Raspberry via IPv6 erreichen

[Zoker]

Hallo zusammen,

Ich habe einen DSLite Anschluss von Vodafon. Daran ist eine 6490 von Vodafon angeschlossen.
Da mit ich mit dem DSLite Anschluss ja leider keine IPv4 bekomme, habe ich nun versucht meinen Rapberry PI (mit Home Assistant) via IPv6 anzusprechen.

Also Raspi per LAN an die 6490 und schon hat er 3 IPv6 Adressen bekommen:

• 2a02:810d:xxxx:bdc:6bd2:a3e5:c262:xxxx
• 2a02:810d:xxxx:bdc:adf4:4463:b3a:xxxx
• fe80::adf4:4463:b3a:xxxx

Das letzte ist die Link Local, die hilft mir also schon mal nicht. Warum ich zwei globale bekommen habe, ist mir aktuell nicht klar.

Auch wenn ich beide in meinem Browser eingebe (z.B. http://[2a02:810d:xxxx:bdc:6bd2:a3e5:c262:xxxx]:8123) mit dem richtigen Port, bekomme ich nur ein "ERR_ADDRESS_UNREACHABLE".

Als nächstes habe ich versucht mit feste-ip.de einen IPv6 Tunnel zu erstellen und habe die IPv6 Adresse hier als Ziel eingegeben. Aber hier bekomme ich einen "Die Website ist nicht erreichbar" Fehler.

Habe ich was übersehen oder wo könnte das Problem liegen?

 

[diamdomi]

Versuchst du lokal auf den Raspi zuzugreifen oder "extern"?

Entsprechende Ports möglicherweise noch freigeben?

 

[Zoker]

Intern reicht mit IPv4, nur für extern brauche ich eben IPv6

Oh stimmt die Portfreigabe fehlt...

Muss ich hier bei IPv6 "Exposed Host" wählen?

 

[TheCadillacMan]

Nein, das würde alle Ports freigeben. Du solltest nur die Ports freigeben die du auch tatsächlich brauchst.

 

[diamdomi]

Funktioniert nun lokal der Aufruf der IPv4 und IPv6 Adresse?

Extern und speziell über einen mobilen Anschluss (Vodafone und O2) wirst du Schwierigkeiten haben IPv6 Seiten überhaupt zu erreichen.

 

[cm87]

Hat dein Router keine DynDNS Funktion? So kannst du auch außerhalb auf dein raspi zugreifen.

 

[Holzkopf]

Gib den port bei der 2ten ipv6 adresse frei die der link-local ähnelt das ist quasi die "feste".
Die erste dürfte eine durch privacy-extensions erstellte sein diese ändert sich.
mit ipv6-tunnel musst da da auch nicht arbeiten.

 

[snaxilian]

Desweiteren musst du auch sicherstellen, dass deine Anwendung, auf die du zugreifen willst, auch auf der IPv6 Adresse läuft.

 

[Zoker]

Also habs jetzt hinbekommen, ohne ipv6-Tunnel ging es aber nicht.
Die Portfreigabe + Tunnel hat dann funktioniert

Nun habe ich aber ein weiteres Problem:
Eigentlich hängt der Raspi nicht an der Fritzbox von Vodafon, sondern an einer weiteren 6490, die per LAN an der anderen angeschlossen ist (habe ihn nur für den Test jetzt mal an die erste gehängt).

Ich hab also den Pi wieder an die andere Fritzbox gehängt, die Portfreigaben in der Hauptfritzbox gelöscht und wollte die nun wieder an der zweiten Fritzbox einstellen.

Beim Einstellen bekomme ich aber folgende Fehlermeldung:

Es ist ein Fehler aufgetreten. Fehlerbeschreibung: Die Portfreigabe kann nicht erstellt oder aktiviert werden, da das Ziel nicht im Heimnetz liegt.

Die zweite Fritzbox hat von der ersten die Berechtigung erhalten, selbst Ports freizugeben.

Woher kommt der Fehler? Konnte dazu leider nicht viel sinnvolles finden...

Und muss ich den Port eigentlich an beiden freigeben oder nur an einer?

 

[snaxilian]

Bitte erstelle eine Skizze oder beschreibe genau(!) dein Aufbau. Router hängt an Router kann alles und nix sein. Hast du ne Router Kaskade gebaut oder ist die zweite Fritzbox nur mit nem LAN-Port verbunden? Das Port-Forwarding muss natürlich in der FB eingerichtet sein, die die Verbindung mit dem Internet aufbaut und entweder auf das Zielgerät oder den nächsten Router zeigen. Falls letzteres muss natürlich auch auf dem zweiten Router (FB) ein Port-Forwarding existieren. Wenn du öffentlich erreichbar einen Dienst betreiben willst: Hast du Ahnung wie du dies sicher betreibst? Sind dir die Risiken bewusst?

 

[Zoker]

Hier ist mal eine Skizze, wie das ganze aussieht:

Also ich habe den Port an der Hauptfritzbox freigegeben, aber an der zweiten lässt er sich eben leider nicht freigeben.

Habe ich hier irgendeine Einstellung übersehen?

 

[snaxilian]

Deine zweite FB macht somit reinen Layer 2 (switching) Betrieb und hat somit keine Berührungspunkte mit Layer 3 (Routing) und aufwärts. Auch sind ja alle deine Endgeräte (Raspi, Tablet, Laptop, etc) im selben Subnet.

Eine Port-Weiterleitung braucht es streng genommen bei IPv6 ja nicht mehr, da Krücken wie NAT/PAT nicht mehr notwendig sind und dein Raspi ja bereits eine öffentlich erreichbare Adresse hat. Ergo musst nur noch eine entsprechende Firewall-Freischaltung in der (ersten) Fritzbox erstellen. Leider unterscheidet AVM und manch andere Consumer-Geräte hier nicht korrekt "um es dem Anwender so einfach wie möglich zu machen".
Kannst dich vermutlich hier dran orientieren: https://avm.de/service/fritzbox/fri...w/845_IPv6-Freigaben-in-FRITZ-Box-einrichten/
Ist zwar für ne 6320 aber sollte sich auf deine Situation übertragen lassen.

 

[Zoker]

Hmm also leider gibt es den IPv6 Tab bei der 6490 nicht:

Die Portfreigabe, die ich machen kann sieht genauso aus wie die für IPv4. Muss ich den Port dann zu der zweiten Fritzbox durchgeben (muss ja ein Gerät wählen)?

Irgendwie sind die IPv6 Freigaben auch nicht grün wie die IPv4....

 

[snaxilian]

Erweiterte Ansicht aktiviert? Falls es dann immer noch nicht auftritt: Aktuellstes FritzOS installiert?
Als Ziel stellst du natürlich den Raspi ein. Warum solltest du die zweite FB angeben? Du betreibst das Ding als stupiden Switch und ggf. noch als AP (AVM nennt dies "IP-Client-Modus" oder so). Was das Ding aber nicht mehr macht, zumindest laut deinen Beschreibungen, ist Routing. Deine primäre FB und der Raspi sind ja somit im selben Subnet.

 

[Zoker]

Erweiterte Ansicht ist aktiviert und FritzOS 7.0.0 ist installiert.

Der Raspi wird mir ja an der ersten Fritzbox garnicht angezeigt.

Ich versuchs mal anders. Also mein Ziel ist folgendes:
An der zweiten Fritzbox sind meine ganzen IoT Geräte angeschlossen. Die sollen zwar untereinander kommunizieren, aber nicht mit dem Netzwerk der ersten Fritzbox.
Außerdem sollen alle IoT Geräte keinen Internetzugang bekommen, bis auf den Raspi (der alle Geräte steuern), da ich diesen von außen erreichen möchte. Somit holt sich die zweite Fritzbox das Internet der ersten, gibt nur dem Raspi Internet nach draußen (und lässt Anfragen von draußen an den Raspi rein) und spannt ein lokales Netzwerk für die ganzen Lampen, Sensoren etc.

Ich bin mir aktuell nicht sicher, ob das mit der zweiten Fritzbox der richtige Ansatz ist. Mit IPv4 wäre das alles kein Problem, da lief es auch vorher einwandfrei. Aber mit IPv6 ist das ganze Konstrukt leider nicht mehr so einfach.

 

[snaxilian]

Ja herrgott dann sag das halt gleich, dass du ne Routerkaskade hast. Vergiss deine IPv4 Denkweise. Private Netze, NAT etc gibt es dort nicht mehr. Deshalb hat ja auch jedes IPv6 fähige Gerät mindestens 2 Adressen. Eine fürs eigene lokale Netz und eine öffentliche eben.
Diese Sorglosigkeit á la "mir kann ja nix passieren, ist ja nur mein Router direkt im Internet erreichbar dank NAT" die sich alle Privatleute angeeignet haben (ok, wussten es ja auch nicht besser, woher auch) muss man bei IPv6 erst wieder mühsam abtrainieren. Um Zugriffe zu verhindern gibt es Firewalls und nicht Router, die NAT machen.

Die eine korrekte Lösung gibt es nicht so einfach, zumindest nicht mit Consumer-Hardware, die IPv6 nur zum Teil unterstützt. Ein Workaround wäre aber:
In FB 1 Firewall Regel: IPv6, Ziel dann FB 2 und der passende Port. In FB 2 dann den Raspi als Exposed Host damit alle Anfragen, da hin gehen. Kann gehen, muss aber nicht.

Aber ich muss zum Glück so einen Quatsch nicht machen bzw wenn dann nicht mit ner FB