RasPi von außen nicht pingbar - Portfreigabe mit IPv6 / DS Lite

[r1ddl3]

Mit Vodafone Kabel, cgNAT und einer Fritzbox hatte ich auch anhaltend "Spaß".
Auf der Erinnerung:

• Manche dyndns funktionieren besser als andere. Ich hab gute Erfahrung mit dynv6 gemacht, aber auch da hat das Update nur manchmal geklappt
• Portweiterleitung und IPv6 auf der Fritzbox ist verbuggt, die Hilfeseiten von AVM helfen nicht wirklich

Ist schon ein bisschen her, ich hab es nicht mehr so präsent. Bei Fragen kann ich aber nochmal den Rechner anmachen und nachschauen.

Meine Lösung war bei Vodafone anzurufen und eine eigene IPv4 anzufordern (die ich kostenfrei bekommen habe). Seitdem läuft alles problemlos. In einem zweiten Schritt bin ich dann noch weg von dyndns um mit einer eigenen Domain cloudflare Tunnels nutzen zu können.

 

[Bob.Dig]

In der Ausgabe von ipconfig

Wirklich ipconfig?

 

[Photon]

Meine Lösung war bei Vodafone anzurufen und eine eigene IPv4 anzufordern (die ich kostenfrei bekommen habe).

Das klingt ziemlich vielversprechend, das versuche ich wohl morgen endlich mal! Wobei sie natürlich mit gutem Recht sagen können, für 18€ monatlich wäre das zu viel des Guten. Aber Probieren geht in dem Fall wohl über Studieren!

Wirklich ipconfig?

Hoppla, ifconfig natürlich.

 

[r1ddl3]

Das klingt ziemlich vielversprechend, das versuche ich wohl morgen endlich mal! Wobei sie natürlich mit gutem Recht sagen können, für 18€ monatlich wäre das zu viel des Guten. Aber Probieren geht in dem Fall wohl über Studieren!

Mein Argument war Home Office und VPN tut nicht mit IPv6. Vielleicht klappt's ja 👍

 

[redjack1000]

Das klappt bestimmt. Eazy bietet IPv4 explizit an, in den business Tarifen.

Cu
redjack

 

[Photon]

Oh, also fragen sie nach einer Begründung? In meinem Fall möchte ich eigentlich nur ein kleines Web-Projekt, an dem ich mal gebastelt habe, Kollegen zeigen. Lebte immer hinter einem htaccess-Passwort und dabei wird es wohl auch bleiben, insofern hat der Provider nicht viel Upload-Traffic zu befürchten. Aber ob das eine überzeugende Begründung wäre...

 

[redjack1000]

Wieso begründen? Buch einfach einein Tarif der deinen Anforderungen entspricht!

CU
redjack

 

[Photon]

Soweit ich das überblicke, hat eazy nicht furchtbar viele Tarife und sie alle unterscheiden sich nur durch die Geschwindigkeit und den Preis. Ein teurerer Tarif würde mir also nichts bringen, außer etwas mehr Geschwindigkeit, die ich aber nicht brauche...

 

[Azghul0815]

Bei mir sinds 10 CHF für ne fixe IPv4...das wars mir Wert.
Aber @redjack10 ich werds nochmal angehen....

 

[redjack1000]

Ein teurerer Tarif würde mir also nichts bringen, außer etwas mehr Geschwindigkeit, die ich aber nicht brauche...

Oh stimmt, hatte noch etwas gefunden mir Business, bieten die anscheinend nicht mehr an.

Ahhh steht hier ...... ->

https://www.eazy.de/pdf/agb/VF_AGB_BesGBIT_Homespot_Widerruf.pdf

unter 8.2

Cu
redjack

 

[Photon]

Ich fürchte, da haben sie nur die allgemeinen AGB der Vodafone verlinkt... Da steht unter 8.2 sogar, dass es die Option nur für Business Produkte gibt, also nicht für die Verträge von eazy, fürchte ich... Ich kann eine solche Option in den Vertrag-Einstellungen im Vodafone-Portal tatsächlich auch nicht finden.

edit: Korrigiere, man kann einfach gar keine Optionen online buchen, nur telefonisch. Es werden also grundsätzlich keine buchbaren Optionen im Portal angezeigt.

Ergänzung (Donnerstag um 00:17)

Okay, hier noch eine interessante Beobachtung (danke @Bob.Dig für den Hinweis): Offenbar sollten die lokale und die öffentliche IPv6-Adressen in Teilen übereinstimmen. Laut Ausgabe von ifconfig auf dem Raspi tun sie das jedoch nicht. Möglicherweise ist das die Ursache des Problems. In dem Fall frage ich mich, wie das zustande gekommen ist und ob man etwas dagegen unternehmen kann. Es ist auf meinem Laptop übrigens auch so, dass die lokale und die öffentliche IPv6-Adressen völlig verschieden sind.

edit: Hier eine Diskussion inklusive Beispielausgabe von ifconfig dazu, jedoch ist das Problem leider nicht abschließend geklärt: https://superuser.com/questions/180...ddress-different-from-the-one-listed-in-linux

 

[lokon]

Auf dem Raspi in der Konsole oder über SSH:
Prüfen auf IPv6 Konnektivität und ob der Server extern und nicht nur localhost lauscht zB

ip -6 a s
ping -6 ipv6.google.com
ss -6 -ln

ggfs mit root rechten

Holen der eigenen IPv6 Adresse zb über ifconfig.me

curl ifconfig.me

Gegenprüfen mit den Subdomains bei freedns.afraid.org unter "Subdomains" , ggfs. Ausführen eines Skripts - einsehbar unter "Dynamic DNS"

Prüfen ob die Namensauflösung IPv6-only funktioniert.
Am besten auf dem Raspi einen anderen DNS-Server als die Fritzbox konfigurieren.
Bei mir steht die Freedns Domain in der DNS-Rebind Schutz Tabelle drin.

AVM 6490 , FRITZ!OS:7.58 unktioniert hier mit Vodafone DS-Lite und exposed host.
Keine anderen Einträge in Portweiterleitungen Port extern vergeben.

unter Heimnetz, Netzwerk - Reiter Netzwerkeinstellungen (runterscrollen) Punkt IP-Adressen , Button "IPv6 Einstellungen" stehen zB die IPv6 Netzwerke
Unter "Delegiert" steht ein /63 und auf dem nachgeschalteten Router steht das gleiche Netzwerk auf dem WAN Port und wird von dort weiter verteilt im LAN.
Eine kostenlose freedns.afraid.org Domain ist mit der WAN IP verknüpft / wireguard lauscht auf dem Router
In der Wireguard-Config stehen die dyndns server - wird der Name aufgelöst und dann ein neues config-file erstellt mit der IPv6 drin.

Auf Fritzbox den Ping6 beim Raspi aktiviert haben

Falls das OS auf dem Raspi eine Firewall hat diese zum Test abschalten/Firewall Logs prüfen.
tcpdump auf dem Raspberry Pi aktivieren und den Datenverkehr - Pakete prüfen.

Eventuell nicht die Standard HTTP/HTTPS Ports nehmen - falls die Fritzbox hier "komisch" ist - sondern zB den SSH des Raspi auf einem anderen Port freigeben.

 

[KitKat::new()]

Verstehe. Aber ich glaube, das ist ein Problem, das sich später erst stellen könnte, aktuell ist ja eine bestimmte IPv6-Adresse da, funktioniert aber nicht, ob sie nun irgendwann wegrotieren könnte oder nicht...

Würds trotzdem sicherheitshalber deaktivieren und eine feste interface-id vergeben, die du dann auch bei der Fritzbox korrekt einträgst (Heimnetz->Netzwerk->Netzwerkverbindungen->raspberrypi->Bearbeiten->Adressen im Heimnetz (IP-Adressen)).
Bei mir hat das durchaus schon Probleme verursacht.

Zusätzlich kann es manchmal helfen, das Gerät in der Fritzbox zu löschen und neu einzurichten, manchmal bugged das etwas.

 

[Photon]

ip -6 a s

Hier kommen die IPv6-Adressen wie bisher: öffentlich und lokal, die nicht miteinander übereinstimmend sind.

ping -6 ipv6.google.com

Der Ping geht durch.

ss -6 -ln

Hier kommt offenbar eine Liste der offenen Ports. Darunter

tcp        LISTEN      0           511                       [::]:80                        [::]:*         
tcp        LISTEN      0           511                       [::]:443                       [::]:*

curl ifconfig.me

Hier kommt die öffentliche IPv6-Adresse wie schon in der Ausgabe von ifconfig oder ip -6 a s

Gegenprüfen mit den Subdomains bei freedns.afraid.org unter "Subdomains"

Stimmt mit der IPv6 Adresse von ip -6 a s gerade eben überein.

Am besten auf dem Raspi einen anderen DNS-Server als die Fritzbox konfigurieren.

Spezifisch via IPv6? Im Moment ist die IPv4 der Fritzbox eingetragen sowie eine lokale und eine öffentliche IPv6, die mit dem in der Fritzbox eingetragenen DNS-Server übereinstimmt übereinstimmt. Welchen weiteren DNS-Server könnte ich eintragen? Ich kenne nur den 8.8.8.8 von Google.

Aber wenn ping -6 ipv6.google.com durchgeht, sollte die Namensauflösung über IPv6 doch funktionieren, oder nicht?

Bei mir steht die Freedns Domain in der DNS-Rebind Schutz Tabelle drin.

Also "freedns.afraid.org"?

AVM 6490 , FRITZ!OS:7.58 unktioniert hier mit Vodafone DS-Lite und exposed host.
Keine anderen Einträge in Portweiterleitungen Port extern vergeben.

Hab ich so schon versucht, hat an den Symptomen leider nichts verändert.

unter Heimnetz, Netzwerk - Reiter Netzwerkeinstellungen (runterscrollen) Punkt IP-Adressen , Button "IPv6 Einstellungen" stehen zB die IPv6 Netzwerke

Den Button "IPv6 Einstellungen" habe ich gefunden und angeklickt, bin mir aber nicht sicher, wonach ich dort suche. Die Präfixe sehen so aus:

Und hier die DHCP-Einstellungen:

Unter "Delegiert" steht ein /63 und auf dem nachgeschalteten Router steht das gleiche Netzwerk auf dem WAN Port und wird von dort weiter verteilt im LAN.

Einen Punkt "Delegiert" habe ich nicht finden können. Was meinst du mit "nachgeschalteten Router"? Bei mir gibt es nur die Fritzbox selbst als Router.

Eine kostenlose freedns.afraid.org Domain ist mit der WAN IP verknüpft / wireguard lauscht auf dem Router
In der Wireguard-Config stehen die dyndns server - wird der Name aufgelöst und dann ein neues config-file erstellt mit der IPv6 drin.

Wireguard nutze ich (bisher) nicht.

Auf Fritzbox den Ping6 beim Raspi aktiviert haben

Ist aktiviert!

Falls das OS auf dem Raspi eine Firewall hat diese zum Test abschalten/Firewall Logs prüfen.

Wie kann ich das herausfinden? Es ist das Standard-FritzOS.

tcpdump auf dem Raspberry Pi aktivieren und den Datenverkehr - Pakete prüfen.

Habe tcpdump installiert und testweise ausgeführt. Es kam eine Wand voller Pakete, leider weiß ich nicht so genau, worauf ich achten soll.

Eventuell nicht die Standard HTTP/HTTPS Ports nehmen - falls die Fritzbox hier "komisch" ist - sondern zB den SSH des Raspi auf einem anderen Port freigeben.

Laut Portscan sind diverse Ports auf dem Raspi "filtered", kein einziger ist open und nur irgendein "SOCKS"-Port ist closed.

 

[Bob.Dig]

Bei mir sieht das so aus:
Anhang anzeigen 1560891

Damit es überhaupt funktionieren kann, muss dort deine öffentliche IPv6-Adresse (GUA) auftauchen, nicht eine private (ULA).
Wobei ich streng genommen nie eine einzelne Portfreigabe per IPv6 gemacht habe und jetzt auch nicht nachgucken kann, wie die konkret in der Fritzbox aussieht, da letztere bei mir im PPPoE-Passthrough-Modus läuft, ohne eigene IPv6.

Ergänzung (Donnerstag um 10:22)

Für die weitere Analyse würde ich DNS vorerst ausklammern und nur mit den IPv6-Adressen arbeiten. (D)DNS kann man später immer noch abklären.

Ergänzung (Donnerstag um 10:26)

Meine auch irgendwo gelesen zu haben, dass wenn du bei Vodafone Kabel ne feste IPv4 haben willst, du gar kein IPv6 mehr bekommst.

 

[Avenger84]

Ich versuche mal ein wenig Licht ins Dunkel zu bringen.

Fangen wir mal vorne an, beim Router.
Hier sollte in der FritzBox unter Netzwerk - Netzwerkeinstellungen - IPv6 Einstellungen folgendes stehen:

/64 ist richtig denn wenn wir im Onlinemonitor schauen sieht man:

ich habe ein /56 Prävix bekommen. So bekommt das Gäste Netz ein eigenes (01).

Photon bekommt aber überhaupt gar keinen Prävix zugeteilt, solange das nicht erfolgt, braucht er gar nicht irgendwas am Raspberry zu probieren, denn dieser bekommt somit auch keine öffentlich erreichbare IPv6.

--------

Wenn er denn einen Prävix bekommen würde, dann müsste man am Raspberry SLAAC aktivieren, das ist seit Buchwurm gar nicht so einfach bzw. nicht einfach zu finden.
Aus meiner Anleitung:

IP Adresse ändern:
sudo nmtui <- nur IPv4 ändern (grafisches Tool, hier klassisch eine statische IPv4 zuweisen inkl. Gateway, DNS usw.)

anschließend neustarten und für IPv6 SLAAC folgendes editieren:

sudo nano "/etc/NetworkManager/system-connections/Kabelgebundene Verbindung 1.nmconnection"
dort ergänzen:

[ipv6]

addr-gen-mode=0
ip6-privacy=0
method=auto

Damit bekommt der Raspi nun eine "statische" IPv6, also der zweit Teil die s.g. Interface Identifier bleibt immer gleich. Wenn die FB einen neuen Prävix bekommt, wird dieser (erste Teil) entsprechend erneuert.
Siehe auch: https://www.elektronik-kompendium.de/sites/net/1902111.htm

Erst ab da können wir uns mit Portfreigaben beschäftigen.

 

[Bob.Dig]

Photon bekommt aber überhaupt gar keinen Prävix zugeteilt, solange das nicht erfolgt, braucht er gar nicht irgendwas am Raspberry zu probieren, denn dieser bekommt somit auch keine öffentlich erreichbare IPv6.

Bitte was? Irgendwie bist Du hier logisch abgestorben bzw. ich verstehe es nicht.

 

[Avenger84]

Schau mal Beitrag #54 in der Mitte @Bob.Dig

 

[Bob.Dig]

@Avenger84 Ah ok, der TE heißt so. 😉
Allerdings hat diese Anzeige in der Fritzbox bei mir das auch oft nicht richtig angezeigt, obwohl ich beim selben ISP bin wie Du...
Auch meinte der TE, dass er mit IPv6 vom Server in das Internet pingen konnte. Wenn das stimmt, dann hat er funktionierendes IPv6 im LAN und es ist nur ein Anzeigefehler in der Fritte.

 

[redjack1000]

Die Diagnose, wäre bei Angabe von vollständigen Adressen, so einfach.......

Cu
redjack