Kleiner IPv6-Workshop

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
Titus
Kabelneuling
Beiträge: 48
Registriert: 29.01.2013, 09:56

Re: Kleiner IPv6-Workshop

Beitrag von Titus » 11.02.2014, 22:19

N'Abend!

Weiter geht's. Weiter erfolglos. Ich habe jetzt mal versucht, meine VUSolo ins Netz zu bringen. Auch mit dem unsicheren http-Protokoll keine Chance. Wenn ich mich in myfritz anmelde, ist dort das Gerät zu finden. Klicke ich auf den Link, läuft auch der kryptische Link, den myFritz angelegt hat, ins Leere. Von irgendeiner Subdomain, die bei afraid.org angelegt wurde, brauche ich da nicht mal zu reden.
Woran kann das denn liegen?

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 11.02.2014, 22:28

Titus hat geschrieben:Weiter geht's. Weiter erfolglos. Ich habe jetzt mal versucht, meine VUSolo ins Netz zu bringen.
Vu+ Solo oder Vu+ Solo²?
Welches Image/welcher Firmware ist da drauf?

Lokal solltest Du Dich ja per telnet/ssh einloggen können ...
Wie sieht die Ausgabe von
ifconfig
aus?

Titus
Kabelneuling
Beiträge: 48
Registriert: 29.01.2013, 09:56

Re: Kleiner IPv6-Workshop

Beitrag von Titus » 11.02.2014, 22:35

Solo² mit Vti-Image 6.0.3

ifconfig gibt mir einen Haufen Adressen für eth0 aus. Eine IPv4, drei IPv6. Zweimal davon Scope Global, einmal Scope Link. Brauchst du weitere Infos?

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 11.02.2014, 22:46

Titus hat geschrieben:Solo² mit Vti-Image 6.0.3
ifconfig gibt mir einen Haufen Adressen für eth0 aus. Eine IPv4, drei IPv6. Zweimal davon Scope Global, einmal Scope Link. Brauchst du weitere Infos?
Das VTI-Image basiert auf dem originalen Vu+-Image und enthält - wenn ich nicht völlig falsch liege - nur das alte Dreambox-WebInterface.

Schau doch mal, ob Du das durch das OpenWebif ersetzen kannst oder ob Du das OpenWebif wenigstens zusätzlich installieren kannst.

Das OpenWebif kann IPv6, beim alten Dreambox-Webinterface meine ich, daß es nicht geht.
Sollte auch das OpenWebif auf dem VTI-Image nicht über IPv6 erreichbar sein (Kannst Du lokal testen), dann haben die auch ein IPv6-unfähiges Python reingepackt ...

Man hat dann zwei Möglichkeiten:
1. OpenPLi 4.0 kann auf jeden Fall in allen relevanten Punkten IPv6
alternativ kann man
2. Mittels HAproxy direkt auf der Vu+ Solo selber zwischen IPv6 und IPv4 vermitteln lassen. Damit wären dann auch die eigentlich IPv6-untauglichen Dienste auf der Vu+ Solo per IPv6 erreichbar.

Irgendwo hier im Forum habe ich schon mein HAproxy-mips-Paket verlinkt, das sollte auf der Vu+ Solo so laufen und erfüllt Punkt 2 der obigen Liste ...

Titus
Kabelneuling
Beiträge: 48
Registriert: 29.01.2013, 09:56

Re: Kleiner IPv6-Workshop

Beitrag von Titus » 12.02.2014, 07:23

Eigentlich hatte ich nur versucht, die VU ins Netz zu hängen, um zu gucken, ob das mit der besser funktioniert als mit dem nicht erreichbaren NAS. Das ist nicht so wichtig. Da fällt mir momentan kaum ein Anwendungsfall ein. Trotzdem danke für deine Antwort.

Gestern habe ich nochmal mit dem NAS rumprobiert und in meiner Ratlosigkeit testweise alle Ports in der Firewall freigegeben. Hat auch nichts gebracht.
Wenn ich in der Fritzbox eine myFritz-Freigabe einrichte, ist doch eigentlich schon alles erledigt, um das freigegebene Gerät über diesen kryptischen Link erreichen zu können. Voraussetzung ist doch dann nur noch, dass das Gerät selber IPv6 beherrscht, oder? Der Synology habe ich gesagt, dass sie die IPv6-Einstellungen automatisch machen soll. Wenn ich das Dingen per Hostnamen anpinge, bekomme ich auch die/eine IPv6-Adresse angezeigt. Damit ist doch, zusammen mit der offenen Firewall, alles richtig eingerichtet, oder?

Ich war gestern so genervt, dass ich mich mal nach Alternativen für UM umgesehen habe. Vodafone bietet momentan eine Aktion, wo man 6 Monate ohne Grundgebühr angeschlossen wird und die Monate 7-24 VDSL zum DSL-Preis bekäme. Das würde sogar ganz gut passen, weil unser Vertrag im Sommer nach 18 Monaten ausläuft. Aber...bei uns in der Straße gibt's kein VDSL :motz:

Knifte
Glasfaserstrecke
Beiträge: 2464
Registriert: 18.04.2009, 21:19
Wohnort: Kreis Kleve

Re: Kleiner IPv6-Workshop

Beitrag von Knifte » 12.02.2014, 07:48

Also in allen aktuellen VTi-Versionen ist das OpenWebIF direkt dabei und standardmäßig aktiviert.

Und wenn ich ein ifconfig übers telnet mache, dann erhalte ich neben der IPv4-Adresse auch 2 IPv6-Adressen (einmal scope:global und einmal scope:link). Erstere sieht so aus, als ob sie meine externe IPv6-Adresse ist.
Viele Grüße

Knifte
jetzt:Bildvorher:Bild
UM 2play Premium 150.000 mit dem Cisco EPC 3208-Modem - ASUS RT-AC66U-Router - FritzBox 7490 - FritzFon C4

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 12.02.2014, 09:10

Knifte hat geschrieben:Also in allen aktuellen VTi-Versionen ist das OpenWebIF direkt dabei und standardmäßig aktiviert.
Gut zu wissen.
Knifte hat geschrieben:Und wenn ich ein ifconfig übers telnet mache, dann erhalte ich neben der IPv4-Adresse auch 2 IPv6-Adressen (einmal scope:global und einmal scope:link). Erstere sieht so aus, als ob sie meine externe IPv6-Adresse ist.
Damit das OpenWebif über IPv6 erreichbar ist, sind folgende Dinge - natürlich neben IPv6 im Netzwerk - Voraussetzung:
  • Der Kernel der E2-Kiste muß es können.
    Das ist nach meinem Empfinden inzwischen die Regel.
    Test:
    Wenn /proc/net/if_inet6 existiert, kann der Kernel IPv6
  • Das Python-Modul "Twisted" auf der Box muß mindestens Version 12.0.0 haben.

    Test:
    root@ultimo:~# python
    Python 2.7.3 (default, Dec 2 2013, 07:43:19)
    [GCC 4.8.2] on linux2
    Type "help", "copyright", "credits" or "license" for more information.
    >>> import twisted
    >>> twisted.version
    Version('twisted', 12, 0, 0)
    >>> exit()
    Fett markiert: Die Benutzereingaben, zusätzlich kursiv: Die gewünschte Information.
    Zwischenzeitlich sollte das zumindest "oft" so sein. Man wird aber bestimmt auch noch irgendwo Twisted 11.x finden, die diversen Image-Entwicklerteams haben's leider nicht so mit den Updates ...
  • Python darf nicht mit dem Schalter --disable-ipv6 gebaut sein.
    Das ist leider eher die Ausnahme ...
    Bisher weiß ich nur von OpenPLi 4.0, bei dem dieser Schalter rausgenommen wurde, womit dann Python mit IPv6 gebaut wurde.

    Test:
    root@ultimo:~# python
    Python 2.7.3 (default, Dec 2 2013, 07:43:19)
    [GCC 4.8.2] on linux2
    Type "help", "copyright", "credits" or "license" for more information.
    >>> import socket
    >>> socket.has_ipv6
    True
    >>> exit()
Wenn alle o.g. Voraussetzungen erfüllt sind, dann ist das OpenWebif ohne weiteres Zutun auch per IPv6 ansprechbar.

Bei den üblichen Linux-Diensten ist der IPv6-Support i.d.R. allein vom Kernel abhängig, so daß dropbear oder OpenSSH auf diesen Boxen meistens auch out-of-the-box per IPv6 funktionieren.

Bei der Verwendung von OpenSSH hat man auch direkt einen schönen sftp-Server, über den man sicher auf die Dateien auf der Box zugreifen kann.
Per Telnet:

Code: Alles auswählen

opkg remove dropbear
opkg install openssh-sshd openssh-sftp-server
oscam wird leider ohne Not auch noch allzu oft ohne IPv6 gebaut, kann aber ganz einfach durch eine IPv6-fähige Version ersetzt werden.

Knifte
Glasfaserstrecke
Beiträge: 2464
Registriert: 18.04.2009, 21:19
Wohnort: Kreis Kleve

Re: Kleiner IPv6-Workshop

Beitrag von Knifte » 12.02.2014, 09:24

SpaceRat hat geschrieben:Der Kernel der E2-Kiste muß es können.
Das ist nach meinem Empfinden inzwischen die Regel.
Test:
Wenn /proc/net/if_inet6 existiert, kann der Kernel IPv6
Datei existiert.
Das Python-Modul "Twisted" auf der Box muß mindestens Version 12.0.0 haben.

Test:
root@ultimo:~# python
Python 2.7.3 (default, Dec 2 2013, 07:43:19)
[GCC 4.8.2] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import twisted
>>> twisted.version
Version('twisted', 12, 0, 0)
>>> exit()
Ergibt bei mir die gleiche Anzeige, wie bei dir.
Test:
root@ultimo:~# python
Python 2.7.3 (default, Dec 2 2013, 07:43:19)
[GCC 4.8.2] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import socket
>>> socket.has_ipv6
True
>>> exit()
Da kommt bei mir aber ein False raus. Habe bei mir VTi 6.0.5 installiert inkl. aller aktuellen Updates.
Viele Grüße

Knifte
jetzt:Bildvorher:Bild
UM 2play Premium 150.000 mit dem Cisco EPC 3208-Modem - ASUS RT-AC66U-Router - FritzBox 7490 - FritzFon C4

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 12.02.2014, 09:32

Titus hat geschrieben:Eigentlich hatte ich nur versucht, die VU ins Netz zu hängen, um zu gucken, ob das mit der besser funktioniert als mit dem nicht erreichbaren NAS.
Hängt vom Image ab.

Bei meiner Vu+ Ultimo mit OpenPLi 4.0 kann ich out-of-the-box per IPv6 erreichen:
- Web-Interface http und https (OpenWebif)
- ssh (dropbear), mit OpenSSH zusätzlich auch als sftp-Server
... durch einfachen Austausch der Binary zusätzlich:
- oscam
... durch Einspielen meines haproxy Paketes für MIPS zusätzlich:
- Streaming-Port
- cccam

Noch bis vor kurzem wäre es bei einem HDMU-Image gewesen:
- Nix.

Bei aktuellen HDMU-Images ist es:
- telnet
... durch einfachen Austausch der Binary zusätzlich:
- oscam
... durch manuelles Einspielen eines ssh-Servers:
- ssh (dropbear), mit OpenSSH zusätzlich auch als sftp-Server
... durch Austausch von Python mit einer IPv6-tauglichen Version und Einspielen des OpenWebif:
- Web-Interface http und https (OpenWebif)
... durch Einspielen meines haproxy Paketes für sh4 zusätzlich:
- Streaming-Port
Titus hat geschrieben:Wenn ich in der Fritzbox eine myFritz-Freigabe einrichte, ist doch eigentlich schon alles erledigt, um das freigegebene Gerät über diesen kryptischen Link erreichen zu können. Voraussetzung ist doch dann nur noch, dass das Gerät selber IPv6 beherrscht, oder?
Die MyFritz!-Freigabe macht zwei Dinge:
1. Sie stellt den DynDNS-Dienst für das freigegebene Gerät zur Verfügung (Die lange, teils kryptische URL)
2. Sie öffnet den in der MyFritz!-Freigabe angegebenen Port in der IPv6-Firewall für dieses Gerät

D.h. wenn Du eine MyFritz!-Freigabe für einen HTTPS-Server auf einem IPv6-fähigen Gerät anlegst, dann erhältst Du den DynDNS-Host für <Gerät>.<kryptische Buchstabenfolge>.myfritz.net und hast die IPv6-Firewall auf Port 443 für dieses Gerät geöffnet. Alle anderen Ports und auch Ping6 bleiben aber dicht!
Du kannst nun wahlweise weitere MyFritz!-Freigaben für das selbe Gerät anlegen um weitere Ports zu öffnen oder aber einfach die durch MyFritz! angelegte Regel unter "IPv6-Freigabe" um weitere Ports (z.B. 22 für ssh) ergänzen.
Titus hat geschrieben:Der Synology habe ich gesagt, dass sie die IPv6-Einstellungen automatisch machen soll. Wenn ich das Dingen per Hostnamen anpinge, bekomme ich auch die/eine IPv6-Adresse angezeigt. Damit ist doch, zusammen mit der offenen Firewall, alles richtig eingerichtet, oder?
Im Prinzip schon, sofern Du auch den für den zu nutzenden Dienst richtigen Port freigegeben hast.
Laut Synology kann fast alles auf deren NAS auch IPv6: FAQ: What applications on Synology NAS are IPv6 supported?

Allerdings finde ich dort im letzten Punkt unter "Applications" auch eine Firewall ... u.U. mußt Du also auch eine zweite Firewall öffnen, nämlich die auf dem NAS.
Titus hat geschrieben:Ich war gestern so genervt, dass ich mich mal nach Alternativen für UM umgesehen habe. Vodafone bietet momentan eine Aktion, wo man 6 Monate ohne Grundgebühr angeschlossen wird und die Monate 7-24 VDSL zum DSL-Preis bekäme. Das würde sogar ganz gut passen, weil unser Vertrag im Sommer nach 18 Monaten ausläuft. Aber...bei uns in der Straße gibt's kein VDSL :motz:
Tjor.
So ist das eben, VDSL klingt immer ganz toll, kriegen kann es aber kaum einer ...

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 12.02.2014, 09:42

Knifte hat geschrieben:
SpaceRat hat geschrieben:
>>> import socket
>>> socket.has_ipv6
True
>>> exit()
Da kommt bei mir aber ein False raus. Habe bei mir VTi 6.0.5 installiert inkl. aller aktuellen Updates.
Das ist leider die Regel und hat historische Gründe:
Das configure-Script für diese alten Python-Versionen baut leider beim Cross-Compilen Mist, wenn es überprüft, ob IPv6-Unterstützung vorhanden ist oder nicht.
Also hat man damals kurzerhand "--disable-ipv6" reingesetzt, meist sogar irgendwo fest anstatt abhängig von dynamischen Build-Einstellungen, damit wurde nicht auf IPv6-Unterstützung geprüft und zack war das Problem "gelöst".

Und obwohl es inzwischen fertige Patches für configure gibt tun sich die Leute jetzt schwer damit, den Schalter --disable-ipv6 wieder rauszunehmen oder zumindest erst in der Build-Umgebung an sich zu setzen.

Ich behaupte einfach mal, daß Du keine Probleme hättest, wenn Du Deinen Python einfach durch den aus einem OpenPLi 4.0 Image ersetzen würdest.
Für meinen Topfield habe ich E2 einfach selber gebaut, dann aber nur die Python aus diesem Build genommen und über Python aus dem HDMU-Image drüber gedübelt.

Titus
Kabelneuling
Beiträge: 48
Registriert: 29.01.2013, 09:56

Re: Kleiner IPv6-Workshop

Beitrag von Titus » 12.02.2014, 09:46

SpaceRat hat geschrieben: Die MyFritz!-Freigabe macht zwei Dinge:
1. Sie stellt den DynDNS-Dienst für das freigegebene Gerät zur Verfügung (Die lange, teils kryptische URL)
2. Sie öffnet den in der MyFritz!-Freigabe angegebenen Port in der IPv6-Firewall für dieses Gerät

D.h. wenn Du eine MyFritz!-Freigabe für einen HTTPS-Server auf einem IPv6-fähigen Gerät anlegst, dann erhältst Du den DynDNS-Host für <Gerät>.<kryptische Buchstabenfolge>.myfritz.net und hast die IPv6-Firewall auf Port 443 für dieses Gerät geöffnet. Alle anderen Ports und auch Ping6 bleiben aber dicht!
Du kannst nun wahlweise weitere MyFritz!-Freigaben für das selbe Gerät anlegen um weitere Ports zu öffnen oder aber einfach die durch MyFritz! angelegte Regel unter "IPv6-Freigabe" um weitere Ports (z.B. 22 für ssh) ergänzen.
Vielleicht liegt da der Hase begraben und ich habe bisher die falschen Ports für die DS freigegeben. Eigentlich sind das 5000 für http und 5001 für https. Ich habe aber eben gelesen, dass jemand mal die 5002 auf die 5000 umgelenkt hat, weil die 5000 direkt auch nicht funktionieren wollte.
Allerdings finde ich dort im letzten Punkt unter "Applications" auch eine Firewall ... u.U. mußt Du also auch eine zweite Firewall öffnen, nämlich die auf dem NAS.
Bei der hatte ich zuletzt alle Ports freigegeben, um auszuschließen, dass diese Firewall dazwischen funkt.
Um die VU kümmere ich mich eventuell, wenn die DS richtig läuft. Mir fehlt da momentan aber noch etwas der Anwendungsfall für den ich einen Zugriff von außen benötige.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 12.02.2014, 13:32

Titus hat geschrieben:Vielleicht liegt da der Hase begraben und ich habe bisher die falschen Ports für die DS freigegeben.
Das wird es sein und ist auch genau das, was ich damit meine, wenn ich sage, daß sich die Leute von Verkomplizierungen aus IPv4 gedanklich nicht trennen können ...
Titus hat geschrieben:Eigentlich sind das 5000 für http und 5001 für https.
Dann mußt Du auch diese Ports in der Firewall öffnen.
Die MyFritz!-Freigabe auf Port 443 ist aber schadlos, mach einfach unter "IPv6-Firewall" für den NAS die Ports 5000-5001 zusätzlich auf.
Titus hat geschrieben:Ich habe aber eben gelesen, dass jemand mal die 5002 auf die 5000 umgelenkt hat, weil die 5000 direkt auch nicht funktionieren wollte.
Bei IPv6 wird nichts umgelenkt.

Diese ganze Umlenkerei ("Port-Forwarding") bei IPv4 ist dort nur deshalb notwendig, weil Du trotz mehrerer Geräte nur eine einzige IP-Adresse zur Verfügung hast. Deshalb muß das Gerät, welches diese IP wirklich hat (Der Router) sie von <seiner Adresse>:<freier Port> an <lokale IPv4 des tatsächlichen Zieles>:<richtiger Port> umleiten. Ist dann im Router Port 5000 schon für ein anderes Gerät verheizt, dann muß man dort eben z.B. Port 5002 nehmen, obwohl das Ziel weiterhin Port 5000 auf dem Zielgerät ist ....

Bei IPv6 entfällt dieser Nonsens, das Zielgerät hat ja seine eigene IP-Adresse und kann direkt und mit dem richtigen Port angesprochen werden.

Daß es in der Fritz!Box überhaupt "IPv6-Freigaben" gibt, hat also einzig und allein damit zu tun, daß AVM als m.W. einziger Hersteller auch eine funktionierende IPv6-Firewall hat. Ohne die Firewall wäre das NAS auch ohne "IPv6-Freigabe" direkt erreichbar, allerdings komplett, also z.B. auch per telnet, ftp oder was es sonst noch so an unsicheren Diensten gibt.
Die Fritz!Box hingegen sperrt in der IPv6-Firewall alle Zugriffe auf das Gerät, außer für die Ports, die explizit freigegeben wurden. Das ist aber eine reine "auf/zu"-Einstellung.

Titus
Kabelneuling
Beiträge: 48
Registriert: 29.01.2013, 09:56

Re: Kleiner IPv6-Workshop

Beitrag von Titus » 12.02.2014, 13:37

SpaceRat hat geschrieben:
Diese ganze Umlenkerei ("Port-Forwarding") bei IPv4 ist dort nur deshalb notwendig, weil Du trotz mehrerer Geräte nur eine einzige IP-Adresse zur Verfügung hast. Deshalb muß das Gerät, welches diese IP wirklich hat (Der Router) sie von <seiner Adresse>:<freier Port> an <lokale IPv4 des tatsächlichen Zieles>:<richtiger Port> umleiten. Ist dann im Router Port 5000 schon für ein anderes Gerät verheizt, dann muß man dort eben z.B. Port 5002 nehmen, obwohl das Ziel weiterhin Port 5000 auf dem Zielgerät ist ....

Bei IPv6 entfällt dieser Nonsens, das Zielgerät hat ja seine eigene IP-Adresse und kann direkt und mit dem richtigen Port angesprochen werden.
Du hast Recht und eigentlich war mir das schon bekannt. Hab's wohl in geistiger Umnachtung in dem Augenblick des Schreibens wieder verdrängt.
Daß es in der Fritz!Box überhaupt "IPv6-Freigaben" gibt, hat also einzig und allein damit zu tun, daß AVM als m.W. einziger Hersteller auch eine funktionierende IPv6-Firewall hat. Ohne die Firewall wäre das NAS auch ohne "IPv6-Freigabe" direkt erreichbar, allerdings komplett, also z.B. auch per telnet, ftp oder was es sonst noch so an unsicheren Diensten gibt.
Die Fritz!Box hingegen sperrt in der IPv6-Firewall alle Zugriffe auf das Gerät, außer für die Ports, die explizit freigegeben wurden. Das ist aber eine reine "auf/zu"-Einstellung.
Im Grunde bedeutet das doch, dass ich die Synology-Firewall gefahrlos aufmachen kann, oder? Denn bis zum NAS kommt ja eh nur, was die Fritzbox durchgelassen hat. Die würde doch nur noch bei bisher nicht bekannten Sicherheitslücken in der Fritzbox-Firewall helfen!?

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 12.02.2014, 14:57

Titus hat geschrieben:
SpaceRat hat geschrieben:Daß es in der Fritz!Box überhaupt "IPv6-Freigaben" gibt, hat also einzig und allein damit zu tun, daß AVM als m.W. einziger Hersteller auch eine funktionierende IPv6-Firewall hat. Ohne die Firewall wäre das NAS auch ohne "IPv6-Freigabe" direkt erreichbar, allerdings komplett, also z.B. auch per telnet, ftp oder was es sonst noch so an unsicheren Diensten gibt.
Die Fritz!Box hingegen sperrt in der IPv6-Firewall alle Zugriffe auf das Gerät, außer für die Ports, die explizit freigegeben wurden. Das ist aber eine reine "auf/zu"-Einstellung.
Im Grunde bedeutet das doch, dass ich die Synology-Firewall gefahrlos aufmachen kann, oder? Denn bis zum NAS kommt ja eh nur, was die Fritzbox durchgelassen hat. Die würde doch nur noch bei bisher nicht bekannten Sicherheitslücken in der Fritzbox-Firewall helfen!?
Radio Eriwan: Im Prinzip schon.

An sich reicht eine Firewall und selbst wenn man berücksichtigt, daß man zum Schutz von Firmen-Netzen durchaus auch mal mehrere Firewalls unterschiedlicher Hersteller kaskadiert, um auch dann noch sicher zu sein, wenn eine davon exploitable ist, hat die Synology-Firewall den Makel, auf dem Gerät zu laufen, das sie schützen soll, was nicht der Bringer ist.

Angesichts der aktuellen Lage (Fritz!Box-Fernwartung in den Kabelfritten noch nicht sicher gemacht, obwohl der Fix schon längst vorliegt) würde ich das aber nicht so generell sagen.
Angenommen, jemand erlangt Fernzugriff auf die Fritz!Box, dann könnte er ja in Versuchung kommen, weitere Ports auf dem NAS zu öffnen, z.B. telnet, um dann dort weiter zu wüten. Ist aber der Telnet-Port ein zweites Mal auf dem NAS selber dicht gemacht, dann nutzt ihm das Öffnen in der Fritz!Box nichts.

Titus
Kabelneuling
Beiträge: 48
Registriert: 29.01.2013, 09:56

Re: Kleiner IPv6-Workshop

Beitrag von Titus » 12.02.2014, 15:03

Jepp. Das ist ja genau das, was ich meinte.
So, jetzt erstmal Ruhe...ich werde ausprobieren, ob ich reinkomme und dann mal 'ne Rückmeldung geben...

Titus
Kabelneuling
Beiträge: 48
Registriert: 29.01.2013, 09:56

Re: Kleiner IPv6-Workshop

Beitrag von Titus » 13.02.2014, 12:41

So, weiter geht's...gestern standen wir am Abgrund, heute sind wir einen Schritt weiter :heul:

Gestern Abend habe ich versucht, die FB vom Handy aus zu erreichen. Erst war ich erfreut, weil das ging. Ebenso dann die dahinter liegenden NAS. Dann fiel mir auf, dass ich noch im WLAN war :wand: Über Aiccu ging's dann nicht.
Später gestern Abend kam mir dann noch in den Sinn, dass ich hier zuhause noch einen zweiten Internetzugang über Arcor/Vodafone-DSL habe. Homeoffice. Also darüber auch mal versucht. Aiccu installiert und gestartet. meineipv6 zeigt mir dann auch artig eine v6-Adresse an. Auf die Fritzbox komme ich aber trotzdem nicht. Wobei das schon funktioniert hat. Die Tage aus dem Büro übers Handy... :confused: Muss ich nochmal ran.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 13.02.2014, 13:48

Titus hat geschrieben:So, weiter geht's...gestern standen wir am Abgrund, heute sind wir einen Schritt weiter :heul:

Gestern Abend habe ich versucht, die FB vom Handy aus zu erreichen. Erst war ich erfreut, weil das ging. Ebenso dann die dahinter liegenden NAS. Dann fiel mir auf, dass ich noch im WLAN war :wand: Über Aiccu ging's dann nicht.
Später gestern Abend kam mir dann noch in den Sinn, dass ich hier zuhause noch einen zweiten Internetzugang über Arcor/Vodafone-DSL habe. Homeoffice. Also darüber auch mal versucht. Aiccu installiert und gestartet. meineipv6 zeigt mir dann auch artig eine v6-Adresse an. Auf die Fritzbox komme ich aber trotzdem nicht. Wobei das schon funktioniert hat. Die Tage aus dem Büro übers Handy... :confused: Muss ich nochmal ran.
Wenn Du mir die entsprechenden Adressen gibst, kann ich das gerne mal von hier aus ausprobieren, um einen Fehler bei Deiner lokalen Konfiguration auszuschließen.

Beim Zugriff aus einem per aiccu/SixXS/HE-Tunnel aufgepeppten Anschluß aus kann übrigens folgendes Problem auftreten:

Symptom: Du hast zwar IPv6 und kannst auch IPv6-Seiten über ihre IP-Adresse ansprechen, nicht aber über Namen. Du kriegst dann auch bei diesem Test eine Punktzahl >0 aber <10, i.d.R. 9/10.

Ursache: Der verwendete DNS-Server ist nicht IPv6-tauglich. Das ist z.B. im Mobilfunk bei o2 der Fall. Man könnte mit dem androiccu-Tunnel auf dem Smartphone dann zwar IPv6-Server erreichen, aber bei der Namensauflösung kommt das Smartphone eben nicht an die IPv6-Adresse zu <kryptische Zeichenfolge>.myfritz.net ran und eine IPv4-Adresse gibt es ja nicht.

Lösung: Die Server von Google-DNS (Oder OpenDNS, oder oder oder) verwenden.

Auf dem Smartphone habe ich SetDNS installiert, um im Mobilfunk-Netz immer und automatisch die Google-DNS-Server statt der von o2 zu nutzen.

Wenn es auf dem Smartphone unwichtig ist, lokale Hostnames wie "fritz.box" etc. auflösen zu können, kann man die Google-DNS-Server natürlich auch im WLAN nutzen.
Ich nutze aber stattdessen zusätzlich noch DNS Changer Root um je nach aktuellem WLAN automatisch bestimmte DNS-Einstellungen zu nutzen. In meinem Heimnetz oder dem von Freunden ist das ganz normal die jeweilige Fritz!Box als DNS-Server/-Proxy (Also kein override durch DNS Changer Root, aber in WLANs mit IPv6-untauglichen DNS-Servern kann ich dann auch automatisch die Google-DNS-Server aktivieren lassen, indem ich die jeweilige SSID des WLAN in die Auto-Apply-Liste für die Google-DNS-Server eintrage.

Titus
Kabelneuling
Beiträge: 48
Registriert: 29.01.2013, 09:56

Re: Kleiner IPv6-Workshop

Beitrag von Titus » 13.02.2014, 14:37

Geilomat. Was es nicht alles gibt.

Auf die Fritzbox komme ich mittlerweile. Geändert habe ich nix. Einmal die Fritzbox-Internetverbindung raus- und wieder reingenommen. Weiter geht's allerdings noch nicht.

Kann das auch mit der mangelhaften Namensauflösung zusammenhängen? Eigentlich doch nicht, oder? Ich will doch nur noch auf eine Subdomain meiner Fritzbox, oder?

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 13.02.2014, 14:49

Titus hat geschrieben:Auf die Fritzbox komme ich mittlerweile. Geändert habe ich nix. Einmal die Fritzbox-Internetverbindung raus- und wieder reingenommen. Weiter geht's allerdings noch nicht.
Kann das auch mit der mangelhaften Namensauflösung zusammenhängen? Eigentlich doch nicht, oder? Ich will doch nur noch auf eine Subdomain meiner Fritzbox, oder?
Kann schon.
Wenn Dein Smartphone einen DNS-Cache hat, dann merkt es sich die aufgelösten IP-Adressen für eine gewisse - bei solchen DynDNS-Hosts aber eher kurz - Zeit.

Ich beobachte aber auch vereinzelt, daß MyFritz! vergißt, daß Gerät x eine IPv6 hat und diese daher nicht mit ins MyFritz!-Update einbezieht.

Was kommt denn raus, wenn Du mal einfach nur mit nslookup auf Hostnames auflöst, also z.B.

Code: Alles auswählen

C:\>nslookup abcdefghijklmnop.myfritz.net
...
Name:    abcdefghijklmnop.myfritz.net
Addresses:  2a02:908:fc20:::2


C:\>nslookup nas.abcdefghijklmnop.myfritz.net
...
Name:    nas.abcdefghijklmnop.myfritz.net
Addresses:  2a02:908:ff00::abcd:12ff:fe34:ef01
Wobei Du die Hostnames natürlich durch die bei/von Dir verwendeten ersetzen mußt und natürlich auch nicht diese IPv6-Adressen rauskommen werden.

Titus
Kabelneuling
Beiträge: 48
Registriert: 29.01.2013, 09:56

Re: Kleiner IPv6-Workshop

Beitrag von Titus » 13.02.2014, 22:41

Danke für den Tipp mit dem DNS. Das macht schon was, wenn auc nicht das Gewünschte dabei herauskommt:

So sieht's aus, wenn ich den standardmäßigen DNS nehme:

Code: Alles auswählen

C:\Users\Marco>nslookup pemxxxxxxxxxxxxxx.myfritz.net
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  fd00::2665:11ff:fe03:df7a

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.
Wundert mich ein wenig, da ich auf die FB ja drauf komme.

Das liefert googles DNS:

Code: Alles auswählen

C:\Users\Marco>nslookup pemxxxxxxxxxxxxxx.myfritz.net
Server:  google-public-dns-a.google.com
Address:  2001:4860:4860::8888

Name:    pemxxxxxxxxxxxxxx.myfritz.net
Address:  2a02:908:ec00:2:xxxx:xxxx:xxxx:xxxx
Sieht schon besser aus, NAS wird auch gefunden:

Code: Alles auswählen

C:\Users\Marco>nslookup ds.pemxxxxxxxxxxxxxx.myfritz.net
Server:  google-public-dns-a.google.com
Address:  2001:4860:4860::8888

Name:    ds.pemxxxxxxxxxxxxxx.myfritz.net
Address:  2a02:908:ec24:4880:xxxx:xxxx:xxxx:xxxx
Wenn ich dann aber versuche, mit Chrome auf die Büchse zu kommen, ist Ende der Fahnenstange. Wobe ich den Fehler jetzt irgendwoanders vermute, da ich zwischendurch mal 'ne Connection-Refused-Fehler hatte. Das heißt doch eigentlich, dass das NAS gefunden wurde, dieses nur nicht mitspielen wollte.


Bin ich eigentlich paranoid, weil ich die IP-Adressen ausge-x-t habe?
Zuletzt geändert von Titus am 13.02.2014, 22:48, insgesamt 1-mal geändert.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 13.02.2014, 22:46

[quote="Titus"][/quote]
Du hast 1x Deine echte MyFritz!-Adresse drin gelassen ... angesichts der aktuellen Sicherheitslage: Raus damit (extra nicht gequotet).

Titus
Kabelneuling
Beiträge: 48
Registriert: 29.01.2013, 09:56

Re: Kleiner IPv6-Workshop

Beitrag von Titus » 13.02.2014, 22:49

Danke!

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 13.02.2014, 22:55

Titus hat geschrieben:Danke für den Tipp mit dem DNS. Das macht schon was, wenn auc nicht das Gewünschte dabei herauskommt:

So sieht's aus, wenn ich den standardmäßigen DNS nehme:
DNS request timed out.

Wundert mich ein wenig, da ich auf die FB ja drauf komme.

Das liefert googles DNS:
Name: pemxxxxxxxxxxxxxx.myfritz.net
Address: 2a02:908:ec00:2:xxxx:xxxx:xxxx:xxxx

Sieht schon besser aus, NAS wird auch gefunden:
Name: ds.pemxxxxxxxxxxxxxx.myfritz.net
Address: 2a02:908:ec24:4880:xxxx:xxxx:xxxx:xxxx
An welchem Anschluß hast Du das ausprobiert?

Diese timeouts sind eigentlich typisch für die verkackten UM-DNS-Server, aber wieso solltest Du das lokal ausprobieren?
Titus hat geschrieben:Wenn ich dann aber versuche, mit Chrome auf die Büchse zu kommen, ist Ende der Fahnenstange. Wobe ich den Fehler jetzt irgendwoanders vermute, da ich zwischendurch mal 'ne Connection-Refused-Fehler hatte. Das heißt doch eigentlich, dass das NAS gefunden wurde, dieses nur nicht mitspielen wollte.
Chrome hält teilweise extrem hartnäckig an falschen DNS-Rückmeldungen fest, selbst wenn man den Namensauflösungscache längst mit "ipconfig /flushdns" geleert und mit nslookup ein korrektes Ergebnis erhält.
Nimm zum Testen mal Firefox oder gar Internet Explorer (sic!)
Titus hat geschrieben:Bin ich eigentlich paranoid, weil ich die IP-Adressen ausge-x-t habe?
Ein bißchen.

Titus
Kabelneuling
Beiträge: 48
Registriert: 29.01.2013, 09:56

Re: Kleiner IPv6-Workshop

Beitrag von Titus » 14.02.2014, 07:35

SpaceRat hat geschrieben: An welchem Anschluß hast Du das ausprobiert?

Diese timeouts sind eigentlich typisch für die verkackten UM-DNS-Server, aber wieso solltest Du das lokal ausprobieren?
Das war über den VF-Anschluss und dann Aiccu. Das liefer über's Kabel und dann die TCP-Einstellungen für IPv6. Lokal? Habe ich was von lokal geschrieben oder was lokal gemacht?
Chrome hält teilweise extrem hartnäckig an falschen DNS-Rückmeldungen fest, selbst wenn man den Namensauflösungscache längst mit "ipconfig /flushdns" geleert und mit nslookup ein korrektes Ergebnis erhält.
Nimm zum Testen mal Firefox oder gar Internet Explorer (sic!)
Ok. Bin ich gestern nicht mehr zu gekommen, war schon zu müde :schnarch:
Ich hatte zwischenzeitlich auch mal den Verdacht, dass die Ayiya-Verbindung nicht immer sauber aufgebaut oder getrennt wird.
Titus hat geschrieben:Bin ich eigentlich paranoid, weil ich die IP-Adressen ausge-x-t habe?
Ein bißchen.
:glück:

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 14.02.2014, 10:59

Titus hat geschrieben:
SpaceRat hat geschrieben:An welchem Anschluß hast Du das ausprobiert?
Das war über den VF-Anschluss und dann Aiccu. Das liefer über's Kabel und dann die TCP-Einstellungen für IPv6.
Ok.
Läuft an dem VF-Anschluß etwa die Standard-Easybox oder warum nutzt Du aiccu?
Titus hat geschrieben:Lokal? Habe ich was von lokal geschrieben oder was lokal gemacht?
Es schien mir nur in einem Anflug geistiger Umnachtung so.
Titus hat geschrieben:
SpaceRat hat geschrieben:Chrome hält teilweise extrem hartnäckig an falschen DNS-Rückmeldungen fest, selbst wenn man den Namensauflösungscache längst mit "ipconfig /flushdns" geleert und mit nslookup ein korrektes Ergebnis erhält.
Nimm zum Testen mal Firefox oder gar Internet Explorer (sic!)
Ok. Bin ich gestern nicht mehr zu gekommen, war schon zu müde :schnarch:
Ich hatte zwischenzeitlich auch mal den Verdacht, dass die Ayiya-Verbindung nicht immer sauber aufgebaut oder getrennt wird.
Eher unwahrscheinlich.

Was aiccu aber macht:
1. Es vergißt das Löschen der von ihm manuell gesetzten IPv6-Default-Route durch den SixXS-Tunnel. Das Gerät versucht dann auch nach Abbau des Tunnels (z.B. nach dem Umklemmen ins UM-LAN) immer noch, IPv6 durch den Tunnel zu senden.
2. Wenn auf dem Rechner auch VMWare oder andere Virtualisierungssoftware installiert ist, dann kann es sein, daß deren virtuelle Netzwerkschnittstellen eine höher priorisierte Metrik haben als das Tunnel-Interface. D.h. der Rechner versucht dann, trotz aufgebautem Tunnel, Pakete in dieses virtuelle Netz zu senden. Zu diesem Probleme, siehe hier.

Daher auch meine Frage danach, wieso Du aiccu direkt auf dem PC nutzt.
Wenn es irgendwie geht, dann würde ich den SixXS- oder 6in4-Tunnel immer direkt auf dem Router einrichten. Bei einer Fritz!Box ist das mit einem SixXS-Heartbeat-Tunnel absolut schmerzlos, bei diversen anderen Routern kann man zumindest einen 6in4-Tunnel (tunnelbroker.net) einrichten, welcher etwas aufwendiger ist, weil man auch noch einen dazugehörigen DynDNS-Dienst einrichten muß, aber dann auch einfach läuft.
Bei dieser Variante hat dann an diesem Anschluß fortan jedes (IPv6-taugliche) Gerät eine IPv6-Adresse, d.h. der Anschluß verhält sich wie ein normaler "Dual Stack"-Anschluß es auch täte, ohne weitere Verrenkungen auf den Geräten.

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 4 Gäste