind unsere IPv4-Anschlüsse nicht vollwertig, in dem Sinne, daß wir für unsere Server zuhause eine öffentliche IP hätten.<br/>
Deshalb müssen wir im Router Port-Weiterleitungen einrichten, was ich hier anhand einer Fritz!Box 7390 mal aufzeigen werden. Bei der 63x0 und anderen aktuellen Fritz!Box-Modellen ist das Prinzip das selbe und bei anderen Routern in ähnlicher Form gegeben.<br/>
In englischsprachigen Router-Oberflächen heißt der Menüpunkt für die Konfiguration von IPv4-"Freigaben" meistens "Port-Forwarding".<br/>
<br/>
<B><s></s>Wichtiger Hinweis: <COLOR color="#FF0000"><s></s>An einem DS-lite-Anschluß ist die Einrichtung von IPv4-Portweiterleitungen wirkungslos, weil Anfragen von außen erst gar nicht bis zu unserem Router kommen, sondern schon im CGN des Providers hängen bleiben!<e></e></COLOR><e></e></B><br/>

<LIST type="decimal"><s>
  1. </s><LI><s>
  2. </s>Auf der Einstiegsseite der Fritz!Box-Oberfläche, die wir durch Eingabe von <URL url="http://fritz.box">http://fritz.box</URL> in der Adresszeile des Browsers erreichen, wählen wir links aus dem Menü "Internet" und dann daraus den Unterpunkt "Freigaben" oder direkt rechts aus den Komfortfunktionen den Punkt "Portfreigabe".</LI>
    <LI><s>
  3. </s>Wir landen auf der Seite mit den IPv4-Portfreigaben bzw. Weiterleitungen, die ich hier aus Datenschutzgründen nicht wiedergebe <E>:)</E></LI>
    <LI><s>
  4. </s>Hier können wir nun durch Klick auf das Notizbuch neben einer bestehenden Portfreigabe diese ändern oder durch Klick auf [Neue Portfreigabe] eine neue anlegen. Da sich diese Erklärung an Einsteiger richtet, gehe ich vom Anlegen einer neuen Freigabe aus ...</LI>
    <LI><s>
  5. </s>Nach Klick auf "Neue Freigabe" erhalten wir in etwa folgende Ansicht (Ich habe bereits in der ersten Drop-Down-Box "Andere Anwendungen" statt "HTTP-Server" (= Web-Server) ausgewählt):<br/>
    <IMG src="http://picload.org/image/odwidpw/neuefreigabe.jpg"><s>
    </e></IMG><br/>
    In dieser Ansicht haben wir folgende Eingabemöglichkeiten:
    <LIST><s>
    • </s><LI><s>
    • </s>Portfreigabe aktiv für ....<br/>
      Hier können wir einige wenige bekannte Dienste auch direkt auswählen. Zur Verfügung stehen FTP-Server, HTTP-Server, eMule TCP, eMule UDP, MS Remotedesktop, Andere Anwendungen und Exposed Host.<br/>
      Was sich dahinter versteckt ist ganz einfach: Der weiterzuleitende Port, nämlich 21 extern auf 21 intern für FTP, 80 extern auf 80 intern für HTTP, 4662 extern auf 4662 intern, 4672 UDP extern auf 4672 UDP intern, 3389 extern auf 3389 intern, manuelle Eingabe (Andere Anwendungen) oder (fast) <B><s></s>alle<e></e></B> (Exposed Host).<br/>
      Wollen wir einen FTP- oder HTTP-Server betreiben, reicht hier, die entsprechende Auswahl zu treffen. Die Verwendung der Standardports für eMule wird nicht empfohlen, weshalb man lieber andere über "Andere Anwendungen" manuell einstellt und MS Remotedesktop ist unsicher und sollte gar nicht erst freigegeben werden. Die Einstellung "Exposed Host" brauchen wir nur dann, wenn wir einen Rechner als Server für alles definieren wollen, i.d.R. wird man diese Einstellung nur vornehmen, um einen anderen Router hinter der Fritz!Box zu betreiben.<br/>
      Die Vorauswahl funktioniert auch nur für je einen einzigen der angegebenen Server. Möchte man also z.B. einen zweiten FTP-Server betreiben, dann ist der Port 21 extern ja schon für den ersten FTP-Server vergeben, so daß man den zweiten FTP-Server nicht mehr mit der Voreinstellung für FTP-Server einrichten kann.<br/>
      Meistens wird man hier also "Andere Anwendungen" auswählen, um einen oder mehrere Ports manuell einzugeben.</LI>
      <LI><s>
    • </s>Bezeichnung<br/>
      Wenn wir im ersten Schritt "Andere Anwendungen" ausgewählt haben, dann können wir unserer Freigabe hier einen Namen geben, beispielsweise "Enigma2 WebInterface" für das WebInterface unserer Enigma2-Receivers.</LI>
      <LI><s>
    • </s>Protokoll<br/>
      Hier haben wir TCP, UDP, ESP und GRE zur Auswahl.<br/>
      I.d.R. werden wir nur TCP und UDP benötigen. Welches wir im konkreten Fall benötigen, zeigt uns ein Blick in die Dokumentation der entsprechenden Software.<br/>
      Unter Umständen müssen wir auch mehrere Ports und/oder Protokolle für einen Serverdienst freigeben. Dann müssen wir, wenn es nicht um einen aufeinanderfolgenden Portbereich geht, mehrere Freigaben für diesen Server anlegen.<br/>
      Für einen HTTP-Server, wie es das Web-Interface eines Sat-Receivers ist, wählen wir hier TCP, wie übrigens meistens.</LI>
      <LI><s>
    • </s>Von Port .... bis Port ...<br/>
      Dies spezifiziert, auf welchen externen Ports, also an der öffentlichen IP, die erwarteten Anfragen eintreffen.<br/>
      Meistens wird man hier natürlich den oder die gleichen Port(s) wählen, die der Dienst auch tatsächlich nutzt, manchmal haben wir aber entweder die freie Auswahl oder aber wir wollen einen zweiten, gleichartigen Dienst freigeben und müssen deshalb an dieser Stelle einen anderen Port wählen als den "normalen".<br/>
      Beispiel: Für das Beispiel HTTP würde man hier von Port 80 bis Port 80 einstellen.<br/>
      Wir tun jetzt mal so, als hätten wir schon einen HTTP-Server laufen und weichen daher für unser WebInterface am Receiver auf "Port 81 bis 81" aus.</LI>
      <LI><s>
    • </s>an Computer<br/>
      Gibt den Rechner im Heimnetz an, für den diese Freigabe gelten soll. Meistens können wir ihn einfach aus einer Liste von der Fritz!Box bekannten Rechnern auswählen, ansonsten können wir ihn auch durch "manuelle Eingabe der IP-Adresse" angeben.</LI>
      <LI><s>
    • </s>an IP-Adresse<br/>
      Wenn wir im vorherigen Schritt einen Rechner ausgewählt haben, dann sehen wir hier zur Kontrolle die IP, unter der die Fritz!Box diesen kennt.<br/>
      Ansonsten können wir hier die IP des Ziel-Rechners selber eingeben.</LI>
      <LI><s>
    • </s>an Port<br/>
      Der Port, auf dem der Dienst auf dem angegebenen Rechner läuft.<br/>
      Welche wir im konkreten Fall benötigen, zeigt uns ein Blick in die Dokumentation der entsprechenden Software, sofern wir die Ports nicht selber auswählen durften.<br/>
      Sofern wir unter "von Port ... bis Port ..." durch Angabe zweier unterschiedlicher Werte extern einen ganzen Port-Bereich ausgewählt haben, dann dient die Angabe an dieser Stelle als Start-Wert für den internen Port-Bereich.<br/>
      Für das WebInterface unseres Beispiels wählen wir Port 80.</LI><e>
    </e></LIST>
    Fertig ausgefüllt sieht unsere Beispielfreigabe nun in etwa so aus:<br/>
    <IMG src="http://picload.org/image/odwidpo/neuefreigabeausg.jpg"><s>
    </e></IMG></LI>
    <LI><s>
  6. </s>Nach Klick auf "Ok" wird die neue oder geänderte Freigabe gespeichert und ist auch direkt aktiv</LI><e>
</e></LIST>

Was wir mit diesen Einstellungen tatsächlich gemacht haben ist folgendes:
<LIST type="decimal"><s>
  1. </s><LI><s>
  2. </s>Wir haben den <B><s></s>externen Port 81<e></e></B> (Also den <B><s></s>Port 81 der öffentlichen IPv4-Adresse<e></e></B>) auf den <B><s></s>internen Port 80 des Gerätes "Ultimo" verbogen bzw. umgeleitet<e></e></B> (Deshalb heißt dieser Punkt bei anderen Routern auch "Port-Weiterleitung" oder "Port Forwarding", was eigentlich korrekt wäre)<br/>
    und</LI>
    <LI><s>
  3. </s>es wurde <B><s></s>der (öffentliche) Port 81 in der internen Firewall der Fritz!Box geöffnet<e></e></B></LI><e>
</e></LIST>

Bei einem Zugriff auf das Web-Interface von außerhalb passiert nun folgendes:<br/>

<LIST type="decimal"><s>
  1. </s><LI><s>
  2. </s>Der WebClient auf einem Rechner außerhalb öffnet die Adresse "öffentliche_IP_der_Fritz!Box:81"</LI>
    <LI><s>
  3. </s>Die Fritz!Box prüft die Anfrage gegen die eigene Firewall, stellt fest, daß sie zulässig ist</LI>
    <LI><s>
  4. </s>gleichzeitig lenkt sie den Zugriff auf die interne IP des Enigma-Receivers um (Da sie ja nicht selber antworten soll)</LI>
    <LI><s>
  5. </s>Das Web-Interface des Receivers erhält die Anfrage von außerhalb und schickt die Antwort über die Fritz!Box zurück ins Internet, also an den Rechner, der die Anfrage gestartet hat.</LI><e>
</e></LIST></r>
 
SpaceRat

SpaceRat

Beiträge
2.468
Reaktionen
0
Einrichtung von Port-Freigaben bei IPv6

<r><B><s></s><SIZE size="200"><s></s>Lösung Hindernis 2: Firewalls<e></e></SIZE><e></e></B><br/>
<br/>
<SIZE size="150"><s></s><B><s></s>Einrichtung von Port-Freigaben bei IPv6<e></e></B><e></e></SIZE><br/>
<br/>
Kommen wir nun zu dem für viele spannendsten Teil des Ganzen, den IPv6-Freigaben. Vielleicht ist dem ein oder anderen aufgefallen, daß ich hier von "Freigaben" spreche, während ich bei IPv4 von "Weiterleitungen" sprach. Das hängt damit zusammen, daß jeder Rechner im Netz eine eigene IPv6-Adresse hat, was einerseits bedeutet, daß die Freigaben etwas anders funktionieren und zum anderen, daß keine "Weiterleitung" im Sinne einer "Umleitung" mehr nötig ist. Daher fehlt auch in diesem Kapitel das "Problem 3 - NAT" in der Überschrift ... es stellt sich nämlich nicht.<br/>
<br/>
Wieder beschreibe ich die <B><s></s>Freigaben anhand einer Fritz!Box<e></e></B> 7390, wobei sich diese bei den Fritz!Boxen 63x0, 7270v3, 7270v2 usw. identisch gestalten. Leider läßt sich diese Vorgehensweise wesentlich <B><s></s>schlechter auf andere Router übertragen<e></e></B>, weil es anscheinend noch keinen Konsens gibt, wie diese Konfiguration auszusehen hat.<br/>
Nach derzeitigem Kenntnisstand hat der <B><s></s>Cisco EPC3208G z.B. gar keine Firewall für IPv6<e></e></B> (Man muß also einerseits keine Freigaben einrichten <E>;)</E>, andererseits ist aber auch das gesamte Netzwerk ungeschützt) und <B><s></s>beim TC7200 läßt sich die Firewall nur komplett ein- oder eben komplett ausschalten<e></e></B>.<br/>
Wieder ein Grund, doch noch in Erwägung zu ziehen, durch Produktwechsel zumindest an eine Fritz!Box 6320 oder gar 6360 zu kommen, immerhin steht man mit den anderen Routern entweder mit dem Schw... in der Hand nackt im Regen oder ist - beim TC7200 - wahlweise komplett ausgesperrt.<br/>

<LIST type="decimal"><s>
  1. </s><LI><s>
  2. </s>Auf der <B><s></s>Einstiegsseite der Fritz!Box<e></e></B>-Oberfläche, die wir durch Eingabe von <URL url="http://fritz.box">http://fritz.box</URL> in der Adresszeile des Browsers erreichen, wählen wir links aus dem Menü <B><s></s>"Internet", daraus den Unterpunkt "Freigaben" und dann rechts den Reiter "IPv6"<e></e></B> oder direkt rechts aus den Komfortfunktionen den Punkt <B><s></s>"IPv6-Freigabe"<e></e></B>.</LI>
    <LI><s>
  3. </s>Wir landen auf der Seite mit den IPv6-Freigaben, die ich hier ebenfalls aus Datenschutzgründen nicht wiedergebe <E>:)</E></LI>
    <LI><s>
  4. </s>Hier können wir nun durch <B><s></s>Klick auf das Notizbuch neben einer bestehenden Freigabe diese ändern<e></e></B> oder durch <B><s></s>Klick auf [Neues Gerät] neue anlegen<e></e></B>.<br/>
    Schon durch die Wortwahl "Neues Gerät" wird deutlich, daß ein Punkt anders ist als bei IPv4: Für <B><s></s>ein<e></e></B> Gerät im Heimnetz legen wir nur ein einziges Mal eine <B><s></s>neue<e></e></B> Freigabe an, danach ändern wir diese nur noch.<br/>
    Bei den IPv4-Freigaben ging das nicht, weil unser ganzes Heimnetz aus Sicht des Internets nur ein einziges Gerät ist und Freigaben auf mehreren Rechnern nur eine Krücke sind.</LI>
    <LI><s>
  5. </s>Sofern Ihr bereits <B><s></s>Freigaben über MyFRITZ!<e></e></B> angelegt habt, dann <B><s></s>finden sich<e></e></B> diese <B><s></s>auch hier wieder<e></e></B>.<br/>
    <B><s></s><COLOR color="#FF0000"><s></s>In diesem Fall lest bitte erst alles zuende durch, bevor Ihr loslegt!<e></e></COLOR><e></e></B><br/>
    <COLOR color="#FF0000"><s></s><B><s></s>Wenn MyFRITZ! benutzt wird, dürfen nur noch die vorhandenen Freigaben geändert werden, da Ihr Euch sonst die DynDNS-Funktionalität der MyFRITZ!-Freigaben zerschießen könnt.<e></e></B><e></e></COLOR></LI>
    <LI><s>
  6. </s>Nach Klick auf "Neues Gerät" erhalten wir in etwa folgende Ansicht:<br/>
    <IMG src="http://picload.org/image/odwiagc/ipv6freigabe-neu.png"><s>
    </e></IMG><br/>
    <br/>
    Auffällig ist, daß wir in dieser Ansicht weniger Einstellungsmöglichkeiten haben als bei den IPv4-Freigaben, was daraus resultiert, daß die IPv6-Freigaben technisch tatsächlich einfacher sind!<br/>
    <br/>
    Wir haben lediglich zwei grundlegende Eingabemöglichkeiten:
    <LIST><s>
    • </s><LI><s>
    • </s><B><s></s>Freigabe aktiviert für<br/>
      Name<br/>
      Interface-ID<e>
      </e></B><br/>
      Gibt den <B><s></s>Rechner im Heimnetz an, für den diese Freigaben gelten<e></e></B> sollen.<br/>
      Meistens können wir ihn einfach <B><s></s>aus einer Liste von der Fritz!Box bekannten Rechnern<e></e></B> auswählen, ansonsten können wir ihn auch manuell eingeben, wenn wir unter Name "Benutzerdefiniert" auswählen.<br/>
      Wählen wir einen bekannten Rechner aus, dann wird auch die Interface-ID (richtig) vorbelegt, ansonsten müssen wir diese selber eingeben.<br/>
      Wieso nun aber eine Interface-ID und keine IP?<br/>
      Ganz einfach: Die Interface-ID ist im Idealfall ja nichts anderes als der Host-Teil der IPv6 des Ziel-Gerätes!<br/>
      Da das Subnet-Präfix dynamisch sein könnte, müßten wir die Freigaben immer und immer wieder ändern, wenn sich das Subnet ändert. Außerdem erfährt die Fritz!Box über sog. "Router Advertisement" sowieso, wie das Präfix lautet, weiß es somit also grundsätzlich selber.<br/>
      Wenn wir also in die Verlegenheit kommen sollten, hier einen Rechner manuell eintragen zu müssen, dann ist hier die MAC des Zielrechners gefragt, erweitert um FF FE in der Mitte und dem 7 Bit gekippt, siehe dazu den ersten Teil.<br/>
      Zum Glück müssen wir das nicht wirklich selber eintragen, sondern können einfach aus der Liste auswählen, sobald sich ein Gerät mit funktionierender IPv6-Unterstützung das erste Mal an der Fritz!Box angemeldet hatte.</LI>
      <LI><s>
    • </s>Wahlweise "<B><s></s>Firewall für dieses Gerät im Heimnetz komplett öffnen<e></e></B>." oder "<B><s></s>Firewall nur für bestimmte Protokolle öffnen<e></e></B>."<br/>
      Hier können wir auswählen, ob der Rechner komplett aus dem Internet erreichbar sein soll oder ob wir nur einzelne Ports bzw. Protokolle eintragen wollen.<br/>
      Tatsächlich: Da jeder Rechner seine eigene, vollwertige IP hat, könnten wir hier wirklich den ganzen Rechner aus dem Internet erreichbar machen, ohne deshalb bei den Freigaben für andere Rechner eingeschränkt zu sein!<br/>
      Es sind eher Sicherheitsbedenken, wegen der wir hier trotzdem lieber "Firewall nur für bestimmte Protokolle öffnen." auswählen.<br/>
      In der untenstehenden Liste können wir nun unsere erste Freigabe eintragen, also z.B.<br/>
      TCP von Port 80 bis Port 80<br/>
      um einen HTTP-Server auf dem ausgewählten Gerät erreichbar zu machen.<br/>
      Wichtig: Da steht von Port bis Port und genau das ist auch gemeint: Ein Port-Bereich und keine Port-Umleitung.<br/>
      Eine Umleitung im Sinne von einem externen Port(-Bereich), der auf einen völlig anderen internen Port(-Bereich) zeigen soll, brauchen wir bei IPv6 nicht!<br/>
      Wir können durchaus für jedes angeschlossene Gerät bezogen auf die freigegebenen Ports dieselben Freigaben machen, also auf Wunsch auch 100 Web-Server betreiben und alle laufen auf dem Standard-Port!</LI>
      <LI><s>
    • </s>Nach <B><s></s>Klick auf "Ok" wird die neue Freigabe gespeichert<e></e></B> und ist auch direkt aktiv</LI><e>
    </e></LIST>

    Was wir mit diesen Einstellungen tatsächlich gemacht haben ist folgendes:<br/>
    <B><s></s>Wir haben in der internen Firewall der Fritz!Box den Port 80 für unseren Receiver geöffnet, mehr nicht.<e></e></B><br/>
    <br/>
    Bei einem Zugriff auf das Web-Interface von außerhalb passiert nun folgendes:<br/>

    <LIST type="decimal"><s>
    1. </s><LI><s>
    2. </s>Der WebClient auf einem Rechner außerhalb öffnet die Adresse "öffentliche_IP_des_Receivers"</LI>
      <LI><s>
    3. </s>Die Fritz!Box prüft die Anfrage gegen die eigene Firewall, stellt fest, daß sie zulässig ist</LI>
      <LI><s>
    4. </s>das Web-Interface des Receivers erhält die Anfrage von außerhalb und schickt die Antwort zurück ins Internet, also an den Rechner, der die Anfrage gestartet hat.</LI><e>
    </e></LIST>

    Beim Ändern oder Zufügen einer Freigabe zu einem vorhandenen Gerät ändert sich die Maske ein wenig:
    <LIST type="decimal"><s>
    1. </s><LI><s>
    2. </s>Name und Interface-ID können manuell eingegeben werden, nicht aber durch eine Drop-Down-Box ausgewählt werden. Das brauchen wir aber auch gar nicht.</LI>
      <LI><s>
    3. </s>Hinter bereits freigegebenen Ports steht ein X zum Löschen dieser Freigabe</LI>
      <LI><s>
    4. </s>Durch Eintragen anderer Ports lassen sich bestehende Freigaben ändern</LI>
      <LI><s>
    5. </s>Per Klick auf [Neue Freigabe] erhalten wir eine neue Zeile, in die wir eine weitere Freigabe eintragen können</LI><e>
    </e></LIST>
    Das Schema bleibt dabei das selbe: Die IPv6-Freigabe macht nichts weiter, als die Firewall auf den angegebenen Ports für den angegebenen Rechner zu öffnen. Eine Port-Umleitung ist niemals nötig.</LI><e>
</e></LIST>

<SIZE size="150"><s></s><B><s></s>Abweichungen bei der Nutzung von MyFRITZ!<e></e></B><e></e></SIZE><br/>
<br/>
Wenn wir MyFRITZ!-Freigaben angelegt haben, um damit auch bequem einen immer aktuellen DynDNS-Eintrag zum entsprechenden Gerät zu haben, dann finden wir alle Geräte, für die wir das gemacht haben, bereits hier in der Liste.<br/>
Weitere Freigaben bzw. zusätzlich zu öffnende Ports dürfen dann diesen Geräten nur noch durch Klick auf das Notizbuch-Symbol hinzugefügt werden, keinesfalls sollte man versehentlich ein bereits über MyFRITZ! freigegebenes Gerät hier nochmals hinzufügen (Was die Fritz!Box zwar auch meistens, aber eben nicht immer, verhindert).<br/>
Leider heißen die Geräte <B><s></s>alle<e></e></B> "MyFRITZ-::aaaa:bbbb:cccc:dddd", also "MyFRITZ-::" gefolgt von der Interface-ID des Gerätes. Das macht sie relativ schlecht unterscheidbar, aber dennoch sollten wir sie nicht umbenennen, denn dabei geht nicht selten auch die DynDNS-Funktionalität kaputt.<br/>
Ebenfalls geht die DynDNS-Funktionalität kaputt, wenn man ein "MyFRITZ-::"-Gerät hier aus der Liste löscht, selbst wenn man es unmittelbar danach unter selbem Namen wieder hinzufügt, oder wenn man den ursprünglich in MyFRITZ! freigegebenen Port rausnimmt.<br/>
<br/>
<B><s></s>Also: Vorhandenen MyFRITZ!-Freigaben können wir zwar freizugebende Ports hinzufügen oder auch wieder wegnehmen (Außer dem, den wir in MyFRITZ! selber zugefügt haben, in meinem Beispiel war das immer Port 443), dies aber immer nur über das "Notizbuch".<br/>
<COLOR color="#FF8000"><s></s>Wenn wir hier versehentlich ein MyFRITZ!-Gerät ganz löschen oder ihm den beim Anlegen der MyFRITZ!-Freigabe freigegebenen Port abnehmen, dann müssen wir zur Wiederherstellung inkl. der DynDNS-Aktualisierung das Gerät unter "IPv6-Freigaben" komplett löschen - sofern noch nicht geschehen - und auch die MyFRITZ!-Freigabe erst löschen und dann auch zuerst also solche neu anlegen.<e></e></COLOR><e>
</e></B><br/>
<br/>
Aus diesem Grunde übrigens auch meine Präferenz für Port 443/HTTPS-Server:<br/>
Diese Freigabe ist i.d.R. unbedenklich, denn entweder<br/>
- will man ihn eh freigeben <br/>
oder<br/>
- es läuft gar kein entsprechender Server auf dem Gerät, die Freigabe ist also wirkungslos<br/>
oder<br/>
- der Server, den man erreichen kann, obwohl wir das eigentlich gar nicht wollten, dürfte einigermaßen sicher sein.<br/>
Demzufolge kann man sie in den meisten Fällen bedenkenlos mißbrauchen, um das Gerät bei MyFRITZ! bekannt zu machen, ohne daß man in die Verlegenheit kommt, diese Freigabe später wieder löschen zu wollen.</r>
 
SpaceRat

SpaceRat

Beiträge
2.468
Reaktionen
0
Lösung Hindernis 4: IPv4: CGN / Carrier Grade NAT

<r><B><s></s><SIZE size="200"><s></s>Lösung Hindernis 4: IPv4: CGN / Carrier Grade NAT<e></e></SIZE><e></e></B><br/>
<br/>
Für dieses Hindernis gibt es keine einfache Lösung auf Basis irgendwelcher Konfigurationsänderungen. Man ist und bleibt über CGN per IPv4 von außen unerreichbar.<br/>
<br/>
Es ergeben sich somit zwei Lösungsansätze:
<LIST type="decimal"><s>
  1. </s><LI><s>
  2. </s>Man versucht, dieselbe Funktionalität über IPv6 zu erreichen, was i.d.R. auch funktioniert.<br/>
    Insgesamt ist dies die einfachere Lösung, da man früher oder später sowieso mit IPv6 konfrontiert wird. Tut man das früher, dann reicht das alleine aus.</LI>
    <LI><s>
  3. </s>Man stellt volle IPv4-Konnektivität wieder her.<br/>
    "Kostenlos" und einfach kriegt man das nur hin, wenn man dazu einfach nur einen Produktwechsel beim Internet-Provider rückgängig machen muß oder sich wieder - was auch nur bei KabelBW geht oder ging, nicht aber bei Unitymedia - auf IPv4 umstellen läßt oder alternative Anbieter zur Auswahl hat, die auch in der sonstigen Leistung mithalten können.<br/>
    Anderenfalls ist es mit - teils erheblichen - Mehrkosten verbunden, sei es durch Wechsel auf einen Business-Tarif (Bei denen es noch IPv4 gibt, optional sogar statisch und mit Subnetz) oder durch einen bezahlten Tunnel.<br/>
    Insbesondere das Aufsetzen eines solchen Tunnels erfordert eine Menge Wissen, wenn es richtig gemacht werden soll und am Ende wird man sich dann doch irgendwann mit IPv6 beschäftigen müssen, da sich auch die Welt um uns herum weiter dreht.<br/>
    In diesem Fall wäre dann der Aufwand für die möglichst lange Gegenwehr zusätzlich zu dem angefallen, sich in IPv6 einzuarbeiten.</LI><e>
</e></LIST>

<B><s></s>Ich halte also nicht sonderlich viel von der gelegentlich vorgebrachten Lösung, einen IPv4-in-IPv6-Tunnel zu buchen, um weiterhin eingehende IPv4-Konnektivität zu haben, auch weil diese Lösung eben nur so lange funktioniert, wie man dafür bezahlt.<e></e></B><br/>
<br/>
Trotzdem möchte ich diesen Lösungsansatz nicht unbesprochen lassen.<br/>
<br/>
<B><s></s><SIZE size="150"><s></s>IPv4-in-IPv6-Tunnel mit öffentlicher IPv4 an unserem Tunnel-Endpunkt<e></e></SIZE><e></e></B><br/>
<br/>
Es gibt bei mehreren Dienstleistern im Internet die Möglichkeit, VPN-Tunnel zu buchen, z.B. bei <URL url="http://www.portunity.de/access/produkte/vpn-tunnel.html"><s></s>Portunity<e></e></URL>. Bei vielen dieser Tunnel erhält man eine öffentliche IPv4, teilweise sogar statisch, über den Tunnel. Über diese IPv4 ist man von außen erreichbar, solange der Tunnel aufrecht erhalten wird.<br/>
<br/>
Dabei gibt es aber einige Aspekte zu bedenken:
<LIST><s>
  • </s><LI><s>
  • </s>Per se ist man gegenüber dem Tunnel nicht durch eine Firewall geschützt. Dies muß separat konfiguriert werden.</LI>
    <LI><s>
  • </s>Es erfordert Planung, über welches Gerät man den Tunnel aufbauen möchte, denn nur solange dieses Gerät läuft, ist man auch über den Tunnel erreichbar.</LI>
    <LI><s>
  • </s>Viele Anbieter bieten ihre Tunnel nur über IPv4 an, d.h. wir tunneln am Ende eine IPv4-Verbindung über eine andere IPv4-Verbindung, welche wiederum über IPv6 getunnelt wird. Das bedeutet, daß die Nutzlast eines Paketes im Verhältnis zur transportierten Datenmenge immer kleiner wird.</LI>
    <LI><s>
  • </s>PPTP-Tunnel funktionieren über das IPv4-CGN gar nicht.</LI><e>
</e></LIST>

Der Idealfall sähe demnach so aus:
<LIST><s>
  • </s><LI><s>
  • </s>Der Tunnel kann auch direkt über IPv6 aufgebaut werden.<br/>
    Da auch das IPv4-CGN eigentlich ein über die IPv6-Anbindung laufender Tunnel ist, hätte man somit mit dem VPN-Tunnel auch keine Nachteile bzgl. der in einem Paket transportierbaren Nutzlast mehr gegenüber der vorhandenen IPv4-Anbindung.</LI>
    <LI><s>
  • </s>Es steht ein Gerät zur Verfügung, das permanent - zumindest während man Zugriff von außen benötigt - durchläuft und dabei einigermaßen wenig Strom verbraucht.<br/>
    Hierfür kommen insbesondere erweiterbare Router (Fritz!Boxen mit Freetz, OpenWRT-Router) oder NAS (Network Attached Storage) Systeme mit VPN-Funktionalität in Frage. Prinzipiell eignen sich auch Enigma2-Receiver, allerdings ist deren Netzwerk- und Prozessor-Leistung nicht selten dürftig und es steht auch keine brauchbare Firewall zur Verfügung.</LI>
    <LI><s>
  • </s>Man kann sicherstellen, daß das Heimnetz am Übergabepunkt zum/vom VPN durch eine Firewall geschützt ist.</LI><e>
</e></LIST>

Ergo: Die Kosten/Aufwand<>Nutzen-Relation sieht sehr schlecht aus für diese Lösung.<br/>
Auch mangels eigener Erfahrung gebe ich hierzu keine weiteren Tips. Wer diesen Weg gehen will, sollte selber über grundlegende Kenntnisse verfügen und/oder sich intensiv in das Thema einlesen, um nicht der Allgemeinheit einen zusätzlichen Zombierechner/Spam-Bot zu verschaffen!</r>
 
SpaceRat

SpaceRat

Beiträge
2.468
Reaktionen
0
Einrichtung von IPv6-Konnektivität in Routern

<r><B><s></s><SIZE size="200"><s></s>Lösung Hindernis 5: IPv4 vs. IPv6: Ein Kommunikationspartner verfügt nicht über IPv6-Konnektivität<e></e></SIZE><e></e></B><br/>
<br/>
<B><s></s>Nicht selten ist das einzige wirkliche Problem, unser Heimnetz von außerhalb zu erreichen, die fehlende IPv6-Konnektivität des Netzes, von dem aus wir Zugriff wollen.<e></e></B><br/>
<br/>
Die Lösung zu Hindernis 5 stellt meist die einfachere und günstigere Alternative zu der für Hindernis 4 dar:<br/>
<B><s></s>Anstatt uns selber gegen Geld einen IPv4-Tunnel zu beschaffen, versorgen wir die Gegenseite kostenlos mit IPv6.<br/>
Eigentlich ist dies auch nur logisch und konsequent, denn es ist die Seite ohne IPv6, die nicht das gesamte Internet erreichen kann. Es wäre zwar schöner, selber zusätzlich auch per IPv4 erreichbar zu sein, aber immerhin ist von einem DS-lite-Anschluß ausgehend das ganze Internet erreichbar, statt nur einem Teil wie bei einem IPv4-only-Zugang.<e>
</e></B><br/>
<br/>
<SIZE size="150"><s></s><B><s></s>Einrichtung von IPv6-Konnektivität in Routern<e></e></B><e></e></SIZE><br/>
<br/>
Im ersten Teil zeige ich, wie man IPv6 im Router einrichtet, auch hier wieder am Beispiel einer Fritz!Box, beginnend mit Unterstützung für natives IPv6, welches durchaus längst vorhanden, aber deaktiviert sein könnte.<br/>
<br/>
<SIZE size="100"><s></s><B><s></s>Aktivierung eigentlich schon verfügbarer IPv6-Konnektivität bei der Gegenseite<e></e></B><e></e></SIZE><br/>
<br/>
Z.B. an Telekom-AllIP-Anschlüssen ist vollwertiger DualStack (öffentliche IPv4, öffentliches IPv6-Subnetz) bereits geschaltet und wird nur deshalb nicht genutzt, weil IPv6 im Router noch deaktiviert ist.<br/>
Bei neueren Fritz!Boxen (ab 7270v2) genügt es oft schon, unter "Internet -> Zugangsdaten" auf dem Reiter "IPv6", diese Einstellung<br/>
<IMG src="http://picload.org/image/odwiooc/ipv6aus.png"><s>
</e></IMG><br/>
durch diese<br/>
<IMG src="http://picload.org/image/odwiolr/ipv6an.png"><s>
</e></IMG><br/>
zu ersetzen, um zumindest eine grundlegende IPv6-Konnektivität (Ausreichend, um unser Heimnetz zu erreichen) zu erhalten.<br/>
<br/>
<br/>
<br/>
<SIZE size="100"><s></s><B><s></s>Nutzung eines IPv6-Tunnels zur Versorgung der Gegenseite mit IPv6<e></e></B><e></e></SIZE><br/>
<br/>
Wenn die reine Aktivierung von IPv6 nicht zum Erfolg führt, heißt das lediglich, daß auf "automagische" Weise keine Zugangsmöglichkeit gefunden wurde. In diesem Fall kann immer noch manuell ein Tunnel konfiguriert werden.<br/>
Der konfigurierte Tunnel bietet sich auch an, wenn bei der automatischen Konfiguration nur ein 6rd-Tunnel herauskommt, wir aber ein eigenes, statisches Subnetz haben wollen.<br/>
Auch andere Router als die Fritz!Box bieten teilweise die Möglichkeit, einen IPv6-Tunnel einzurichten.<br/>
<br/>
<br/>
<SIZE size="100"><s></s><B><s></s>Einrichten eines SixXS-Tunnels in einer Fritz!Box<e></e></B><e></e></SIZE><br/>
<br/>
SixXS bietet bereits seit einigen Jahren kostenlose IPv6-in-IPv4-Tunnel an, die auch durchaus mit hoher Geschwindigkeit funktionieren, wenn man sich den richtigen "PoP" - also Tunnel-Provider - aussucht. Zudem sind sie in Fritz!Boxen ab 7270v2 auch einfachst einzurichten.<br/>

<LIST type="decimal"><s>
  1. </s><LI><s>
  2. </s>Um einen SixXS-Tunnel nutzen zu können, muß man sich zuerst <B><s></s>als Benutzer auf <URL url="http://www.sixxs.net">http://www.sixxs.net</URL> anmelden<e></e></B>.<br/>
    Diese Anmeldung wird vor der Freischaltung <B><s></s>manuell<e></e></B> (Phantasieangaben bei der Anmeldung sollte man also besser vermeiden) geprüft, was auch schon mal einige Stunden dauern kann.</LI>
    <LI><s>
  3. </s>Hat man sich als Benutzer registriert und wurde freigeschaltet, kann man <B><s></s>einen Tunnel anfordern ("Request Tunnel")<e></e></B><br/>
    Dabei darf man sich aussuchen, über welchen Anbieter man gerne einen Tunnel hätte.<br/>
    Für Unitymedia-Kunden drängt sich NetCologne förmlich auf, denn NetCologne hat direktes Peering mit Unitymedia, der Traffic zum Tunnelendpunkt muß also nicht erst über DECIX geschweige denn über Aorta. Im Ergebnis ist der IPv6-Traffic über den Tunnel (Der dann von NC über DECIX, statt wie der IPv4-Traffic von Unitymedia über Aorta, gepeert wird) oft sogar schneller als der über Unitymedias IPv4 ...<br/>
    Auch als Vodafone- oder Telekom-Kunde macht man mit NetCologne als PoP nicht viel falsch.<br/>
    Zusätzlich müssen wir auswählen, welche technische Variante eines Tunnels wir wünschen:
    <LIST><s>
    • </s><LI><s>
    • </s>Static (Erfordert eine statische IPv4, könnte man also an Unitymedia-Business-Anschlüssen mit statischer IP nutzen)</LI>
      <LI><s>
    • </s>Heartbeat (Erfordert eine öffentliche IPv4, funktioniert also an allen DSL- und Kabel-Anschlüssen, an denen kein DS-lite geschaltet ist ... aber dann bräuchten wir auch keinen IPv6-Tunnel)</LI>
      <LI><s>
    • </s>ayiya (Anything-in-Anything, funktioniert eigentlich <B><s></s>immer<e></e></B>, hat aber auch mehr Overhead als ein Heartbeat-Tunnel</LI><e>
    </e></LIST>
    Die beste Wahl für einen normalen DSL- oder Kabel-Anschluß mit IPv4 ist also "Heartbeat", für den Zugang von einem Smartphone oder generell unterwegs aus würden wir "ayiya" wählen.<br/>
    Der Tunnel-Request wird nun ebenfalls manuell geprüft, bevor er freigeschaltet wird, was ebenfalls wieder einige Stunden dauern kann.</LI>
    <LI><s>
  4. </s>Im Ergebnis haben wir nun:
    <LIST><s>
    • </s><LI><s>
    • </s>Einen <B><s></s>SixXS-Benutzernamen<e></e></B> a la <B><s></s>SRX5-SIXXS<e></e></B></LI>
      <LI><s>
    • </s>Ein <B><s></s>Kennwort (Bei der Benutzer-Registrierung selber gewählt)<e></e></B></LI>
      <LI><s>
    • </s>Eine <B><s></s>Tunnel-ID<e></e></B> a la <B><s></s>T12345<e></e></B> (Bei der Anmeldung/Bewilligung des Tunnels zugewiesen)</LI><e>
    </e></LIST></LI>
    <LI><s>
  5. </s>In der Fritz!Box stellen wir unter "Internet->Zugangsdaten" auf dem Reiter "IPv6" ein<br/>
    [X] Unterstützung für IPv6 aktiv<br/>
    (*) Immer ein Tunnelprotokoll für die IPv6-Anbindung nutzen<br/>
    (*) SixXS<br/>
    und können dann weiter unten die vorgenannten Daten eintragen:<br/>
    <IMG src="http://picload.org/image/odwiocw/sixxs.png"><s>
    </e></IMG></LI>
    <LI><s>
  6. </s>Mit einem Klick auf "Übernehmen" werden die Änderungen gespeichert und der Tunnel aufgebaut.</LI>
    <LI><s>
  7. </s>Et voila, der so konfigurierte Anschluß hat - bis auf die reduzierte MTU von 1280 - vollwertiges IPv6, inkl. eines statischen Subnetzes!</LI><e>
</e></LIST>

Ein Nachteil der SixXS-Tunnel soll nicht verschwiegen werden:<br/>
SixXS nutzt ein "Credit"-System, bei dem man Credits (genannt "ISK") erhält, wenn man die angelegten Tunnel auch nutzt (5 ISK pro Woche) und es Credits kostet (15 ISK insgesamt), weitere Tunnel oder Subnetze zu beantragen.<br/>
Die Credits zu Beginn (25 ISK) reichen für den ersten Tunnel (-15 ISK), einen zweiten kann man dann erst beantragen, wenn der erste Tunnel bereits eine Woche aktiv war (25-15+5=15), danach sind alle Credits weg und mindestens einer der Tunnel muß erst einmal für eine ganze Zeit wieder dauerhaft aktiv sein (Insgesamt 3 Wochen für 3x5 ISK, entsprechend kürzer, wenn beide Tunnel dauerhaft aktiv sind...), bevor man wieder genug Credits für einen dritten hat, usw.<br/>
Dieses System belohnt jetzt natürlich diejenigen, die sich bereits frühzeitig mit IPv6 beschäftigt, einen Tunnel beschafft und einen solchen schon lange aktiv haben, dadurch sind SixXS-Tunnel aber leider keine schnelle Abhilfe, wenn man jetzt mehrere Tunnel auf einen Schlag dringend benötigt.<br/>
Insbesondere "Reserve-Tunnel", die man sich auf dem Smartphone und/oder Notebook nur für den Fall bereit halten will, <B><s></s>wenn<e></e></B> man sie später mal braucht, erzeugen natürlich kaum bis keine neuen Credits für weitere Tunnel.<br/>
Daher sollte man mit einem stationären und dauerhaften Tunnel (z.B. am Zweitanschluß, bei Eltern oder Verwandten, für die man den Internet-Zugang pflegt, oder oder oder) anfangen, die Credits für einen unproduktiven Tunnel kriegt man dann immer wieder rein.<br/>
<br/>
<SIZE size="100"><s></s><B><s></s>Einrichten eines 6in4-Tunnels in einer Fritz!Box<e></e></B><e></e></SIZE><br/>
<br/>
Eine Alternative zu SixXS-Tunneln steht mit den 6in4-Tunneln zur Verfügung.<br/>
Genau betrachtet sind SixXS-Tunnel übrigens auch nur 6in4-Tunnel, für die aber ein eigener Client genutzt wird, welcher uns einen Teil der Arbeit abnimmt. Das bedeutet, daß nackte 6in4-Tunnel etwas aufwendiger zu konfigurieren sind.<br/>
Für einen 6in4-Tunnel benötigt man darüber hinaus auch eine öffentliche IPv4, von einem CGN-Anschluß (z.B. Mobilfunk) aus geht es demnach nicht.<br/>

<LIST type="decimal"><s>
  1. </s><LI><s>
  2. </s>Um einen 6in4-Tunnel nutzen zu können, muß man sich zuerst <B><s></s>bei einem Tunnelbroker anmelden, ich nutze für das Beispiel <URL url="http://www.tunnelbroker.net/"><s></s>Hurricane Electric<e></e></URL><e></e></B>, neben SixXS einer der bekanntesten Dienste.<br/>
    Die Anmeldung bei Hurricane Electric (HE) läuft automatisiert, das Konto kann also fast direkt genutzt werden.</LI>
    <LI><s>
  3. </s>Hat man sich als Benutzer registriert und wurde freigeschaltet, kann man <B><s></s>einen Tunnel anfordern ("Create Regular Tunnel")<e></e></B><br/>
    Auch hier darf man sich einen Tunnel-Endpunkt aussuchen.<br/>
    Wer mag, kann mittels Traceroute auf die neben den zur Auswahl stehenden Endpunkten verzeichneten IPs der Endpunkte den besten ermitteln ... oder einfach Frankfurt auswählen.</LI>
    <LI><s>
  4. </s>Der Tunnel wird direkt angelegt und kann nun im Router konfiguriert werden.<br/>
    Die benötigten Informationen finden wir auf tunnelbroker.net, wenn wir den Tunnel anklicken, um die "Tunnel Details" angezeigt zu bekommen.</LI>
    <LI><s>
  5. </s>In der Fritz!Box stellen wir unter "Internet->Zugangsdaten" auf dem Reiter "IPv6" ein<br/>
    [X] Unterstützung für IPv6 aktiv<br/>
    (*) Immer ein Tunnelprotokoll für die IPv6-Anbindung nutzen<br/>
    (*) 6in4<br/>
    (Vergleiche Punkt 4 der Anleitung für den SixXS-Tunnel)<br/>
    Darunter folgen dann die "Tunnel Details", hier in einer direkten Gegenüberstellung gezeigt:<br/>
    <IMG src="http://picload.org/image/odwwwgl/he-fritz.png"><s>
    </e></IMG></LI>
    <LI><s>
  6. </s>Mit einem Klick auf "Übernehmen" werden die Änderungen gespeichert.</LI><e>
</e></LIST>

Der Nachteil eines 6in4-Tunnels ist es, daß der Tunnelanbieter immer unsere aktuelle öffentliche IPv4 wissen muß, da er sonst nicht weiß, wohin er die IPv4-Pakete schicken muß, welche die IPv6-Nutzdaten enthalten.<br/>
Bei SixXS dienen die heartbeats ("Herzschläge") eines Heartbeat-Tunnels genau diesem Zweck, also am Tunnel-PoP unsere IPv4 aktuell zu halten, was uns die Sorge um diesen Aspekt abnimmt.<br/>
An einem nackten 6in4-Tunnel steht diese Funktionalität nicht zur Verfügung, weshalb man dem Tunnel-Broker die aktuelle IPv4 auf anderem Wege mitteilen muß, Hurricane Electric nutzt hierzu einen Mechanismus, wie er auch für diverse DynDNS-Dienste genutzt wird.<br/>
Die Update URL für diesen Mechanismus lautet<br/>
<URL url="https://ipv4.tunnelbroker.net/nic/update?username=">https://ipv4.tunnelbroker.net/nic/update?username=</URL><COLOR color="#FF0000"><s></s><USERNAME><e></e></COLOR>&password=<COLOR color="#FF0000"><s></s><PASSWORD><e></e></COLOR>&hostname=<COLOR color="#FF0000"><s></s><TUNNEL_ID><e></e></COLOR>&myip=<COLOR color="#FF0000"><s></s><IP ADDRESS><e></e></COLOR><br/>
Dabei ist <USERNAME> durch unseren HE-Benutzernamen, <PASSWORD> durch unser HE-Passwort, <TUNNEL_ID> durch die ID des Tunnels (Zu sehen bei den Tunnel Details, auf dem Bild oben blau markiert) und <IP ADDRESS> durch die aktuelle IPv4 zu ersetzen (Ebenfalls bei den Tunnel Details blau markiert).<br/>
Alternativ kann man die IP auch weglassen, um auf die zu aktualisieren, über die man die Update-Seite aufruft:<br/>
<URL url="https://ipv4.tunnelbroker.net/nic/update?username=">https://ipv4.tunnelbroker.net/nic/update?username=</URL><COLOR color="#FF0000"><s></s><USERNAME><e></e></COLOR>&password=<COLOR color="#FF0000"><s></s><PASSWORD><e></e></COLOR>&hostname=<COLOR color="#FF0000"><s></s><TUNNEL_ID><e></e></COLOR><br/>
<br/>
Um das Dyn-IP-Update durch die Fritz!Box durchführen zu lassen, würde man unter "Internet->Freigaben" auf dem Reiter "DynDNS" als Anbieter "Benutzerdefiniert" auswählen und folgende Update-URL eingeben:
<CODE><s>
Code:
</s>ipv4.tunnelbroker.net/nic/update?username=<username>&password=<pass>&hostname=<domain>&myip=<ipaddr><e>
</e></CODE>
Danach kann man Benutzername und Kennwort sowie die Tunnel ID (Im Feld "Domainname") normal in die Maske eintragen. Die Fritz!Box übernimmt nun die Aktualisierung der öffentlichen IPv4, wird allerdings für diesen DynDNS-Dienst immer "Fehler" anzeigen, da die Auswertung, ob das Update erfolgreich war, darauf basiert, daß sich der eingegebene Domainname auf unsere IPv4 auflösen läßt. Da die Tunnel ID kein auflösbarer Domain Name ist, kann dieser Test nicht funktionieren.<br/>
Man kann dieses Problem umgehen, indem man die Tunnel ID fest in die Update-URL einträgt und als "Domainname" die MyFRITZ!-Adresse einträgt, sofern vorhanden.<br/>
<br/>
Das funktioniert soweit und <B><s></s>sobald die IP-Updates erfolgen, funktioniert unser Tunnel<e></e></B> auch genauso gut wie ein SixXS-Tunnel, <B><s></s>inklusive statischem Präfix<e></e></B>.<br/>
<br/>
Da es für viele eher unbefriedigend sein dürfte, wenn sie das einzig mögliche DynDNS-Update in der Fritz!Box für den IPv6-Tunnel verbraten müssen, zeige ich <URL url="http://www.unitymediakabelbwforum.de/viewtopic.php?f=53&t=25148&p=262336#p262336"><s></s>hier eine Möglichkeit auf, wie man beliebig viele DynDNS-Dienste auf einmal aktualisieren kann.<e></e></URL></r>
 
SpaceRat

SpaceRat

Beiträge
2.468
Reaktionen
0
Einrichtung von IPv6-Konnektivität direkt auf einem PC

<r><B><s></s><SIZE size="200"><s></s>Lösung Hindernis 5: IPv4 vs. IPv6: Ein Kommunikationspartner verfügt nicht über IPv6-Konnektivität<e></e></SIZE><e></e></B><br/>
<br/>
Die im vorherigen Kapitel beschriebene Lösung hat einen ganz gewaltigen Haken:<br/>
Sie funktioniert nur, wenn man uns den Router umkonfigurieren läßt. Bei Verwandten und Bekannten ist es mit Sicherheit die eleganteste Lösung, weil man deren Anschlüsse so auch gleich fit für die Zukunft macht, aber unterwegs in fremden Netzen ist das nicht wirklich praktikabel.<br/>
Auch wenn der Router vor Ort noch kein IPv6 kann und/oder keine Tunnel unterstützt, funktioniert das so nicht.<br/>
<br/>
Kommen wir daher zu einer Alternative ...<br/>
<br/>
<SIZE size="150"><s></s><B><s></s>Einrichtung von IPv6-Konnektivität direkt auf einem PC<e></e></B><e></e></SIZE><br/>
<br/>
Wir können natürlich unseren Tunnel auch direkt auf einem PC aufbauen lassen.<br/>
Für den im vorherigen Kapitel im Router verwendeten SixXS-heartbeat-Tunnel bzw. den HE 6in4-Tunnel müßte man dazu allerdings sicherstellen, daß es im Router vor Ort eine Weiterleitungsregel für "protocol-41" auf unseren Rechner gibt.<br/>
Viele Router (z.B. Fritz!Boxen) können das gar nicht oder müßten dazu unseren PC zum "exposed host" machen bzw. in die "DMZ" stellen, so daß wir von dieser Möglichkeit lieber Abstand nehmen.<br/>
<br/>
Es bleibt als relativ einfach aufzusetzende und trotzdem zuverlässig laufende Möglichkeit ...<br/>
<br/>
<SIZE size="100"><s></s><B><s></s>Einrichtung eines SixXS-ayiya-Tunnels<e></e></B><e></e></SIZE><br/>
<br/>
Ein ayiya-Tunnel nutzt UDP für den Aufbau des Tunnels und funktioniert auch durch NAT, ja selbst durch CGN, und ist damit die beste Wahl für den mobilen Einsatz oder den Einsatz hinter einem Router.<br/>

<LIST><s>
  • </s><LI><s>
  • </s>Abgesehen davon, daß wir in Schritt 2 abweichend von der Anleitung für einen SixXS-Tunnel für eine Fritz!Box einen "ayiya-Tunnel" statt eines heartbeat-Tunnels wählen, sind die Schritte 1-3 identisch, bzw. Schritt 1 entfällt, wenn wir schon ein SixXS-Konto haben.</LI>
    <LI><s>
  • </s>Um den Tunnel auf unserem PC nutzen zu können, brauchen wir noch den "aiccu"-Client, den man sich <URL url="http://www.sixxs.net/tools/aiccu/"><s></s>hier<e></e></URL> herunterladen kann.<br/>
    Unter Windows wählen wir die <URL url="http://www.sixxs.net/archive/sixxs/aiccu/windows/aiccu-current-console.exe"><s></s>Windows-Konsolenversion<e></e></URL>.</LI>
    <LI><s>
  • </s>Die <B><s></s>Windows-Version benötigt zusätzlich noch den tun/tap-Treiber aus OpenVPN<e></e></B>.<br/>
    Um diesen zu installieren, lädt man sich <URL url="http://openvpn.net/index.php/download/community-downloads.html"><s></s>hier<e></e></URL> die aktuelle OpenVPN-Version herunter (Auf passende Version für 32 Bit bzw. 64 Bit achten) und installiert mit dessen Installer nur den "TAP Virtual Ethernet Adapter", alle anderen Optionen können abgewählt werden.</LI>
    <LI><s>
  • </s>Wir können uns nun ein Verzeichnis für AICCU anlegen,<br/>
    z.B. C:\Programme\AICCU,<br/>
    in dieses Verzeichnis kopieren wir auch die heruntergeladene Version von aiccu (z.B. aiccu-2012-02-02-windows-console.exe)</LI>
    <LI><s>
  • </s>Im selben Verzeichnis müssen wir nun noch, z.B. mit Notepad, eine Konfigurationsdatei namens "aiccu.conf" anlegen, welche ungefähr folgenden Inhalt haben sollte:
    <CODE><s>
    Code:
    </s># AICCU Configuration
    username SRX7-SIXXS
    password Weltraumrattenpasswort
    tunnel_id T123456
    ipv6_interface sixxs
    verbose false
    daemonize true
    automatic true
    requiretls false<e>
    </e></CODE>
    wobei natürlich hinter username, password und tunnel_id die geeigneten eigenen Werte eingetragen werden müssen.</LI>
    <LI><s>
  • </s><B><s></s>Durch Doppelklick auf aiccu-2012-02-02-windows-console.exe wird nun der Tunnel aufgebaut.<e></e></B></LI>
    <LI><s>
  • </s>Fertig.<br/>
    <B><s></s>Solange die Anwendung aiccu-2012-02-02-windows-console.exe läuft, haben wir IPv6-Konnektivität auf diesem PC.<e></e></B></LI>
    <LI><s>
  • </s>Wird der Tunnel nicht mehr benötigt, kann aiccu durch Drücken von Strg+C beendet werden.</LI><e>
</e></LIST>

Man kann die Funktion des Tunnels übrigens wunderbar vorab zuhause prüfen, indem man bei den Adaptereinstellungen des PCs (LAN- bzw.- WLAN-Verbindung) die Bindung an "Internet-Protokoll Version 6" entfernt (Der PC hat dann kein IPv6 mehr über das Heimnetz, sondern nur noch das geNATtete CGN ...) und dann aiccu startet.<br/>
Wenn der Tunnel so funktioniert, dann funktioniert er auch hinter dem CGN des Mobilfunk-Providers, an einem WLAN-Hotspot, etc. pp.</r>
 
SpaceRat

SpaceRat

Beiträge
2.468
Reaktionen
0
Einrichtung von IPv6-Konnektivität auf einem Android-Smartph

<r><B><s></s><SIZE size="200"><s></s>Lösung Hindernis 5: IPv4 vs. IPv6: Ein Kommunikationspartner verfügt nicht über IPv6-Konnektivität<e></e></SIZE><e></e></B><br/>
<br/>
Mit den Lösungen aus den vorherigen zwei Kapiteln sind wir schon für alle Fälle gut gerüstet, in denen wir mit "eigenen" Computern von außerhalb auf unser Heimnetz und andere IPv6-Seiten zugreifen willen.<br/>
Wie aber kommen wir auf unserem Smartphone an IPv6-Unterstützung?<br/>
<br/>
Auch dafür gibt es einen Weg ...<br/>
<br/>
<SIZE size="150"><s></s><B><s></s>Einrichtung von IPv6-Konnektivität auf einem Android-Smartphone<e></e></B><e></e></SIZE><br/>
<br/>
Für unser Smartphone gelten die selben Aspekte wie sie im vorherigen Kapitel zum Problem mit SixXS-heartbeat-Tunnel bzw. den HE 6in4-Tunneln hinter einem Router gesagt wurden:<br/>
Um sicher zu gehen, daß unser Tunnel auch unter widrigen Umständen (Also in einem geNATteten WLAN, im Mobilfunknetz, etc. pp.) funktioniert, benötigen wir einen SixXS-ayiya-Tunnel.<br/>
<br/>
<SIZE size="100"><s></s><B><s></s>Einrichtung eines SixXS-ayiya-Tunnels<e></e></B><e></e></SIZE><br/>

<LIST><s>
  • </s><LI><s>
  • </s>Die Schritte 1-3 sind wieder identisch zu denen für einen SixXS-Tunnel im Router oder auf dem PC.<br/>
    Wie für unseren PC beantragen wir einen <B><s></s>ayiya-Tunnel<e></e></B>.</LI>
    <LI><s>
  • </s>Um den Tunnel auf dem <B><s></s>Android<e></e></B>en einrichten zu können, muß dieser "<B><s></s>gerootet<e></e></B>" sein.<br/>
    Wie man das macht, werde ich nicht erklären, da es deutlich zu weit führen würde.<br/>
    Es ist aber wirklich kein Hexenwerk, inzwischen gibt es genug einfache Möglichkeiten, z.B. hier eine <URL url="http://www.chip.de/news/Samsung-Galaxy-rooten-One-Click-Loesung-laden_60370350.html"><s></s>One-Click-Lösung<e></e></URL>.</LI>
    <LI><s>
  • </s><B><s></s>Wie für den PC auch, benötigen wir aiccu<e></e></B><br/>
    Auf Androiden heißt der <B><s></s>Client "androiccu"<e></e></B> und kann <URL url="https://play.google.com/store/apps/details?id=ch.web_troubles.androiccu"><s></s>hier im Google Play Store<e></e></URL> geladen werden.</LI>
    <LI><s>
  • </s>Bei einigen wenigen Android-Geräten fehlt noch der <B><s></s>Tunnel-Treiber<e></e></B>, den man mit <URL url="https://play.google.com/store/apps/details?id=com.aed.tun.installer"><s></s>diesem Tool<e></e></URL> nachinstallieren kann.<br/>
    Es schadet nicht, diese App einfach mal zu installieren und auszuführen.<br/>
    Wenn wir schon den Tunnel-Treiber haben, wird uns die App das nach Aufruf mitteilen, indem sie in grüner Schrift vermeldet "Tun module is loaded".<br/>
    Tut sie das nicht, dann können wir ihn durch Klick auf den Button "Install" nachinstallieren.</LI>
    <LI><s>
  • </s>Nun können wir <B><s></s>Androiccu einrichten<e></e></B><br/>
    Wenn wir Androiccu zum erste Mal aufrufen, wird uns dieser darauf hinweisen, daß noch nichts installiert wurde:<br/>
    <IMG src="http://picload.org/image/oaggiwg/aiccu-ni.png"><s>
    </e></IMG><br/>
    Durch Antippen der Menü-Taste am Smartphone und Auswahl von "Setup" gelangen wir in den Einrichtungsassistenten.<br/>
    In diesem brauchen wir lediglich die Menüpunkte "<B><s></s>1. Download<e></e></B>", "<B><s></s>2. Install<e></e></B>" und "<B><s></s>3. Configure<e></e></B>" von oben nach unten der Reihe nach anzutippen:<br/>
    <IMG src="http://picload.org/image/oaggiia/aiccu-setup.png"><s>
    </e></IMG></LI>
    <LI><s>
  • </s>Den Punkt "<B><s></s>Configure<e></e></B>" kann man später auch jederzeit <B><s></s>über "Menü-Taste -> Configure"<e></e></B> erreichen.</LI>
    <LI><s>
  • </s>Wie gehabt werden unter "Configure" drei Eingaben erwartet:<br/>
    <B><s></s>SixXS-Benutzername, SixXS-Kennwort und die Tunnel-ID<e></e></B>.<br/>
    Die ersten beiden müssen wir eingeben, die letztere können wir sogar einfach aus einem Drop-Down-Menü auswählen.<br/>
    Dann noch "Save" antippen, fertig.</LI>
    <LI><s>
  • </s>Zurück auf der Startseite können wir jetzt den Tunnel-Status sehen<br/>
    <IMG src="http://picload.org/image/oaggipl/aiccu.png"><s>
    </e></IMG><br/>
    Ein grünes Häkchen für "Tunnel läuft" und ein rotes X für "Tunnel läuft nicht".<br/>
    Unter dem Status befinden sich dann noch die zwei Buttons "Start" und "Stop", die man wohl kaum erklären muß.</LI>
    <LI><s>
  • </s>Nach dem Start des Tunnels bleibt dieser, dank ayiya, kontinuierlich aufrecht<br/>
    Er übersteht Mobilfunkzellen-Wechsel und sogar die Umschaltung zwischen WLAN und Mobilfunk.</LI>
    <LI><s>
  • </s>Et voila:<br/>
    Alle IPv6-Tests bestanden:<br/>
    <IMG src="http://picload.org/image/oaggpao/ipv6-test-androi.png"><s>
    </e></IMG><br/>
    Sofern man nur 9/10 Tests besteht und der DNS-Test scheitert, benötigt man noch einen DNS-Umschalter, z.B. <URL url="https://play.google.com/store/apps/details?id=com.cosmicexploration.dnschanger"><s></s>DNS Changer Root<e></e></URL>, um andere DNS-Server als die des Mobilfunkanbieters zu nutzen, z.B. die von Google.</LI><e>
</e></LIST></r>
 
SpaceRat

SpaceRat

Beiträge
2.468
Reaktionen
0
Tuning: Mehrere DynDNS-Updates mit nur einem Aufruf

<r><SIZE size="200"><s></s><B><s></s>Tuning: Mehrere DynDNS-Updates mit nur einem Aufruf<e></e></B><e></e></SIZE><br/>
<br/>
Da der nächste Abschnitt eine Endlosgeschichte werden wird, möchte ich an dieser Stelle einschieben, wie man komfortabel mehrere DynDNS-Konten mit nur einem Aufruf aktualisieren kann.<br/>
Das macht dann Sinn, wenn wir mehrere solcher Konten über unseren Router aktuell halten wollen, dieser aber nur einen DynDNS-Anbieter bedienen kann.<br/>
<br/>
Mehrere DynDNS-Anbieter wiederum machen vor allem dann Sinn, wenn wir zusätzlich zum eigentlichen DynDNS-Dienst, der uns einen leicht zu merkenden Hostnamen als Ersatz für die dynamische IP verschafft, auch noch andere Funktionen brauchen, die über DynDNS-Update-Mechanismen laufen, aber anderen Zwecken dienen, wie z.B. dem <B><s></s>Aktualisieren unseres IPv4-Tunnelendpunktes bei einem 6in4-Tunnel<e></e></B>.<br/>
Mit nur einem DynDNS-Dienst müßten wir uns ja entscheiden, ob wir unsere DynDNS-Adresse <B><s></s>oder<e></e></B> unseren Tunnel-Endpunkt aktuell halten wollen, es geht aber eben auch beides (und noch mehr).<br/>
<br/>
<SIZE size="150"><s></s><B><s></s>DNS-o-matic als Multi-DynDNS-Update-Dienst<e></e></B><e></e></SIZE><br/>
<br/>
DNS-O-Matic an sich ist kein DynDNS-Dienst, sondern aktualisiert seinerseits einfach nur beliebig viele DynDNS-Dienste auf einen Schlag. Besonders interessant ist das dann, wenn man z.B. <URL url="http://www.opendns.com/"><s></s>OpenDNS<e></e></URL> als DNS-Server nutzen und dabei auch vom angebotenen Web Content Filtering profitieren möchte oder Hurricane Electric als Tunnelbroker nutzt, denn dieser Tunnel muß genau wie ein DynDNS-Dienst über jeden IP-Wechsel informiert werden.<br/>
Das kann man zwar über benutzerdefinierte DynDNS-Provider im Router machen, aber eben meistens nur für einen einzigen.<br/>
<br/>
Nutzt man hingegen DNS-o-Matic, dann kann man im Nachgang in den Account-Einstellungen von DNS-o-Matic beliebig viele DynDNS-Dienste und ähnliche Updates eintragen.<br/>
<br/>
DNS-o-Matic aktualisiert z.B. bei mir:<br/>
1 Hurricane-Electric Tunnelbroker<br/>
1 OpenDNS-Account<br/>
1 DynDNS-Account<br/>
1 No-IP-Account<br/>
1 FreeDNS-Account<br/>

<LIST><s>
  • </s><LI><s>
  • </s>Um <B><s></s>DNS-o-Matic<e></e></B> nutzen zu können, muß man sich zuerst einmal <URL url="https://www.dnsomatic.com/"><s></s>dort<e></e></URL> <B><s></s>anmelden<e></e></B>.</LI>
    <LI><s>
  • </s>Hat man ein Konto angelegt, können beliebig viele <B><s></s>Services zugefügt<e></e></B> werden, die durch DNS-o-Matic aktualisiert werden sollen.<br/>
    Die Einrichtung der meisten Services ist selbsterklärend.<br/>
    <br/>
    Um den IPv4-Tunnelendpunkt eines 6in4-Tunnels bei Hurricane Electric aktuell zu halten,
    <LIST><s>
    • </s><LI><s>
    • </s>wählt man als Service "Tunnelbroker" (und nicht etwa HE DNS!)</LI>
      <LI><s>
    • </s>Als "User ID" geben wir den Tunnelbroker-"Username" ein</LI>
      <LI><s>
    • </s>Das "Password ist entsprechend das Tunnelbroker-"Password" ein</LI>
      <LI><s>
    • </s>Für "Host/Identifier" verwenden wir die Tunnel-ID, also die Nummer des zu aktualisierenden Tunnels (Zu sehen in den "Tunnel Details")</LI><e>
    </e></LIST></LI>
    <LI><s>
  • </s>Wenn alle gewünschten Services eingetragen wurden, werden diese jedes Mal alle aktualisiert, sobald bei DNS-o-Matic ein Update angestoßen wird.</LI><e>
</e></LIST>

<br/>
<SIZE size="150"><s></s><B><s></s>DNS-o-matic als benutzerdefinierten DynDNS-Dienst in der Fritz!Box eintragen<e></e></B><e></e></SIZE><br/>

<LIST><s>
  • </s><LI><s>
  • </s>Auf der Einstiegsseite der Fritz!Box-Oberfläche, die wir durch Eingabe von <URL url="http://fritz.box">http://fritz.box</URL> in der Adresszeile des Browsers erreichen, wählen wir links aus dem Menü "Internet" und daraus den Unterpunkt "Freigaben" und dann rechts den Reiter "Dynamic DNS"</LI>
    <LI><s>
  • </s>Hier "Benutzerdefiniert" auswählen</LI>
    <LI><s>
  • </s>Die einzutragenden Daten lauten dann:
    <CODE><s>
    Code:
    </s>Update-URL: http://updates.dnsomatic.com/nic/update?hostname=all.dnsomatic.com&wildcard=NOCHG&mx=NOCHG&backmx=NOCHG&myip=<ipaddr>
    Domain-Name: irgendeinen der DynDNS-Hosts, die von DNS-O-Matic aktualisiert werden
    Benutzername: <DNS-O-Matic-Benutzername>
    Kennwort: <DNS-O-Matic-Kennwort><e>
    </e></CODE></LI>
    <LI><s>
  • </s>Der Domain-Name ist für das Update gar nicht von Relevanz, da DNS-O-Matic ja alle Einräge aktualisieren soll (hostname=all.dnsomatic.com in der Update-URL), er ist aber für die Fritz!Box wichtig, um den Erfolg des Updates überprüfen zu können (Nach einem erfolgreichen Update löst die Fritz!Box den aktualisieren Domain-Namen auf, um zu überprüfen, daß da auch wirklich die aktuelle IP rauskommt).</LI><e>
</e></LIST>

<SIZE size="150"><s></s><B><s></s>DNS-o-matic als DynDNS-Dienst fest in der Fritz!Box eintragen<e></e></B><e></e></SIZE><br/>
<br/>
Eleganter als den benutzerdefinierten Eintrag finde ich es, DNS-o-Matic dauerhaft (Bis zu einem Rücksetzen auf Werkseinstellungen oder Einspielen einer Recovery-Firmware) zu den von der Fritz!Box angebotenen DynDNS-Diensten hinzuzufügen. Das funktioniert sogar mit den Kabel-Modellen 63x0.<br/>

<LIST><s>
  • </s><LI><s>
  • </s>Auf der Einstiegsseite der Fritz!Box-Oberfläche, die wir durch Eingabe von <URL url="http://fritz.box">http://fritz.box</URL> in der Adresszeile des Browsers erreichen, wählen wir links aus dem Menü "System" und daraus den Unterpunkt "Einstellungen sichern"</LI>
    <LI><s>
  • </s>Im rechten Teil geben wir nun ein Kennwort nach Wahl ein und klicken auf "Sichern"</LI>
    <LI><s>
  • </s>Die Fritz!Box speichert nun alle Einstellungen in eine Datei mit der Erweiterung .export</LI>
    <LI><s>
  • </s>Diese Dari öffnen wir, z.B. mit NotePad</LI>
    <LI><s>
  • </s>Am Anfang der Datei suchen für nach den Zeilen
    <CODE><s>
    Code:
    </s>Language=de
    **** CFGFILE:ar7.cfg<e>
    </e></CODE>
    und ändern sie zu
    <CODE><s>
    Code:
    </s>Language=de
    NoChecks=yes
    **** CFGFILE:ar7.cfg<e>
    </e></CODE></LI>

    <LI><s>
  • </s>Wir suchen den Abschnitt
    <CODE><s>
    Code:
    </s>ddns {<e>
    </e></CODE>
    und darin die Sektion
    <CODE><s>
    Code:
    </s> types {<e>
    </e></CODE>

    Dort sollte bisher am Anfang stehen:
    <CODE><s>
    Code:
    </s> types { type = "dyndns"; url = "/nic/update?system=dyndns&hostname=<domain>&myip=<ipaddr>&wildcard=NOCHG"; } {<e>
    </e></CODE>

    Dies ändern wir zu
    <CODE><s>
    Code:
    </s> types { type = "dnsomatic"; url = "/nic/update?myip=<ipaddr>&hostname=all.dnsomatic.com&wildcard=NOCHG&mx=NOCHG&backmx=NOCHG"; } { type = "dyndns"; url = "/nic/update?system=dyndns&hostname=<domain>&myip=<ipaddr>&wildcard=NOCHG"; } {<e>
    </e></CODE></LI>

    <LI><s>
  • </s>Wir suchen die Sektion
    <CODE><s>
    Code:
    </s> provider {<e>
    </e></CODE>

    Diese sieht bisher in etwa so aus:
    <CODE><s>
    Code:
    </s> provider { name = "dyndns.org"; type = "dyndns"; livedelay = 0w; touchtime = 30d; server = "members.dyndns.org"; ip6server = ""; infourl = "http://www.dyndns.org/"; ddnsmode = ddns_both; } {<e>
    </e></CODE>
    und wird geändert in
    <CODE><s>
    Code:
    </s> provider { name = "DNS-o-matic"; type = "dnsomatic"; livedelay = 0w; touchtime = 30d; server = "updates.dnsomatic.com"; ip6server = ""; infourl = "http://www.dnsomatic.com"; ddnsmode = ddns_v4; } { name = "dyndns.org"; type = "dyndns"; livedelay = 0w; touchtime = 30d; server = "members.dyndns.org"; ip6server = ""; infourl = "http://www.dyndns.org/"; ddnsmode = ddns_both; } {<e>
    </e></CODE></LI>

    <LI><s>
  • </s>Die geänderte .export-Datei können wir jetzt über das Fritz!Box-Menü wieder einlesen.</LI>
    <LI><s>
  • </s>Die Fritz!Box startet daraufhin neu. Wenn alles geklappt hat, kann man danach unter "Dynamic DNS benutzen" auch direkt DNS-O-Matic benutzen und braucht nur noch den dazugehörigen Benutzernamen/Passwort und einen beliebigen von DNS-O-Matic aktualisierten DynDNS-Host einzutragen, aber nie wieder die Update-URL.</LI>
    <LI><s>
  • </s>Wenn es nicht geklappt hat startet die Fritz!Box zwei mal neu und hat einen Werksreset gemacht! Deshalb ist das Backup der Konfigurationsdatei auch so wichtig!</LI><e>
</e></LIST>

<br/>
<SIZE size="150"><s></s><B><s></s>DNS-o-matic als benutzerdefinierten DynDNS-Dienst in einem anderen Router<e></e></B><e></e></SIZE><br/>

<LIST><s>
  • </s><LI><s>
  • </s>Sofern ein Router benutzerdefinierte DynDNS-Dienste erlaubt, können wir auch DNS-o-Matic als solchen Eintragen</LI>
    <LI><s>
  • </s>Die Daten für DNS-o-Matic lauten:
    <CODE><s>
    Code:
    </s>Update-URL: http://updates.dnsomatic.com/nic/update?hostname=all.dnsomatic.com&wildcard=NOCHG&mx=NOCHG&backmx=NOCHG&myip=<ipaddr><e>
    </e></CODE>
    wobei <ipaddr> durch die IP zu ersetzen ist, oder
    <CODE><s>
    Code:
    </s>Update-URL: http://updates.dnsomatic.com/nic/update?hostname=all.dnsomatic.com&wildcard=NOCHG&mx=NOCHG&backmx=NOCHG<e>
    </e></CODE>
    um DNS-o-Matic die IP automatisch erkennen zu lassen.</LI>
    <LI><s>
  • </s>Wo diese Informationen konkret eingetragen werden müssen und ob sie überhaupt eingetragen werden können, hängt vom verwendeten Gerät ab.</LI><e>
</e></LIST></r>
 
SpaceRat

SpaceRat

Beiträge
2.468
Reaktionen
0
Lösung Hindernis 6: Ein Server bzw. Dienst ist nur für IPv4

<r><SIZE size="200"><s></s><B><s></s>Lösung Hindernis 6: IPv4 vs IPv6: Ein Server bzw. Dienst ist nur für IPv4 programmiert<e></e></B><e></e></SIZE><br/>
<br/>
Wer diesen Workshop bis hierher durchgearbeitet und die Lösungen
<LIST><s>
  • </s><LI><s>
  • </s>Die zu erreichenden Server auf den freizugebenden Geräten sind über IPv6 freigegeben</LI>
    <LI><s>
  • </s>Die zu erreichenden Geräte verfügen über leicht zu merkende DynDNS-Hosts statt nur über eine elendig lange IPv6</LI>
    <LI><s>
  • </s>Die zugreifenden Rechner/Netze haben IPv6, ggf. haben wir dazu dort Tunnel installiert</LI><e>
</e></LIST>
nachvollzogen hat (Sofern mit der verwendeten Hardware möglich <E:mad:</E> ), kann zu diesem Zeitpunkt bereits die meisten Serverdienste ganz normal mit IPv6 weiter benutzen.<br/>
<br/>
Dazu gehören z.B. MyFRITZ!, Fritz!Box-Fernwartung, RDP/Windows Remote Desktop und viele mehr.<br/>
<br/>
<B><s></s>Bei einem großen Teil dieser Dienste wird es sogar so sein, daß unser Leben durch IPv6 nun einfacher geworden ist:<e></e></B><br/>
Ich brauche nicht mehr zu überlegen, ob ich nun lieber dem Receiver im Schlafzimmer oder doch dem im Wohnzimmer oder dem NAS vergönne, sein WebInterface auf dem Standard-Port erreichbar zu haben. Es ist nicht mehr nötig, sich zu merken, daß die Fernsteuerung vom 1. PC über ganzes.heimnetz.org:4899 und die vom 2. PC über ganzes.heimnetz.org:4900 erreichbar ist oder aber der 2. PC durch "proxying" der Anfrage über den 1. PC erreicht wird.<br/>
Ich kann über schlafzimmer.heimnetz.org direkt den Receiver im Schlafzimmer, mit wohnzimmer.heimnetz.org den im Wohnzimmer und mittels NAS.heimnetz.org den NAS ansprechen.<br/>
Bei meinpc.heimnetz.org reagiert wirklich mein eigener PC und bei goettergattin.heimnetz.org der meiner Frau ...<br/>
<br/>
<B><s></s>Leider wird es aber auch einen erklecklichen Teil an Diensten/Servern geben, die trotz aller äußeren Voraussetzungen erst einmal nicht über IPv6 erreichbar sein werden.<e></e></B><br/>
<br/>
<SIZE size="150"><s></s><B><s></s>Der/die Haken an der ganzen Sache<e></e></B><e></e></SIZE><br/>
<br/>
Viele Entwickler haben Eier wie Medizinbälle und daher in der Vergangenheit immer wieder die Arbeiten an IPv6-Unterstützung für ihren Schrott in die Zukunft verschoben:<br/>
TeamSpeak und IPv6? *rschlecken!<br/>
Steam und IPv6? Pustekuchen!<br/>
Remote Administrator und IPv6? Später.<br/>
eMule und IPv6? Braucht kein Mensch.<br/>
<br/>
Wenn man einfach einmal bei Google nach "IPv6 + beliebiges, noch nicht IPv6-taugliches Produkt" sucht, wird man fast immer auf Hersteller-/Support-Foren stoßen, in denen IPv6-Support für die (ferne) Zukunft versprochen wird oder auch nicht und das Problem des knappen IPv4-Adressraumes geleugnet wird. Teilweise nicht nur vor einigen Jahren, sondern sogar noch zu einem Zeitpunkt, zu dem die Adresspools in Asien/Pazifik und Europa bereits erschöpft waren.<br/>
<br/>
Diese Paarung von Arroganz, Ignoranz und blanker Unfähigkeit wirft nun den Endkunden Knüppel zwischen die Beine, denn die müssen das jetzt ausbaden.<br/>
<br/>
Jetzt haben wir, schon mit 2 Jahren Verzögerung gegenüber den Asiaten, tatsächlich auch für stationäre Internetzugänge keine IPv4-Adressen mehr übrig und immer noch wurstelt die Industrie rum und drückt sich vor dem Unausweichlichen.<br/>
Die einzig <B><s></s>richtige<e></e></B> Lösung des Problems ist es, den Firmen ihren Plunder vor die Füsse zu werfen, also entweder Geräte ohne "IPv6" mit dem Vermerk "kaputt" an den Hersteller/Händler zurückschicken und/oder keine Software zu kaufen, die kein IPv6 kann. IPv6 ist seit 1998 standardisiert und sollte IPv4 inzwischen komplett ersetzt haben. Für unsere ganzen Smartphones haben die Netzbetreiber noch nie genug IPs gehabt, weshalb man - IPv6 ist den Hochwohlgeborenen ja zuviel Arbeit - unterwegs auch mit <B><s></s>CGN-IPv4-only<e></e></B> surft, also nicht einmal DS-lite!<br/>
<br/>
Wie gesagt, das wäre die <B><s></s>richtige<e></e></B> Lösung. Wenn Microsoft & Co. Zigtausende von XBox 360 & Co. vor der Tür abgekippt bekämen, dann gäbe es mit Sicherheit Updates.<br/>
Ich halte das für durchaus erfolgversprechend, denn erstens sind dt. Gerichte sehr verbraucherfreundlich und der Mangel ist problemlos als ursprünglich vorhanden nachzuweisen, so daß die zweijährige gesetzliche Gewährleistung voll greift. Ich würde es mit in den letzten zwei Jahren gekauften Artikeln definitiv so handhaben, vor allem, wenn es IPv6-taugliche Alternativen gibt, z.B. bei Heimautomatisierung, IP-Cams, etc. pp.<br/>
<br/>
<B><s></s>Was machen wir aber nun mit Programmen oder Geräten, die wir entweder nicht mehr zurückgeben können oder bei denen wir das nicht wollen?<e></e></B><br/>
<br/>
<SIZE size="150"><s></s><B><s></s>Workarounds<e></e></B><e></e></SIZE><br/>
<br/>
Für einige Anwendungsfälle, in denen Dienste und Server nicht mit IPv6 nutzbar sind, kann man diese Nutzbarkeit durch kleine Tricks nachrüsten. In den wenigsten Fällen hat die Nichtfunktion irgend etwas mit einer Einschränkung von IPv6 zu tun, sondern sie ist in aller Regel im wahrsten Sinne des Wortes eine <B><s></s>Fehl<e></e></B>funktion des verwendeten Gerätes bzw. der Software.<br/>
Das bedeutet, daß die Notwendigkeit für solche Verrenkungen durch Fehler im Produkt verursacht ist und wieder entfällt, wenn und sobald die fehlende IPv6-Unterstützung nachgereicht wird. Dies im Gegensatz zu den bisher beschriebenen Maßnahmen zur Portfreigabe und dem Pflegen von DynDNS-Dienste, die wir auch schon bei IPv4 zu erledigen hatten und die auch bei IPv6 weiterhin nötig sein werden, weil sie in der Natur der Kommunikationstechnik liegen.<br/>
<br/>
<B><s></s>Dies zu wissen und im Hinterkopf zu behalten ist deshalb wichtig, weil einige der folgenden Workarounds später - wenn echter IPv6-Support in den geflickten Anwendungen zur Verfügung steht - zu Fehlfunktionen führen können und werden und deshalb dann wieder rückgängig gemacht werden müssen.<e></e></B></r>
 
SpaceRat

SpaceRat

Beiträge
2.468
Reaktionen
0
Fortsetzung Lösung Hindernis 6: IPv4 vs IPv6: Ein Server bzw. Dienst ist nur für IPv4 programmiert
Workaround für Enigma2-basierende DVB-S/DVB-C/DVB-T (Sat-/Kabel-/Terrestrisches TV) Receiver

Enigma2-basierende Receiver setzen auf einem Linux-System auf, einem System das prinzipiell mit als erstes IPv6-tauglich war.

Leider ist das alleine noch kein Garant für eine einwandfreie Funktion, wie Enigma2 eindrucksvoll demonstriert:
Von Hause aus funktioniert auf den meisten Enigma2-Receivern fast gar nichts mit IPv6, auf manchen Boxen auch genau gar nichts.

Zum Glück läßt sich das ändern, so daß wir am Ende fast 100%igen IPv6-Support haben.

Prüfung auf IPv6-Support im Kernel

Um überhaupt irgendwie IPv6 mit unserem Enigma2-Receiver nutzen zu können, muß der Linux-Kernel auf der Box mit IPv6-Support gebaut worden sein.
Das läßt sich herausfinden, indem man sich per ssh oder Telnet mit der Box verbindet und folgenden Befehl eingibt:
Code:
cat /proc/net/if_inet6
Wenn das Resultat so aussieht:
Code:
cat: can't open '/proc/net/if_inet6': No such file or directory
Fehlt uns jegliche IPv6-Unterstützung im Kernel.
Ggf. hilft uns ein Wechsel auf ein neueres oder anderes "Image", also eine neuere Firmware oder eine andere Variante der Firmware (z.B. HDMU statt OpenAAF).

Es gibt nicht nur genau eine mögliche Firmware, mit der ein bestimmtes Receiver-Modell versehen sein kann, sondern meistens mehrere verschiedene "Images" von verschiedenen Anbietern. Diese unterschiedlichen Images sind mit unterschiedlichen Linux-Distributionen (Ubuntu, SuSE, Red Hat, ...) vergleichbar und jede Variante kann einen unterschiedlichen Grad an IPv6-Funktionalität haben.
Somit läßt sich die Funktionalität oft durch einen Firmware-Wechsel steigern, weshalb ich vorab den Stand bei einigen dieser Firmware aufzeigen werde.

OpenPLi
Aktuelle OpenPLi-Images, also mindestens OpenPLi 3.0 und 4.0, haben im Linux-Kernel IPv6-Support freigeschaltet. Der Zugang auf die Box per SSH klappt daher meistens auch direkt per IPv6. Mehr geht leider ohne Nachhilfe nicht.

VTi Team Image
Ein Image für Boxen des Herstellers Vu+, basierend auf dessen jeweils aktuellem Original-Image. Zumindest die aktuelle Version (6), hat im Linux-Kernel IPv6-Support freigeschaltet. Der Zugang auf die Box per SSH klappt daher meistens auch direkt per IPv6. Mehr geht leider ohne Nachhilfe nicht.

HDMU Image
Das gängigste, wenn nicht gar das einzig in Frage kommende Image für Boxen mit sh4-Architektur (Kathrein, Topfield TF7700 HD PVR, Spark, ...). Aktuelle Versionen (>=11152) haben im Linux-Kernel IPv6-Support freigeschaltet. Ein SSH-Server fehlt hier, aber der Zugang per Telnet funktioniert auch per IPv6 (Sollte aber auf gar keinen Fall im Internet freigegeben/genutzt werden). Mehr geht leider ohne Nachhilfe nicht.

Wie man sieht, ist der IPv6-Support "out of the box" bei allen Boxen/Images eher mau, obwohl die Grundlagen (Ein IPv6 unterstützendes Betriebssystem) zumeist da wären.

Immerhin können wir auf dieser Grundlage aufbauen ...

Web-Interface IPv6-tauglich machen

Weder "OpenWebIf" noch das ältere WebInterface von Dream binden sich an IPv6. Umso erstaunlicher ist es, daß z.B. DreamDroid IPv6 für den Zugriff auf das Web-Interface unterstützt. D.h., wenn wir das Web-Interface der Box zur Zusammenarbeit mit IPv6 überreden, können wir unsere Box daher auch ohne weitere Tricks vom Androiden aus fernsteuern.

Um das Web-Interface (und optional auch ein paar andere Dinge) IPv6-tauglich zu machen, benötigen wir HAproxy. HAproxy ist ein "load-balancing proxy", d.h. eigentlich dafür gedacht, eingehende Anfragen auf mehrere physikalische Server zu verteilen. Wir brauchen diese Funktionalität gar nicht, nutzen aber die Möglichkeit von HAproxy aus, Internet-Traffic über Protokollgrenzen hinweg (Also zwischen IPv4 und IPv6) vermitteln zu können.

Da HAproxy ein Binärprogramm ist, also immer für einen bestimmten Prozessortyp kompiliert wurde, müssen wir erst einmal wissen, auf welcher dieser Architekturen unser Receiver basiert.

Als kleine Hilfe, hier eine Sammlung gängiger Architekturen und von Receivern, die diese nutzen:
  • MIPS
    Alle Vu+ (Ultimo, Uno, Solo, Solo2, Duo, Duo2), alle aktuellen DreamBoxen (7025(+), 800HD, 8000, 500HD, 800HD se, 7020HD), alle aktuellen X-Trend (ET4x00, ET5x00, ET6x00, ET9x00) und viele mehr.
  • sh4
    Topfield 77x0 HD PVR; Kathrein UFS910, UFS912, UFS913, UFS922, UFC960; (fast) alle Golden Media/Spark; ABCom/IP-Box 9000, 900, 910, 91; QBox HD; Octagon SF 918 SE+, SF 908g, SF 918G SE+, SF 1008, 1008 SE+, 1008P SE+, 1008G SE+, 1008G+ SE+, 1008C SE+, SF 1028P
  • ppc
    Alle alten Dreamboxen außer DreamBox 100 (56x0, 7000, 7020, 500(+), 600 PVR)

Die verwendete Architektur kann man auch herausfinden, indem man sich per ssh oder telnet mit dem Receiver verbindet und auf die Ausgabe des Befehls
Code:
uname -m
guckt.
Die Ausgabe sollte eine Prozessorarchitektur sein, also z.B. "mips", "sh4", ...

Ich habe für Boxen mit MIPS hier und für solche mit sh4 hier fertige Pakete bereitgestellt. Das MIPS-Paket ist getestet mit den Images OpenPLi und VTi, das sh4-Paket mit dem HDMU-Image.

Die Installation ist relativ einfach:
  • Das passende Paket ins Hauptverzeichnis ("/") des Receiver kopieren
  • Per Telnet oder ssh mit dem Receiver verbinden und folgende Befehle eingeben:
    Code:
    cd /
    tar -xzf haproxy-mips.tgz
    auf einer MIPS-Box
    bzw.
    Code:
    cd /
    tar -xzf haproxy-sh4.tgz
    auf einer sh4-Box.
  • Receiver neu starten

Die Arbeitsweise des Paketes:
  • Da wir keine aufwendigen Load-Balancing-Konfigurationen o.ä. brauchen, konfiguriert sich der HAproxy vollautomatisch.
  • Das Start-/Stop-Script /etc/init.d/haproxy wertet hierzu die Datei /etc/haproxy/services aus und schreibt eine temporäre haproxy.cfg
  • Die Datei /etc/haproxy/services sieht so aus:
    Code:
    http;80;;
    https;443;;
    stream;8001;;
    In jeder Zeile steht eine Proxy-Definition:
    Name;Port;Ziel-Host;Ziel-Port
    Leerzeichen sind nicht erlaubt.

    In den meisten Fällen reicht allein der Name und die Port-Angabe. Diese Angaben genügen, um jeweils einen Proxy zu definieren, der per IPv6 auf dem angegebenen Port lauscht und jeglichen eingehenden Traffic über IPv4 an denselben Port weiterleitet. Als IPs für den "Listener" (Das Lauschen) werden einfach alle momentan bekannten IPv6-Adressen verwendet und als IPv4 für die Weiterleitung die private IP des Receivers, also z.B. 192.168.1.17.
    Die erste Zeile würde z.B. zu folgender Konfiguration führen:
    Code:
    listen http-proxy	bind 0000:0000:0000:0000:0000:0000:0000:0001:80	bind fd5b:0db8:0bfa:affe:023e:9eff:fe7d:1234:80	bind 2001:0470:1f0b:c0c0:023e:9eff:fe7d:1234:80	server http 192.168.1.17:80
    Vordefiniert sind Proxies für das Web-Interface per http (Port 80), per https (Port 443) und Streaming (Port 8001).
    Weitere Proxies kann man entsprechend in /etc/haproxy/services hinzufügen, z.B. würde die zusätzliche Zeile
    cccam-if;16001;;
    auch noch das CCcam-Web-Interface über IPv6 verfügbar machen (Sofern es auf den Port 16001 konfiguriert ist).

  • Die Einschränkung bei meinem Paket:
    Es stellt nicht fest, wenn sich das IPv6-Präfix ändert, dann müßte der HAproxy nämlich mit veränderter Konfiguration neu gestartet werden. Da ich an meinem Tunnel ein statisches Präfix habe, hat mich das bisher nicht berührt ...
  • Voraussichtliche Fehlfunktion, wenn IPv6 nativ im Web-Interface oder einem anderen Dienst, für den ein Proxy definiert ist, verfügbar wird
    Sobald das Web-Interface von sich aus auch auf IPv6-Verbindungen lauscht, werden entweder das Web-Interface oder haproxy nicht mehr starten.

    Hintergrund ist der, daß es für jeden Port nur einen "Listener" geben kann. Der zuerst gestartete erhält den Port, der zweite bekommt einen Fehler gemeldet.
    HAproxy startet nicht, wenn es auch nur einen einzigen Listener nicht anlegen kann, selbst wenn andere Proxies noch gültig wären.
    Das OpenWebIf bindet sich einfach nicht an die Ports, für die es keinen Listener anlegen kann, da aber in HAproxy alle Ports des WebInterfaces definiert sind, bindet es sich an gar keinen Port mehr.
  • Notwendige Änderungen, wenn IPv6 nativ im Web-Interface oder einem anderen Dienst, für den ein Proxy definiert ist, verfügbar wird

    Löschen der zugehörigen Definitionen aus der Datei /etc/services ; wenn dann keine Services mehr verbleiben, Deinstallation des Paketes.
 
Status
Es sind keine weiteren Antworten möglich.
Thema:

Kleiner TCP/IP-Workshop - IPv6 und IPv4

Kleiner TCP/IP-Workshop - IPv6 und IPv4 - Ähnliche Themen

  • Kleiner Homeserver mit Ubee EVW3226

    Kleiner Homeserver mit Ubee EVW3226: Hallo! Ein weiteres Ubee Opfer meldet sich zu Wort :) Ich brauche eine Entscheidungshilfe. Ich habe vor, einen kleinen Homeserver ein zu...
  • Kleiner IPv6-Workshop

    Kleiner IPv6-Workshop: Diskussionsthread zum kleinen TCP/IP-Workshop - IPv6 und IPv4 In diesem Thread können Fragen und Anregungen zum Kleiner TCP/IP-Workshop - IPv6...
  • Kleiner Bericht Speedphone 300 an 6360

    Kleiner Bericht Speedphone 300 an 6360: Hi, wie ich ja schonmal geschrieben habe, hab ich mir im T-Punkt 2 Speedphone 300 für insgesamt ~36€ gekauft. Bei dem Preis musste ich einfach...
  • Kleiner 'Tweak' für Firefox Nutzer

    Kleiner 'Tweak' für Firefox Nutzer: Hi, will euch diesen kleinen "tweak" nahe bringen http://www.freerepublic.com/focus/f-news/1299854/posts und wer des englischen nicht so...
  • langsame TCP-Verbindung abbrechen und wiederholen lohnt sich

    langsame TCP-Verbindung abbrechen und wiederholen lohnt sich: Hallo, es wird viel darüber berichtet, dass man zu selten bei einer Datenverbindung die volle Geschwindigkeit des Anschlusses nutzen kann. Wenn...
  • Geschwindigkeit einer TCP verbindung gedrosselt?

    Geschwindigkeit einer TCP verbindung gedrosselt?: Hallo, ich bin Kunde von Unitymedia Kabel BW und habe dort die 150er Leitung. Soweit war auch alles okay und ich habe immer meine 15MB/s...
  • Achtung bei TCP Optimizer

    Achtung bei TCP Optimizer: Hallo Community, da ich auch des öfteren mit Problemen zukämpfen hatte was meine Inet- Verbindung angeht, bin ich irgendwann auf die Seite...
  • Langsamer Upstream bei aktivem TCP ECN

    Langsamer Upstream bei aktivem TCP ECN: Hallo, Ich habe gestern die Beobachtung gemacht, daß bei ausgehandelten ECN Verbindungen die Geschwindigkeit des Upstreams deutlich geringer ist...
  • 3Play 16k TCP Settings

    3Play 16k TCP Settings: Hi, Seit einer Weile beschäftige ich mich genauer mit meinen TCP Settings und muss feststellen, die optimalen für mein neues Internet habe ich...
  • Ähnliche Themen
  • Kleiner Homeserver mit Ubee EVW3226

    Kleiner Homeserver mit Ubee EVW3226: Hallo! Ein weiteres Ubee Opfer meldet sich zu Wort :) Ich brauche eine Entscheidungshilfe. Ich habe vor, einen kleinen Homeserver ein zu...
  • Kleiner IPv6-Workshop

    Kleiner IPv6-Workshop: Diskussionsthread zum kleinen TCP/IP-Workshop - IPv6 und IPv4 In diesem Thread können Fragen und Anregungen zum Kleiner TCP/IP-Workshop - IPv6...
  • Kleiner Bericht Speedphone 300 an 6360

    Kleiner Bericht Speedphone 300 an 6360: Hi, wie ich ja schonmal geschrieben habe, hab ich mir im T-Punkt 2 Speedphone 300 für insgesamt ~36€ gekauft. Bei dem Preis musste ich einfach...
  • Kleiner 'Tweak' für Firefox Nutzer

    Kleiner 'Tweak' für Firefox Nutzer: Hi, will euch diesen kleinen "tweak" nahe bringen http://www.freerepublic.com/focus/f-news/1299854/posts und wer des englischen nicht so...
  • langsame TCP-Verbindung abbrechen und wiederholen lohnt sich

    langsame TCP-Verbindung abbrechen und wiederholen lohnt sich: Hallo, es wird viel darüber berichtet, dass man zu selten bei einer Datenverbindung die volle Geschwindigkeit des Anschlusses nutzen kann. Wenn...
  • Geschwindigkeit einer TCP verbindung gedrosselt?

    Geschwindigkeit einer TCP verbindung gedrosselt?: Hallo, ich bin Kunde von Unitymedia Kabel BW und habe dort die 150er Leitung. Soweit war auch alles okay und ich habe immer meine 15MB/s...
  • Achtung bei TCP Optimizer

    Achtung bei TCP Optimizer: Hallo Community, da ich auch des öfteren mit Problemen zukämpfen hatte was meine Inet- Verbindung angeht, bin ich irgendwann auf die Seite...
  • Langsamer Upstream bei aktivem TCP ECN

    Langsamer Upstream bei aktivem TCP ECN: Hallo, Ich habe gestern die Beobachtung gemacht, daß bei ausgehandelten ECN Verbindungen die Geschwindigkeit des Upstreams deutlich geringer ist...
  • 3Play 16k TCP Settings

    3Play 16k TCP Settings: Hi, Seit einer Weile beschäftige ich mich genauer mit meinen TCP Settings und muss feststellen, die optimalen für mein neues Internet habe ich...