SSH über Internet mit IPv6 nicht erreichbar

[l8lechi]

Moin!

Kurze Erkläuterung zu meiner Idee und dem daraus entstandenem Problem:

Ich habe mir ein ziemlich altes Thinkpad gekauft um auch unterwegs arbeiten zu können. Meine Idee war, dass ich auf meiner Workstation zuhause OpenSSH als Server laufen lasse, und mich von unterwegs via SSH nach Hause verbinden kann.

Ich bin bei Vodafone mit einem Gigabit-Vertrag (9er WG ) und habe hier ne gemietete Fritzbox 6660 Cable.

Die Fritzbox verwendet einen DS-Lite Tunnel. Irgendwo habe ich gelesen dass das dann über IPv4 sowieso nicht mehr geht, darum habe ich direkt beschlossen das über IPv6 zu machen. Warum auch nicht.

Also habe ich mir erstmal openssh-server installiert, in /etc/ssh/sshd_config den Port und PubkeyAuthentication eingestellt und bei der PC-Firewall den Port freigegeben.
Dann kam der tricky Teil, weil ich eigentlich nicht so viel Ahnung von Netzwerken habe - die Routereinstellungen ändern.
Ich habe folgendes getan:

• Auf fritz.box eingeloggt.
• Unter Internet - Freigaben auf Gerät für Freigaben hinzufügen geclickt
• Meine Workstation ausgewählt
  • IPv6 Interface ID eingestellt auf etwas was ich mir merken kann
  • IPv6 Einstellungen:
    • PING6 freigeben
    • Firewall für delegierte IPv6 Präfixe dieses Gerätes öffnen
    • NICHT die exposed host Option angehakt
  • Auf Neue Freigabe geclickt
    • Anwendung: andere Anwendung
    • Bezeichnung: ssh
    • Protokoll: TCP
    • Port an Gerät: ABCDE bis ABCDE (das ist auch der Port den ich in /etc/ssh/sshd_config benutzt hab)
    • Port extern gewünscht: ABCDE
    • Freigabe aktivieren angekreuzt
    • Internetzugriff über IPv4 und IPv6
  • Übernehmen

Auf meinem Computer habe ich dann noch die IPv6 Adresse im NetworkManager hinzugefügt die der IPv6 Interface ID entspricht.

Über mein lokales Netzwerk ist es mir jetzt möglich mich mit SSH von meinem Laptop und meinem Handy aus mit meinem PC zu verbinden:
ssh username@IPv6:Präf:ix00:0000:IPv6:Inte:rfac:eID0 -p ABCDE


Klappt ohne Probleme. Versuche ich es aber über das Internet kommt immer der Fehler
Connection timed out

Auf keycdn.com hab ich dann den IP locator Test, den Ping Test und den Traceroute Test gemacht, um zu schauen woran es liegt.
Der Ping locator Test funktioniert einwandfrei.
Beim Ping Test habe ich 100% Packet loss bei allen Servern.
Beim Traceroute Test auch, allerdings habe ich etwas was vielleicht hilft gefunden:

• xxxx:xxxx::1a:1
• xxxx:xxxx:0:336::2

oder

• xxxx:xxxx:42:1
• xxxx:xxxx:0:359::2

Die xxxx-Teile sind immer gleich, und stimmen mit den ersten zwei Abschnitten der IPv6 von meinem Router überein (diese hat aber insgesamt vier Abschnitte).
Mach ich irgendwas falsch? Lässt mich meine Fritzbox oder Vodafone nicht durch?

Danke schonmal für Hilfe!

PS: Über IPv4 funktioniert natürlich auch nichts obwohl ich es probiert habe - der Port sollte ja sowohl für IPv6 als auch IPv4 geöffnet sein.

 

[riversource]

Beim Traceroute Test auch, allerdings habe ich etwas was vielleicht hilft gefunden:

• xxxx:xxxx::1a:1
• xxxx:xxxx:0:336::2

oder

• xxxx:xxxx:42:1
• xxxx:xxxx:0:359::2

Die xxxx-Teile sind immer gleich, und stimmen mit den ersten zwei Abschnitten der IPv6 von meinem Router überein (diese hat aber insgesamt vier Abschnitte).

Was genau heißt das? Sind das Hops des Traces? Wenn ja, wo im Trace? Zeige am besten den ganzen Trace.

Versuche ich es aber über das Internet kommt immer der Fehler
Connection timed out

Was heißt "über das Internet"? Was war die Internetverbindung des Clients? Die ist auch IPv6 tauglich?

 

[kieleich]

wenn es nur für dich selber ist, überlege mal ob es nicht Sinn macht eigenes VPN (Wireguard) mit ins Boot zu nehmen statt SSH global fürs Internet frei zu schalten

 

[Isolak]

Würde mich auch dem VPN Vorschlag anschließen
Wenn du keine Lust auf VPN einrichten hast kann ich Tailscale (https://tailscale.com/) empfehlen. Habe so meinen Hetzner VPS erreichbar gemacht ohne SSH für die ganze Welt offen zu haben

 

[l8lechi]

Was genau heißt das? Sind das Hops des Traces? Wenn ja, wo im Trace? Zeige am besten den ganzen Trace.

Ja genau, das sind die letzten Hops im Trace. Habe hier einen Screenshot von zwei der Traces, ich weiß allerdings nicht wieviel ich von den Routen zeigen kann ohne mich selbst zu doxxen. Ich habe so lang gebraucht um den Roman zu schreiben, dass jetzt manche Pings/Traces durchgehen. Eigentlich habe ich nichts geändert.

Ergänzung (26. Juni 2024)

Was heißt "über das Internet"? Was war die Internetverbindung des Clients? Die ist auch IPv6 tauglich?

Die ist IPv6 tauglich, ja

wenn es nur für dich selber ist, überlege mal ob es nicht Sinn macht eigenes VPN (Wireguard) mit ins Boot zu nehmen statt SSH global fürs Internet frei zu schalten

Klingt vernünftig, ist das deutlich sicherer und/oder unkomplizierter? Schau ich mir gleich mal an

 

[Yesman9277]

Meine Idee war, dass ich auf meiner Workstation zuhause OpenSSH als Server laufen lasse, und mich von unterwegs via SSH nach Hause verbinden kann.

Sicherheitstechnisch eine ganz blöde Idee!
SSH offen im Internet würde ich niemals machen.

Warum richtest du dir nicht einfach Wireguard auf der Fritzbox ein? Somit sparst du dir die Probleme mit den Freigaben und hast SSH nicht im Internet offen.

 

[kieleich]

Klingt vernünftig, ist das deutlich sicherer und/oder unkomplizierter? Schau ich mir gleich mal an

Es ist "anders" - Wireguard schickt UDP Pakete, die meisten Firewalls, lassen diese durch. Es gibt hartnäckige Fälle wo man nur mit OpenVPN weiter kommt (unterstützt TCP)

Das VPN liefert dann ein ganzes Netzwerk Interface ab, darüber kann man nicht nur SSH sondern auch Netzwerk Dateisysteme Drucker oder sonstige Protokolle abwickeln. Das hat dann in Punkto "Sicherheit" die Folge das man aufpassen muss wen man in sein Wireguard rein lässt bzw. dass man dieses auch nochmal, mit iptables & Co, absichern muss wie eine herkömmliche Netzwerkkarte. Da Wireguard von sich alleine aus, nicht auf SSH einschränken kann

Bei SSH musst du Root-Login Passwort-Login (nur Keys) deaktivieren alte Protokoll Standards deaktivieren und dann immer noch hoffen das es sicher ist und kein Heartbleed, Backdoor, und der gleichen Schwierigkeiten bereitet. Ich vertraue SSH seit den letzten beiden geschichten nicht mehr 100% und Bots die endlos versuchen sich einzuloggen sind bei SSH eben auch immer mit von der Partie

Wireguard hat den ganzen Firlefanz mit alten Protokollen nicht da gibts nur Keys und da ist Ruhe, aber es ist eben eine andere Technologie bei der man immer noch dies und das zu beachten hat

 

[riversource]

Ja genau, das sind die letzten Hops im Trace.

Das sind die Router des Providers. Da ist es kein Wunder, wenn Teile des Prefixes identisch sind.

Die ist IPv6 tauglich, ja

Und sie unterscheidet sich von der Internetanbindung des Servers?

Sicherheitstechnisch eine ganz blöde Idee!
SSH offen im Internet würde ich niemals machen.

Ich finde einen SSH Server unkritischer, als einen VPN Server. Wenn es auf dieser Welt eine gehärtete Softwarekomponente gibt, dann ist es ein OpenSSH Server. Richtig eingerichtet (anderer Port, zertifikatsbasierte Anmeldung) ist das mit Sicherheit der sicherste Fernzugang (sic!).
Ein VPN würde ich auch jederzeit einrichten, keine Frage. Jeden anderen Dienst würde ich auch eher über VPN anbieten, als direkt ins Internet zu hängen - außer SSH.

Es ist "anders" - Wireguard schickt UDP Pakete, die meisten Firewalls, lassen diese durch.

Da hab ich komplett andere Erfahrungen gemacht. Es sind in vielen Firewall/Proxy Kombination nur extrem wenige UDP Ports offen - Port 500 für IPSec trifft man noch öfter mal. TCP Port 443 ist das einzige, auf das man sich verlassen kann, aber häufig auch nur mit einer typischen TLS Verschlüsselung (wie bei OpenVPN), die Proxys überlistet.

Bei SSH musst du Root-Login Passwort-Login (nur Keys) deaktivieren alte Protokoll Standards deaktivieren und dann immer noch hoffen das es sicher ist und kein Heartbleed, Backdoor, und der gleichen Schwierigkeiten bereitet. Ich vertraue SSH seit den letzten beiden geschichten nicht mehr 100%

Vorsicht! Verwechsle nicht SSL Probleme mit SSH. Von den Lücken waren auch viele VPNs betroffen, das rettet einen dann auch nicht.

 

[l8lechi]

Wenn du keine Lust auf VPN einrichten hast kann ich Tailscale (https://tailscale.com/) empfehlen

Das ist ja easy fast zu schön um wahr zu sein, wenn man mich fragt ^^
Fürs erste auf jeden Fall sehr angenehm und unkompliziert, am liebsten hätte ich allerdings trotzdem was was ohne externe Firmen funktioniert

Ich finde einen SSH Server unkritischer, als einen VPN Server.

Das VPN liefert dann ein ganzes Netzwerk Interface ab, darüber kann man nicht nur SSH sondern auch Netzwerk Dateisysteme Drucker oder sonstige Protokolle abwickeln.

Das habe ich mir auch gedacht, als ich das gelesen habe.
Außerdem scheint mir TCP sicherer als UDP zu sein, sofern ich mir als Laie da eine Meinung bilden kann.
Ich würde gerne das Thema weiter verfolgen, den SSH-Server aufzusetzen.

Das sind die Router des Providers. Da ist es kein Wunder, wenn Teile des Prefixes identisch sind.

Das hatte ich vermutet. Gibt es aus Redundanzgründen da zwei Unterschiedliche, oder warum sonst?

Und sie unterscheidet sich von der Internetanbindung des Servers?

Yes, das habe ich über Mobilfunk mit meinem Handy versucht, das nen Vertrag bei der Telekom hat.

Richtig eingerichtet (anderer Port, zertifikatsbasierte Anmeldung) ist das mit Sicherheit der sicherste Fernzugang (sic!).

Anderen Port habe ich ja schon konfiguriert, bis jetzt hab ich nur die PubkeyAuthentication eingerichtet und die PasswordAuthentication deaktiviert, Rootlogin deaktiviert, MaxAuthTries auf 3 und MaxSessions auf 2 gesetzt.
Zertifikatsbasierte Anmeldung mach ich sobald es irgendwie funktioniert, glaube ich.

Zurück zum Thema - kann es sein dass Vodafone mich einfach blockt, oder gibt es bei der Fritzbox noch ne versteckte Firewall bei der ich auch noch einen Port öffnen muss?

 

[till69]

@l8lechi
Lass Dich nicht verrückt machen von den SSH-im-Netz Bedenkenträgern.
Wahrscheinlich bist Du lange tot bevor jemand auf Deiner IPv6 einen Login versucht

 

[Helge01]

Bei IPv4 muss man sich schon Gedanken machen mit dem SSH Zugang, aber bei IPv6 sehe ich es wie @till69. Vorausgesetzt es gibt zu dieser IPv6 Adresse keinen leicht zu erratenen DNS Eintrag.

 

[riversource]

urück zum Thema - kann es sein dass Vodafone mich einfach blockt, oder gibt es bei der Fritzbox noch ne versteckte Firewall bei der ich auch noch einen Port öffnen muss?

Nein, wenn du eine Portfreigabe (keine Portweiterleitung!) eingerichtet hast.

Du greifst aber schon auf die richtige IP zu, oder? Bei IPv6 muss man auf die IP des Endgeräts zugreifen, nicht auf die des Routers. Das ist vor allem bei dyndns Diensten tückisch, da man dort für einen expliziten Eintrag fürs Endgerät sorgen muss.

 

[l8lechi]

Du greifst aber schon auf die richtige IP zu, oder?

Ich bin mir nicht zu 100% sicher, aber die IP von meinem Computer ist die Kombination ist doch die Kombination aus dem IPv6-Präfix und der IPv6 Interface ID, richtig?

Nein, wenn du eine Portfreigabe (keine Portweiterleitung!) eingerichtet hast.

Solange "Freigabe" auch Freigabe bei ner Fritzbox bedeutet sollte das dann so passen .

Kleines Update noch, die Ping Tests gehen nicht mehr durch. Weder mit der IP aus dem Präfix und der Interface ID, als auch von der IP die ich bekomme wenn ich z.B. auf diese Seite gehe und von da meine IPv6 kopiere.

Das habe ich übrigens auch noch nicht verstanden. Wenn ich
ip -6 addr show
benutze kriege ich mehrere Adressen, eine ist die die ich eingestellt habe, eine die ich auf IP check Seiten sehe, noch eine Andere die gleich lang ist wie die davor, und noch eine Kürzere (siehe Bild). Bei den langen Adressen sind die ersten vier Blöcke der IP (die Teile die mit : voneinander getrennt sind) identisch, danach unterscheiden sie sich.

 

[riversource]

eine die ich auf IP check Seiten sehe, noch eine Andere die gleich lang ist wie die davor, und noch eine Kürzere (siehe Bild).

Das dürften die temporäre, die statische und die link-lokake Adresse sein. Die statische Adresse ist die, die eigentlich für Serverdienste vorgesehen ist, wenn du selber keine generierst.

Ich kann mir eigentlich nur vorstellen, dass die Interface-ID des PCs nicht zur Freigabe in der Box passt. Mitbden :: und "0" kann man da schon mal durcheinander kommen.

 

[Pummeluff]

@l8lechi
Vergiss erstmal die ganzen "Tipps" mit VPN und Sicherheitsblablabla. Wenn das Passwort bei SSH deaktiviert ist, wie du ja geschrieben hast, ist der SSH-Server schon ganz gut abgesichert. Dazu kannst du noch fail2ban einrichten. Die meisten Passwortattacken sind Wörterbuchattacken. Da kann man im im Journallog schön zusehen, was da alles durchprobiert wird.

Ich hab's bei mir so eingerichtet.
Fritzbox
Einstellungen → IPv6

• [x] Router Advertisement im LAN aktiv
• [x] Unique Local Addresses (ULA) zuweisen, solange keine IPv6-Internetverbindung besteht (empfohlen)
• [ ] DNSv6-Server auch über Router Advertisement bekanntgeben (RFC 5006)
• [x][DHCPv6-Server in der FRITZ!Box deaktivieren

Bei IPv6 wird die IP-Adresse der LAN-Geräte per Stateless Autokonfiguration zugewiesen. Heißt, die Device-ID wird über die Mac-Adresse gebildet. Der Präfix kommt vom Internetprovider.

Die IPv6 selbst zuzuweisen würde ich an Deiner Stelle (erstmal) vermeiden. Eventuell sind Deine Probleme auch schon dadurch begründet. Auch musst du auf dem LAN-Client (Workstation) die IPv6 nicht per Networkmanager konfigurieren. Bei einem IPv6-Internetanschluss bekommt normalerweise jedes Gerät im LAN automatisch eine externe IPv6 zugewiesen. Die lautet dann 2a00:xxxx:irgendwas.

In der Fritzbox sollten Dir unter Internet → Freigaben → Portfreigaben auch der Client und die IPv4 sowie die Device-ID korrekt angezeigt werden. Ich hab da bei meinem SSH-Server übrigens gar kein Häkchen (Exposed Host, Ping6, Firewall) gesetzt. Als externen Port hab ich 222 verwendet. Den hab ich auch in der sshd_config konfiguriert neben der 22.

Und weil du das Problem mit der schwer zu merkenden öffentlichen IPv6 angesprochen hast. Dafür gibt's DynDNS. Ich hatte hier dazu mal eine Anleitung geschrieben.

 

[riversource]

Heißt, die Device-ID wird über die Mac-Adresse gebildet.

Nein, das ist nicht immer so, sondern nur, wenn EUI-64 konfiguriert ist. Sonst sind auch zufällige statische IDs möglich.

In der Fritzbox sollten Dir unter Internet → Freigaben → Portfreigaben auch der Client und die IPv4 sowie die Device-ID korrekt angezeigt werden.

Auch das klappt nur, wenn EUI-64 aktiv ist. Sonst muss man die Host-ID manuel einstellen.

 

[l8lechi]

Morgen!

Kurzes Update: Ich hatte die selbstständige Portfreigabe aktiviert und eben ist mir aufgefallen dass dort "1 aktiv" stand, und Port 41641 war über UDP geöffnet. Das ist ein Port den Tailscale verwendet. Lustigerweise kann ich, wenn dieser Port geöffnet ist, mit meinem Handy über Mobilfunk per SSH über den ANDEREN Port den ich eingestellt hatte auf meinen Computer zugreifen. Wenn ich Tailscale ausschalte (mit sudo tailscale down) kann ich das nicht mehr. Habt ihr Ideen warum das so ist?
Eigentlich würde ich gerne möglichst keine anderen Produkte nutzen. Vielleicht kann ich was einstellen sodass auch mein SSH Port mit der selbstständigen Freigabe läuft?

• [x] Router Advertisement im LAN aktiv
• [x] Unique Local Addresses (ULA) zuweisen, solange keine IPv6-Internetverbindung besteht (empfohlen)
• [ ] DNSv6-Server auch über Router Advertisement bekanntgeben (RFC 5006)
• [x][DHCPv6-Server in der FRITZ!Box deaktivieren

So habe ich es nun auch, mir ist nur nicht 100% klar warum man den DHCP Server deaktivieren muss. Bei der Fritzbox kann ich während ich das Gerät für die Freigabe hinzufüge eine Interface-ID eingeben, die sollte dann doch auch gültig sein wenn der DHCPv6-Server läuft, oder?

Unter Portfreigaben sehe ich sowohl eine lokale IPv4 Adresse als auch die IPv6 Interface ID, die ich eingestellt habe, mit einem Doppelpunkt davor.
Wenn ich die Portfreigabe bearbeite, wird mir bei IP-Adresse im Internet auch die Adresse bestehend aus Präfix und Interface-ID angezeigt.

Nein, das ist nicht immer so, sondern nur, wenn EUI-64 konfiguriert ist. Sonst sind auch zufällige statische IDs möglich.

Ich habe EUI-64 konfiguriert glaube ich:
net.ipv6.conf.default.addr_gen_mode = 0
net.ipv6.conf.enp4s0.addr_gen_mode = 0

@Pummeluff, hast du die selbstständige Portfreigabe aktiviert? Und steht bei dir unter "selbstständige Portfreigabe" dass etwas aktiv ist, oder wird auch "0 aktiv" angezeigt?

 

[riversource]

Vielleicht kann ich was einstellen sodass auch mein SSH Port mit der selbstständigen Freigabe läuft?

Das muss auf jeden Fall gehen, das ist millionenfach so im Einsatz. Da muss noch irgendein Konfigurationsproblem vorliegen. Vielleicht ist die Freigabe nicht standardmäßig aktiviert?

Habt ihr Ideen warum das so ist?

Ja, hab ich. Die automatische Freigabe wird ja nicht auf der IP eingerichtet, die du manuell hinzugefügt hast. Mein Verdacht wird immer stärker, dass dein Problem im Umfeld dieser selbst generierten Interface-ID zu suchen ist.
Zeig doch mal die ID und die zugehörige Fritzbox Eingabe. Dann können wir besser einschätzen, ob die Zuordnung korrekt ist.

So habe ich es nun auch, mir ist nur nicht 100% klar warum man den DHCP Server deaktivieren muss.

Das muss man auf keinen Fall, ganz im Gegenteil. Es gibt Systeme, die sich über DHCPv6 z.B. die Nameserver holen. Der muss anbleiben, auch wenn er keine Adressen verteilt (das kann man ja separat einstellen).

Wenn ich die Portfreigabe bearbeite, wird mir bei IP-Adresse im Internet auch die Adresse bestehend aus Präfix und Interface-ID angezeigt.

Da musst du sehr pingelig sein. Wie gesagt, ich vermute das Problem an dieser Stelle.

 

[Pummeluff]

mir ist nur nicht 100% klar warum man den DHCP Server deaktivieren muss.

Du brauchst für IPv6 erstmal nicht generell einen DHCP-Server. Wie ich oben schon mal geschrieben hab, wird die IPv6 normalerweise per Stateless Autoconfiguration gebildet. Das ist der große Unterschied zu IPv4.

Deswegen würde ich Dir auch raten, dass du eben zumindest zum Testen keine selbstgebastelte IPv6 verwendest. Zumindest würde ich das für die Fehlersuche ausschließen.

Die IPv6 wird Dir auf der Workstation angezeigt mit

ip a
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
…
inet6 2a00:xxxx:xxxx:xxxx::5ac/64 scope global dynamic mngtmpaddr noprefixroute

Ist Die bei Dir in der Form vorhanden? Nur um sicher zu gehen, dass du keine unique local address
(ULA, fc00) oder Link-Local-Adresse (fe80) verwendest.

Das muss man auf keinen Fall, ganz im Gegenteil. Es gibt Systeme, die sich über DHCPv6 z.B. die Nameserver holen. Der muss anbleiben, auch wenn er keine Adressen verteilt

Tja, muss er nicht. Bei mir ist er aus.

Allerdings verwende ich im LAN auch kein IPv6. Ich wollte mal damit rumspielen, auch im LAN alles auf IPv6 umzustellen. War aber dann den Aufwand nicht wert. IPv6 nutz ich nur fürs Internet. Und demzufolge brauch ich im LAN auch keinen DHCP- und keine DNS-Server für IPv6.

Ich habe EUI-64 konfiguriert glaube ich:
net.ipv6.conf.default.addr_gen_mode = 0
net.ipv6.conf.enp4s0.addr_gen_mode = 0

Sieht bei mir auch so aus:

root ~> sysctl net.ipv6.conf.default.addr_gen_mode
net.ipv6.conf.default.addr_gen_mode = 0
root ~> sysctl net.ipv6.conf.eth0.addr_gen_mode 
net.ipv6.conf.eth0.addr_gen_mode = 0

@Pummeluff, hast du die selbstständige Portfreigabe aktiviert? Und steht bei dir unter "selbstständige Portfreigabe" dass etwas aktiv ist, oder wird auch "0 aktiv" angezeigt?

Nein, ist nicht aktiviert. Will ich auch nicht. Port 222 ist bei mir für IPv6 (von außen) fest eingerichtet. Für IPv4 hab ich keine Freigabe in der Fritzbox angelegt.

 

[riversource]

Tja, muss er nicht. Bei mir ist er aus.

Dann hast du zumindest unter Windows keine IPv6 Nameserver.

Allerdings verwende ich im LAN auch kein IPv6. Ich wollte mal damit rumspielen, auch im LAN alles auf IPv6 umzustellen. War aber dann den Aufwand nicht wert. IPv6 nutz ich nur fürs Internet. Und demzufolge brauch ich im LAN auch keinen DHCP- und keine DNS-Server für IPv6.

Dann hab ich jetzt ganz schlechte Nachrichten für dich: Ohne IPv6 im LAN nutzt du es auch fürs Internet nicht. Die Heimnetzgeräte brauchen IPv6 Adressen, Routen und DNS Server, sonst liegt die IPv6 Verbindung komplett lahm.
Der größte Vorteil von IPv6 ist doch die Verteilung öffentlicher Adressen im LAN. Und genau darauf verzichtest du?
Aber ja: Dann kannst du auch den DHCP Server auslassen. Und den RA Daemon auch. 🤣