Port Forwarding an der Fritzbox 7590 geht plötzlich nicht mehr

[haunt]

Hallo zusammen,
ich habe gerade ein Problem. Mein Port Forwarding scheint nicht mehr zu gehen. In der Fritzbox sehe ich die Ports und die korrekte Public IP Adresse. ( e.g.: https://diskstation.lutz.cloud:8081/test/index_wirt.php ) Im Wlan kann ich das auch korrekt aufrufen und konnte es auch immer extern aufrufen. Rein logisch müsste es nach wie vor gehen. Die Public IP Adresse in der Fritzbox ändert sich auch korrekt.
Versuche ich jetzt aber den Dienst aufzurufen dann bekomme ich einfach einen Timeout.

Nutze Glasfaser und die Domain von Strato.

Hat jemand noch eine Idee woran es liegen könnte?

 

[0x8100]

# dig A diskstation.lutz.cloud

;; ANSWER SECTION:
diskstation.lutz.cloud.    56    IN    A    100.106.132.151

100.106.132.151 -> cg-nat -> kein port-forwarding aus dem internet möglich. du müsstest ipv6 verwenden, dafür gibt es aber keinen eintrag bei dieser domain.

 

[haunt]

Hmm, hab jetzt die Freigabe nochmal komplett gelöscht und neu angelegt. Die IP Adresse wird auch sauber gezogen:

DynDNs hatte ich auch neu eingerichtet. Scheint ja an irgend etwas anderem zu liegen...

 

[0x8100]

kann dein dyndns-anbieter überhaupt ipv6?

 

[Pete11]

Ich habe mit sowas bei DynV6.com eingerichtet.

Vielleicht hat sich einfach der Prefix der IPv6-Adresse geändert - das ist bei mir in 3 Jahren 1 mal passiert.

 

[haunt]

Also bis vor kurzem ging es ja bei Strato noch. Interessanterweise kann ich: https://100.106.132.151:8081/index.php aus dem lokalen Netzwerk aufrufen, via Handy geht es aber nicht.
Das müsste doch funktionieren...

 

[riversource]

Entweder hast du erst seit kurzem eine CGNAT Adresse, oder du hast früher per IPv6 zugegriffen.

Aus dem lokalen Netz kannst du natürlich zugreifen, aber CGNAT Adressen werden nicht im Internet geroutet, folglich klappt es von außen nicht. Dringende Empfehlung: Stelle den Zugang auf IPv6 um.

 

[haunt]

Hab jetzt gerade rausgefunden, dass dynDns bei Strato nicht mehr aktiv ist. Das wäre natürlich der Knaller...

 

[eigsi124]

Du bist aktuell hinter einem CG-NAT (zu erkennen an der 100.x.x.x IP ADresse, die im speziell für CG-NAT reservierten Range ist), das hat per se nichts mit dyndns zu tun.

 

[haunt]

Das erklärt auch wieso es ja "scheinbar" mit dem DynDns funktioniert. Was ich aber nicht verstehe ist, welches Problem habe ich denn jetzt?
Mein Router hat ja eine feste IP Adresse. Die ist aber geteilt? Daher weiß er nicht welchem Haushalt Port 8081 gehört?

 

[riversource]

Mein Router hat ja eine feste IP Adresse.

Ob sie fest ist, ist egal. Sie muss öffentlich sein, und das ist sie nicht. Die Adresse ist eine private Adresse und damit von außen nicht erreichbar.

Google mal CGNAT, dann weißt du, warum der Zugang damit nicht funktionieren kann (und auch nie konnte). Deshalb siehe #7: Entweder wurde das seitens deines Providers umgestellt (kommt oft vor in letzter Zeit), oder du hast auch vorher schon über die IPv6 Adresse zugegriffen.

IPv6 ist die zukunftssichere Variante. Dann ist es egal, ob der Provider CGNAT oder was anderes macht. Bei IPv6 hast du immer eine öffentliche Adresse.

 

[haunt]

Also auf https://test-ipv6.com/index.html.de_DE sehe ich jetzt, dass meine IPv4 Adresse anders ist als das was meine Fritzbox erhält.
Wenn ich mich richtig erinnere war es früher immer 149.xxxx oder so ähnlich.

Muss ich jetzt die Fritzbox auf IPv6 umstellen oder wo liegt der Hund begraben? Die Endgeräte können IPv6 ( Synology und Raspberry Pi )

 

[DLMttH]

Nenne doch mal deinen Provider und dann können wir abschätzen, ob du deine öffentliche IPv4-Adresse vielleicht zurückerhalten kannst. Es gibt ja auch nicht überall IPv6...

 

[0x8100]

Muss ich jetzt die Fritzbox auf IPv6 umstellen

deine fritzbox macht doch schon ipv6, das zeigt doch dein eigener screenshot. du brauchst einen dyndns-anbieter, der auch ipv6 kann, dynv6.com wurde ja schon vorgeschlagen.

von all dem abgesehen, würde ich ganz dringend raten, die synology nicht direkt ins netz zu hängen. macht dir ein wireguard-vpn mit der fritzbox und von da aus weiter zum nas, aber nicht das nas direkt ans netz.

 

[haunt]

Der Provider ist Strato. Hab jetzt mal ein bisschen weiter geforscht. Es sieht so aus als ob ein AAAA Eintrag fehlt. Den kann ich bei Strato aber nicht konfigurieren. Hab jetzt mal Strato angeschrieben und rufe dort morgen mal durch.
Danke erstmal für die Hinweise. Dynv6 würde ich ungern noch dazwischen klemmen, sondern lieber eine native Lösung haben...
Die Anleitung hier https://www.strato.de/faq/hosting/so-einfach-richten-sie-dyndns-fuer-ihre-domains-ein/ - sieht ja erstmal so aus als ob das alles klappen müsste - auch mit IPv6.

 

[eigsi124]

FYI:
Private/Shared Adressen werden im Internet nicht geroutet.

NAT = Network Adress Translation:
Bei IPv4 gibts es nicht genug Adressen -> deswegen setzen ISPs ihre Kunden hinter ein CG-NAT, dadurch brauchen sie im Internet nur eine IPv4 Adresse für >tausende Kunden. Aus dem selben Grund, gibt es quasi schon immer NAT bei jedem zu Hause. Eigentlich war IPv4, so wie IPV6, so konzipiert, dass jedes Gerät eine "öffentlich routebare" IP bekommt, jedoch hat man schnell gesehen, dass sich das nicht ausgehen kann und man hat NAT + IPv6 eingeführt. Beim Weg ins Internet über IPv4 wird bei dir also 2x NAT gemacht.
Wegen NAT brauchst du auch ein Portforwarding, ohne NAT brauchst du eine Firewallfreischaltung.
Fritz OS behandelt das aber, als wärs dasselbe, ein professioneller Router macht das nicht so.

Bei IPv6 bekommt grundsätzlich jedes Gerät eine "öffentlich routebare" Adresse (Global-Unicast-Adresse, für private beginnend üblicherweise mit 2001) + eine private Adresse (Linkl Local Adresse) und NAT ist aufgrund des großen Adressraums nicht notwendig.

https://de.wikipedia.org/wiki/IPv6#

Ein NAS sollte man hinters VPN geben!

 

[Pete11]

@haunt
für Deine FritzBox kannst du Dir auch ein MyFritz!-Konto einrichten. Das kannst Du anstelle von DynDNS oder DynV6 benutzen.

 

[riversource]

Die Anleitung hier https://www.strato.de/faq/hosting/so-einfach-richten-sie-dyndns-fuer-ihre-domains-ein/ - sieht ja erstmal so aus als ob das alles klappen müsste - auch mit IPv6.

Bedenke, dass IPv6 komplett anders funktioniert, als IPv4.

Bei IPv4 hat nur der Router eine öffentliche IP, alle Geräte im Heimnetz haben eine private IP. Folglich sprichst du per dyndns die IP des Routers an, und der leitet die Pakete dann per Portweiterleitung an die Endgeräte weiter (deshalb trägt man dyndns auch im Router ein).

Bei IPv6 hat jedes Endgerät im Heimnetz eine öffentliche IP. Folglich muss man auch das Endgerät per dyndns ansprechen, nicht den Router. D.h., entweder muss das Endgerät selber einen dyndns Account haben, oder der Router aktualisiert das Prefix, und die jeweilige Host-ID der Endgeräte wird statisch eingetragen. Letzteres können dynv6, feste-ip und myFritz. Strato kann es nicht, meines Wissens (da lasse ich mich aber gern eines Besseren belehren).

Lange Rede, kurzer Sinn: Ein dyndns Eintrag wie bislang in der Fritzbox hilft dir nicht weiter. Da musst du noch ein wenig mehr umstellen.

 

[haunt]

aha okay. Dachte ich versuche es mal mit dynv6.
Strato mag es aber nicht

Wie nervig...

 

[riversource]

Strato mag es aber nicht

Wie kommst du darauf, dass dynv6 sich für eine deiner Domains verantwortlich fühlen könnte? Wenn du das erreichen willst, arbeite mit CNAMES.