gopromaster
Anmeldungsdatum: 19. November 2020
Beiträge: 6
|
Hallo, ich versuche, meinen Webserver (Ubuntu minimal 20.04 auf odroid C4) übers Internet verfügbar zu machen.
Habe ufw aktiviert und Ports 80 und 443 freigegeben (v4 und v6). Ich aktualisiere die AAAA- und A-Records meiner Subdomain bei dynv6.com automatisch mit ddconfig, und die dort angezeigten Adressen stimmen mit meinen public IPs überein (welche ich mit curl ident.me und curl ifconfig.me finde).
Mittels ifconfig werden mir momentan drei globale IPv6-Adressen angezeigt, eine davon die, die im Router angezeigt wird (unter "Verbundene Geräte"). Eine andere davon die mittels curl ident.me ausgegebene, offenbar nach außen sichtbare. In meinem Router (UPC connect box, nicht sehr empfehlenswertes Gerät) habe ich eine IPv6 Port Rule für Port 80 erstellt (TCP/UDP). ping.eu zeigt mir den Port als offen an, andere Port Checker jedoch nicht, und übers Handynetz kann ich nicht zugreifen. Ich habe den Verdacht, es liegt daran dass ich keine Port-Forwarding Rule für die IPv4-Adresse erstellt habe. Das sollte aber gar nicht nötig sein, wenn ich das richtig verstehe. Irgendwie steh ich aufm Schlauch, bin auch recht neu bei Linux und Networking... Vielen Dank schonmal! Felix
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
gopromaster schrieb: Mittels ifconfig werden mir momentan drei globale IPv6-Adressen angezeigt, eine davon die, die im Router angezeigt wird (unter "Verbundene Geräte"). Eine andere davon die mittels curl ident.me ausgegebene, offenbar nach außen sichtbare.
Hat die nach außen sichtbare IPv6-Adresse, eine statische Interface-ID? Wenn nicht, dann entsprechend konfigurieren.
|
gopromaster
(Themenstarter)
Anmeldungsdatum: 19. November 2020
Beiträge: 6
|
Die IP mit statischer ID ist weder die nach außen sichtbare, noch die im Router angezeigte. Müsste ich das am odroid oder am Router (oder beides?) konfigurieren, und wie?
Beim DHCPv6-Server am Router kann ich nur eine statische private IPv4 für die odroid festlegen, keine IPv6... Freunde von mir konnten von außen auf den Server zugreifen, sie selbst hatten eine IPv6 Adresse.
Mit IPv4 gings nicht...
|
JensHol
Anmeldungsdatum: 31. Oktober 2017
Beiträge: 322
|
Dass du vom Handy Netz nicht zugreifen kannst, kann daran liegen, dass dein Provider mobil noch kein ipv6 unterstützt. Grundsätzlich für ipv4: machen Router nat, heißt es geht die Router up nach draußen und du leitest vom Router eingehenden Verkehr auf Port 80/443 per Router Konfiguration um auf eine interne IP. IPv6 funktioniert anders: du musst von extern (dein Provider Miss echtes ipv6 unterstützen, also dir einen Adress Kreis zuordnen) direkt die interne Adresse deines Servers ansprechen. Und der Router muss so konfiguriert sein, dass er ipv6 den Verkehr nicht auf die interne Adresse umleitet (rein, ändern und raus), sonder durchlässt. Bei ipv6 ist eine Adressänderung durch den Router nicht vorgesehen. Also kannst du ipv6 auch mit aus ipv6 Netzen testen. Vielleicht postest du mal deine subdomain, dann können wir von hier probieren (ipv4 und v6) Und die Ausgabe von ifconfig Willst den Webserver ja eh erreichbar machen 😉 Edit: dein DNS-Eintrag braucht also ipv4 die öffentliche Adresse des routers (muss der Router schicken oder ein Script was die auslöst) und die ipv6 muss dein Server setzen, da der Router die nicht kennt
|
JensHol
Anmeldungsdatum: 31. Oktober 2017
Beiträge: 322
|
Ergänzung: habe mal gerade die von dir zitierten Seiten angesehen: Die liefern die öffentliche ipv4 und die interne ipv6. Du hast geschrieben, ipv6 hast du freigegeben im Router und deine Freunde mit ipv6 kommen drauf. Ergo: ipv4 geht nicht und da dein mobil Netz nur ipv4 unterstützt (Vermutung) kommst du nicht mobil drauf. Für ipv4 musst du im Router eine ip Weiterleitung einrichten. Also sowas wie: eingehend ipv4 Port 80 auf intern 192.168.1.5 Port 80 weiterleiten . Und das gleiche für 443. da du dazu nichts geschrieben hast, vermute ich das fehlt noch. Lt. Handbuch deiner Box unter Sicherheit Port Weiterleitung.
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17660
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Bei IPv4 wird NAT gemacht und daher ist da eine Portweiterleitung notwendig. Bei IPv6 gibt es kein NAT, der PC hat eine öffentliche Adresse (beginnt mit 2 oder 3, die fe80er sind nicht geroutet und können dafür nicht genutzt werden) und kann sowohl vom internen Netz als auch von außen darüber erreicht werden. Viele Router implementieren aber eine Firewall.
Hier muss dann die passende Regel eingerichtet werden.
Bei manchen Routern wird beim Einrichten der Portweiterleitung für IPv4 auch eine Firewall-Regel eingerichtet. Prüfe, ob du den Serverdienst aus dem internen Netz über die öffentliche IPv6-Adresse erreichen kannst.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
gopromaster schrieb: Die IP mit statischer ID ist weder die nach außen sichtbare, noch die im Router angezeigte. Müsste ich das am odroid oder am Router (oder beides?) konfigurieren, und wie?
Du musst das mit der statischen Interface-ID für die externe IPv6-Adresse, in dem Gerät konfigurieren, das Du aus dem Internet per IPv6 erreichen willst. Deaktiviere dort die Privacy Extensions für IPv6, so dass diese Gerät nur eine einzige externe/globale IPv6-Adresse mit einer statischen Interface-ID bekommt. Zusätzlich zum deaktivieren des PEs, ist die Konfiguration für eine statische Interface-ID davon abhängig wie, ob und welcher v6-DHCP-Client auf diesem Gerät verwendet wird. Hat deine UPC-connect-Box evtl. eine v6-Firewall oder kannst Du in diesem "border device" eine Gerät, bzgl. IPv6-Erreichbarkeit, vollständig freigeben?
|
gopromaster
(Themenstarter)
Anmeldungsdatum: 19. November 2020
Beiträge: 6
|
Danke für eure schnellen & umfangreichen Antworten! Mein Router kann im IPv6-Modus leider keine IPv4 Portweiterleitung machen. Dies wäre aber wohl nötig... Ich habe wohl zwei Optionen: 1. Mein Provider stellt meinen Router auf IPv4 um und ich mache es "klassisch" ohne IPv6. 2. Ich verwende den Router als Modem und hole mir einen anderen Router, der das kann (ich dachte da an den Ubiquiti EdgeRouter X). Vorteil von Lösung zwei wäre, dass ich den Server in ein anderes VLAN setzen kann als den Rest, um eine DMZ zu machen.
Mein jetziger Router kann nämlich nur einen exposed host benennen, das ist mir eigentlich zu unsicher. Meine Fragen sind: - Kann der EdgeRouter IPv6 & IPv4 Port Forwarding gleichzeitig? - Wie kann ich Privacy Extensions deaktivieren? Habe im Netz nichts nützliches gefunden...
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
gopromaster schrieb: Mein Router kann im IPv6-Modus leider keine IPv4 Portweiterleitung machen. Dies wäre aber wohl nötig...
Nein, für die Erreichbarkeit per IPv6 aus dem Internet, wird in keinem Router eine IPv4-Portweiterleitung (NAT) benötigt.
Was benötigt wird, ist eine einzelne (v6-)Portfreigabe (wenn nicht alle Ports/Protokolle freigegebenwerden) in der v6-Firewall des Routers. Das Gerät ist dann mit seiner externen IPv6-Adresse, direkt im Internet (als border device). Was genau meinst Du mit "IPv6-Modus" deines Routers? Du hast doch natives IPv6 (... entweder mit Dual stack oder mit Dual stack-lite, von deinem Internetprovider), oder? EDIT: Betr. PE, siehe: https://wiki.ubuntuusers.de/IPv6/Privacy_Extensions/
|
gopromaster
(Themenstarter)
Anmeldungsdatum: 19. November 2020
Beiträge: 6
|
lubux schrieb: Was benötigt wird, ist eine einzelne (v6-)Portfreigabe (wenn nicht alle Ports/Protokolle freigegebenwerden) in der v6-Firewall des Routers.
Das habe ich bereits gemacht, und via IPv6 kann auch extern auf den Server zugegriffen werden. Via IPv4 allerdings nicht... lubux schrieb: Was genau meinst Du mit "IPv6-Modus" deines Routers? Du hast doch natives IPv6 (... entweder mit Dual stack oder mit Dual stack-lite, von deinem Internetprovider), oder?
Ich habe nativ IPv6, aber der Router kann keine IPv4 Portweiterleitungen machen, siehe https://community.magenta.at/topic/5034-cannot-access-port-forwarding-connect-box/.
Bei UPC in der Schweiz wird da der Router (selbes Modell) auf IPv4 umgestellt: https://community.upc.ch/t5/Connect-Box/UPC-Port-Forwarding-Connect-Box/td-p/137466.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
gopromaster schrieb: Bei UPC in der Schweiz wird da der Router (selbes Modell) auf IPv4 umgestellt: https://community.upc.ch/t5/Connect-Box/UPC-Port-Forwarding-Connect-Box/td-p/137466.
Was mit "wird da der Router (selbes Modell) auf IPv4 umgestellt" gemeint ist, weiß ich nicht. Hast Du DS (d. h. natives IPv6 und natives IPv4) oder hast Du DS-lite (d. h. nur natives IPv6 und IPv4 über einen Tunnel/oder gleichwertig)? Wenn Du DS-lite hast, kannst Du nicht per IPv4, aus dem Internet auf deine Geräte im W/LAN des Routers zugreifen.
|
gopromaster
(Themenstarter)
Anmeldungsdatum: 19. November 2020
Beiträge: 6
|
Ich habe wohl DS-lite, im Router steht unter anderem "IPv6 DS-Lite Status: Aktiviert" zusammen mit DS-lite FQDN und -Adresse. Heißt das, ich kann auch mit einem fähigeren Router nicht von außen per IPv4 zugreifen? Ich sollte mal mit dem Magenta-Service klären, was da gemacht werden kann.
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17660
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Die Telekom nutzt wohl in ihrem Kabelnetz mittlerweile auch CG-NAT.
Damit ist eine Erreichbarkeit von außen über IPv4 völlig ausgeschlossen, ob und welcher Router genutzt wird ist dabei egal. Wenn die nicht vollständiges Dual-Stack bieten, sondern dann nur IPv4 ohne CG-NAT (IPv4 und IPv6), dann ist das ein Armutszeugnis im Jahr 2020. Frage da nochmal nach.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
gopromaster schrieb: Heißt das, ich kann auch mit einem fähigeren Router nicht von außen per IPv4 zugreifen?
Wenn es bei DS-lite bleibt, kannst Du auch mit einem "fähigeren" Router, von außen per IPv4 nicht direkt zugreifen. Was evtl. möglich wäre, ist z. B. per VPN. Z. B. Wireguard-v6-Tunnel und in diesem VPN-Tunnel per IPv4. Das geht aber nur dann, wenn der Client auch natives IPv6 hat und auf dem Client der WireGuard installiert und konfiguriert werden kann.
|
gopromaster
(Themenstarter)
Anmeldungsdatum: 19. November 2020
Beiträge: 6
|
Ich möchte ja einen Webserver betreiben und daher auch IPv4 abdecken, um so erreichbar wie möglich zu sein. Ich bin bei Magenta in Österreich, ich frage mal nach ob ich eine öffentliche IPv4-Adresse bekommen kann. Danke für die Hilfe!
|