[Gelöst] MyFRITZ DynDNS auf IPv4 festsetzen und IPv6 ignorieren

fabe1999

Neuer User
Mitglied seit
21 Sep 2023
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,
Ich weiß nicht ob ich hier an richtiger stelle bin,
leider sind mir inzwischen die Ideen ausgegangen.

Kurz zu meiner aktuellen Situation:
Ich habe meine Fritzbox 7590 über den MyFRITZ DynDNS Service ins Internet freigegeben.
Anschließend habe ich meine eigene Domain per CNAME mit der von MyFRITZ vorgegebenen verknüpft.
Das funktioniert soweit auch ohne Probleme.
Wird von extern ein NSlookup auf "meine.domain.de" gemacht erhalte ich auch die passenden IP Adressen, einmal die IPv6 und die IPv4.
Meine Box ist mit einem DS-Lite-Tunnel angebunden. eine Native IPv4 Adresse erhalte ich nicht, schalte ich IPv6 Unterstützung aus bekomme ich gar keine Verbindung ins Netz.
Der Aufruf der Loginseite der Fritzbox funktioniert ebenfalls über die Domain oder auch über die IPv6 als auch über die IPv4.

Nun zum Problem:
Ich habe in meinem Heimnetz einen Server stehen welcher mit Portfreigaben von extern erreichbar ist.
Versuche ich mich von Extern mit der IPv4 zu verbinden funktioniert alles wie gewünscht.
Heißt die Portfreigaben funktionieren schonmal.
wenn ich jetzt aber die Domain nehme erhalte ich keine Verbindung, dabei ist es egal ob ich die "xyz.myfritz.net" oder "meine.domain.de" nehme.
Versucht man sich per IPv6 mit dem Server zu verbinden funktioniert das auch nicht.
Ich habe die Befürchtung das die Anwendung welche zugriff zum Server braucht nicht sauber mit IPv6 umgehen kann,
bei einer Auflösung der Domains diese als jedoch als bevorzugte IP angegeben wird und daher keine Verbindung zu stande kommt.
Ich hatte nun überlegt ob es möglich ist die Auflösung der Domains nur auf die DS-Lite IPv4 Adresse zu machen und die IPv6 komplett zu ignorieren.

Ist sowas in der Art möglich oder hat jemand noch eine andere Idee was ich noch ausprobieren könnte?

Vielen Dank schonmal für jegliche Hilfe.
Grüße Fabe1999
 
Meine Box ist mit einem DS-Lite-Tunnel angebunden. eine Native IPv4 Adresse erhalte ich nicht
Versuche ich mich von Extern mit der IPv4 zu verbinden funktioniert alles wie gewünscht.
Das widersprichst sich.

Bei DS-Lite gibt es keine von außen erreichbare IPv4, und um seine Geräte per IPv6 zu erreichen, braucht man die IPv6 der Geräte (+Portfreigabe), nicht die der Fritzbox, da es bei IPv6 kein NAT und keine Portweiterleitungen gibt, nur noch Portfreigaben (auch wenn AVM beides Portfreigaben nennt).
Bei MyFritz ist kaum was einstellbar, der Updater übermittelt die IPv4 und IPv6 der Fritzbox. Erst ab einer bestimmt Fritz!OS-Version versucht der Updater DS-Lite zu erkennen und nur die IPv6 zu übermitteln. Um an die IPv6 der internen Geräte heranzukommen, gibt es die MyFritz-Portfreigaben. Der Unterschied zu den normalen Portfreigaben ist der, dass auch die IPv6 des Ziels der Freigabe an MyFritz übermittelt und dann DNS-auflösbar wird (<host>.<myfritzid>.myfritz.net).
 
Moin


Nochmal zur Verdeutlichung...
MyFritz Freigabe IPv4: <myfritzid>.myfritz.net[:port]
...mit Fallback auf Public IPv6 der FritzBox.

MyFritz Freigabe IPv6 only: hostname.<myfritzid>.myfritz.net[:port]
...weil kein Fallback auf IPv4.

Wenn du eine MyFritz Freigabe gemacht hast, bearbeite die und dort wird dir die IPv6 DNS angezeigt.
 
Zuletzt bearbeitet:
Hallo,
Vielen Dank für die Rückmeldung, allerdings verstehe ich das mit der IPv4 nicht ganz.
Du sagst das ich mit DS-Lite keine IPv4 Adresse erhalte. In der Übersicht als auch beim NSLookup erhalte ich aber jeweils Antworten für IPv4 und IPv6
Fritz-IP.jpg
NSlookup.jpg
[Edit Novize: Riesenbilder gemäß der Forumsregeln auf Vorschau verkleinert]
Ich hatte ursprünglich normale Portfreigaben, mit diesen hat es auch bei IPv4 funktioniert. Bei IPv6 hatte ich wohl dann einen Denkfehler bezüglich NAT drinnen.
Ich habe die Freigaben gestern Abend mal auf eine MyFritz freigabe umgebaut. Allerdings scheint das nicht sauber zu funktionieren. Wenn ich als Protokoll UDP eingeben und anschließend übernehmen Klicke erscheint in der Übersicht trotzdem TCP, somit kommt auch keine Verbindung zu stande.

Ich habe jetzt allerdings eine Lösung gefunden, ob das so gewollt ist weiß ich nicht aber es funktioniert:
Der Server besitzt jetzt eine random TCP MyFritz freigabe so das ich eine neue Domain bekommen habe: "server.xyz.myfritz.net" diese hat jetzt auch die richtige IPv6 vom Endgerät. Die habe ich dann wieder per CNAME mit meine.domain.de verknüpft.
Anschließend habe Ich eine standard Portfreigabe für den passenden UDP Port erstellt. Das funktioniert nun ohne Probleme.

Danke nochmal für die Unterstützung und ein schönes Wochenende.
Gruß Fabe1999
 
Zu DS-Lite lies mal hier.
Ja, da hast du Recht, bei MyFritz-Freigaben gibt es keine Wahl zwischen TCP und UDP. UDP geht nur mit den normalen Portfreigaben, aber man kann pro Ziel mischen.
 
Du sagst das ich mit DS-Lite keine IPv4 Adresse erhalte.
Das stimmt so nicht.
Selbstverständlich erhältst du auch mit DS-lite eine IPv4. Diese benötigst du, damit du auch die wenigen, immer noch nicht per IPv6 erreichbaren Server und sonstigen Ziele erreichen kannst. Nur diese IPv4 ist keine "öffentliche" oder "routingfähige" oder erreichbare IPv4, sondern eine aus dem CG-NAT (also aus dem privaten Netzbereich) deines Providers. Mit dieser IP kannst du also alle Ziele erreichen, aber dein Router selbst ist darüber nicht erreichbar. Ich schätze mal, dass mindestens 90% aller DS-lite-Nutzer diese "Einschränkung" überhaupt nicht bemerken. Und meinen eigenen Messungen nach, werden ggw. bereits etwa 80 bis 90% aller ausgehenden Verbindungen aus meinem Netz mit dem modernen IPv6 aufgebaut. WOWEREIT!

Was die ankommenden Verbindungen betrifft:
Ich betreibe selbst ein, für rein private und nicht kommerzielle Zwecke schon recht großes, Netz aus gegenwärtig neun externen WireGuard-"Servern" (auf OpenWrt umgeflashten F!B 4040 und 7412) in drei Ländern. Und es spielt absolut keine Rolle, ob ich und meine VPN-Partner DS oder DS-lite haben! So ziemlich alle UDP-Verbindungen für die Tunnel laufen "völlig freiwillig" über IPv6. Nur in ganz seltenen Fällen wird ab und an mal IPv4 genutzt. Warum dieses alte Protokoll überhaupt mal genutzt wird, konnte ich noch nicht feststellen. Und dass (zumindest bei einem "richtigen" WireGuard - keine Ahnung, ob dieses das "AVM-WireGuard" auch kann) intern über den Tunnel sowohl IPv6 als auch IPv4 übertragen werden kann, ist ja auch bekannt. Also auch hier echter Dualstack!

Dass bei IPv6 die tatsächliche IPv6 des zu erreichenden Servers an den DDNS-Dienst übertragen werden muss, ist ja bekannt. Die uralte Krücke NAT wird ja dafür nicht mehr benutzt. Ich benutze allerdings nicht den entsprechenden (mir auch etwas suspekten) AVM-Dienst, sondern einen IMHO sehr guten und zuverlässigen anderen Dienst: dynv6.com. Und dann natürlich auf jedem meiner vielen zu erreichenden Geräte einen darauf installierten DDNS-Client. Diese gibt es mittlerweile für alle gängigen Betriebssysteme, auch für die WinDOSe. Und dieser Dienst löst dann jeden fast frei wählbaren Namen zuverlässig nach IPv6 und IPv4 auf.

Fazit: Wer heutzutage immer noch irgendetwas gegen IPv6 unternimmt, ist schön <zensiert>.

vy 73 de Peter
 
Okay also das mit IPv6 habe ich jetzt soweit hin bekommen, hatte dabei nur vergessen das es kein NAT mehr gibt. Sollte mir das ganze IPv6 nochmal in Ruhe anschauen.
Bei der IPv4 verstehe ich das immer noch nicht ganz. Die verbindung von extern nach intern über IPv4 und dann NAT auf meine Private IPv4 hat von anfang an funktioniert. Ich habe von meinem ISP auch eine Portbereich vorgegeben bekommen welchen ich nutzen kann um Freigaben zu erstellen, ich gehe davon aus das mehrere Kunden die Selbe IPv4 erhalten aber dann eben andere Portbereiche so das der Zugriff von Extern dann anhand der Ports passend geroutet wird.
Kann das sein?

Und kann man hier eine Frage als gelöst markieren?

Grüße Fabe1999
 
Trotzdem noch eine Antwort zu #7:

Hier wurde vom Provider eine "Lösung" mit dem Namen "Port Controll Protokoll" (PCP) eingesetzt. Auch eine Krückenlösung, zum Umgehen des Engpässe bei den IPv4. Sharing einer IPv4 durch mehrere Kunden durch die Zuteilung eines Bereiches von zu nutzenden Ports.

IMHO eine Lösung für Leute, denen IPv6 "zu kompliziert ist".
 
Selbstverständlich erhältst du auch mit DS-lite eine IPv4. Diese benötigst du, damit du auch die wenigen, immer noch nicht per IPv6 erreichbaren Server und sonstigen Ziele erreichen kannst. Nur diese IPv4 ist keine "öffentliche" oder "routingfähige" oder erreichbare IPv4, sondern eine aus dem CG-NAT (also aus dem privaten Netzbereich) deines Providers.
Bei DS-Lite bekommt der Router tatsächlich überhaupt keine IPv4-Adresse vom Provider zugewiesen. Für die IPv4-Konnektivität ins Internet baut der Router über IPv6 einen Tunnel zum AFTR auf. IPv4-Pakete werden dann unverändert über diesen Tunnel geschickt (d.h. mit IPv4-Adresse aus dem LAN).
 
Die Bilder in #4 zeigen aber trotz DS-Lite eine IPv4-Adresse im Internet
Das dürfte die öffentliche IPv4-Adresse sein, die der AFTR fürs NAT benutzt. Die Anzeige gibt es aber nicht generell bei DS-Lite. Wenn man sich den Code in der internet.lua in der Firmware anschaut, liegt das wohl daran, dass die externe IPv4-Adresse über PCP ermittelt wird.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.