S
s1ave77
Gast
Darf ich fragen, woher die Infos sind? Kontext ist immer nützlichthomasschaefer schrieb:
.Zugriff auf das Heimnetzwerk mit Handy aus dem Mobilfunknetz möglich aber nicht mit Hotspot oder anderen Geräten
- Ersteller Klicki123
- Erstellt am
.
S
s1ave77
Gast
IPv6 ist unvermeidbar wie Thanos. Genug IPs für jeden Teilnehmer im Internet. Da muß nichts mehr rotieren.
IPv4 ist nur für den Router und rotiert meist, wenn. Reicht trotzdem nicht, also sind ISPs geizig. Ist nicht dass die nicht wollen, man muß auch können. Ein Teil ist 'fix', der kann dafür nicht benutzt werden.
Muß sterben.
Jetzt muß nur wer durchsetzen, dass die Spezifikation auch Sinn ergibt und flächendeckend genutzt wird. Ohne Zwang, wird das doch wieder nix
.
IPv4 ist nur für den Router und rotiert meist, wenn. Reicht trotzdem nicht, also sind ISPs geizig. Ist nicht dass die nicht wollen, man muß auch können. Ein Teil ist 'fix', der kann dafür nicht benutzt werden.
Muß sterben.
Jetzt muß nur wer durchsetzen, dass die Spezifikation auch Sinn ergibt und flächendeckend genutzt wird. Ohne Zwang, wird das doch wieder nix
.thomasschaefer
Cadet 3rd Year
- Registriert
- Jan. 2015
- Beiträge
- 58
Androiden und Fritzboxen (6850-5g) betreibe ich selbst mit SIMs von allen vier Betreibern (Telekom, Vodafone, Telefonica, 1&1). Mit Telekom, Vodafone und Telefonica reise ich hin und wieder auch ins Ausland und weiß daher deren Roaming Verhalten. Eine Zusammenfassung davon gibt es auf meiner Homepage. Apple ist insofern schwierig, weil die Änderung der Betreiberprofile immer sehr spät erfolgt. Man kann zwar mit dem Apple configurator nachhelfen, ist aber alles andere als kundenfreundlich. Für Apple Erfahrungen nutze ich meinen Bekanntenkreis.mae1cum77 schrieb:
S
s1ave77
Gast
^^Danke .
.
- Registriert
- Juli 2024
- Beiträge
- 4
@chrigu
Ja mein Handy hat eine IPv6 Adresse. Die anderen Handys wo ich die besagte Seite nicht erreichen kann allerdings auch.
----------------------------------------------------------------------
@conf_t
Ich verstehe deinen Ansatz. Die Ports 80 und 443 sind in der FritzBox für das Raspberry PI freigegeben.
Theoretisch müsste das doch ausreichen um den Webserver (ngnix) via Browser zu erreichen?
----------------------------------------------------------------------
@thomasschaefer
Das freut mich. Somit ist ja schon mal bewiesen dass es funktioniert aber halt irgendwie nicht richtig.
Die Domain vom Raspberry PI (NAS) ist im DNS Rebindschutz der FritzBox eingetragen.
Bzgl. der Problematik mit dem Hotspot habe ich auch schon versucht Nachforschungen anzustellen. Leider kann ich zur Funktionsweise und ähnlichem keine guten Quellen finden.
----------------------------------------------------------------------
@roket
Ich bestätige, wenn das Surface mit dem Hotspot Verbunden ist und das Handy im öffentlichen Netz ist, dann bekommt das Surface nur eine IPv4 Adresse. (Da drauf hätte ich auch kommen können. Immer dieser Wald mit den ganzen Bäumen und so)
-> Also wird hier das Problem sein dass das Handy nur mit dem IPv4 Protokoll arbeitet?
Demnach die DNS Anfrage nur nach IPv4 Domains/IPs "sucht" und da nur IPv6 beim DynDNS hinterlegt ist bekomme ich den Fehler "DNS nicht gefunden".
Verstehe ich das richtig?
Danke für den Vorschlag.
----------------------------------------------------------------------
USB-Tethering funktioniert, das NAS sowie die FritzBox sind erreichbar, durch das Tethering wird dem Surface eine eigene IPv6 Adresse zugwiesen.
Nach der ganzen Hilfe habe ich nochmal überprüft welche Geräte denn nun eigentlich auch eine IPv6 Adresse bekommen. (Naiv anzunehmen dass es schon ein gewisser Standard sei.)
Ein Handy ist scheinbar nur IPv4 fähig und das andere hat eine IPv6. Interessanter weise kann das Handy mit der IPv6 Adresse, im Gegensatz zu gestern, mein NAS heute finden.
Zum Thema Sicherheit: Da ja jetzt praktisch die Domain/IP Adresse und gewisse Daten geleakt sind, sollte ich gewisse Maßnahmen ergreifen und wenn ja welche? (Passwörter des NAS und der FritzBox sind +18 Zeichen lang, mit Zahlen, groß und klein Buchstaben und Sonderzeichen)
Ja mein Handy hat eine IPv6 Adresse. Die anderen Handys wo ich die besagte Seite nicht erreichen kann allerdings auch.
----------------------------------------------------------------------
@conf_t
Ich verstehe deinen Ansatz. Die Ports 80 und 443 sind in der FritzBox für das Raspberry PI freigegeben.
Theoretisch müsste das doch ausreichen um den Webserver (ngnix) via Browser zu erreichen?
----------------------------------------------------------------------
@thomasschaefer
Das freut mich. Somit ist ja schon mal bewiesen dass es funktioniert aber halt irgendwie nicht richtig.
Die Domain vom Raspberry PI (NAS) ist im DNS Rebindschutz der FritzBox eingetragen.
Bzgl. der Problematik mit dem Hotspot habe ich auch schon versucht Nachforschungen anzustellen. Leider kann ich zur Funktionsweise und ähnlichem keine guten Quellen finden.
----------------------------------------------------------------------
@roket
Ich bestätige, wenn das Surface mit dem Hotspot Verbunden ist und das Handy im öffentlichen Netz ist, dann bekommt das Surface nur eine IPv4 Adresse. (Da drauf hätte ich auch kommen können. Immer dieser Wald mit den ganzen Bäumen und so)
-> Also wird hier das Problem sein dass das Handy nur mit dem IPv4 Protokoll arbeitet?
Demnach die DNS Anfrage nur nach IPv4 Domains/IPs "sucht" und da nur IPv6 beim DynDNS hinterlegt ist bekomme ich den Fehler "DNS nicht gefunden".
Verstehe ich das richtig?
Danke für den Vorschlag.
----------------------------------------------------------------------
USB-Tethering funktioniert, das NAS sowie die FritzBox sind erreichbar, durch das Tethering wird dem Surface eine eigene IPv6 Adresse zugwiesen.
Nach der ganzen Hilfe habe ich nochmal überprüft welche Geräte denn nun eigentlich auch eine IPv6 Adresse bekommen. (Naiv anzunehmen dass es schon ein gewisser Standard sei.)
Ein Handy ist scheinbar nur IPv4 fähig und das andere hat eine IPv6. Interessanter weise kann das Handy mit der IPv6 Adresse, im Gegensatz zu gestern, mein NAS heute finden.
Zum Thema Sicherheit: Da ja jetzt praktisch die Domain/IP Adresse und gewisse Daten geleakt sind, sollte ich gewisse Maßnahmen ergreifen und wenn ja welche? (Passwörter des NAS und der FritzBox sind +18 Zeichen lang, mit Zahlen, groß und klein Buchstaben und Sonderzeichen)
thomasschaefer
Cadet 3rd Year
- Registriert
- Jan. 2015
- Beiträge
- 58
Nimmst du eben eine andere Domain. Du solltest trotzdem davon ausgehen, das dass "verstecken" von Namen kein Schutz darstellt. Grundsätzlich würde ich an deiner Stelle noch dafür sorgen, dass das Zertifikat zum Namen passt.
Bei den Handys, die nicht funktionieren, solltest du die APN (IPv4/IPv6 + roaming IPv4/IPv6) Einstellungen prüfen, manchmal sind nur die Profile steinalt.
Bei den Handys, die nicht funktionieren, solltest du die APN (IPv4/IPv6 + roaming IPv4/IPv6) Einstellungen prüfen, manchmal sind nur die Profile steinalt.
Puh. Mein Tipp: Nicht zu kompliziert denken, lieber testen, also eine öffentliche IPv6-only-Webseite wie ipv6.icanhazip.com. Dann siehst Du, ob IPv6 klappt. Denn Dein Endgerät könnte lokal auch eine IPv6-Adresse bekommen haben, aber IPv6 selbst klappt nicht, wegen einem Routing-Fehler. IPv6 ist Dank Happy Eyeballs schwer zu debuggen, unser Thomas hat dafür sogar eine Extra-Webseite …Klicki123 schrieb:
S
s1ave77
Gast
Klicki123 schrieb:
Domain und IP sind bessere Telefonnummern, mehr nicht. Die sind nicht gefährlich und machen nichts unsicher.
Sobald du ein Let's Encrypt Zertifikat per DNS-Challenge hast, sind Domain und natürlich Wildcards bekannt. Das ist öffentlich einsehbar, wie das Telefonbuch auch.
Ports 80/443 für Reverse-Proxy (Traefik bei mir) mit im Idealfall zusätzlicher Auth-Ebene. Wireguard-Port bei Bedarf, geht auch ohne.
Das Ganze zusätzlich per App in der Cloud mit zusätzlicher 2FA (OTP ist mein Favorit).
Dann hast du MFA. Mehrere unabhängige Ebenen, die gestaffelt sind. Jede braucht Autorisierung (Login und OTP) und validiert dann.
Ist Zero Trust als Idee: nicht vertauen (niemals und keinem, am wenigsten sich selbst). Immer Verifizieren!
Fail2Ban für die Überwachung der Logs. Das bannt nicht nur, das zeigt auch auffälliges bevor es gebannt wird. Die IP wird dann gebannt, der Angreifer besorgt sich eine neue (VPN aus und an und neue IP aus dem POOL). Nächster Anlauf.
Fail2Ban kann kontrollieren, ist aber kein Schutz. Nur mit dem Rest zusammen. Komm da mal rein. Nur wenn die Entwickler Fehler machen ... dann muß man vorbereitet sein und Updaten.
Daher ohne Backups ergibt der Rest keinen Sinn. Mit Backups, spielst du die sauberen Backups ein, stellst Sicherheit wieder her und machst weiter.
Ergänzung ()
Sicherheit als VPN-Provider. Ist 5-Eyes aber keine Log-Pflicht. Erstellste keine Logs, kannste nichts rausrücken.
Server laufen immer bare-metal in der jeweiligen Region, keine gekloneten VM-Instanzen wie bei Nord (Masse statt Klasse), und das Server-OS läuft In-Memory-Only und ist z.B. gegen ColdBoot-Attacken gehärtet.
Daten, welche? Servern steh'n dahinten, bedient euch.
Zuletzt bearbeitet von einem Moderator:
thomasschaefer
Cadet 3rd Year
- Registriert
- Jan. 2015
- Beiträge
- 58
Ich habe zum Abschluss mal deine Erreichbarkeit von 500 Stellen aus probiert, sieht so weit gut aus.
https://atlas.ripe.net/measurements/76100245/overview
https://atlas.ripe.net/measurements/76100245/overview