Hosting von Diensten bei Unitymedia/DS-Lite/IPv6

[Kyze]

Hi Leute,

ich habe Zuhause bei mir eine 16k-Leitung und auch keine Möglichkeit da mehr zu machen, da wir kein Kabel haben.
Da mir aber bald ein Umzug bevorsteht, bin ich jetzt schon mal am probieren, ob ich einen Kabelanschluss nehmen kann (wenn denn verfügbar) oder ob ich auf VDSL setzen muss.

Und zwar hab ich bei mir Zuhause einige kleinere Services für mich und meine Familie/Freunde laufen.
Mit 700kbit Upload geht da denkbar wenig, es gibt oft ordentliche Gedenkpausen und dann wird das Netz und der Ping manchmal schön lahm.
Nun bekommt man ja bei einigen Kabelanschlüssen schon mal eine ordentliche Portion Upload, womit man da doch etwas mehr anstellen könnte, was mir ja sehr gut gefällt.


Also hab ich aktuell einen kleinen Rechner bei meinem Kumpel (Unitymedia) hingestellt damit ich mal testen kann, ob ich es dort zum laufen bekomme. Aktuell mit wenig erfolg.

Im Endeffekt läuft das ganze ja darauf hinaus, das bei diesen Anschlüssen keine öffentliche IPv4 zur Verfügung steht und das alles nur per Carrier-grade-NAT umgesetzt wird.
Also ist alles was ich bisher bei mir gemacht habe (DynDNS -> Portfreigabe -> los gehts) hinfällig.
Per IPv4 ist also eh schon mal nichts zu holen.


Nun müsste das aber doch über IPv6 funktionieren, oder nicht ?
Das Problem: auch das kriege ich aktuell nicht wirklich zum laufen.

Aktuell versuche ich Murmur (Mumble-Server) auf einem 8.3.0 Debian zum laufen zu bekommen.
Debian kann IPv6, die externe IP habe ich auch. Versuche ich nun eine Verbindung dorthin aufzubauen per Adresse und Port, bekomme ich leider nur eine Fehlermeldung "Verbindung abgelehnt". Also erreicht wird der Server ja scheinbar, nur wird das noch irgendwo geblockt.
Einen Port muss ich im Router ja nicht mehr freigeben, denn IPv6 geht ja einfach daran vorbei.

Auf dem Debian läuft weder firwalld noch iptables (aktuell), also dürfte ja hier auch nichts im Weg stehen.

Vielleicht hat jemand einen Tip für mich, was diese Situation oder auch gerne hosten mit IPv6 im generellen betrifft.

Danke im Voraus!

 

[Wilhelm14]

Von wo aus testest du die Verbindung? Wenn der entferte Anschluss kein IPv6 kann, kannst du deinen IPv6 Server nicht erreichen.

PS: Bei IPv6 blicke ich auch noch nicht voll durch, da ich maximal einen Anschluss damit habe und zum Testen am liebsten einen weiteren bräuchte. Per Mobilfunk hat man leider häufig auch kein IPv6.

 

[n00del]

Schau mal hier
Vielleicht hilft dir das, wusste gar nicht, dass die sowas einsetzen und bin daher nicht mit der Materie vertraut.

 

[Kyze]

@Wilhelm14: Teste aktuell einmal vom Handy (könnte ja ggf. auch schon ein Problem sein...) und vom meinem Desktop Zuhause. Wir haben wie beschrieben normales DSL, aber ich denke mal mit einem Windows 10-Rechner sollte man trotzdem eine IPv6 Verbindung zustande bekommen, oder muss der Router (Fritzbox 3370) hier ggf. auch noch mitspielen ?

@n00del: Gut ist erst mal ne runde Lesestoff.. muss ich mal durchknabbern das ganze.

 

[lodex]

NAT existiert bei IPv6 so nicht mehr. Der Server braucht eine globale IP Adresse aus dem Netz, welches vom Provider bereitgestellt wird und die Firewall auf dem Router muss die Verbindung erlauben.

 

[Kyze]

Okay, soweit hab ich mich nun auch durchgekämmt: das Portfreigeben auf dem Router ist noch nicht ganz Geschichte, so wie ich es erst gedacht habe.

Habe nun also auf dem UM-Router (TC7200) eine Weiterleitung(?) auf die IP eingerichtet, für den betroffenen Port.
Ändert leider bisher noch nichts an der Situation..

Allerdings hat der Router auch noch eine Firewall, und der "IPv6 Firewall-Schutz" ist aktiv. So richtig konfigurieren kann ich dort aber nichts und ausmachen möchte ich die ungerne, da es ja nicht mein Netz ist.

Ich hoffe mal das die eingeschränkte Konfigurationsfähigkeit der UM-Router mir hier keinen Strich durch meine Tests macht..
Ich les mal zuende, vielleicht entdecke ich ja noch was.

 

[PongLenis]

oder ob ich auf VDSL setzen muss.

Wieso "muss"?
Wenn ich die Wahl zwischen VDSL und Kabelinternet habe, dann nehme ich doch mit Begeisterung VDSL. Gerade wenn ich Serverdienste Zuhause laufen lasse!

 

[brainDotExe]

Generell blocken die gängigen Router für Privatkunden alle IPv6 Anfragen aus dem Internet an Geräte im Netz.
Bei der FritzBox muss man dann entweder die Firewall für das Endgerät komplett ausschalten oder einzelne Ports freigeben.

Ob das mit dem TC7200 geht, keine Ahnung...

Edit:
http://blog.loetzimmer.de/2015/02/bridged-ipv6routed-ipv4.html
Wenn ich das richtig interpretiere kann man beim TC7200 die IPv6 Firewall nur ganz oder gar nicht abschalten.

 

[KurzGedacht]

Wieso "muss"?
Wenn ich die Wahl zwischen VDSL und Kabelinternet habe, dann nehme ich doch mit Begeisterung VDSL. Gerade wenn ich Serverdienste Zuhause laufen lasse!

Hängt schwer davon ab wo.
Ich hab hier Unitymedia Business und V-DSL von der Telekom und die V-DSL Leitung ist DEUTLICH schlechter. Gerade gegen Abend kommt bei vielen Diensten praktisch nichts mehr durch (< 1 mbit).
Die Unity Leitung hingegen bringt 24/7 die volle Leistung.

An anderen Wohnorten sieht das dann wieder völlig anders aus.

 

[brainDotExe]

Welche Dienste sind denn betroffen?
Ich vermute es liegt vielleicht einfach an der Peering Problematik der Telekom und nicht an VDSL an sich.

 

[Kyze]

Ja auch nochmal ein Update von mir.
Ich habe mich mal durch die ganze Thematik soweit durchgelesen.

Alles was mit IPv6 möglich wird, macht der miese UM Router mit seiner On/Off Firwall wieder zunichte.

Schade eigentlich, das dort so wenig zu machen ist.

Ich werde das soweit erstmal abbrechen, bis ich das an einem eigenen Anschluss wieder weiterverfolgen kann.
Denn die Firewall einfach auszuschalten, oder meinem Kumpel einen neuen Router aufzuschwätzen geht mir im Testrahmen dann doch zu weit.

 

[chrigu]

hast du die supporthotline von unity schon mal benutzt?

 

[Kyze]

Nein hab ich noch nicht. Weiß auch nicht ob die mich da durch lassen von wegen "Also ich bin ja eigentlich kein Kunde, aber hätte da mal eine Frage".

Zumal die einen anderen Router (sofern überhaupt machbar) sicher nicht kostenlos da rumtauschen, nur weil ein Technikbegeisterter mal was aus der Riesenleitung machen will .

 

[chrigu]

warum sollte UM irgendwas tauschen. die funktion ipv6 hosting funktioniert ja. und für richtiges dualstack (mit ipv4 und ports geht ds-lite nicht) brauchst du halt ein business-abo.

 

[Kyze]

Eigentlich ist aktuell erstmal alles ausgeschlossen was zusätzliche Kosten verursachen würde, da es nicht mein Anschluss ist.

Das IPv6 hosting funktioniert ist ja schön und gut, aber eben nur wenn die Firewall für IPv6 komplett ausgeschaltet ist.
Dann kriegen aber sämtliche Geräte die sich per IPv6 im Netzwerk befinden was-weiß-ich-Bullshit-Gewitter ab und das will ich eigentlich keinem Zumuten.

Wenn mir jetzt jemand sagt: "Naja, die Firewall braucht eh keiner, da gibts noch irgendeinen Schutzmechanismus der schon so standard ist" kann ich das von mir aus erst mal testen. Nachher läuft irgendein Smart-TV amok, weil der sicherlich keine Firewall hat.

Aber da der TC2700 nur an oder aus kann, ist da eben nicht mehr drin.
Wüsste auch nicht was mir die Supporthotline da helfen kann (wenn überhaupt).

 

[PEASANT KING]

Du kannst dir ja einfach hinter den Router nen Server setzen der die Firewall ersetzt. Dann die IPV6 Firewall im TC7200 abschalten.
Oder wie ich, abgesehen davon das ich von Unitymedia ne feste IPV4 habe, steckst einfach nen weiteren Router hinter den TC7200 und stellst das TC7200 auf Modembetrieb.
Am Ende konfigurierst du einfach die Firewall des anderen Routers. Ich nutz dazu z.B. neben der Server Firewall noch die Firewall vom TPLink Router.

 

[Kyze]

Gut wäre eine Möglichkeit (vermutlich die letzte).

Mache ich mal wenn ich da vor Ort bin, remote schieße ich da wahrscheinlich nur alles kaputt.
Dann setze ich mal eine Virtuelle UTM oder pfSense hinter den TC2700 und dann guck ich mal weiter.

 

[brainDotExe]

Meines Wissens nach kann der TC7200 kein IPv6 Prefix Delegation.
Also keine IPv6 Subnetze an nachgelagerte Router weitergeben.

@Kyze: Klappt denn der Bridgemodus noch? In diversen Foren liest man, dass dieser nicht mehr unterstützt wird.

 

[Kyze]

Probiert habe ich das aktuell natürlich noch nicht, anbieten tut er es aber.
Ich hoffe mal der setzt das auch um und macht mir damit nicht nur eine lange Nase.

Wurde das mit irgendeinem Update mal entfernt, oder wie ?

 

[Zerstoerer]

Noch eine andere Alternative:

Du könntest einen VServer mieten und darauf einen VPN-Server installieren. Nun musst du dich mit deinem Server/Rechner nur noch als Client in das VPN verbinden und im Vserver einstellen, das er als NAT alles an deinen eigenen Server/Rechner weiterleiten soll. Dafür wird dann einfach die VPN-IP verwendet.

Da du dafür auch einen kleinen VServer benutzen kannst, sollte der Kostenpunkt auch nicht wirklich hoch sein. Ein weiterer Vorteil ist dann auch, dass du keinen Port in der Firewall zu Hause freischalten musst und nebenbei eine feste IPv4 Adresse bekommst.