[Frage] Fritzbox DynDNS und IPv6 Portfreigabe: wie?

[sf3978]

1.) wie macht ihr das mit dem Portforwarding in der FritzBox?
Ich muss da mnuell eine IPv6 Interface ID eingeben. Leider ändert die sich ab und an. Und schon komm ich nicht mehr auf den Server, weil dioe FB es nicht durchlässt. Erst nach manueller Änderung geht es wieder.
Wie kann ich das so einstellen, dass die FB die aktuelle Interface ID für die Portweiterleitung nimmt?

Du könntest deinen Server doch so konfigurieren, dass die globale IPv6-Adresse eine statische/feste Interface-ID hat.

 

[Bullson]

D.h. das ist wie bei IPv4?
Ich trag einfach die jetzige Adresse ein und schalte DHCP ab, und FritzBox, sowie mein Anbieter akzeptieren das?
Ich probiers gleich mal aus.
Danke

 

[sf3978]

D.h. das ist wie bei IPv4?

Nein, das ist nicht wie bei IPv4.
Es ist keine Portweiterleitung, sondern eine Portfreigabe (es können auch alle Ports freigegeben werden). D. h. es ist eine v6-Firewall in der FritzBox.

 

[f666]

Hast du auf dem Server die PrivacyExtension abgeschaltet?

 

[Bullson]

Ja die hab ich abgeschaltet. Ich hab aber ein Problem im Debian die IPv6 manuell einzutragen.
Ich gehe auf Kabelgebunden>LAN Einstellungen> auf das Zahnradsymbol >IPv6
Ausahl auf "manuell"
Als Adresse nehme ich die aktuelle, aber nur den Host ohne Präfix also:

::bb51:abcd:1234:1afc
Präfix "56"
Und Gateway die ersten 4 Stellen des Prefix. zwei Doppelpunkte 1, also 1a01::1

Sieht dann so aus
Adresse ||||||||||| Präfix |||||||||||||||||||| Gateway
::bb51:abcd:1234:1afc|||||||||||| 56 |||||||||||||||| 1a01::1

Leider läuft es nicht. Bzw spricht der Server darauf nicht an.
Ist das Format falsch?
Hätt nicht gedacht, dass ich von V4 auf V6 so umdenken muss

 

[HabNeFritzbox]

Einfach automatisch nutzen, weiß nicht wieso man sich da unnötig Probleme machen will. Dazu gibts RA und DHCPv6 um solche Probleme zu umgehen.

 

[Zentronix]

Hallo,

hier ein Beispiel auf einem Debian 9 ohne besondere Einstellungen, also auch Privacy Extensions nicht eingeschaltet:

----------------------------------------------------------------------------------
File: /etc/network/interfaces
----------------------------------------------------------------------------------
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug ens32
iface ens32 inet static
  address 192.168.▒▒▒.▒▒▒
  network 255.255.▒▒▒.▒▒▒
  gateway 192.168.▒▒▒.▒▒▒
# This is an autoconfigured IPv6 interface
iface ens32 inet6 auto
----------------------------------------------------------------------------------

----------------------------------------------------------------------------------
Output of: ip address show
----------------------------------------------------------------------------------
1: lo: [...]
2: ens32: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000
    link/ether ▒▒:▒▒:▒▒:▒▒:▒▒:▒▒ brd ff:ff:ff:ff:ff:ff
    inet 192.168.▒▒▒▒.▒▒▒▒/▒▒ brd 192.168.▒▒▒.▒▒▒ scope global ens32
       valid_lft forever preferred_lft forever
    inet6 2001:▒▒▒▒:▒▒▒▒:▒▒▒▒:▒▒▒▒:▒▒ff:fe▒▒:▒▒▒▒/64 scope global mngtmpaddr dynamic
       valid_lft 7079sec preferred_lft 3479sec
    inet6 fe80::▒▒▒▒:▒▒ff:fe▒▒:▒▒▒▒/64 scope link
       valid_lft forever preferred_lft forever
----------------------------------------------------------------------------------

Die IPv6-Adresse wird zusammengebaut aus dem Präfix, den der ISP schickt, und der MAC-Adresse. Die Portfreigabe in der Fritzbox funktioniert damit, da sich der Host-Identifier (aus der MAC-Adresse) nicht ändert. Die jeweils zusammengesetzte IPv6-Adresse sendet der Rechner selbst an den DDNS-Provider.

Grüße.

 

[HabNeFritzbox]

Man kann wohl auch DDNS durch FB machen lassen wenn man Platzhalter anpasst durch den Identifier, hatte PeterPawn im Forum paar mal beschrieben.

 

[Bullson]

Einfach automatisch nutzen, weiß nicht wieso man sich da unnötig Probleme machen will. Dazu gibts RA und DHCPv6 um solche Probleme zu umgehen.

Das würd ich ja so liebend gern.
Die Katze beisst sich aber immer wieder in den Schwanz, da ich in der Box die Host Adresse eingeben muss.
Hier:

Letztere ändert sich aber immer wieder.
Und die Box bleibt bei dem Eingetragenen. Wodurch der Server wieder nicht erreichbar ist.
Deshalb versuche ich das manuell zu stellen.
Gleiches dann wohl noch für den Präfix der Box selbst.

Dachte ich setz einfach dan AAAA Record auf die IPv6 (welche ja angeblich statisch sein soll) und gut wärs.
Meine Herrn aktuell bin ich echt genervt von IPv6.

Aber am Sonntag les ich mir mal in aller Ruhe das WikI dazu durch.

 

[HabNeFritzbox]

Ich muss bei keinem Gerät in der FB irgendwas anpassen für IPv6. Der kennt die InterfaceID entsprechend.

 

[Zentronix]

Hallo Bullson,

schau doch mal in deinen Output von "ip address show" (oder "ip a"). Hast Du dort auf demselben Interface mehrere IPv6-Adressen, die "2" beginnen?

Ich habe die Privacy-Extensions auf Linux noch nicht verwendet, aber vermute, daß es genauso ist wie unter Windows. Denn dort gibt es zwei relevante IPv6-Adressen. Die eine hat einen festen Interface-Identifier, die andere eine wechselnden. Dann nimm einfach die mit dem festen Interface-Identifier.

Kann man z.B. im Artikel "enable IPv6 privacy extension on Ubuntu Linux" sehen. Dort gibt es eine Adresse mit festen Interface-Identifier ("2001:db8:100:0:ca0a:a9ff:fe6a:7291") und eine mit wechselndem ("2001:db8:100:0:9f:fc3d:176f:ad9a").

Grüße.

 

[PeterPawn]

da ich in der Box die Host Adresse eingeben muss.
[...]
Letztere ändert sich aber immer wieder.

Bei IPv6 ist es "vollkommen normal", wenn ein Netzwerkinterface mehr als eine Adresse (auch unter demselben Präfix) verwendet.

Für ausgehende Verbindungen kommen (sofern man die "privacy extensions" verwendet und dagegen spricht in den allermeisten Fällen gar nichts) dabei "zufällige" Werte in den hinteren 64 Bit der Adresse zum Einsatz - damit können die genutzten Dienste (bei anderen Anbietern, was das auch immer für Services sein mögen) in der Theorie die Clients nicht über einen längeren Zeitraum tracken ... zumindest nicht anhand der (kompletten) IPv6-Adresse.


Die Praxis beim Tracking anhand der IPv6-Adresse sieht leider sehr oft deutlich anders aus, weil die Zugangsprovider - zumindest einige - immer wieder denselben Präfix zuweisen und man damit fast alle Anschlüsse bereits anhand des Präfix "aggregieren" kann. Selbst wenn man damit nicht bis auf die Ebene eines einzelnen Clients kommt, ist es doch i.d.R. der Haushalt oder auch die Firma und da "kennt man sich" häufig, so daß z.B. "interessengeleitete Werbung" schon irgendwie den Richtigen finden wird, wenn man vorher (von diesem Anschluß aus) nach irgendwelchen Infos gesucht hatte.


Für eingehende Verbindungen muß man aber ohnehin (sofern man nicht mit Adressen, sondern mit Namen arbeiten will) in irgendeinem Verzeichnisdienst (i.d.R. dem DNS) die IPv6-Adresse für den Service veröffentlichen, hier spielen Datenschutzfragen dann auch keine Rolle (bei der Adresse zumindest nicht).

Und für eben diese (einzelne) Adresse verwendet die FRITZ!Box i.d.R. automatisch die aus der MAC-Adresse abgeleitete Interface-ID, die mit dem "xxff:fexx" (in der Mitte, also nach 24 Bit der MAC-Adresse, die aus 48 Bit besteht) entsprechend gekennzeichnet wird.

Man kann die allerdings auch überschreiben, wobei sich da unterschiedliche Versionen des FRITZ!OS unterschiedlich (logisch bzw. fehlerhaft/unerwartet) verhalten - dann muß man halt diese Adresse auch statisch auf seinem Client konfigurieren, denn mit der Zuweisung einer Interface-ID im FRITZ!OS-GUI ist (jedenfalls nach meinen Tests) nicht automatisch auch eine Zuweisung genau dieser Adresse per DHCPv6 oder SLAAC verbunden.

In der Regel ist das auch nicht erforderlich, denn die meisten OS weisen ihren Netzwerkinterfaces bei der Verwendung von IPv6 auch (zumeist schon automatisch) die auf der MAC-Adresse basierende Interface-ID zu - ggf. neben anderen, wobei hier die "link-lokalen" bzw. die zur Verwaltung des IPv6-Netzes genutzten "well-known addresses" nicht gemeint sind, sondern tatsächlich mehrere mit dem "öffentlichen Präfix".

Ein korrekt konfigurierter IPv6-Client, der seinerseits Dienste (über eine öffentliche IPv6) anbieten soll, verwendet also mehr als eine dieser IPv6-Adressen, wobei diejenige für die eingehenden Verbindungen (also meistens die mit der Interface-ID auf Basis der MAC-Adresse) immer dabei ist ... und genau auf diese zeigt dann auch die "Freigabe" in der FRITZ!Box bzw. für diese Adresse läßt die Firewall der Box dann auch bei einer Portfreigabe entsprechende Pakete durch, die nicht zu einer bereits (von innen) geöffneten Verbindung gehören.

Man muß sich einfach nur von der Vorstellung "ein Host == eine Adresse" lösen ... bei IPv6 ist manchmal sogar "für jeden Dienst (Service/Server/Daemon) eine Adresse" gar kein soo schlechtes Schema (zumindest nicht für öffentlich verfügbare Dienste), denn damit kann man so manches Problem (u.a. "virtual servers", die sich bei IPv4 eine Adresse teilen würden) auch eleganter (und manchmal sicherer) lösen. Allerdings nicht hinter einem Router (mit Firewall) wie der FRITZ!Box - außer man gibt den gesamten Host (auf der Basis des Präfix) als "exposed host" frei, ansonsten zerschellen eingehende Requests hinter so einem Firewall-Router schon an diesem.

 

[Bullson]

Hier mal Feedback wie es jetzt weitestgehend funktioniert.
Tatsächlich sollte man in der Box alle Adressen auf automatisch stellen.
Das IPv6 Forwarding in der FB braucht bei mir jedoch die IPv6 des clients mit 64bit prefixlen als manuelle Einstellung. (letzte 4 Gruppen)
Mit ifconfig seht ihr die volle IPv6. Die tragt ihr z.B. bei Strato als neue, feste AAAA Adresse ein.
Danach ist der Server sofort unter der Domain erreichbar wenn alles richtig eingestellt ist.
Wenn ihr denn Rechner auch lokal unter der Domain erreichen wollt müsst ihr in der FB den DNS Rebind Schutz für die Domain eintragen. (Danke, Pizza und Cola an Thomas Sch. )
Danach sollte alles laufen.

Bleibt noch VPN:
Dank dieser Anleitung:

[Gelöst] - IKE 0x2027 - mit detailierten Informationen

Hallo, ich habe schon viele Threads zu diesem Thema durch. Bitte entschuldigt daher diesen langen Post. Ich schlage vor zunächst die Punkte 1-6 zu 'überlesen' und nur bei Bedarf nachzusehen. Die VPN Verbindung zweier Boxen hat sicher 6-8 Monate wunderbar funktioniert. Seit kurzem habe ich...

www.ip-phone-forum.de

Klappt jetzt die VPN Verbindung nach Aufbau bis zum "lifetime expired" tadellos und ohne ständige Fehler.
DANACH jedoch hagelt es wieder zwei Stunden lang IKEs 0x203d und 0x2027 bis die VPN wieder steht.

Hab jetzt zwar einen Ping Cron alle 5 Minuten von Glasfaser zu DSL gestezt. Hats aber leider auch nicht gebracht.

Da arbeite ich noch dran. Falls also jemand ne Idee hat?

 

[sonyKatze]

Man kann wohl auch [dynamisches DNS] durch [die FRITZ!Box] machen lassen wenn man Platzhalter anpasst durch den Identifier, hatte PeterPawn im Forum paar mal beschrieben.

Kann das irgendwer verlinken? Finde es nicht.
Edit: Das Stichwort war „ip6lanprefix“ im Post #7. Damit findet man unter Anderem einen Artikel beim Heise-Verlag …

[kleines Programm] wird auf dem jeweiligen Host installiert. Jede Minute checkt er die aktuelle IPv6-Adresse. Bei einer Änderung meldet er diese an einen DynDNS-Dienst

Letzt sah ich, dass meine FRITZ!Box (07.12) nach einem Re-Connect PCP verschickt. Konnte irgendwer das schon ausnutzen, damit man dieses minütliche Pollen vermeidet?