Kleiner IPv6-Workshop

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 12.12.2013, 06:32

Kinzal hat geschrieben:Hallo, ich habe eine Dreambox 800se mit einem aktuellen Image. Leider habe ich eine IPv6 Adresse bekommen. Ich möchte meine Dreambox von außen über das Webinterace,
Z.B. mit einem aktuellen OpenPLi 4.0 (OpenPLi - Download DM800 SE) sollte das "out-of-the-box" funktionieren:

Das OpenWebif ist zu 100% IPv6-tauglich, die Linux-Kernel an sich sind es schon lange und in OpenPLi 4.0 wurde auch Python/Twisted mit IPv6-Support gebaut.
Kinzal hat geschrieben:aber hauptsächlich per FTP (21) erreichen können,
Das wiederum ist schwer und auch nicht sinnvoll:
  • Die meisten Enigma2-Images verwenden vsftpd als FTP-Server und der ist - zumindest in den überwiegend verwendeten Versionen - nur in der Lage, entweder IPv4 oder IPv6 zu unterstützen (Muß in dessen Konfiguration angepaßt werden), aber eben nicht beides zugleich.
    Würde man den vsftpd auf IPv6 konfigurieren, dann könnte man den Receiver auch über IPv6 von außerhalb erreichen, allerdings ist es wahrscheinlich, daß dann auch im Heimnetz einige der eher schlecht gepflegten Tools wie Dreambox Editor, Bouquet Editor Suite, etc. pp. nicht mehr funktionieren.
  • FTP ist per se ein unsicheres Protokoll und sollte nicht für den Zugriff von außen genutzt werden
    Bei klassischem FTP werden die "Credentials" (Benutzername und Kennwort) unverschlüsselt übertragen, ebenso sämtliche Nutzdaten.
    Sicheres, also verschlüsseltes FTP (z.B. sftp, ftps/ftpes), wird aber von Web-Browser i.d.R. nicht unterstützt und erfordert einen entsprechend geeigneten FTP-Client, wie z.B. FileZilla.
    Wenn man aber eh schon FileZilla o.ä. verwenden muß, dann kann man auf der Box auch gleich SSH für Dateiaustausch "mißbrauchen".
Mein Tip für den Dateiaustausch mit der Box ist OpenSSH:
Auf den meisten Enigma2-Receivern ist standardmäßig DropBear als einfacher SSH-Server vorhanden oder gar kein SSH-Server. Der ist leider nicht als SFTP-Server geeignet (Nur SCP), kann aber i.d.R. durch OpenSSH ersetzt werden.

Dazu folgende Schritte befolgen:
  1. Einloggen auf der Box per Telnet
  2. Wenn noch kein Passwort gesetzt wurde, dies nun nachholen:

    Code: Alles auswählen

    passwd
    eingeben und man wird nach einem neuen Passwort gefragt.
    Dieses Passwort sollte wirklich sicher sein (Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen, keine Namen oder lexikalischen Begriffe, kein Geburtsdatum, etc. pp.), denn man kann später damit Vollzugriff auf die Box erlangen und die ist nun einmal ein "normaler" Linux-Rechner, man könnte als Angreifer also von dort aus im ganzen Heimnetz Schaden anrichten!
  3. Nachsehen, ob OpenSSH auf dem Feed verfügbar ist:

    Code: Alles auswählen

    opkg list *openssh*
    Das Ergebnis sollte in etwa so aussehen:

    Code: Alles auswählen

    root@ultimo:~# opkg list *openssh*
    openssh - 5.9p1-r5 - Secure rlogin/rsh/rcp/telnet replacement
     Secure rlogin/rsh/rcp/telnet replacement (OpenSSH) Ssh (Secure Shell) is
    openssh-dev - 5.9p1-r5 - Secure rlogin/rsh/rcp/telnet replacement - Development files
     Secure rlogin/rsh/rcp/telnet replacement (OpenSSH) Ssh (Secure Shell) is
    openssh-keygen - 5.9p1-r5 - Secure rlogin/rsh/rcp/telnet replacement
     Secure rlogin/rsh/rcp/telnet replacement (OpenSSH) Ssh (Secure Shell) is
    openssh-misc - 5.9p1-r5 - Secure rlogin/rsh/rcp/telnet replacement
     Secure rlogin/rsh/rcp/telnet replacement (OpenSSH) Ssh (Secure Shell) is
    openssh-scp - 5.9p1-r5 - Secure rlogin/rsh/rcp/telnet replacement
     Secure rlogin/rsh/rcp/telnet replacement (OpenSSH) Ssh (Secure Shell) is
    openssh-sftp - 5.9p1-r5 - Secure rlogin/rsh/rcp/telnet replacement
     Secure rlogin/rsh/rcp/telnet replacement (OpenSSH) Ssh (Secure Shell) is
    openssh-sftp-server - 5.9p1-r5 - Secure rlogin/rsh/rcp/telnet replacement
     Secure rlogin/rsh/rcp/telnet replacement (OpenSSH) Ssh (Secure Shell) is
    openssh-ssh - 5.9p1-r5 - Secure rlogin/rsh/rcp/telnet replacement
     Secure rlogin/rsh/rcp/telnet replacement (OpenSSH) Ssh (Secure Shell) is
    openssh-sshd - 5.9p1-r5 - Secure rlogin/rsh/rcp/telnet replacement
     Secure rlogin/rsh/rcp/telnet replacement (OpenSSH) Ssh (Secure Shell) is
    openssh-sshd-systemd - 5.9p1-r5 - Secure rlogin/rsh/rcp/telnet replacement
     Secure rlogin/rsh/rcp/telnet replacement (OpenSSH) Ssh (Secure Shell) is  
    Darunter den "Daemon" (Systemdienst) lokalisieren, also nach "sshd" Ausschau halten.
  4. Wenn wir fündig werden, sollten wir noch sicherstellen, daß ein ggf. schon vorhandener DropBear zuvor deinstalliert wird:
    1. Prüfen, ob dropbear installiert ist

      Code: Alles auswählen

      opkg list_installed *dropbear*
    2. Wenn das Ergebnis so bzw. so ähnlich aussieht, ist DropBear installiert:

      Code: Alles auswählen

      dropbear - 2012.55-r3 - dropbear version 2012.55-r3
       Dropbear is a lightweight SSH and SCP implementation 
    3. Dropbear deinstallieren

      Code: Alles auswählen

      opkg remove dropbear
  5. Nun können wir OpenSSH installieren

    Code: Alles auswählen

    opkg install openssh-sshd
    ggf. werden automatisch weitere Pakete installiert, die für OpenSSH nötig sind.
  6. Box neustarten, um zu überprüfen, daß alles richtig installiert wurde:

    Code: Alles auswählen

    shutdown -r now
Nach dem Neustart der Box sollte es nun möglich sein, sich sowohl per IPv4 (Bei DS-lite natürlich nur aus dem Heimnetz) als auch per IPv6 mit der Enigma2-Kiste zu verbinden.
Dazu einfach in FileZilla einen neuen Server anlegen und als Protokoll "sftp" statt "ftp" auswählen, ansonsten verhält sich der Server wie ein gewöhnlicher FTP-Server.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Embiu
Kabelneuling
Beiträge: 3
Registriert: 25.01.2014, 21:11

Re: Kleiner IPv6-Workshop

Beitrag von Embiu » 27.01.2014, 21:22

Hallo SpaceRat,

zunächst, vielen Dank für Deine Mühe und den gelieferten Input im Workshop!

Habe mittlerweile auch einen Zugang für SixXs erhalten, jedoch kann ich den Menüpunkt der FB6320 (OS 06.01 bei UM; Ansicht: erweitert) nicht wie beschrieben bzw. überhaupt nicht finden und die Parameter entsprechend nicht eintragen. Ist die Option ggf dem Firmware-update zum Opfer gefallen oder bin ich blind?

Vielen Dank für Hilfe!

BR, Embiu

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 29.01.2014, 14:23

Embiu hat geschrieben:Habe mittlerweile auch einen Zugang für SixXs erhalten, jedoch kann ich den Menüpunkt der FB6320 (OS 06.01 bei UM; Ansicht: erweitert) nicht wie beschrieben bzw. überhaupt nicht finden und die Parameter entsprechend nicht eintragen. Ist die Option ggf dem Firmware-update zum Opfer gefallen oder bin ich blind?
Hast Du überhaupt einen IPv4-only-Anschluß bei Unitymedia?

Der Menüpunkt ist eigentlich nur genau dann ausgeblendet, wenn der Anschluß auf DS-lite läuft, also bereits IPv6 hat.
Würde man bei einer Fritz!Box mit DS-lite einen Tunnel für IPv6 eintragen (können), könnte diese danach gar keine Verbindung mehr herstellen, da die IPv4-Anbindung als Grundlage für einen 6in4-/6to4-/6rd-Tunnel ja erst zur Verfügung steht, wenn die native IPv6-Verbindung und der darauf aufbauende DS-lite-/AFTR-Tunnel aufgebaut wurden.

Sprich:
Eine Tunnel-Anbindung für IPv6 kann man in der Fritz!Box nur eintragen, wenn die Fritz!Box über eine native IPv4-Anbindung verfügt (IPv4 oder nativen Dual Stack).
In anderen Fällen braucht man ihn aber auch nicht, dann hat man ja schon IPv6.

Titus
Kabelneuling
Beiträge: 48
Registriert: 29.01.2013, 09:56

Re: Kleiner IPv6-Workshop

Beitrag von Titus » 10.02.2014, 17:37

Hallo SpaceRat,

erstmal vielen Dank für die große Mühe, die du mir mit deinem Workshop gegeben hast. :super:

Ich habe jetzt versucht, mein Synology NAS ins Netz zu bringen und bin natürlich grandios gescheitert.
Was habe ich gemacht? Die Fritzbox bei myfritz angemeldet und freigegeben. Dann eine Freigabe für die Diskstation eingerichtet und den kryptischen Namen bei afraid.org gegen einen etwas sprechenderen registriert. Jetzt fängt das Dilemma schon an: Ich kann das Gerät nicht anpingen.

Daher ist es wohl auch nicht verwunderlich, dass ich über den bei sixxs eingerichteten Tunnel auch keinen Kontakt kriege.

Wo könnte denn der Fehler liegen, dass ich von extern keinen Kontakt zur DS bekomme? So viel kann man da ja eigentlich nicht falsch machen, oder?

Grüße
Marco

tomas
Kabelexperte
Beiträge: 113
Registriert: 14.04.2013, 16:50
Wohnort: Hagen

Re: Kleiner IPv6-Workshop

Beitrag von tomas » 10.02.2014, 21:01

Titus hat geschrieben:Hallo SpaceRat,

erstmal vielen Dank für die große Mühe, die du mir mit deinem Workshop gegeben hast. :super:

Ich habe jetzt versucht, mein Synology NAS ins Netz zu bringen und bin natürlich grandios gescheitert.
Was habe ich gemacht? Die Fritzbox bei myfritz angemeldet und freigegeben. Dann eine Freigabe für die Diskstation eingerichtet und den kryptischen Namen bei afraid.org gegen einen etwas sprechenderen registriert. Jetzt fängt das Dilemma schon an: Ich kann das Gerät nicht anpingen.

Daher ist es wohl auch nicht verwunderlich, dass ich über den bei sixxs eingerichteten Tunnel auch keinen Kontakt kriege.

Wo könnte denn der Fehler liegen, dass ich von extern keinen Kontakt zur DS bekomme? So viel kann man da ja eigentlich nicht falsch machen, oder?

Grüße
Marco
Ich nehme mal an, du hast DS-Lite?
Von was für einem externen Netz hast du den Zugriff probiert? Hat dieser auch IPv6? Das ist notwendig (oder du nutzt einen Sixxs-Tunnel).
Hast du bei afraid.org die komplette URL inkl. Port angegeben? Bin mir gerade nicht sicher aber ich meine man muss die URL auch als "CNAME" eintragen.
Anschluss: Unitymedia, 3 Play Smart 50
Hardware: FritzBox 6320, Synology DiskStation DS213+

Titus
Kabelneuling
Beiträge: 48
Registriert: 29.01.2013, 09:56

Re: Kleiner IPv6-Workshop

Beitrag von Titus » 10.02.2014, 21:07

tomas hat geschrieben: Ich nehme mal an, du hast DS-Lite?
Jepp. Wie wohl die meisten hier.
Von was für einem externen Netz hast du den Zugriff probiert? Hat dieser auch IPv6? Das ist notwendig (oder du nutzt einen Sixxs-Tunnel).
Ich hab's zuerst von meinem Laptop aus probiert, der natürlich nicht so wirklich extern ist. Dann habe ich den Tunnel auf dem Handy eingerichtet und es von dort probiert.
Hast du bei afraid.org die komplette URL inkl. Port angegeben? Bin mir gerade nicht sicher aber ich meine man muss die URL auch als "CNAME" eintragen.
CNAME ohne Port. Wie im Workshop beschrieben.

Mir ist gerade was aufgefallen: Ich habe zwei NAS. Für eines davon möchte ich die Freigabe in myfritz einrichten. Wenn ich die Freigabe hinzufüge, wird aber immer der Name des anderen NAS benutzt, um den Freigabenamen zu erstellen. :kratz:
Ich werde jetzt mal alles zurücksetzen...

atsiz77
erfahrener Kabelkunde
Beiträge: 68
Registriert: 11.10.2013, 11:41

Re: Kleiner IPv6-Workshop

Beitrag von atsiz77 » 10.02.2014, 23:25

Schau dir mal Feste-ip.net an, damit soll es funktionieren egal ob extern ipv6 oder ipv4 ist
Bild

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 11.02.2014, 08:52

Titus hat geschrieben:Mir ist gerade was aufgefallen: Ich habe zwei NAS. Für eines davon möchte ich die Freigabe in myfritz einrichten. Wenn ich die Freigabe hinzufüge, wird aber immer der Name des anderen NAS benutzt, um den Freigabenamen zu erstellen. :kratz:
Das ist arg seltsam.

Am besten Du klemmst beide NAS mal ganz ab, löschst sie komplett aus der Fritz!Box raus, also deren MyFritz!-Freigaben, deren IPv6-Freigaben, eventuelle IPv4-Portfreigaben und die Geräte an sich aus der Netzwerkübersicht in der Fritz!Box und klemmst sie danach wieder an.

Ggf. vorher beiden NAS über deren Konfiguration eine feste IPv4-Adresse aus dem Netz der Fritz!Box aber außerhalb des DHCP-Bereiches zuweisen.

Beispiel:
Standardmäßig verwendet die Fritz!Box das Netz 192.168.178.0, Subnet-Mask 255.255.255.0, also die Adressen von 192.168.178.0 bis .255.
Dabei ist dann 192.168.178.0 die Netzwerkadresse, 192.168.178.1 die Fritz!Box und 192.168.178.255 die Broadcast-Adresse. Der DHCP-Server der Fritz!Box vergibt normalerweise Host-Adressen von .20 bis .199.
Die höheren Adressen verwendet die Fritz!Box für einzelne per VPN verbundene Geräte.
Es stehen also die Adressen von 192.168.178.2 bis 192.168.178.19 für die feste Adressvergabe zur Verfügung.

Somit könnte NAS1 wie folgt konfiguriert werden:
Adresse: 192.168.178.10
Netmask: 255.255.255.0
Standard-Gateway 192.168.178.1
(Erster) DNS: 192.168.178.1

und NAS2 dann analog so:
Adresse: 192.168.178.11
Netmask: 255.255.255.0
Standard-Gateway 192.168.178.1
(Erster) DNS: 192.168.178.1

Sofern möglich sollte in beiden NAS auch noch ein anderer Hostname eingestellt werden, denn wenn beide denselben verwenden, dann muß das über kurz oder lang zu Problemen führen ...

Generell würde ich allen Geräten im Heimnetz, spätestens wenn sie eine Serverrolle übernehmen und/oder gezielt von außen erreichbar werden sollen, immer eine feste IPv4-Adresse zuweisen. Dabei wäre es zwar eleganter, die Adressvergabe trotzdem per DHCP vorzunehmen, das kann die Fritz!Box aber leider mehr schlecht als recht.
Es gibt nur die Option "Diesem Gerät immer dieselbe IPv4-Adresse zuteilen", damit kriegt das Gerät aber eben einfach nur dauerhaft dieselbe eher zufällige IPv4-Adresse. Will man im Heimnetz hingegen die IP-Adressen auch systematisch ordnen (a la: Alle File-Server auf .10 bis .14, alle Entertainment-Geräte - BluRay-Player, Receiver, Fernseher, ... - zwischen .15 und .19, usw.) dann geht das auf der Fritz!Box nur über Klimmzüge.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 11.02.2014, 09:00

atsiz77 hat geschrieben:Schau dir mal Feste-ip.net an, damit soll es funktionieren egal ob extern ipv6 oder ipv4 ist
Aber auch für Feste-ip.net muß die IPv6-Freigabe an sich erst einmal funktionieren.

Die machen auch nichts anderes als einen Port-Proxy von IPv4-zu-IPv6 (Um die heimische IPv6-Freigabe auch von IPv4-only-Anschlüssen aus erreichen zu können) bzw. einen zweiten Port-Proxy IPv6-zu-IPv4 auf der FIP-Box (Um heimische IPv4-only-Geräte indirekt ansprechen zu können, indem man statt des Zielgerätes die FIP-Box über IPv6 freigibt, welche dann innerhalb des Heimnetzes über IPv4 zum Zielgerät durchverbindet).

So oder so muß man es also auch dort hinkriegen, entweder das IPv6-fähige Zielgerät und/oder die FIP-Box IPv6-mäßig "zu öffnen".

Anders gesagt:
Wenn Titus sein NAS von außen über IPv6 erreichen kann, dann kann er sich überlegen, ob er unterwegs einen Tunnel nutzt um direkt über IPv6 mit dem NAS kommunizieren zu können oder ob er Feste-ip.net nutzt, um sein NAS auch von IPv4-only-Anschlüssen aus über deren Proxy ansprechen zu können.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Titus
Kabelneuling
Beiträge: 48
Registriert: 29.01.2013, 09:56

Re: Kleiner IPv6-Workshop

Beitrag von Titus » 11.02.2014, 09:45

Danke für deine ausführliche Antwort.

Ich habe es jetzt so hinbekommen, dass bei der Einrichtung der Freigabe auch der richtige Hostname (die waren immer schon unterschiedlich, um in Windows per Hostname\Freigabeverzeichnis ein Netzlaufwerk verbinden zu können) herangezogen wird. Dafür habe ich den NASen ihre IP-Adressen weggenommen und neue zugeordnet. Fest über das NAS direkt. Allerdings nicht außerhalb des DHCP-Bereichs. Allerdings hat das 'ne ganze Zeit gedauert, bis das Daten-NAS wieder von der VU-Box gefunden oder per IP angepingt werden konnte. Über das WebIF konnte ich schon längst wieder drauf und per Hostnamen auch anpingen. Scheint, als könne sich die Fritzbox nur sehr schlecht von alten Einstellungen trennen.

Eben ist es mir erstmalig gelungen, mich von extern bei meiner Fritzbox anzumelden. Ich habe dazu über das Android-Handy einen Tunnel über sixxs hergestellt. Schonmal ein erster Schritt.

Ich denke, ich werde, wenn alles läuft, den feste-ip-Service nutzen. Sonst ist es doch arg umständlich "nach Hause zu telefonieren" :cool: Wenn dann die vergünstigte Phase meines Unitymedia-Anschlusses Mitte/Ende des Jahres abläuft, werde ich vermutlich einen Business-Vertrag abschließen.
Ist schon echt nervig, dass die großen Anbieter so träge in ihren bequemen Sesseln sitzen und so gar nichts in Sachen IPv6 unternehmen. Im Grunde müsste man ja mehr auf die als auf UM mit dem DS Lite-Krams schimpfen.

Titus
Kabelneuling
Beiträge: 48
Registriert: 29.01.2013, 09:56

Re: Kleiner IPv6-Workshop

Beitrag von Titus » 11.02.2014, 22:19

N'Abend!

Weiter geht's. Weiter erfolglos. Ich habe jetzt mal versucht, meine VUSolo ins Netz zu bringen. Auch mit dem unsicheren http-Protokoll keine Chance. Wenn ich mich in myfritz anmelde, ist dort das Gerät zu finden. Klicke ich auf den Link, läuft auch der kryptische Link, den myFritz angelegt hat, ins Leere. Von irgendeiner Subdomain, die bei afraid.org angelegt wurde, brauche ich da nicht mal zu reden.
Woran kann das denn liegen?

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 11.02.2014, 22:28

Titus hat geschrieben:Weiter geht's. Weiter erfolglos. Ich habe jetzt mal versucht, meine VUSolo ins Netz zu bringen.
Vu+ Solo oder Vu+ Solo²?
Welches Image/welcher Firmware ist da drauf?

Lokal solltest Du Dich ja per telnet/ssh einloggen können ...
Wie sieht die Ausgabe von
ifconfig
aus?

Titus
Kabelneuling
Beiträge: 48
Registriert: 29.01.2013, 09:56

Re: Kleiner IPv6-Workshop

Beitrag von Titus » 11.02.2014, 22:35

Solo² mit Vti-Image 6.0.3

ifconfig gibt mir einen Haufen Adressen für eth0 aus. Eine IPv4, drei IPv6. Zweimal davon Scope Global, einmal Scope Link. Brauchst du weitere Infos?

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 11.02.2014, 22:46

Titus hat geschrieben:Solo² mit Vti-Image 6.0.3
ifconfig gibt mir einen Haufen Adressen für eth0 aus. Eine IPv4, drei IPv6. Zweimal davon Scope Global, einmal Scope Link. Brauchst du weitere Infos?
Das VTI-Image basiert auf dem originalen Vu+-Image und enthält - wenn ich nicht völlig falsch liege - nur das alte Dreambox-WebInterface.

Schau doch mal, ob Du das durch das OpenWebif ersetzen kannst oder ob Du das OpenWebif wenigstens zusätzlich installieren kannst.

Das OpenWebif kann IPv6, beim alten Dreambox-Webinterface meine ich, daß es nicht geht.
Sollte auch das OpenWebif auf dem VTI-Image nicht über IPv6 erreichbar sein (Kannst Du lokal testen), dann haben die auch ein IPv6-unfähiges Python reingepackt ...

Man hat dann zwei Möglichkeiten:
1. OpenPLi 4.0 kann auf jeden Fall in allen relevanten Punkten IPv6
alternativ kann man
2. Mittels HAproxy direkt auf der Vu+ Solo selber zwischen IPv6 und IPv4 vermitteln lassen. Damit wären dann auch die eigentlich IPv6-untauglichen Dienste auf der Vu+ Solo per IPv6 erreichbar.

Irgendwo hier im Forum habe ich schon mein HAproxy-mips-Paket verlinkt, das sollte auf der Vu+ Solo so laufen und erfüllt Punkt 2 der obigen Liste ...

Titus
Kabelneuling
Beiträge: 48
Registriert: 29.01.2013, 09:56

Re: Kleiner IPv6-Workshop

Beitrag von Titus » 12.02.2014, 07:23

Eigentlich hatte ich nur versucht, die VU ins Netz zu hängen, um zu gucken, ob das mit der besser funktioniert als mit dem nicht erreichbaren NAS. Das ist nicht so wichtig. Da fällt mir momentan kaum ein Anwendungsfall ein. Trotzdem danke für deine Antwort.

Gestern habe ich nochmal mit dem NAS rumprobiert und in meiner Ratlosigkeit testweise alle Ports in der Firewall freigegeben. Hat auch nichts gebracht.
Wenn ich in der Fritzbox eine myFritz-Freigabe einrichte, ist doch eigentlich schon alles erledigt, um das freigegebene Gerät über diesen kryptischen Link erreichen zu können. Voraussetzung ist doch dann nur noch, dass das Gerät selber IPv6 beherrscht, oder? Der Synology habe ich gesagt, dass sie die IPv6-Einstellungen automatisch machen soll. Wenn ich das Dingen per Hostnamen anpinge, bekomme ich auch die/eine IPv6-Adresse angezeigt. Damit ist doch, zusammen mit der offenen Firewall, alles richtig eingerichtet, oder?

Ich war gestern so genervt, dass ich mich mal nach Alternativen für UM umgesehen habe. Vodafone bietet momentan eine Aktion, wo man 6 Monate ohne Grundgebühr angeschlossen wird und die Monate 7-24 VDSL zum DSL-Preis bekäme. Das würde sogar ganz gut passen, weil unser Vertrag im Sommer nach 18 Monaten ausläuft. Aber...bei uns in der Straße gibt's kein VDSL :motz:

Knifte
Glasfaserstrecke
Beiträge: 2464
Registriert: 18.04.2009, 21:19
Wohnort: Kreis Kleve

Re: Kleiner IPv6-Workshop

Beitrag von Knifte » 12.02.2014, 07:48

Also in allen aktuellen VTi-Versionen ist das OpenWebIF direkt dabei und standardmäßig aktiviert.

Und wenn ich ein ifconfig übers telnet mache, dann erhalte ich neben der IPv4-Adresse auch 2 IPv6-Adressen (einmal scope:global und einmal scope:link). Erstere sieht so aus, als ob sie meine externe IPv6-Adresse ist.
Viele Grüße

Knifte
jetzt:Bildvorher:Bild
UM 2play Premium 150.000 mit dem Cisco EPC 3208-Modem - ASUS RT-AC66U-Router - FritzBox 7490 - FritzFon C4

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 12.02.2014, 09:10

Knifte hat geschrieben:Also in allen aktuellen VTi-Versionen ist das OpenWebIF direkt dabei und standardmäßig aktiviert.
Gut zu wissen.
Knifte hat geschrieben:Und wenn ich ein ifconfig übers telnet mache, dann erhalte ich neben der IPv4-Adresse auch 2 IPv6-Adressen (einmal scope:global und einmal scope:link). Erstere sieht so aus, als ob sie meine externe IPv6-Adresse ist.
Damit das OpenWebif über IPv6 erreichbar ist, sind folgende Dinge - natürlich neben IPv6 im Netzwerk - Voraussetzung:
  • Der Kernel der E2-Kiste muß es können.
    Das ist nach meinem Empfinden inzwischen die Regel.
    Test:
    Wenn /proc/net/if_inet6 existiert, kann der Kernel IPv6
  • Das Python-Modul "Twisted" auf der Box muß mindestens Version 12.0.0 haben.

    Test:
    root@ultimo:~# python
    Python 2.7.3 (default, Dec 2 2013, 07:43:19)
    [GCC 4.8.2] on linux2
    Type "help", "copyright", "credits" or "license" for more information.
    >>> import twisted
    >>> twisted.version
    Version('twisted', 12, 0, 0)
    >>> exit()
    Fett markiert: Die Benutzereingaben, zusätzlich kursiv: Die gewünschte Information.
    Zwischenzeitlich sollte das zumindest "oft" so sein. Man wird aber bestimmt auch noch irgendwo Twisted 11.x finden, die diversen Image-Entwicklerteams haben's leider nicht so mit den Updates ...
  • Python darf nicht mit dem Schalter --disable-ipv6 gebaut sein.
    Das ist leider eher die Ausnahme ...
    Bisher weiß ich nur von OpenPLi 4.0, bei dem dieser Schalter rausgenommen wurde, womit dann Python mit IPv6 gebaut wurde.

    Test:
    root@ultimo:~# python
    Python 2.7.3 (default, Dec 2 2013, 07:43:19)
    [GCC 4.8.2] on linux2
    Type "help", "copyright", "credits" or "license" for more information.
    >>> import socket
    >>> socket.has_ipv6
    True
    >>> exit()
Wenn alle o.g. Voraussetzungen erfüllt sind, dann ist das OpenWebif ohne weiteres Zutun auch per IPv6 ansprechbar.

Bei den üblichen Linux-Diensten ist der IPv6-Support i.d.R. allein vom Kernel abhängig, so daß dropbear oder OpenSSH auf diesen Boxen meistens auch out-of-the-box per IPv6 funktionieren.

Bei der Verwendung von OpenSSH hat man auch direkt einen schönen sftp-Server, über den man sicher auf die Dateien auf der Box zugreifen kann.
Per Telnet:

Code: Alles auswählen

opkg remove dropbear
opkg install openssh-sshd openssh-sftp-server
oscam wird leider ohne Not auch noch allzu oft ohne IPv6 gebaut, kann aber ganz einfach durch eine IPv6-fähige Version ersetzt werden.

Knifte
Glasfaserstrecke
Beiträge: 2464
Registriert: 18.04.2009, 21:19
Wohnort: Kreis Kleve

Re: Kleiner IPv6-Workshop

Beitrag von Knifte » 12.02.2014, 09:24

SpaceRat hat geschrieben:Der Kernel der E2-Kiste muß es können.
Das ist nach meinem Empfinden inzwischen die Regel.
Test:
Wenn /proc/net/if_inet6 existiert, kann der Kernel IPv6
Datei existiert.
Das Python-Modul "Twisted" auf der Box muß mindestens Version 12.0.0 haben.

Test:
root@ultimo:~# python
Python 2.7.3 (default, Dec 2 2013, 07:43:19)
[GCC 4.8.2] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import twisted
>>> twisted.version
Version('twisted', 12, 0, 0)
>>> exit()
Ergibt bei mir die gleiche Anzeige, wie bei dir.
Test:
root@ultimo:~# python
Python 2.7.3 (default, Dec 2 2013, 07:43:19)
[GCC 4.8.2] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import socket
>>> socket.has_ipv6
True
>>> exit()
Da kommt bei mir aber ein False raus. Habe bei mir VTi 6.0.5 installiert inkl. aller aktuellen Updates.
Viele Grüße

Knifte
jetzt:Bildvorher:Bild
UM 2play Premium 150.000 mit dem Cisco EPC 3208-Modem - ASUS RT-AC66U-Router - FritzBox 7490 - FritzFon C4

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 12.02.2014, 09:32

Titus hat geschrieben:Eigentlich hatte ich nur versucht, die VU ins Netz zu hängen, um zu gucken, ob das mit der besser funktioniert als mit dem nicht erreichbaren NAS.
Hängt vom Image ab.

Bei meiner Vu+ Ultimo mit OpenPLi 4.0 kann ich out-of-the-box per IPv6 erreichen:
- Web-Interface http und https (OpenWebif)
- ssh (dropbear), mit OpenSSH zusätzlich auch als sftp-Server
... durch einfachen Austausch der Binary zusätzlich:
- oscam
... durch Einspielen meines haproxy Paketes für MIPS zusätzlich:
- Streaming-Port
- cccam

Noch bis vor kurzem wäre es bei einem HDMU-Image gewesen:
- Nix.

Bei aktuellen HDMU-Images ist es:
- telnet
... durch einfachen Austausch der Binary zusätzlich:
- oscam
... durch manuelles Einspielen eines ssh-Servers:
- ssh (dropbear), mit OpenSSH zusätzlich auch als sftp-Server
... durch Austausch von Python mit einer IPv6-tauglichen Version und Einspielen des OpenWebif:
- Web-Interface http und https (OpenWebif)
... durch Einspielen meines haproxy Paketes für sh4 zusätzlich:
- Streaming-Port
Titus hat geschrieben:Wenn ich in der Fritzbox eine myFritz-Freigabe einrichte, ist doch eigentlich schon alles erledigt, um das freigegebene Gerät über diesen kryptischen Link erreichen zu können. Voraussetzung ist doch dann nur noch, dass das Gerät selber IPv6 beherrscht, oder?
Die MyFritz!-Freigabe macht zwei Dinge:
1. Sie stellt den DynDNS-Dienst für das freigegebene Gerät zur Verfügung (Die lange, teils kryptische URL)
2. Sie öffnet den in der MyFritz!-Freigabe angegebenen Port in der IPv6-Firewall für dieses Gerät

D.h. wenn Du eine MyFritz!-Freigabe für einen HTTPS-Server auf einem IPv6-fähigen Gerät anlegst, dann erhältst Du den DynDNS-Host für <Gerät>.<kryptische Buchstabenfolge>.myfritz.net und hast die IPv6-Firewall auf Port 443 für dieses Gerät geöffnet. Alle anderen Ports und auch Ping6 bleiben aber dicht!
Du kannst nun wahlweise weitere MyFritz!-Freigaben für das selbe Gerät anlegen um weitere Ports zu öffnen oder aber einfach die durch MyFritz! angelegte Regel unter "IPv6-Freigabe" um weitere Ports (z.B. 22 für ssh) ergänzen.
Titus hat geschrieben:Der Synology habe ich gesagt, dass sie die IPv6-Einstellungen automatisch machen soll. Wenn ich das Dingen per Hostnamen anpinge, bekomme ich auch die/eine IPv6-Adresse angezeigt. Damit ist doch, zusammen mit der offenen Firewall, alles richtig eingerichtet, oder?
Im Prinzip schon, sofern Du auch den für den zu nutzenden Dienst richtigen Port freigegeben hast.
Laut Synology kann fast alles auf deren NAS auch IPv6: FAQ: What applications on Synology NAS are IPv6 supported?

Allerdings finde ich dort im letzten Punkt unter "Applications" auch eine Firewall ... u.U. mußt Du also auch eine zweite Firewall öffnen, nämlich die auf dem NAS.
Titus hat geschrieben:Ich war gestern so genervt, dass ich mich mal nach Alternativen für UM umgesehen habe. Vodafone bietet momentan eine Aktion, wo man 6 Monate ohne Grundgebühr angeschlossen wird und die Monate 7-24 VDSL zum DSL-Preis bekäme. Das würde sogar ganz gut passen, weil unser Vertrag im Sommer nach 18 Monaten ausläuft. Aber...bei uns in der Straße gibt's kein VDSL :motz:
Tjor.
So ist das eben, VDSL klingt immer ganz toll, kriegen kann es aber kaum einer ...

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 12.02.2014, 09:42

Knifte hat geschrieben:
SpaceRat hat geschrieben:
>>> import socket
>>> socket.has_ipv6
True
>>> exit()
Da kommt bei mir aber ein False raus. Habe bei mir VTi 6.0.5 installiert inkl. aller aktuellen Updates.
Das ist leider die Regel und hat historische Gründe:
Das configure-Script für diese alten Python-Versionen baut leider beim Cross-Compilen Mist, wenn es überprüft, ob IPv6-Unterstützung vorhanden ist oder nicht.
Also hat man damals kurzerhand "--disable-ipv6" reingesetzt, meist sogar irgendwo fest anstatt abhängig von dynamischen Build-Einstellungen, damit wurde nicht auf IPv6-Unterstützung geprüft und zack war das Problem "gelöst".

Und obwohl es inzwischen fertige Patches für configure gibt tun sich die Leute jetzt schwer damit, den Schalter --disable-ipv6 wieder rauszunehmen oder zumindest erst in der Build-Umgebung an sich zu setzen.

Ich behaupte einfach mal, daß Du keine Probleme hättest, wenn Du Deinen Python einfach durch den aus einem OpenPLi 4.0 Image ersetzen würdest.
Für meinen Topfield habe ich E2 einfach selber gebaut, dann aber nur die Python aus diesem Build genommen und über Python aus dem HDMU-Image drüber gedübelt.

Titus
Kabelneuling
Beiträge: 48
Registriert: 29.01.2013, 09:56

Re: Kleiner IPv6-Workshop

Beitrag von Titus » 12.02.2014, 09:46

SpaceRat hat geschrieben: Die MyFritz!-Freigabe macht zwei Dinge:
1. Sie stellt den DynDNS-Dienst für das freigegebene Gerät zur Verfügung (Die lange, teils kryptische URL)
2. Sie öffnet den in der MyFritz!-Freigabe angegebenen Port in der IPv6-Firewall für dieses Gerät

D.h. wenn Du eine MyFritz!-Freigabe für einen HTTPS-Server auf einem IPv6-fähigen Gerät anlegst, dann erhältst Du den DynDNS-Host für <Gerät>.<kryptische Buchstabenfolge>.myfritz.net und hast die IPv6-Firewall auf Port 443 für dieses Gerät geöffnet. Alle anderen Ports und auch Ping6 bleiben aber dicht!
Du kannst nun wahlweise weitere MyFritz!-Freigaben für das selbe Gerät anlegen um weitere Ports zu öffnen oder aber einfach die durch MyFritz! angelegte Regel unter "IPv6-Freigabe" um weitere Ports (z.B. 22 für ssh) ergänzen.
Vielleicht liegt da der Hase begraben und ich habe bisher die falschen Ports für die DS freigegeben. Eigentlich sind das 5000 für http und 5001 für https. Ich habe aber eben gelesen, dass jemand mal die 5002 auf die 5000 umgelenkt hat, weil die 5000 direkt auch nicht funktionieren wollte.
Allerdings finde ich dort im letzten Punkt unter "Applications" auch eine Firewall ... u.U. mußt Du also auch eine zweite Firewall öffnen, nämlich die auf dem NAS.
Bei der hatte ich zuletzt alle Ports freigegeben, um auszuschließen, dass diese Firewall dazwischen funkt.
Um die VU kümmere ich mich eventuell, wenn die DS richtig läuft. Mir fehlt da momentan aber noch etwas der Anwendungsfall für den ich einen Zugriff von außen benötige.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 12.02.2014, 13:32

Titus hat geschrieben:Vielleicht liegt da der Hase begraben und ich habe bisher die falschen Ports für die DS freigegeben.
Das wird es sein und ist auch genau das, was ich damit meine, wenn ich sage, daß sich die Leute von Verkomplizierungen aus IPv4 gedanklich nicht trennen können ...
Titus hat geschrieben:Eigentlich sind das 5000 für http und 5001 für https.
Dann mußt Du auch diese Ports in der Firewall öffnen.
Die MyFritz!-Freigabe auf Port 443 ist aber schadlos, mach einfach unter "IPv6-Firewall" für den NAS die Ports 5000-5001 zusätzlich auf.
Titus hat geschrieben:Ich habe aber eben gelesen, dass jemand mal die 5002 auf die 5000 umgelenkt hat, weil die 5000 direkt auch nicht funktionieren wollte.
Bei IPv6 wird nichts umgelenkt.

Diese ganze Umlenkerei ("Port-Forwarding") bei IPv4 ist dort nur deshalb notwendig, weil Du trotz mehrerer Geräte nur eine einzige IP-Adresse zur Verfügung hast. Deshalb muß das Gerät, welches diese IP wirklich hat (Der Router) sie von <seiner Adresse>:<freier Port> an <lokale IPv4 des tatsächlichen Zieles>:<richtiger Port> umleiten. Ist dann im Router Port 5000 schon für ein anderes Gerät verheizt, dann muß man dort eben z.B. Port 5002 nehmen, obwohl das Ziel weiterhin Port 5000 auf dem Zielgerät ist ....

Bei IPv6 entfällt dieser Nonsens, das Zielgerät hat ja seine eigene IP-Adresse und kann direkt und mit dem richtigen Port angesprochen werden.

Daß es in der Fritz!Box überhaupt "IPv6-Freigaben" gibt, hat also einzig und allein damit zu tun, daß AVM als m.W. einziger Hersteller auch eine funktionierende IPv6-Firewall hat. Ohne die Firewall wäre das NAS auch ohne "IPv6-Freigabe" direkt erreichbar, allerdings komplett, also z.B. auch per telnet, ftp oder was es sonst noch so an unsicheren Diensten gibt.
Die Fritz!Box hingegen sperrt in der IPv6-Firewall alle Zugriffe auf das Gerät, außer für die Ports, die explizit freigegeben wurden. Das ist aber eine reine "auf/zu"-Einstellung.

Titus
Kabelneuling
Beiträge: 48
Registriert: 29.01.2013, 09:56

Re: Kleiner IPv6-Workshop

Beitrag von Titus » 12.02.2014, 13:37

SpaceRat hat geschrieben:
Diese ganze Umlenkerei ("Port-Forwarding") bei IPv4 ist dort nur deshalb notwendig, weil Du trotz mehrerer Geräte nur eine einzige IP-Adresse zur Verfügung hast. Deshalb muß das Gerät, welches diese IP wirklich hat (Der Router) sie von <seiner Adresse>:<freier Port> an <lokale IPv4 des tatsächlichen Zieles>:<richtiger Port> umleiten. Ist dann im Router Port 5000 schon für ein anderes Gerät verheizt, dann muß man dort eben z.B. Port 5002 nehmen, obwohl das Ziel weiterhin Port 5000 auf dem Zielgerät ist ....

Bei IPv6 entfällt dieser Nonsens, das Zielgerät hat ja seine eigene IP-Adresse und kann direkt und mit dem richtigen Port angesprochen werden.
Du hast Recht und eigentlich war mir das schon bekannt. Hab's wohl in geistiger Umnachtung in dem Augenblick des Schreibens wieder verdrängt.
Daß es in der Fritz!Box überhaupt "IPv6-Freigaben" gibt, hat also einzig und allein damit zu tun, daß AVM als m.W. einziger Hersteller auch eine funktionierende IPv6-Firewall hat. Ohne die Firewall wäre das NAS auch ohne "IPv6-Freigabe" direkt erreichbar, allerdings komplett, also z.B. auch per telnet, ftp oder was es sonst noch so an unsicheren Diensten gibt.
Die Fritz!Box hingegen sperrt in der IPv6-Firewall alle Zugriffe auf das Gerät, außer für die Ports, die explizit freigegeben wurden. Das ist aber eine reine "auf/zu"-Einstellung.
Im Grunde bedeutet das doch, dass ich die Synology-Firewall gefahrlos aufmachen kann, oder? Denn bis zum NAS kommt ja eh nur, was die Fritzbox durchgelassen hat. Die würde doch nur noch bei bisher nicht bekannten Sicherheitslücken in der Fritzbox-Firewall helfen!?

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 12.02.2014, 14:57

Titus hat geschrieben:
SpaceRat hat geschrieben:Daß es in der Fritz!Box überhaupt "IPv6-Freigaben" gibt, hat also einzig und allein damit zu tun, daß AVM als m.W. einziger Hersteller auch eine funktionierende IPv6-Firewall hat. Ohne die Firewall wäre das NAS auch ohne "IPv6-Freigabe" direkt erreichbar, allerdings komplett, also z.B. auch per telnet, ftp oder was es sonst noch so an unsicheren Diensten gibt.
Die Fritz!Box hingegen sperrt in der IPv6-Firewall alle Zugriffe auf das Gerät, außer für die Ports, die explizit freigegeben wurden. Das ist aber eine reine "auf/zu"-Einstellung.
Im Grunde bedeutet das doch, dass ich die Synology-Firewall gefahrlos aufmachen kann, oder? Denn bis zum NAS kommt ja eh nur, was die Fritzbox durchgelassen hat. Die würde doch nur noch bei bisher nicht bekannten Sicherheitslücken in der Fritzbox-Firewall helfen!?
Radio Eriwan: Im Prinzip schon.

An sich reicht eine Firewall und selbst wenn man berücksichtigt, daß man zum Schutz von Firmen-Netzen durchaus auch mal mehrere Firewalls unterschiedlicher Hersteller kaskadiert, um auch dann noch sicher zu sein, wenn eine davon exploitable ist, hat die Synology-Firewall den Makel, auf dem Gerät zu laufen, das sie schützen soll, was nicht der Bringer ist.

Angesichts der aktuellen Lage (Fritz!Box-Fernwartung in den Kabelfritten noch nicht sicher gemacht, obwohl der Fix schon längst vorliegt) würde ich das aber nicht so generell sagen.
Angenommen, jemand erlangt Fernzugriff auf die Fritz!Box, dann könnte er ja in Versuchung kommen, weitere Ports auf dem NAS zu öffnen, z.B. telnet, um dann dort weiter zu wüten. Ist aber der Telnet-Port ein zweites Mal auf dem NAS selber dicht gemacht, dann nutzt ihm das Öffnen in der Fritz!Box nichts.

Titus
Kabelneuling
Beiträge: 48
Registriert: 29.01.2013, 09:56

Re: Kleiner IPv6-Workshop

Beitrag von Titus » 12.02.2014, 15:03

Jepp. Das ist ja genau das, was ich meinte.
So, jetzt erstmal Ruhe...ich werde ausprobieren, ob ich reinkomme und dann mal 'ne Rückmeldung geben...

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 8 Gäste