[Problem] FritzBox! 7430 Portforwarding funktioniert nicht.

[heiwli]

BTW: Welche IPv6-Adresse hat dir "curl https://ifconfig.co/" angezeigt? Die vom LinuxHost oder die vom LinuxServer?

Die vom LinuxServer.
Mein LinuxServer (aus der VM) hat genau eine IPv6 in der FritzBox. Genau diese IPv6 Adresse bekam ich angezeigt. Mein LinuxHost hat 3 IPv6 Adressen, keine davon ist die selbe wie die vom LinuxServer.

 

[sf3978]

Mein LinuxServer (aus der VM) hat genau eine IPv6 in der FritzBox. Genau diese IPv6 Adresse bekam ich angezeigt.

Und für genau diese IPv6-Adresse, hast Du in deiner FB die v6-Portfreigabe konfiguriert?

Wenn ja, dann starte auf deinem Linux-Server:

tcpdump -c 40 -vvveni <externes-Interface> tcp dst port <freigegebener-Port>

und mache aus dem Internet (mit einem geeigneten online-tool oder gleichwertig) einen v6-tcp-Portscan auf diese IPv6-Adresse und den freigegebenen Port.

 

[heiwli]

Wenn ja, dann starte auf deinem Linux-Server:

tcpdump -c 40 -vvveni <externes-Interface> tcp dst port <freigegebener-Port>

und mache aus dem Internet (mit einem geeigneten online-tool oder gleichwertig) einen v6-tcp-Portscan auf diese IPv6-Adresse und den freigegebenen Port.

Genau die IPv6 habe ich in meiner FritzBox freigegeben.

Ich habe eben den Befehl

tcpdump port 8080

ausgeführt und aus dem WLAN eine Anfrage mit meinem Handy gesendet: "http://[ipv6]:8080" und sehe sofort in der Konsole meines Servers die Anfrage einkommen, mit der externen IPv6 meines Handys.
Jetzt gehe ich aus dem WLAN und führe die Anfrage erneut aus. Da kommt aber leider nichts am Server an.

Dann habe ich auf dem LinuxHost das selbe getan, habe aber die selbe URL von oben ausgeführt (also mit der IP vom Server in der VM). Exakt das selbe Verhalten: Ich sehe die Anfrage an den Server in der Konsole vom Host nur, wenn ich mit dem Handy im WLAN bin.
Daraus schließe ich, dass der LinuxHost und der LinuxServer keine Anfragen von draußen bekommen.

Ich versuche gleich mal die FritzBox irgendwie alle Anfragen mitschneiden zu lassen und hoffe, dass ich dort mehr erfahre.

Edit:
Auch hab ich den Host mal in der FritzBox freigegeben mit der externen IPv6 und das selbe getestet. Es kommen nur Anfragen an, die aus dem WLAN kommen.

 

[heiwli]

So, ich habe jetzt mal fritz.box/html/capture.html aufgerufen, womit ich zuerst den Mittschnitt von "1. Internetverbindung", dann noch "Schnittstelle 0 ("Internet")" und "Routing-Schnittstelle" gestartet.

Jeweils wenn die Aufzeichnung lief, habe ich von meinem Handy (ohne WLAN) "http://[..ipv6..]:8080" aufgerufen.

Den Mitschnitt (.eth) habe ich mit Wireshark geöffnet und nach der Destination = [ipv6 meines Servers] gesucht. Allerdings kann ich diese nicht finden. Auch wenn ich mir die IP meines Handys anzeigen lasse (http://www.ifconfig.co), und nach dieser IP unter Source suche, kann ich sie nicht finden.

Mache ich etwas falsch? Sollte nicht zumindest die Anfrage an meiner Fritzbox landen?

Mich irritiert grade auch folgendes:
Wenn ich auf fritz.box schaue, sehe ich in der Übersicht meine IPv6: [2001:xxx:15ff:ffff::6ec8] (Siehe Bild in Beitrag #14). Aber mein Server hat die IPv6 [2001:xxx:146e:a700:a00:27ff:fe34:751b], wobei xxx gleich sind (siehe zweites Bild in Beitrag #14).
Ich dachte in IPv6 sind die ersten 4 Blöcke immer gleich im Netzwerk, oder habe ich da etwas falsch verstanden?

Wenn ich mit dem Handy direkt die IP des Routers [...:ffff:6ec8]:8080 aufrufe, sehe ich es auch nicht im Verlauf.

Aber was ich gesehen habe ist:
Wenn ich vom Server

curl http://ifconfig.io

aufrufe, sehe ich einerseits den Server als Sender der Anfrage und andererseits als Empfänger der Antwort.

Wieso sehe ich die Anfrage vom Handy (Note 8) nicht, obwohl ich an genau die IPv6 des Servers aufrufe (http://[ipv6 des Servers]:8080) - habe es auch mit anderen Ports probiert. Kann ich das vielleicht so gar nicht testen?
Ich denke mal, dass die Fritzbox die "verworfenen" Anfragen mit aufzeichnet, oder etwa nicht?

 

[PeterPawn]

Ich dachte in IPv6 sind die ersten 4 Blöcke immer gleich im Netzwerk, oder habe ich da etwas falsch verstanden?

Das muß nicht sein, wenn die Clients aus einem zusätzlichen Präfix für "Delegierungen" versorgt werden mit ihrer IPv6-Adresse ... wobei das bei "Internet / Online-Monitor" aufgeführt sein müßte (nicht bei "Übersicht").

Ansonsten würde ich einfach mal den (oben schon irgendwo vorgeschlagenen) Port-Scan von einem System starten, welches definitiv über eine IPv6-Anbindung verfügt - ich lese immer nur etwas "vom Handy aus" und da steht auch nichts vom Ergebnis aus Sicht dieses Gerätes, nur die Feststellung, daß bei der Box nichts ankommt - die Frage wäre ja eigentlich schon, ob das Handy überhaupt etwas sendet und damit dann vermutlich auch eine eigene(!) IPv6-Adresse hat und zwar auch im Mobilfunk. Wenn irgendwelche Abfragen auf Test-Seiten vom Handy aus am Ende auch nur irgendein Gateway für 4to6 o.ä. anzeigen, kann das ja beim nächsten Request bzw. "in eine andere Richtung" im Internet bereits wieder eine ganz andere Adresse sein.

Die "1. Internetverbindung" sollte jedenfalls auch tatsächlich alle Pakete aus dem Internet sehen ... auch die eingehenden, die am Ende an der Firewall zerschellen. "internet" ist dann bereits nach der AVM-Firewall und "Routing-Schnittstelle" ist die LAN-Seite des Kernel-Stacks (alles diesmal aus der WAN-Perspektive, normalerweise betrachtet man das ja von innen und da ist die "Routing-Schnittstelle" dann das LAN und zwar hinter der Bridge, an der "echtes" (Ethernet-)LAN und dieses komische Zeug ohne Kabel (WLAN) zusammentreffen).

Taucht also in der "1. Internetverbindung" das gesuchte Paket nicht auf, kann die FRITZ!Box es auch schlecht routen ... daher wäre eben die Benutzung eines "Absenders", der IPv6 definitiv kann (vielleicht hast Du ja irgendwo auch einen per IPv6 angebundenen Server bei einem Hosting-Provider?), der nächste Schritt bei einer Fehlersuche - die Pakete aus einem Port-Scan sollte man auch alle sehen (und zwar eben auf der "1. Internetverbindung"), sofern das Routing beim Provider funktioniert.

Es gab ja auch mal Versionen mit Problemen beim Paketmitschnitt (wo dann der PA nicht abgeschaltet wurde bzw. die Pakete nicht korrekt für die Aufzeichnung gedoppelt, sondern gleich durchgeleitet wurden) - ich hoffe mal, daß das bei der 7430 und der installierten Version nicht auch so ist. Daher sollte man auch noch einmal genau überprüfen, daß tatsächlich alle Pakete für (irgend-)eine Verbindung komplett im Mitschnitt enthalten sind.

 

[heiwli]

Ansonsten würde ich einfach mal den (oben schon irgendwo vorgeschlagenen) Port-Scan von einem System starten, welches definitiv über eine IPv6-Anbindung verfügt - ich lese immer nur etwas "vom Handy aus" und da steht auch nichts vom Ergebnis aus Sicht dieses Gerätes, nur die Feststellung, daß bei der Box nichts ankommt

Ich habe zuhause leider kein anders Internet-Device als mein Smartphone, das nicht im Netzwerk hängt. Aber genau das ist auch das Wichtige für mich.

Kontext: Ich bin grade dabei eine App zu entwickeln, die über die REST-Schnittstelle auf dem Server Daten austauscht (lesen und schreiben). Wenn mein Handy nicht IPv6-Fähig ist, dann kann ich mir die ganze Sache eigentlich schenken. In naher Zukunft werde ich mir einen Server mieten, der eine IPv4 hat. Allerdings erhoffte ich mir, dass ich in der Entwicklungszeit einen kleinen Server zuhause benutzen kann (kann ich wohl nun nur im WLAN).

"Mein Handy" (Smartphone) macht schließlich nichts anderes, als über seine IP mit meinem Server zu kommunizieren.

Aber nun weiß ich, wo ich wieder ansetzen kann. Ich versuche die Geschichte erst mal mit einem externen Gerät mit einer IPv6 hinzubekommen.

Vielen Dank, ihr habt einem Netzwerk-Grünling schon sehr weiter geholfen und viel beigebracht