Unitymedia Kleiner IPv6-Workshop

[sirleon]

Grundsätzliche Frage: Bei mir scheint neuerdings, seit etwa einer Woche, die Erreichbarkeit durch IPV4-Server gegeben zu sein. VPN zu einer Hochschule funktioniert plötzlich, wie auch die Multiplayerfunktion bei FarCry 4 . Beides klappte noch kurz zuvor nicht (mit TC 7200) hier http://ipv6-test.com/ ist alles grün, nur "hostname" bei IPV6 ist gelb. Scheint das letzte Firmwareupdate durch UM wirklich dieses Wunder vollbracht zu haben?

 

[NoGi]

Grundsätzliche Frage: Bei mir scheint neuerdings, seit etwa einer Woche, die Erreichbarkeit durch IPV4-Server gegeben zu sein. VPN zu einer Hochschule funktioniert plötzlich, wie auch die Multiplayerfunktion bei FarCry 4 . Beides klappte noch kurz zuvor nicht (mit TC 7200) hier http://ipv6-test.com/ ist alles grün, nur "hostname" bei IPV6 ist gelb. Scheint das letzte Firmwareupdate durch UM wirklich dieses Wunder vollbracht zu haben?

Das sieht fast so aus als hättest du "richtigen" Dual-Stack.
Das du keinen IPv6 Hostnamen hast ist normal, UM vergibt für die einzelnen Rechner in deinem IPv6-Subnetz keine Namen.

Interessant ist der IPv4 Host Name. Daran kann man erkennen ob du eine "eigene" IPv4 Adresse bekommst oder ob du über ein AFTR-Gateway kommst.

-NoGi

 

[newlin]

Hallo zusammen,
Ich hbae den Workshop gelesen und versucht umzusetzen.
Meine hardware ist ne FB 6490 cable(unity, Ds-Lite) und n bananapi, der meine solardatenlogt. Diese möchte ich gerne auch von aussen sehen.

Ich habe wie im workshop die fb mit myfritz eingerrichtet, die freigabe auf bananapi gestellt der auch ipv6 kann. Habe bei afraid mir ne SUbdomain angelegt und dort nur die adresse eingetragen unter cname (bananapi.s4....ui.myfritz.net). Rufe ich jetz vloger.mooo.com auf, vom Handy aus, gibts nichts.
nslookup sagbt mir auch nicht viel.. kenn mich damit nich so aus!

simon@simon-kdesktop:~$ nslookup vloger.mooo.com
Server: 192.168.0.1
Address: 192.168.0.1#53

Non-authoritative answer:
vloger.mooo.com canonical name = bananapi.s4koxftyph9nnmui.myfritz.net.

naja was mich stört ist der . hinter net ... aber ka ob das sein muss ist aufjedenfall in der myfritz freigabe nicht enthalten!

Vielleicht könnt ihr mir ja helfen.

lg simon

ps: Im myfritz wird die fb angezeigt und auch die banane, aber es steht dort das keine ipv4 oder ipv6 bekannt ist.

 

[tq1199]

<i>
</i>simon@simon-kdesktop:~$ nslookup vloger.mooo.com
Server: 192.168.0.1
Address: 192.168.0.1#53
Non-authoritative answer:
vloger.mooo.com canonical name = bananapi.s4koxftyph9nnmui.myfritz.net.

Am UM- und am Telekom-Anschluss, bekomme ich die Namensauflösung:

<i>
</i> ~ $ host vloger.mooo.com
vloger.mooo.com is an alias for bananapi.s4koxftyph9nnmui.myfritz.net.
bananapi.s4koxftyph9nnmui.myfritz.net has IPv6 address 2a02:908:1c42:ca00:d6:7ff:fec2:f603

<i>
</i> ~ $ nslookup -q=AAAA vloger.mooo.com
Server:	82.212.62.40
Address:	82.212.62.40#53
Non-authoritative answer:
vloger.mooo.com	canonical name = bananapi.s4koxftyph9nnmui.myfritz.net.
bananapi.s4koxftyph9nnmui.myfritz.net	has AAAA address 2a02:908:1c42:ca00:d6:7ff:fec2:f603
Authoritative answers can be found from:

 

[NoGi]

simon@simon-kdesktop:~$ nslookup vloger.mooo.com
Server: 192.168.0.1
Address: 192.168.0.1#53

Non-authoritative answer:
vloger.mooo.com canonical name = bananapi.s4koxftyph9nnmui.myfritz.net.

naja was mich stört ist der . hinter net ... aber ka ob das sein muss ist aufjedenfall in der myfritz freigabe nicht enthalten!

Da du ja den Namen deiner Banane mitgeliefert hast.

 gio4:~ # ping6 bananapi.s4koxftyph9nnmui.myfritz.net
PING bananapi.s4koxftyph9nnmui.myfritz.net(2a02:908:1c42:ca00:d6:7ff:fec2:f603) 56 data bytes
From 2a02:908:1c00:4:79cb:6565:b603:ff2f icmp_seq=1 Destination unreachable: Administratively prohibited
From 2a02:908:1c00:4:79cb:6565:b603:ff2f icmp_seq=2 Destination unreachable: Administratively prohibited
From 2a02:908:1c00:4:79cb:6565:b603:ff2f icmp_seq=3 Destination unreachable: Administratively prohibited
From 2a02:908:1c00:4:79cb:6565:b603:ff2f icmp_seq=4 Destination unreachable: Administratively prohibited
From 2a02:908:1c00:4:79cb:6565:b603:ff2f icmp_seq=5 Destination unreachable: Administratively prohibited
From 2a02:908:1c00:4:79cb:6565:b603:ff2f icmp_seq=6 Destination unreachable: Administratively prohibited
^C
--- bananapi.s4koxftyph9nnmui.myfritz.net ping statistics ---
6 packets transmitted, 0 received, +6 errors, 100% packet loss, time 5007ms
gio4:~ # ^C
gio4:~ # ^C
gio4:~ # ping6 vloger.mooo.com
PING vloger.mooo.com(2a02:908:1c42:ca00:d6:7ff:fec2:f603) 56 data bytes
From 2a02:908:1c00:4:79cb:6565:b603:ff2f icmp_seq=1 Destination unreachable: Administratively prohibited
From 2a02:908:1c00:4:79cb:6565:b603:ff2f icmp_seq=2 Destination unreachable: Administratively prohibited
From 2a02:908:1c00:4:79cb:6565:b603:ff2f icmp_seq=3 Destination unreachable: Administratively prohibited
From 2a02:908:1c00:4:79cb:6565:b603:ff2f icmp_seq=4 Destination unreachable: Administratively prohibited
From 2a02:908:1c00:4:79cb:6565:b603:ff2f icmp_seq=5 Destination unreachable: Administratively prohibited
From 2a02:908:1c00:4:79cb:6565:b603:ff2f icmp_seq=6 Destination unreachable: Administratively prohibited
From 2a02:908:1c00:4:79cb:6565:b603:ff2f icmp_seq=7 Destination unreachable: Administratively prohibited
^C
--- vloger.mooo.com ping statistics ---
7 packets transmitted, 0 received, +7 errors, 100% packet loss, time 6008ms
gio4:~ # traceroute -6 vloger.mooo.com
traceroute to vloger.mooo.com (2a02:908:1c42:ca00:d6:7ff:fec2:f603), 30 hops max, 80 byte packets 1 fritz.box (2001:4dd0:ff00:9463:2665:11ff:fbla:bla2) 0.816 ms 1.508 ms 1.702 ms 2 gw-5220.cgn-01.de.sixxs.net (2001:4dd0:ff00:1463::1) 17.618 ms 18.420 ms 21.959 ms 3 2001:4dd0:1234:3::42 (2001:4dd0:1234:3::42) 23.180 ms 23.158 ms 23.128 ms 4 core-eup2-ge1-22.netcologne.de (2001:4dd0:1234:3:dc40::a) 23.120 ms 23.106 ms * 5 * * * 6 * core-pg1-te4-3.netcologne.de (2001:4dd0:a2b:1d:dc10::1) 21.157 ms 31.054 ms 7 rtint3-po4.netcologne.de (2001:4dd0:a2b:8:dc10::b) 316.213 ms 260.302 ms 117.376 ms 8 libertyglobal.dus.ecix.net (2001:7f8:8::1aae:0:1) 20.707 ms 20.066 ms 20.633 ms 9 2001:730:2d00::5474:80c2 (2001:730:2d00::5474:80c2) 33.195 ms 33.211 ms 33.182 ms
10 de-hag01a-rd01.hag.unity-media.net (2a02:908::1c:1) 31.752 ms 32.293 ms 27.652 ms
11 * * *
12 2a02:908:1c00:4:79cb:6565:b603:ff2f (2a02:908:1c00:4:79cb:6565:b603:ff2f) 42.248 ms !X 46.090 ms !X 46.078 ms !X
gio4:~ #

Das sieht so aus als würde die Firewall der FB die Adresse blocken.

-NoGi

 

[newlin]

danke für den tip...
Merkwürdig ist das ich in der fritzbox einstellung die firewall für das gerät komplet ausschalte es funktioniert.. geb ich den port 80 bis 80 frei geht nichts...
ok um vom handy drauf zuzugreifen wirds wohl ersmal nix.. auser zu rooten... hm!

ist aber doch nicht sinn das man die firewall für das gerät abschalten mus..

aber danke erstmal

achso wer sich das anschaut muss gedult haben dauert n bischen bis die site aufgebaut ist ... hab uach noch nich so ganz raus warum aber anderes thema

 

[Leseratte10]

naja was mich stört ist der . hinter net ... aber ka ob das sein muss ist aufjedenfall in der myfritz freigabe nicht enthalten!

Das ist ganz normal. "Ofiiziell" enden Domainnamen immer mit einem Punkt. In nahezu allen Anwendungen wird der aber ignoriert / nicht angezeigt / automatisch ergänzt.
In Programmen wie dig wird der dann aber wieder angezeigt um exakt die übermittelten Daten anzuzeigen.

 

[SpaceRat]

Die Fritz!Box-IPv6-Firewall blockt standardmäßig alle ICMPv6-Anfragen und die sind für ping und traceroute nötig.
Die kann man - neben den einzelnen Ports - aber auch erlauben.

 

[Meza100]

Hi,
ich habe mir den IPv6 Workshop auch in Ruhe durchgelesen, aber irgendwie verstehe ich das noch nicht so ganz. Wahrscheinlich wurde die Frage auch schon öfters gestellt... Aber ich habe jetzt nichts auf Anhieb gefunden.

Zuhause habe ich ein Technicolor T7200 Router. Hinter diesem Router ist mein kleiner Homeserver. Ist es möglich per Smartphone (z.B. OpenVPN?) mich übers Mobilfunknetz in mein Netz einzuklinken? Ich gehe stark davon aus, dass es nicht geht. Würde hier eine FritzBox (also die KomfortFunktion) abhilfe schaffen? Oder muss ich auf ein Business Tarif mit fester IP wechseln?

Danke und Grüße, Stefan

 

[MartinDJR]

Zuhause habe ich ein Technicolor T7200 Router. Hinter diesem Router ist mein kleiner Homeserver. Ist es möglich per Smartphone (z.B. OpenVPN?) mich übers Mobilfunknetz in mein Netz einzuklinken?

Wenn dein Smartphone, dein Mobilfunk-Netzbetreiber und deine VPN-Software alle drei IPv6 haben, kannst du VPN über IPv6 nutzen.

(In fünf Jahren wird das der Normalfall sein.)

Falls dein Smartphone kein IPv6 kann (egal, ob es am Smartphone, am Netzbetreiber oder an der VPN-Software liegt) geht es nicht so einfach.

Ich gehe stark davon aus, dass es nicht geht. Würde hier eine FritzBox (also die KomfortFunktion) abhilfe schaffen?

Nein

Oder muss ich auf ein Business Tarif mit fester IP wechseln?

Du könntest auch den Dienst "feste-ip" verwenden, der in solchen Fällen immer empfohlen wird...

Dieser Dienst ermöglicht Verbindungen von einem IPv4-Gerät zu einem Heimserver an einem IPv6-Anschluss.

Das funktioniert aber nur mit TCP-basierten VPN-Verbindungen (also SSTP, aber eben nicht L2TP oder PPTP).

Wenn ich richtig verstehe, kostet dich dieser Dienst nur 5 Euro im Jahr, wenn du nicht auf einen bestimmten TCP-Port (z.B. 443) festgelegt bist und 35 Euro im Jahr (je nach Anwendungsfall aber auch 43 Euro), falls du einen ganz bestimmten TCP-Port benötigst.

Falls diese Zahlen stimmen, wären selbst 43 Euro im Jahr noch billiger als die Preisdifferenz zwischen Privatkunden- und Bussiness-Anschluss.

 

[Meza100]

Du könntest auch den Dienst "feste-ip" verwenden, der in solchen Fällen immer empfohlen wird...

Dieser Dienst ermöglicht Verbindungen von einem IPv4-Gerät zu einem Heimserver an einem IPv6-Anschluss.

Das funktioniert aber nur mit TCP-basierten VPN-Verbindungen (also SSTP, aber eben nicht L2TP oder PPTP).

Wenn ich richtig verstehe, kostet dich dieser Dienst nur 5 Euro im Jahr, wenn du nicht auf einen bestimmten TCP-Port (z.B. 443) festgelegt bist und 35 Euro im Jahr (je nach Anwendungsfall aber auch 43 Euro), falls du einen ganz bestimmten TCP-Port benötigst.

Falls diese Zahlen stimmen, wären selbst 43 Euro im Jahr noch billiger als die Preisdifferenz zwischen Privatkunden- und Bussiness-Anschluss.

Dank dir habe ich mal nach dem Dienst "fest-ip" gesucht und mich auch eingelesen. Aber das bringt mir ja nur mit DynDNS was oder? Wenn das so ist, dann muss ich so oder so zu ner Fritzbox wechseln, da der TC7200 kein DynDNS unterstützt. Oder gibt es eine Möglichkeit mit dem TC7200 das zu realisieren? Und wenn ja, wie kompliziert wäre das Ganze? Würde man da lieber 5 Euro pro Monat in eine Fritzbox investieren?

 

[MartinDJR]

Dank dir habe ich mal nach dem Dienst "fest-ip" gesucht und mich auch eingelesen. Aber das bringt mir ja nur mit DynDNS was oder? Wenn das so ist, dann muss ich so oder so zu ner Fritzbox wechseln, da der TC7200 kein DynDNS unterstützt. Oder gibt es eine Möglichkeit mit dem TC7200 das zu realisieren? Und wenn ja, wie kompliziert wäre das Ganze? Würde man da lieber 5 Euro pro Monat in eine Fritzbox investieren?

Der eigentliche DynDNS-Dienst ist ja immer ein Server irgendwo im Internet. So, wie ich das verstehe, ist bei "feste-ip.net" ein DynDNS-Server dabei.

Bei "feste-ip.net" gibt es aber auch einen Raspberry Pi zu kaufen, der die Konfiguration des DynDNS-Servers übernimmt - also das, was die Fritz!Box bei einem "normalen" DynDNS-Dienst machen würde.

Alternativ kann man auch nur die Software für diesen Raspberry Pi bekommen, wenn man bereits einen hat. Wahrscheinlich läuft diese Software auch auf einem Banana Pi...

Ob der DynDNS-Dienst von "feste-ip.net" kompatibel mit der DynDNS-Funktion der Fritz!Box ist, weiß ich nicht. Falls nein, würde dir die Fritz!Box sowieso nichts nützen.

 

[blacksun]

Hallo,

ich bin seit vielen Jahren Kunde bei Kabel-BW bzw. jetzt Unitymedia und habe noch einen alten Tarif (20MBit Downloadload/1Mbit Upload, 1 Telefonleitung ohne Flatrates). Modem ist ein Motorola, daran angeschlossen ist eine FritzBox Fon 7050.
Die Fritzbox als auch alle anderen Geräte im Netzwerk können nur ip4, kein ip6. Es lässt sich wegen des Alters auch kein ip6 nachrüsten.

Da heute einer der ganz seltenen längeren Ausfälle von Internet und Telefon war, war das der Anlass um mich mal mit den Themen ip6, DS (Lite), Erreichbarkeit von aussen und den Diensten von feste-ip.net zu beschäftigen.

Grundsätzlich muss ich von aussen zwingend wegen diverser Serverdienste über ip4 erreichbar sein, inbesondere aus den Mobilfunknetzen.
Hardware möchte ich nach Möglichkeit behalten bzw. nicht alleine wegen ip6 tauschen müssen. Die HW ist für meine Zwecke nach wir vor ausreichend.
Weitere Hardware anschaffen möchte ich auch vermeiden, zum einen wegen Anschaffungskosten, Konfigurationsaufwand (Raspberrry, Linux) und den Stromkosten für weitere Geräte.

Folgende Fragen stellen sich mir:
- kann ich grundsätzlich hinter einem Modem mit ip6 überhaupt ip4-Geräte betreiben, also meine FBF 7050 und die anderen ip4-only-Geräte? Ich lese immer (z.B.bei feste-ip.net) dass mindestens 1x ip6-Forwarding im Router gemacht werden muss. Und mein 7050 als Router kann das ja nicht.
- kann es passieren dass bei Modem-Tausch ich von UM kein Modem mehr erhalten kann das ip4 kann (UM-WAN als auch mein internes LAN)? (ich lese immer dass das Thema ip6 und DS-Lite ausschließlich Neukunden betreffen würde)
- kann mir das auch bei einem Tarifwechsel passieren?
- können alle aktuellen Router noch ein Portforwarding sowohl auf ip4-Adressen als auch ip6-Adressen? (ich habe auf Screenshots von AVM nur gesehen wie man auf ip6-Adressen ein Forwarding einrichtet. Da ich aktuell eine von aussen erreichbare ip4 von UM habe sollte ich auch bei einer neuen FritzBox auf ip4-Adressen im LAN eine Weiterleitung setzen können.
- kann man Stand Febr. 2016 in einem Privatkunden-Tarif noch eine IP4-Adresse bekommen?

Das sind jetzt erstmal grundsätzliche Fragen. Aber damit kann ich schonmal einschätzen ob es mir passieren kann dass ich durch einen Modemdefekt oder Routerdefekt von einem Moment auf den anderen gezwungen bin sämtliche Hardware bei mir austauschen zu müssen.

Vielen Dank für eure Hilfe

Gruß
Martin

 

[hajodele]

Da kann ich dich beruhigen:
Bei einem Wechsel der UM-Hardware wirst du IPv4 behalten können.
Übrigens solltes du dich von deiner 7050 vielleicht so langsam verabschieden.
Das ist inzwischen ein Unhsicherheitsfaktor.

 

[blacksun]

Da kann ich dich beruhigen:
Bei einem Wechsel der UM-Hardware wirst du IPv4 behalten können.
Übrigens solltes du dich von deiner 7050 vielleicht so langsam verabschieden.
Das ist inzwischen ein Unhsicherheitsfaktor.

Danke für die schnelle Rückmeldung.
In der Tat bin ich beruhigt dass ich auf jeden Fall bei Defekten an der Unitymedia-Hardware immer ip4 behalten kann.

- werde ich ip4 auch bei einem Tarifwechsel behalten können?
- ist in meinem alten Tarif bereits auch ip6 enthalten? Wenn ich also meine 7050 ersetzen müsste weil sie z.B. defekt wäre und ich eine aktuellere ip6-taugliche Fritzbox hinter das bisherige Motorola-Modem setze, habe ich dann auch eine ip6-Adresse, oder habe ich einen ip4-only-Anschluss?



Wegen 7050:
Das habe ich mir auch schon überlegt als damals die Sicherheitslücken mit diversen Routern, auch die von AVM, öffentlich wurden. Und auch bei Heartbleed. Aber wenn ich das richtig verstanden habe, dann basieren alle Lücken darauf dass die Fritzbox/der Router direkt aus dem Internet von aussen angesprochen werden kann, also Dienste bereitstellt. Das geht aber bei der 7050 gar nicht.
Angegriffen werden kann ein Router doch nur wenn er selbst Dienst bereitgestellt. Die 7050 hat nur einen Webserver und Telnet. Beides ist aber nur aus dem LAN/WLAN erreichbar. Ein Forwarding aus dem Internet auf sich selbst ist natürlich nicht eingerichtet. Die Fritzbox ist doch somit nur ein einfacher "dummer" ip4-Forwarder. Und im ip4-Protokoll gab es soweit ich weiß keine Sicherheitslücke um hier auf den Router "auszubrechen".

Alle anderen Internet-Dienste wie sip-Telefonie, DDNS-Aktualisierung und Push-Nachricht (also Email über SMTP-Server verschicken) sind ja rein ausgehende Dienste. Die sind soweit ich weiß auch bei den aktuellen Modellen nicht anders (wie etwa verschlüsseltes SIP, DDNS über verschlüsselte Verbindung, SSL bei SMTP)
Weitere Dienste auf der 7050 neben den 5 Stück, welche überhaupt das Internet nutzen, würden mir jetzt gar nicht einfallen.
Und wegen WLAN, zum einen nutze ich das gar nicht, zum anderen wird WPA2 unterstützt. Zweites unverschlüsseltes Hotspot-WLAN gibt's auch noch nicht.
Daher, wo siehst Du da einen Unsicherheitsfaktor?

 

[Boecki83]

Hi SpaceRat ich möchte nochmal das Thema Workaround für Enigma2-basierende DVB-S/DVB-C/DVB-T (Sat-/Kabel-/Terrestrisches TV) Receiver http://www.unitymediaforum.de/viewtopic.php?f=53&t=25148&p=262337 ansprechen.

Es ist mir relativ einfach über feste-ip.net und einen Port Mapper gelungen auf das Webinterface der VU zu gelangen. Da hört das ganze dann aber auch schon auf.

Ich wollte mir einen m3u Stream über mein Handy anschauen dieser läuft Transkodiert über Port 8002. Leider klappt das verfahren mit dem Port Mapper dort nicht.

Der Tip mit dem haproxy klingt interessant und könnte die Lösung sein. Leider ist die Version im Thread veraltet und bringt meine VU zum absturz.

Wäre es möglich eine neue Version zu kompilieren ?

Danke im voraus.

 

[Tuco1.06]

Hallo,

Zuerst einmal ein super Workshop, sehr gut erklärt.

Ich habe einen Unitymedia Vertrag ohne eine Fritzboy, deswegen möchte ich es jetzt über den inadyn-mt update service machen.

Ich habe mich bei freedns.afraid.org angemeldet und folgendermaßen eingerichtet:



Soweit so gut.

Nun habe ich Regesty Schlüssel eingetragen und die install_inadyn-mt_service.bat ausgeführt.

Jedoch aktualisiert sich die IP einfach nicht. Es bleibt immer die ::1 eingetragen bei freedns.afraid.org

Was mich wundert, das ich keinen Dienst namens inadyn finde. Oder heißt der Dienst anderst?

Was mache ich falsch?

Ich freue mich über antworten

Gruß Marc

 

[baghira56]

Ich habe zwar Ihre/Deine Anleitung gelesen, aber bei mir funktioniert der Verweis auf das angebotene script nicht
Ich bin zwar unitymedia-Kunde, sondern bei mnet und habe somit das gleiche Problem

Dein Beitrag wir also intensiv gelesen und ist toll!

Servus, Grüße aus Landshut

Wolfgang