IPv6 eine Domain auf mehreren Servern

[Bender®]

Ich betreibe an meinem Anschluß mehrere Dienste, die auf verschiedenen Servern laufen. Der Einfachheit halber laufen alle Dienste auf dem Standard-Port, so daß man nur sub.domain.de in den jeweiligen Client eingeben muß und wird zum jeweiligen Server, der diesen Dienst anbietet geleitet. Das funktioniert dank NAT super bei IPv4. Kann man der Fritzbox irgenwie beibringen, daß Anfragen an einen bestimmten Port aber egal an welche IP an einen bestimmten Server "umgeleitet" werden? Denn alle Server haben ja ihre eigene IPv6-Adresse und die Domain weist ja nur auf eine davon. Sonst müßte ich ja jedem Server eine eigene Domain geben, daß wollte ich eigentlich vermeiden.

 

[Zentronix]

Hallo,

es hat mich auch mächtig gestört, daß man bei IPv6 auf der Fritzbox weder Host- noch Portmapping hat. Zumindest standardmäßig nicht. Mit eigener Software auf der Fritzbox würde es natürlich gehen.

Der korrekte Weg ist hier wohl, jedem Host seinen eigenen Hostnamen zu geben. Separate Domains sind nicht notwendig, sondern jedem Host ein AAAA-Record "host.domain.de". Der Port darf dann überall der gleiche sein, muß aber nicht. Er muß nur bereits auf den jeweiligen Host so eingerichtet sein, da er nicht durch die Fritzbox abgeändert wird.

Die Verfahren unterscheiden sich hier also deutlich zwischen IPv4 und IPv6.

Grüße.

 

[Bender®]

Dann werde ich wohl doch auf jeden Server einen DDNS-Client nageln müssen, oder sehe ich das jetzt falsch? Oder kann nicht nicht alles auf einen Server leiten und dort per Software auf die anderen Server umleiten? Betriebssystem ist bei allen Debian.

 

[Zentronix]

Hallo,

die Frage bezog sich ja auch die Fähigkeiten der Fritzbox.

Natürlich kann man alles über einen Server leiten und von dort aus Portweiterleitungen machen. Wenn die einzelnen Dienste bisher NAT ausgehalten haben, werden sie damit wohl auch zurechtkommen. Finde ich aber unelegant, da dann alles von diesem einen Server abhängt.

Momentan kann man den Nachteil aber wohl vernachlässigen, da er auf IPv6 beschränkt ist sowieso kaum eine Socke IPv6 benutzt.

Zum DDNS:

Die Lösung mit einzelnen Hostnamen erfordert bei dynamischer IP-Adresse natürlich einzelne DDNS-Clients. Leider kann die Fritzbox nur ihre eigene IP-Adresse bekanntgeben, und diese unterscheidet bei IPv6 sich von der Adresse des Netzes. Da könnte AVM etwas bereitstellen, tun sie aber nicht.

Daher muß für IPv6 jeder Host selbst melden. Wir haben unser Hosting bei All-Inkl, so daß kostenlos mehrere DDNS-Accounts zur Verfügung stehen. Wir verwenden ein kleines selbstgebautes Shellskript, daß per Cron die Adresse prüft und bei Änderung hochmeldet (siehe Anhang).

Grüße.

#!/bin/sh
#
# /root/dynsix.sh
#
# Needs account file "/root/dynsix_userpass1.txt" with line "<username>:<password>".
# Expects network device name as "ens32".
# Stores current address in "/run/dynsix_lastip.txt".
# Logs to file "/run/dynsix_lastlog.txt".
#
# cron entries:
#
#  @reboot sleep 10 && /root/dynsix.sh
#  */5 * * * * /root/dynsix.sh

(
  IP_CURR="`ip -6 addr show dev ens32 primary scope global | fgrep 'inet6 20' | fgrep -v deprecated | head -1 | sed -e's!^.* inet6 \([^/]*\)/64.*$!\1!'`"

  IP_PREV="`cat /run/dynsix_lastip.txt`"
  echo "IP_PREV=\"$IP_PREV\" IP_CURR=\"$IP_CURR\""

  if [ "$IP_PREV" != "$IP_CURR" ]
  then
    echo "IPv6 address has changed from \"$IP_PREV\" to \"$IP_CURR\""

    USERPASS=`cat dynsix_userpass1.txt` # expecting <username>:<password>
    URL="https://dyndns.kasserver.com/?myip=$IP_CURR"
    echo "URL=\"$URL\""

    RC="`curl --verbose --output /run/dynsix_lastcout1.txt --write-out '%{response_code}\n' --insecure --user-agent dynsix --user "$USERPASS" "$URL"`"
    CC="$?"
    echo "CC=\"$CC\" RC=\"$RC\""

    # commit change

    if [ "$CC" = "0" -a "$RC" = "200" ]
    then
      echo "$IP_CURR" > /run/dynsix_lastip.txt
    fi

    echo ""
  fi
) > /run/dynsix_lastlog.txt 2>&1

 

[HabNeFritzbox]

Die FB kann auch andere IP bekanntgeben, aber eher im Rahmen von MyFritz.

Vorteil bei IPv6 ist doch eben, dass es kein NAT mehr gibt, und jedes Gerät direkt erreichbar ist, und eben so auch mehrfach selben Ports verwenden kannst. Bei IPv4 geht es eben nicht, da immer Ziel die FB selbst ist, und kein Server direkt.

Für jeden Server eigenen Hostnamen ist eh sinnvoller, spätestens wenn Zertifikate ins Spiel kann es erneut Probleme geben.

 

[Bender®]

Natürlich kann man alles über einen Server leiten und von dort aus Portweiterleitungen machen. Wenn die einzelnen Dienste bisher NAT ausgehalten haben, werden sie damit wohl auch zurechtkommen. Finde ich aber unelegant, da dann alles von diesem einen Server abhängt.

Jo, da ist mir dann doch ein Denkfehler unterlaufen. Da habe ich extra alles auf mehrere Server verteilt, damit nicht alles ausfällt, wenn einer fehlt und dann leite ich alles über Einen. Das wäre natürlich dämlich, außer die Fritzbox oder der Switch könnte das, weil da ja eh alles drüber läuft. Dann bekommt eben jeder seine eigene Adresse in Form von dienst.domian.de oder so.
Zufällig bin auch bei All-Inkl, da hab ich ja gleich das Richtige, danke!

<edit>

spätestens wenn Zertifikate ins Spiel kann es erneut Probleme geben

Uhh... ja, das auch noch, muß ich eben durch. Was ein Elend.
</edit>

 

[HabNeFritzbox]

Bei IPv6 gibt es kein NAT also Portweiterleitung, auch unnötig da jedes Gerät eigene IP hat.

Wenn mehrere Hostnamen hast, werden die alle gleiche IPv4 IP haben, aber andere IPv6 IP.

Weiß ja nicht was für Server betreibst, für HDD Ausfall gibt es Raid, für Dateiveränderung durch löschen oder Hack oder ähnliches hat man Dateiversionierung, und zusätzlich noch externes Backup.

Fällt Server selbst aus, einfach HDD in Ersatzhardware und Freigaben in FB anpassen. Fällt die FB aus, halt eine Ersatzbox. Wenn DSL ausfällt, bringt dir ganze auch nichts mehr zwecks Erreichbarkeit.

Daher hab ich am NAS ne USV und ne FB mit DSL + Mobilfunk um da etwas flexibler zu sein.

Immer ne Frage wie wichtig einem ganze ist, und was man bereit ist auszugeben.

 

[koyaanisqatsi]

Moinsen

Vorteil bei IPv6 ist doch eben, dass es kein NAT mehr gibt, und jedes Gerät direkt erreichbar ist, und eben so auch mehrfach selben Ports verwenden kannst.

Wirklich ?
Meine IPv6 Klienten bekommen wechselnde IPv6, was ja nicht die Standardeinstellung mit den MAC Teil ist.
Erreicht ihr meine HTTP-Header Testseite auf: http://[2001:16b8:5ca4:8fc:116d:1ff3:2d1:ab30]:80 ?
...den die wird für diesen Klienten momentan auch auf test-ipv6.com angezeigt.

 

[HabNeFritzbox]

@koyaanisqatsi Bei http ist Port 80 überflüssig. Zudem ist es eine temporäre Adresse die verwendet wird. Wenn man schaust hast z.B. im Windows 2-3 IPs parallel.

Interface Identifier für IPv6-Unicast-Adressen

Wir haben im letzten Beitrag die Prefixe, also den Netzanteil von IPv6-Adressen etwas beleuchtet. Dies sind in letzter Konsequenz immer die linken 64 Bit einer IPv6-Adresse. Nun wollen wir uns den …

sephi42.wordpress.com

 

[Zentronix]

Hallo,

auf der Adresse von dir rührt sich nichts. Eine Freigabe muß im Router natürlich dennoch eingetragen werden, auch wenn kein NAT im Spiel ist.

Wenn dein Provider dir periodisch ein neues IPv6-Präfix (höhere 64 Bit) zuweist, dann mußt du DDNS verwenden. Da ist kein Unterschied zu IPv4.

Wenn du auf dem jeweiligen Host die Privacy Extensions eingeschaltet hast, also auch der Interface Identifier (niedere 64 Bit) periodisch wechselt, dann solltest du darauf achten, die hoffentlich parallel vorhandene unveränderliche Adresse zu verwenden. Ansonsten kann auch dafür DDNS herhalten.

Grüße.

 

[koyaanisqatsi]

Thx vor Test.

Ja, merk schon, bin da noch nicht so drinne

Ich will den ja auch nicht freigeben und nutze auch extra...

Heimnetz > Netzwerk >Reiter/Tab> Netzwerkeinstellungen > [IPv6-Adressen]
...damit ich nicht mit der "aus der MAC gebildeten" unterwegs bin.

 

[HabNeFritzbox]

Geräte erzeugen sich selbst aus dem Präfix ihre IPs... Verwende die zweite Option, dass reicht.

Standard nutzen die Geräte Privacy Extensions, also nicht aus der MAC gebildet.

Windows zeigt z.B. extra schon an IPv6 Adresse und Temporäre Adresse.