Ipv6 Verständnisfragen

[Vorschlaghammer]

Hallo zusammen,

ich weiß, es gibt bereits zahllose Beiträge zum Thema Ipv6, Zwangsauseinandersetzung durch DS-Light Anschluss, DynDns etc. Ich habe jetzt seit mehreren Tagen versucht, mein System zum Laufen zu bekommen, aber ich habe einfach ein paar Verständnisprobleme.

Hintergrund ist wie bei so vielen die Umstellung auf DS-Light, sprich, nur noch Ipv6 Adresse nach außen. Bisher: Domain www.meins.de hat auf mein dyndns gezeigt meins.selfhost.de auf meine Ipv4 und eben auf die Fritzbox. Durch Ports konnte ich perfekt verschiedene Services auf meinen diversen Pis ansteuern, alles durch die gleiche Adresse - www.meins.de. Geht jetzt nicht mehr - habe verstanden warum. Aber nicht, wie ich es lösen kann. Daher folgende Überlegungen.

a) Ok, Ipv6. FritzBox bekommt einen Stack zugewiesen mit dynamischen Präfix (123:456:abc:. Die Box nimmt dann den Prefix und bastelt die Suffixe meiner Pis (z.B. ::789:012:def:ghi) an den Präfix dran.
b) Ipv4 Konzept: Eine IP, Anfragen werden über Ports an das entsprechende Gerät weitergeleitet. Hieß im Umkehrschluss, wenn ich in der Fritzbox kein Port freigebe, der auf das entsprechende Gerät zeigt, ist das Gerät nicht von außen erreichbar => Sicherheit.
c) Ipv6 => es gibt keine Portweiterleitung mehr...? Wie sicher ich dann mein Gerät? Mit einer eigenen Firewall (z.B. ufw)? Ist das nicht ein Rückschritt im Thema Sicherheit? Ich habe ja dann keine globale Fritzbox Firewall mehr oder? Also ganz oder gar nicht? Muss ich dann das Gerät als Exposed Host in der Fritzbox freigeben? Oder doch nur wieder der eine Port?
d) Was ich in diversen Anleitungen gesehen habe: Dyndns auf Fritzbox (ich nutze jetzt dynv6). Dann eben doch wieder die Portweiterleitung auf den Pi einrichten. Rufe ich jetzt meineadresse.dynv6.net auf mit dem Port 1234 (den ich in der FB freigegeben habe für den entsprechenden PI), gibt mir nmap aber immer die Fritzbox IP zurück, nicht die des PIs: nmap -6 -p 1234 meineadresse.dynv6.net Also geht das so nicht? Ist dann doch die Lösung c) zwingend erforderlich? Ich hätte erwartet, dass die FB checkt, aha da ist ein Port dabei, dann bastel die IP des PIs aus Prä- und Suffix zusammen. Macht sie aber nicht, sie nimmt ihre eigene IP und ich kann meinen Pi nicht erreichen.
e) Wenn jedes meiner Geräte eine eigene IP hat, braucht dann jeder PI seinen eigenen DynDNS Client und somit auch seine eigene Adresse? (also z.B. sub1.meins.de => sub1meins.dynv6.net => Pi 1)?
f) Wie ist die richtige Konfiguration der Ipv6 Einstellungen der Fritzbox (Bild Abschnitt DHCPv6 Server im Heimnetz)? Jede Anleitung macht das anders, ohne dass ich verstehe warum genau.
g) Jeder verpixelt seine Ipv6 Adresse. Warum? Ist das nötig? Ändert sich doch eh spätestens nach 24h oder beim nächsten Reconnect...? - Ich habe es sicherheitshalber auch mal verpixel

Würde mich freuen, wenn jemand etwas Ordnung in meine Gedanken bringen könnte - vielen lieben Dank!

 

[Holzkopf]

c: keine weiterleitung das ist richtig da ja jedes gerät nun seine eigenen Öffentlichen Adressen hat.
Die Ports sind aber trotzdem standardmässig von aussen gesehen zu und du müsstest sie erst aufmachen.
Quasi so wie vorher beim Weiterleiten in der Fritzbox

 

[brainDotExe]

Der Unterschied hier ist, bei IPv4 brauchst du einen Portweiterleitung und Portfreischaltung (geht bei der Fritzbox in einem Schritt) und bei IPv6 nur eine Portfreischaltung der Firewall.

 

[Hancock]

IPv6: du hast für jeden Rechner ne IP Adresse (global einmalig).

Ergo: DynDNS muss jetzt das Gerät machen.
Portweiterleitung: Jetzt wird's lustig:
Du brauchst keine mehr, ABER:
Die Fritzbox hat ne Firewall, die alle eingehenden IPv6 Verbindungen erstmal dropped. Wenn du eine "IPv6 Portweiterleitung" einrichtest, machst du den Port für den PC/die IPv6 Adresse an der Fritzbox auf, sodass du von außen durchkommst.

Vorgehen:

• DyDNS Client auf den Client legen.
• Ports auf der Fritzbox freigeben für den Client.

Warum alle die IP verschleiern: Was ist ein lohnenderes Ziel als ein DAU, der gerade Ports freigibt?

 

[Vorschlaghammer]

Das Vorgehen habe ich gerade auch so durchgezogen! Habe ewig an dem DynDns Thema für die Fritzbox gehangen aber jetzt verstanden. Danke!

Gut, dass ich die IP dann sicherheitshalber doch geschwärzt habe

 

[lokon]

Es gibt für IPv6 Dokumentationsadressen, falls du Beispiele angeben möchtest

Fritzbox unterstützt "exposed host" für IPv6 lt. Dokumentation

Theoretisch sind die Dyndns-Dienste teilweise über API konfigurierbar - die Flexibilität fehlt aber bei einfachen FritzOS Clients.

Am Beispiel deine dyndns (hier?) :
Die Update-API unterstützt doch das Mitteilen einer IPv6 Adresse - dort dann die Adresse des entsprechenden Raspberry Pis eintragen. Auch falls sich nur der Prefix ändert wird das unterstützt.
Der normale Web-Client/Default Firmware von AVM unterstützt das nicht, das müsste via Freetz und einem Cronjob gemacht werden - das "dyndns" management wäre dann auf der Fritzbox möglich.

 

[Helge01]

Gut, dass ich die IP dann sicherheitshalber doch geschwärzt habe

Die hättest du nicht schwärzen müssen, da es sich nicht um eine globale IPv6 Adresse handelt und somit auch nicht vom Internet aus erreichbar ist.

 

[Avenger84]

Ich nutze auf meinem RPi´s dynv6.com.

Anleitung:

Raspberry automatisch IPv6 updaten lassen:

1. wget https://gist.githubusercontent.com/...27630e25e47d50066d65687bd0c6dd266e83/dynv6.sh

-> dynv6.sh wird ins /home/pi Verzeichnis geladen


2. nano dynv6.sh -> Zeile 45 $bin "http://ipv4... löschen (nur IPv6 soll übertragen werden)


3. Skript ausführbar machen: chmod +x dynv6.sh
testen -> token=### ./dynv6.sh mein.dynv6.net (kann direkt von dynv6.com -> Instructions kopiert werden)


4. crontab -e -> */2 * * * * token=### ./dynv6.sh mein.dynv6.net >/dev/null 2>&1
-> /2 = alle 2 Minuten wird geupdatet (nach belieben setzen)


5. Überprüfen mit: grep CRON /var/log/syslog

Die RPi müssen eine feste "Interface Identifier" haben. Ich denke das weißt du.

Meine Einstellung:

Der RPi ist DNS Server (PiHole).