Fritzbox 6490 Cable und IPv6 Portforwarding

Dieses Thema im Forum "AVM (Fritz)" wurde erstellt von -Max-, 1. November 2017.

  1. -Max-

    -Max- Starter

    Registriert seit:
    1. November 2017
    Beiträge:
    4
    Punkte für Erfolge:
    1
    Hallo zusammen,

    ich hoffe, ich bin mit meinem Anliegen hier richtig. Erstmal zum Kontext:
    Ich hab einen kleinen Server zuhause stehen, auf den ich auch gerne mal von außerhalb via SSH zugreife. Natürlich hat der Server keine feste IP, aber er schickt mir eine Mail, sobald sich seine IP mal ändert. Für den gelegentlichen Zugriff ist das nicht zu unkomfortabel und ich spare mir so Services wie DynDNS und Verwandte.

    Bisher hatte ich einen IPv4-DSL-Anschluss bei der Telekom mit einem Speedport 720V Router. Dort hatte ich den Port 22 für meinen Server freigegeben und konnte ihn ohne Weiteres von Außerhalb über seine IP per SSH erreichen. Daher gehe ich davon aus, dass mein Setup grundsätzlich korrekt konfiguriert ist.

    Nun habe ich einen Kabelanschluss und eine Fritzbox 6490 Cable und habe es trotz einiger Recherche und Probierens noch nicht geschafft, meinen Server von Außerhalb zu erreichen:
    Zunächst habe ich unter Internet -> Freigaben -> Portfreigaben eine Freigabe für meinen Server eingerichtet: von Port 22 bis Port 22 an Port 22 für TCP an meinen Server. Dann habe ich allerdings herausgefunden, dass ich IPv4 nur noch per DS-Lite bekomme. Es führt also via IPv4 wohl kein Weg mehr zu mir, der nicht von Innen aufgebaut worden wäre, und der gerade beschriebene Tab scheint lediglich die IPv4-Firewall zu konfigurieren.
    Dann habe ich unter Internet -> Freigaben -> IPv6 eine entsprechende Freigabe eingerichtet: von Port 22 bis Port 22 für TCP. Da ich meinen Server hier (warum auch immer) nicht direkt aus dem Dropdown-Menü wählen kann, habe ich die Interface-ID manuell eingetragen. Dabei habe ich es sowohl schlichtweg mit den letzten 64 Bit seiner IPv6-Adresse versucht, unter der er im Heimnetz problemlos zu erreichen ist (und die auch nach Außen seine IP zu sein scheint), als auch mit einer aus seiner MAC-Adresse gebildeten EUI-64-Interface-ID. Nichts von alldem hat allerdings zum Erfolg geführt, SSH-Verbindungen scheitern stets mit Timeout.

    Hat jemand dieses Problem schon einmal gelöst?
     
  2. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.127
    Punkte für Erfolge:
    120
    Hi,

    willkommen im Forum.

    Hat der Server eine öffentliche IPv6 oder nur eine LLA bzw. ULA? Ist der DHCPv6 Server in der FB angeschaltet und wie ist er konfiguriert (Vergabe von IP-Adressen)? Der Client, von dem aus du zugreifst, befindet sich in einem IPv6 fähigen Netzwerk?

    VG
     
  3. -Max-

    -Max- Starter

    Registriert seit:
    1. November 2017
    Beiträge:
    4
    Punkte für Erfolge:
    1
    Danke für die Antwort! :)

    Sofern ich das richtig sehe, sollte die IP, die er mir schickt, seine öffentliche sein. Sie liegt weder im Bereich fe80::/10 -- fe80:: - febf:: noch im Bereich fc00::/7 -- fc00:: - fdff::

    Der DHCPv6 Server ist wie folgt konfiguriert (ich schreibe nur die Optionen, die ausgewählt sind):
    - Unique Local Addresses (ULA) zuweisen, solange keine IPv6-Internetverbindung besteht (empfohlen)
    - Diese Fritz!Box stellt die Standard Internetverbindung zur Verfügung
    - DNSv6-Server auch über Router Advertisement bekanntgeben (RFC 5006)
    - DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren:
    - Nur DNS-Server zuweisen

    Da der Client mobil ist, kann das schwanken und ich bin mir des Problems bewusst. Das Netzwerk, von dem aus ich es getestet habe, ist aber IPv6-fähig.
     
  4. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.127
    Punkte für Erfolge:
    120
    Hi,
    welche öffentliche IPv6 der Server (unter Linux oder Windows?) hat, kannst du mit einem IPv6 Test herausfinden, z.B. durch Aufruf von http://ipv6-test.com/ auf dem Server.
    Der Server ist grundsätzlich über alle seine öffentlichen IPv6 Adressen erreichbar. Er selbst benutzt die "temporären" IPv6 Adresse mit "Privacy Extension" für den Weg nach draußen. Diese haben eine kurze Halbwertszeit und werden regelmäßig durch neue ersetzt. Die per SLAAC ohne "Privacy Extension" generierte IPv6 (das ist die, die "nur" aus der MAC-Adresse des Clients abgeleitet ist), ist fest, sofern sich die IPv6 Prefix nicht ändert. Die sollte bevorzugt für den Verbindungsaufbau von außen zum Server genutzt werden.

    Hast du ein MyFritz-Konto? Dieser DynDNS-Dienst kann gut mit IPv6 umgehen. Die Portfreigabe muss dann allerdings unter dem Reiter "Myfritz" durchgeführt werden - die Freigabe unter "Freigaben" muss gelöscht werden.

    BTW: Die FB kann normalerweise recht gut mit IPv6 umgehen...

    VG
     
  5. -Max-

    -Max- Starter

    Registriert seit:
    1. November 2017
    Beiträge:
    4
    Punkte für Erfolge:
    1
    Danke für den Link, damit bin ich mir jetzt sicher, dass mein Server (Linux, btw.) mir die korrekte IP schickt.

    Das ist ja auch meine Erwartung, aber ich kann ihn nicht einmal anpingen (100% packet loss). Kann ich das als Deine Zustimmung verstehen, dass ich eigentlich alles korrekt konfiguriert habe?

    Nein, den Overhead zusätzlicher Dienste würde ich gerne vermeiden. Mein Ziel ist lediglich, dass der Server (sprich: SSH) von Außen unter der öffentlichen IP erreichbar ist, mehr will ich ja garnicht.
     
  6. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.127
    Punkte für Erfolge:
    120
    Hi,
    wie siehts mit der Firewall auf dem Server aus? Lässt die Pakete eingehend aus öffentlichem Raum (Internet:D) zu?

    VG
     
  7. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.127
    Punkte für Erfolge:
    120
    Hi,
    muss beim sshd irgendwas für IPv6 konfiguriert werden? Also sowas wie ListenAddress ::

    VG
     
  8. -Max-

    -Max- Starter

    Registriert seit:
    1. November 2017
    Beiträge:
    4
    Punkte für Erfolge:
    1
    Ja, tut sie! :D

    Nein, das wäre mir neu. Zumal innerhalb meines Heimnetzes ja auch alles über IPv6 läuft und ich ihn über exakt die Adresse, die auch seine externe ist, innerhalb des Heimnetzwerks erreichen kann.

    Ich schließe daher Fehler in der Konfiguration des SSH Servers oder der Firewall des Servers eigentlich aus.