IPv6 - Freigabe + DNS

[new Account()]

Hallo,
ich versuche mich gerade an einer reinen IPV6 Freigabe.

Folgende Situation:

• DynDNS Service, welcher den AAAA-Eintrag auf die aktuelle IPv6-Addresse des Servers setzt (funktioniert)
• SSH (openssh - Port 22) + Webserver (ngnix - Port 80) sind via IPv6-Addresse (innerhalb des lokalen Netzwerkes erreichbar)
• Server ist via öffentlicher IPV6-Addresse pingbar (innerhalb des lokalen Netzwerkes - außerhalb kann ich nicht testen, da Mobilfunk kein IPv6 unterstützt)
• https://de.infobyip.com/ipbulklookup.php liefert die IPv6-Addresse zurück
• der A-Eintrag ist nicht gesetzt
• Der Webserver ist über die öffentliche IPv4-Addresse erreichbar
• https://test-ipv6.com/ liefert am PC: 10/10

Fritzbox:

• Port 80 ist für die IPv4- und IPv6-Addresse freigegeben (TCP)
• Port 22 ist für die IPv6 Addresse freigegeben (TCP)
• Port 47 und 1723 (IPv4+IPv6)-Freigaben ermöglichen funktionstüchtiges VPN
• Die IPv6-"Addresse im Internet" stimmt mit der obigen IPv6-Addresse überein und die IPv6 Interface-ID entsprichte einem Teil dieser
• "PING6 freigeben." und "Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen." ist angehakt.

Anschluss: o2

Probleme:

• Edge liefert "<domain.tld> server IP address could not be found. "
• ping domain.tld in Powershell liefert ~"Die Pinganfrage konnte den Host nicht finden...." bzw. "Test-Connection: Testing connection to computer 'livinginthefuture.de' failed: Cannot resolve the target name."
• ping domain.tld in WSL liefert: " No address associated with hostname"
• ssh und GetHostAddresses in Powershell liefert: "ssh: Could not resolve hostname domain.tld: Host unknown." (wäre ein A-Eintrag mit IPv4 verfügbar würde dieser von GetHostAddresses geliefert werden)
• Clear-DnsClientCache in Powershell hat keine Auswirkungen

Hat jemand eine Idee, wo das Problem liegen könnte?

 

[RalphS]

Was steht denn bei ipv6 für ein DNS Server drin, bzw. was liefert nslookup? Wenn da nur eine v4 Adresse als DNS Server kommt, dann funktioniert es sowieso nicht.

 

[till69]

Server ist via öffentlicher IPV6-Addresse pingbar (innerhalb des lokalen Netzwerkes - außerhalb kann ich nicht testen, da Mobilfunk kein IPv6 unterstützt)

https://www.ultratools.com/tools/ping6

Hat jemand eine Idee, wo das Problem liegen könnte?

https://avm.de/service/fritzbox/fri...Auflosung-privater-IP-Adressen-nicht-moglich/

 

[thomasschaefer]

Mache Mal bei der Fritzbox eine Ausnahme für den DNS Rebindschutz rein.
Tipp: besorge dir eine (Prepaid) SIM von der Telekom oder Vodafone, dann kannst du die Erreichbarkeit von außen auch selbst testen.

 

[Raijin]

Hat jemand eine Idee, wo das Problem liegen könnte?

Versteh mich nicht falsch, aber bei all den Infos (löblich) geht dein Problem irgendwie unter. So wie ich das verstehe versuchst du, den Server von außen via IPv6 bzw. mit einer DDNS-Domain zu erreichen, testest das ganze aber nur von innerhalb des Netzwerks. Soweit korrekt?

Solche Tests sind aus dem lokalen Netzwerk heraus oft fehlerbehaftet. Zum einen, weil bei der Verwendung einer Domain eben auch der besagte Rebindschutz zuschlagen kann - wenn die Domain via DNS auf eine lokale IP auflöst - und zum anderen, weil "von innen nach außen nach innen" auch NAT-Loopback ins Spiel bringt. Ich bin bei IPv6 ehrlich gesagt nicht sooo auf dem Laufenden, weil ich es bisher noch nicht nutze, daher weiß ich nicht inwiefern NAT-Loopback bei IPv6 überhaupt zum Tragen kommt bzw. was eben der Router im Falle von IPv6 dann tut (gibt ja kein NAT im eigentlichen Sinne).

Wie auch immer, gerade wegen dieser potentiellen Probleme beim innen-außen-innen-Test solltest du tatsächlich das gewünschte Szenario testen, also von außen. Wenn du mangels IPv6 am Handy so nicht testen kannst, musst du eben bei einem Nachbarn, Kumpel, Bekannten, Arbeitskollegen - oder ggfs auch vom Büro aus - testen. Ich denke da führt kein Weg dran vorbei. Es ist ja sinnfrei, an einem Problem rumzudoktern, dass im worst case nur durch dein Testszenario, das gar nicht dem Zielszenario entspricht, entsteht.

 

[thomasschaefer]

NAT-Loopback gibt's nicht mehr. Das einzige, was stören kann, ist der Rebindschutz und natürlich die Firewall.

 

[new Account()]

https://avm.de/service/fritzbox/fri...Auflosung-privater-IP-Adressen-nicht-moglich/

Mache Mal bei der Fritzbox eine Ausnahme für den DNS Rebindschutz rein.

Macht Sinn. Und funktioniert damit auch. Danke!
Das Feature ist natürlich mit IPv6 etwas ungünstig...

Wie auch immer, gerade wegen dieser potentiellen Probleme beim innen-außen-innen-Test solltest du tatsächlich das gewünschte Szenario testen, also von außen.

Das gewünschte Szenario ist/war, dass der Server hinter der Domain von überall aus erreichbar ist

Ergänzung (26. März 2020)

Achja, interessant was man online so für Tweets bzgl. IPv6 und O2 findet:
https://twitter.com/o2de/status/1141362166773276672?s=20

Ergänzung (26. März 2020)

Wenn da nur eine v4 Adresse als DNS Server kommt, dann funktioniert es sowieso nicht.

Ist das nicht dadurch ausgeschlossen, dass ich ohne Probleme andere IPv6-only Seiten aufrufen kann bzw. der IPv6-Test erfolgreich war?

 

[brainDotExe]

Achja, interessant was man online so für Tweets bzgl. IPv6 und O2 findet:
https://twitter.com/o2de/status/1141362166773276672?s=20

Wäre für mich ein Grund zum Netzwechsel.

 

[Bob.Dig]

Wäre für mich ein Grund zum Netzwechsel.

Ich zahl lieber 4 Euro für allnet flat und 2 GB im Monat und verzichte auf IPv6. 😉

 

[till69]

Ich zahl lieber 4 Euro für allnet flat und 2 GB im Monat und verzichte auf IPv6.

So ist es ... aber Du hast die SMS-Flat vergessen ... die ist auch noch dabei