Unitymedia Kleiner IPv6-Workshop

[Knifte]

Also in allen aktuellen VTi-Versionen ist das OpenWebIF direkt dabei und standardmäßig aktiviert.

Und wenn ich ein ifconfig übers telnet mache, dann erhalte ich neben der IPv4-Adresse auch 2 IPv6-Adressen (einmal scope:global und einmal scope:link). Erstere sieht so aus, als ob sie meine externe IPv6-Adresse ist.

 

[SpaceRat]

Also in allen aktuellen VTi-Versionen ist das OpenWebIF direkt dabei und standardmäßig aktiviert.

Gut zu wissen.

Und wenn ich ein ifconfig übers telnet mache, dann erhalte ich neben der IPv4-Adresse auch 2 IPv6-Adressen (einmal scope:global und einmal scope:link). Erstere sieht so aus, als ob sie meine externe IPv6-Adresse ist.

Damit das OpenWebif über IPv6 erreichbar ist, sind folgende Dinge - natürlich neben IPv6 im Netzwerk - Voraussetzung:

• Der Kernel der E2-Kiste muß es können.
  Das ist nach meinem Empfinden inzwischen die Regel.
  Test:
  Wenn /proc/net/if_inet6 existiert, kann der Kernel IPv6
• Das Python-Modul "Twisted" auf der Box muß mindestens Version 12.0.0 haben.
  
  Test:
  root@ultimo:~# python
  Python 2.7.3 (default, Dec 2 2013, 07:43:19)
  [GCC 4.8.2] on linux2
  Type "help", "copyright", "credits" or "license" for more information.
  >>> import twisted
  >>> twisted.version
  Version('twisted', 12, 0, 0)
  >>> exit()
  Fett markiert: Die Benutzereingaben, zusätzlich kursiv: Die gewünschte Information.
  Zwischenzeitlich sollte das zumindest "oft" so sein. Man wird aber bestimmt auch noch irgendwo Twisted 11.x finden, die diversen Image-Entwicklerteams haben's leider nicht so mit den Updates ...
• Python darf nicht mit dem Schalter --disable-ipv6 gebaut sein.
  Das ist leider eher die Ausnahme ...
  Bisher weiß ich nur von OpenPLi 4.0, bei dem dieser Schalter rausgenommen wurde, womit dann Python mit IPv6 gebaut wurde.
  
  Test:
  root@ultimo:~# python
  Python 2.7.3 (default, Dec 2 2013, 07:43:19)
  [GCC 4.8.2] on linux2
  Type "help", "copyright", "credits" or "license" for more information.
  >>> import socket
  >>> socket.has_ipv6
  True
  >>> exit()

Wenn alle o.g. Voraussetzungen erfüllt sind, dann ist das OpenWebif ohne weiteres Zutun auch per IPv6 ansprechbar.

Bei den üblichen Linux-Diensten ist der IPv6-Support i.d.R. allein vom Kernel abhängig, so daß dropbear oder OpenSSH auf diesen Boxen meistens auch out-of-the-box per IPv6 funktionieren.

Bei der Verwendung von OpenSSH hat man auch direkt einen schönen sftp-Server, über den man sicher auf die Dateien auf der Box zugreifen kann.
Per Telnet:

opkg remove dropbear
opkg install openssh-sshd openssh-sftp-server

oscam wird leider ohne Not auch noch allzu oft ohne IPv6 gebaut, kann aber ganz einfach durch eine IPv6-fähige Version ersetzt werden.

 

[Knifte]

Der Kernel der E2-Kiste muß es können.
Das ist nach meinem Empfinden inzwischen die Regel.
Test:
Wenn /proc/net/if_inet6 existiert, kann der Kernel IPv6

Datei existiert.

Das Python-Modul "Twisted" auf der Box muß mindestens Version 12.0.0 haben.

Test:
root@ultimo:~# python
Python 2.7.3 (default, Dec 2 2013, 07:43:19)
[GCC 4.8.2] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import twisted
>>> twisted.version
Version('twisted', 12, 0, 0)
>>> exit()

Ergibt bei mir die gleiche Anzeige, wie bei dir.

Test:
root@ultimo:~# python
Python 2.7.3 (default, Dec 2 2013, 07:43:19)
[GCC 4.8.2] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import socket
>>> socket.has_ipv6
True
>>> exit()

Da kommt bei mir aber ein False raus. Habe bei mir VTi 6.0.5 installiert inkl. aller aktuellen Updates.

 

[SpaceRat]

Eigentlich hatte ich nur versucht, die VU ins Netz zu hängen, um zu gucken, ob das mit der besser funktioniert als mit dem nicht erreichbaren NAS.

Hängt vom Image ab.

Bei meiner Vu+ Ultimo mit OpenPLi 4.0 kann ich out-of-the-box per IPv6 erreichen:
- Web-Interface http und https (OpenWebif)
- ssh (dropbear), mit OpenSSH zusätzlich auch als sftp-Server
... durch einfachen Austausch der Binary zusätzlich:
- oscam
... durch Einspielen meines haproxy Paketes für MIPS zusätzlich:
- Streaming-Port
- cccam

Noch bis vor kurzem wäre es bei einem HDMU-Image gewesen:
- Nix.

Bei aktuellen HDMU-Images ist es:
- telnet
... durch einfachen Austausch der Binary zusätzlich:
- oscam
... durch manuelles Einspielen eines ssh-Servers:
- ssh (dropbear), mit OpenSSH zusätzlich auch als sftp-Server
... durch Austausch von Python mit einer IPv6-tauglichen Version und Einspielen des OpenWebif:
- Web-Interface http und https (OpenWebif)
... durch Einspielen meines haproxy Paketes für sh4 zusätzlich:
- Streaming-Port

Wenn ich in der Fritzbox eine myFritz-Freigabe einrichte, ist doch eigentlich schon alles erledigt, um das freigegebene Gerät über diesen kryptischen Link erreichen zu können. Voraussetzung ist doch dann nur noch, dass das Gerät selber IPv6 beherrscht, oder?

Die MyFritz!-Freigabe macht zwei Dinge:
1. Sie stellt den DynDNS-Dienst für das freigegebene Gerät zur Verfügung (Die lange, teils kryptische URL)
2. Sie öffnet den in der MyFritz!-Freigabe angegebenen Port in der IPv6-Firewall für dieses Gerät

D.h. wenn Du eine MyFritz!-Freigabe für einen HTTPS-Server auf einem IPv6-fähigen Gerät anlegst, dann erhältst Du den DynDNS-Host für <Gerät>.<kryptische Buchstabenfolge>.myfritz.net und hast die IPv6-Firewall auf Port 443 für dieses Gerät geöffnet. Alle anderen Ports und auch Ping6 bleiben aber dicht!
Du kannst nun wahlweise weitere MyFritz!-Freigaben für das selbe Gerät anlegen um weitere Ports zu öffnen oder aber einfach die durch MyFritz! angelegte Regel unter "IPv6-Freigabe" um weitere Ports (z.B. 22 für ssh) ergänzen.

Der Synology habe ich gesagt, dass sie die IPv6-Einstellungen automatisch machen soll. Wenn ich das Dingen per Hostnamen anpinge, bekomme ich auch die/eine IPv6-Adresse angezeigt. Damit ist doch, zusammen mit der offenen Firewall, alles richtig eingerichtet, oder?

Im Prinzip schon, sofern Du auch den für den zu nutzenden Dienst richtigen Port freigegeben hast.
Laut Synology kann fast alles auf deren NAS auch IPv6: FAQ: What applications on Synology NAS are IPv6 supported?

Allerdings finde ich dort im letzten Punkt unter "Applications" auch eine Firewall ... u.U. mußt Du also auch eine zweite Firewall öffnen, nämlich die auf dem NAS.

Ich war gestern so genervt, dass ich mich mal nach Alternativen für UM umgesehen habe. Vodafone bietet momentan eine Aktion, wo man 6 Monate ohne Grundgebühr angeschlossen wird und die Monate 7-24 VDSL zum DSL-Preis bekäme. Das würde sogar ganz gut passen, weil unser Vertrag im Sommer nach 18 Monaten ausläuft. Aber...bei uns in der Straße gibt's kein VDSL :motz:

Tjor.
So ist das eben, VDSL klingt immer ganz toll, kriegen kann es aber kaum einer ...

 

[SpaceRat]

>>> import socket
>>> socket.has_ipv6
True
>>> exit()

Da kommt bei mir aber ein False raus. Habe bei mir VTi 6.0.5 installiert inkl. aller aktuellen Updates.

Das ist leider die Regel und hat historische Gründe:
Das configure-Script für diese alten Python-Versionen baut leider beim Cross-Compilen Mist, wenn es überprüft, ob IPv6-Unterstützung vorhanden ist oder nicht.
Also hat man damals kurzerhand "--disable-ipv6" reingesetzt, meist sogar irgendwo fest anstatt abhängig von dynamischen Build-Einstellungen, damit wurde nicht auf IPv6-Unterstützung geprüft und zack war das Problem "gelöst".

Und obwohl es inzwischen fertige Patches für configure gibt tun sich die Leute jetzt schwer damit, den Schalter --disable-ipv6 wieder rauszunehmen oder zumindest erst in der Build-Umgebung an sich zu setzen.

Ich behaupte einfach mal, daß Du keine Probleme hättest, wenn Du Deinen Python einfach durch den aus einem OpenPLi 4.0 Image ersetzen würdest.
Für meinen Topfield habe ich E2 einfach selber gebaut, dann aber nur die Python aus diesem Build genommen und über Python aus dem HDMU-Image drüber gedübelt.

 

[Titus]

Die MyFritz!-Freigabe macht zwei Dinge:
1. Sie stellt den DynDNS-Dienst für das freigegebene Gerät zur Verfügung (Die lange, teils kryptische URL)
2. Sie öffnet den in der MyFritz!-Freigabe angegebenen Port in der IPv6-Firewall für dieses Gerät

D.h. wenn Du eine MyFritz!-Freigabe für einen HTTPS-Server auf einem IPv6-fähigen Gerät anlegst, dann erhältst Du den DynDNS-Host für <Gerät>.<kryptische Buchstabenfolge>.myfritz.net und hast die IPv6-Firewall auf Port 443 für dieses Gerät geöffnet. Alle anderen Ports und auch Ping6 bleiben aber dicht!
Du kannst nun wahlweise weitere MyFritz!-Freigaben für das selbe Gerät anlegen um weitere Ports zu öffnen oder aber einfach die durch MyFritz! angelegte Regel unter "IPv6-Freigabe" um weitere Ports (z.B. 22 für ssh) ergänzen.

Vielleicht liegt da der Hase begraben und ich habe bisher die falschen Ports für die DS freigegeben. Eigentlich sind das 5000 für http und 5001 für https. Ich habe aber eben gelesen, dass jemand mal die 5002 auf die 5000 umgelenkt hat, weil die 5000 direkt auch nicht funktionieren wollte.

Allerdings finde ich dort im letzten Punkt unter "Applications" auch eine Firewall ... u.U. mußt Du also auch eine zweite Firewall öffnen, nämlich die auf dem NAS.

Bei der hatte ich zuletzt alle Ports freigegeben, um auszuschließen, dass diese Firewall dazwischen funkt.
Um die VU kümmere ich mich eventuell, wenn die DS richtig läuft. Mir fehlt da momentan aber noch etwas der Anwendungsfall für den ich einen Zugriff von außen benötige.

 

[SpaceRat]

Vielleicht liegt da der Hase begraben und ich habe bisher die falschen Ports für die DS freigegeben.

Das wird es sein und ist auch genau das, was ich damit meine, wenn ich sage, daß sich die Leute von Verkomplizierungen aus IPv4 gedanklich nicht trennen können ...

Eigentlich sind das 5000 für http und 5001 für https.

Dann mußt Du auch diese Ports in der Firewall öffnen.
Die MyFritz!-Freigabe auf Port 443 ist aber schadlos, mach einfach unter "IPv6-Firewall" für den NAS die Ports 5000-5001 zusätzlich auf.

Ich habe aber eben gelesen, dass jemand mal die 5002 auf die 5000 umgelenkt hat, weil die 5000 direkt auch nicht funktionieren wollte.

Bei IPv6 wird nichts umgelenkt.

Diese ganze Umlenkerei ("Port-Forwarding") bei IPv4 ist dort nur deshalb notwendig, weil Du trotz mehrerer Geräte nur eine einzige IP-Adresse zur Verfügung hast. Deshalb muß das Gerät, welches diese IP wirklich hat (Der Router) sie von <seiner Adresse>:<freier Port> an <lokale IPv4 des tatsächlichen Zieles>:<richtiger Port> umleiten. Ist dann im Router Port 5000 schon für ein anderes Gerät verheizt, dann muß man dort eben z.B. Port 5002 nehmen, obwohl das Ziel weiterhin Port 5000 auf dem Zielgerät ist ....

Bei IPv6 entfällt dieser Nonsens, das Zielgerät hat ja seine eigene IP-Adresse und kann direkt und mit dem richtigen Port angesprochen werden.

Daß es in der Fritz!Box überhaupt "IPv6-Freigaben" gibt, hat also einzig und allein damit zu tun, daß AVM als m.W. einziger Hersteller auch eine funktionierende IPv6-Firewall hat. Ohne die Firewall wäre das NAS auch ohne "IPv6-Freigabe" direkt erreichbar, allerdings komplett, also z.B. auch per telnet, ftp oder was es sonst noch so an unsicheren Diensten gibt.
Die Fritz!Box hingegen sperrt in der IPv6-Firewall alle Zugriffe auf das Gerät, außer für die Ports, die explizit freigegeben wurden. Das ist aber eine reine "auf/zu"-Einstellung.

 

[Titus]

Diese ganze Umlenkerei ("Port-Forwarding") bei IPv4 ist dort nur deshalb notwendig, weil Du trotz mehrerer Geräte nur eine einzige IP-Adresse zur Verfügung hast. Deshalb muß das Gerät, welches diese IP wirklich hat (Der Router) sie von <seiner Adresse>:<freier Port> an <lokale IPv4 des tatsächlichen Zieles>:<richtiger Port> umleiten. Ist dann im Router Port 5000 schon für ein anderes Gerät verheizt, dann muß man dort eben z.B. Port 5002 nehmen, obwohl das Ziel weiterhin Port 5000 auf dem Zielgerät ist ....

Bei IPv6 entfällt dieser Nonsens, das Zielgerät hat ja seine eigene IP-Adresse und kann direkt und mit dem richtigen Port angesprochen werden.

Du hast Recht und eigentlich war mir das schon bekannt. Hab's wohl in geistiger Umnachtung in dem Augenblick des Schreibens wieder verdrängt.

Daß es in der Fritz!Box überhaupt "IPv6-Freigaben" gibt, hat also einzig und allein damit zu tun, daß AVM als m.W. einziger Hersteller auch eine funktionierende IPv6-Firewall hat. Ohne die Firewall wäre das NAS auch ohne "IPv6-Freigabe" direkt erreichbar, allerdings komplett, also z.B. auch per telnet, ftp oder was es sonst noch so an unsicheren Diensten gibt.
Die Fritz!Box hingegen sperrt in der IPv6-Firewall alle Zugriffe auf das Gerät, außer für die Ports, die explizit freigegeben wurden. Das ist aber eine reine "auf/zu"-Einstellung.

Im Grunde bedeutet das doch, dass ich die Synology-Firewall gefahrlos aufmachen kann, oder? Denn bis zum NAS kommt ja eh nur, was die Fritzbox durchgelassen hat. Die würde doch nur noch bei bisher nicht bekannten Sicherheitslücken in der Fritzbox-Firewall helfen!?

 

[SpaceRat]

Daß es in der Fritz!Box überhaupt "IPv6-Freigaben" gibt, hat also einzig und allein damit zu tun, daß AVM als m.W. einziger Hersteller auch eine funktionierende IPv6-Firewall hat. Ohne die Firewall wäre das NAS auch ohne "IPv6-Freigabe" direkt erreichbar, allerdings komplett, also z.B. auch per telnet, ftp oder was es sonst noch so an unsicheren Diensten gibt.
Die Fritz!Box hingegen sperrt in der IPv6-Firewall alle Zugriffe auf das Gerät, außer für die Ports, die explizit freigegeben wurden. Das ist aber eine reine "auf/zu"-Einstellung.

Im Grunde bedeutet das doch, dass ich die Synology-Firewall gefahrlos aufmachen kann, oder? Denn bis zum NAS kommt ja eh nur, was die Fritzbox durchgelassen hat. Die würde doch nur noch bei bisher nicht bekannten Sicherheitslücken in der Fritzbox-Firewall helfen!?

Radio Eriwan: Im Prinzip schon.

An sich reicht eine Firewall und selbst wenn man berücksichtigt, daß man zum Schutz von Firmen-Netzen durchaus auch mal mehrere Firewalls unterschiedlicher Hersteller kaskadiert, um auch dann noch sicher zu sein, wenn eine davon exploitable ist, hat die Synology-Firewall den Makel, auf dem Gerät zu laufen, das sie schützen soll, was nicht der Bringer ist.

Angesichts der aktuellen Lage (Fritz!Box-Fernwartung in den Kabelfritten noch nicht sicher gemacht, obwohl der Fix schon längst vorliegt) würde ich das aber nicht so generell sagen.
Angenommen, jemand erlangt Fernzugriff auf die Fritz!Box, dann könnte er ja in Versuchung kommen, weitere Ports auf dem NAS zu öffnen, z.B. telnet, um dann dort weiter zu wüten. Ist aber der Telnet-Port ein zweites Mal auf dem NAS selber dicht gemacht, dann nutzt ihm das Öffnen in der Fritz!Box nichts.

 

[Titus]

Jepp. Das ist ja genau das, was ich meinte.
So, jetzt erstmal Ruhe...ich werde ausprobieren, ob ich reinkomme und dann mal 'ne Rückmeldung geben...

 

[Titus]

So, weiter geht's...gestern standen wir am Abgrund, heute sind wir einen Schritt weiter :heul:

Gestern Abend habe ich versucht, die FB vom Handy aus zu erreichen. Erst war ich erfreut, weil das ging. Ebenso dann die dahinter liegenden NAS. Dann fiel mir auf, dass ich noch im WLAN war :wand: Über Aiccu ging's dann nicht.
Später gestern Abend kam mir dann noch in den Sinn, dass ich hier zuhause noch einen zweiten Internetzugang über Arcor/Vodafone-DSL habe. Homeoffice. Also darüber auch mal versucht. Aiccu installiert und gestartet. meineipv6 zeigt mir dann auch artig eine v6-Adresse an. Auf die Fritzbox komme ich aber trotzdem nicht. Wobei das schon funktioniert hat. Die Tage aus dem Büro übers Handy... Muss ich nochmal ran.

 

[SpaceRat]

So, weiter geht's...gestern standen wir am Abgrund, heute sind wir einen Schritt weiter :heul:

Gestern Abend habe ich versucht, die FB vom Handy aus zu erreichen. Erst war ich erfreut, weil das ging. Ebenso dann die dahinter liegenden NAS. Dann fiel mir auf, dass ich noch im WLAN war :wand: Über Aiccu ging's dann nicht.
Später gestern Abend kam mir dann noch in den Sinn, dass ich hier zuhause noch einen zweiten Internetzugang über Arcor/Vodafone-DSL habe. Homeoffice. Also darüber auch mal versucht. Aiccu installiert und gestartet. meineipv6 zeigt mir dann auch artig eine v6-Adresse an. Auf die Fritzbox komme ich aber trotzdem nicht. Wobei das schon funktioniert hat. Die Tage aus dem Büro übers Handy... Muss ich nochmal ran.

Wenn Du mir die entsprechenden Adressen gibst, kann ich das gerne mal von hier aus ausprobieren, um einen Fehler bei Deiner lokalen Konfiguration auszuschließen.

Beim Zugriff aus einem per aiccu/SixXS/HE-Tunnel aufgepeppten Anschluß aus kann übrigens folgendes Problem auftreten:

Symptom: Du hast zwar IPv6 und kannst auch IPv6-Seiten über ihre IP-Adresse ansprechen, nicht aber über Namen. Du kriegst dann auch bei diesem Test eine Punktzahl >0 aber <10, i.d.R. 9/10.

Ursache: Der verwendete DNS-Server ist nicht IPv6-tauglich. Das ist z.B. im Mobilfunk bei o2 der Fall. Man könnte mit dem androiccu-Tunnel auf dem Smartphone dann zwar IPv6-Server erreichen, aber bei der Namensauflösung kommt das Smartphone eben nicht an die IPv6-Adresse zu <kryptische Zeichenfolge>.myfritz.net ran und eine IPv4-Adresse gibt es ja nicht.

Lösung: Die Server von Google-DNS (Oder OpenDNS, oder oder oder) verwenden.

Auf dem Smartphone habe ich SetDNS installiert, um im Mobilfunk-Netz immer und automatisch die Google-DNS-Server statt der von o2 zu nutzen.

Wenn es auf dem Smartphone unwichtig ist, lokale Hostnames wie "fritz.box" etc. auflösen zu können, kann man die Google-DNS-Server natürlich auch im WLAN nutzen.
Ich nutze aber stattdessen zusätzlich noch DNS Changer Root um je nach aktuellem WLAN automatisch bestimmte DNS-Einstellungen zu nutzen. In meinem Heimnetz oder dem von Freunden ist das ganz normal die jeweilige Fritz!Box als DNS-Server/-Proxy (Also kein override durch DNS Changer Root, aber in WLANs mit IPv6-untauglichen DNS-Servern kann ich dann auch automatisch die Google-DNS-Server aktivieren lassen, indem ich die jeweilige SSID des WLAN in die Auto-Apply-Liste für die Google-DNS-Server eintrage.

 

[Titus]

Geilomat. Was es nicht alles gibt.

Auf die Fritzbox komme ich mittlerweile. Geändert habe ich nix. Einmal die Fritzbox-Internetverbindung raus- und wieder reingenommen. Weiter geht's allerdings noch nicht.

Kann das auch mit der mangelhaften Namensauflösung zusammenhängen? Eigentlich doch nicht, oder? Ich will doch nur noch auf eine Subdomain meiner Fritzbox, oder?

 

[SpaceRat]

Auf die Fritzbox komme ich mittlerweile. Geändert habe ich nix. Einmal die Fritzbox-Internetverbindung raus- und wieder reingenommen. Weiter geht's allerdings noch nicht.
Kann das auch mit der mangelhaften Namensauflösung zusammenhängen? Eigentlich doch nicht, oder? Ich will doch nur noch auf eine Subdomain meiner Fritzbox, oder?

Kann schon.
Wenn Dein Smartphone einen DNS-Cache hat, dann merkt es sich die aufgelösten IP-Adressen für eine gewisse - bei solchen DynDNS-Hosts aber eher kurz - Zeit.

Ich beobachte aber auch vereinzelt, daß MyFritz! vergißt, daß Gerät x eine IPv6 hat und diese daher nicht mit ins MyFritz!-Update einbezieht.

Was kommt denn raus, wenn Du mal einfach nur mit nslookup auf Hostnames auflöst, also z.B.

C:\>nslookup abcdefghijklmnop.myfritz.net
...
Name: abcdefghijklmnop.myfritz.net
Addresses: 2a02:908:fc20:::2
C:\>nslookup nas.abcdefghijklmnop.myfritz.net
...
Name: nas.abcdefghijklmnop.myfritz.net
Addresses: 2a02:908:ff00::abcd:12ff:fe34:ef01

Wobei Du die Hostnames natürlich durch die bei/von Dir verwendeten ersetzen mußt und natürlich auch nicht diese IPv6-Adressen rauskommen werden.

 

[Titus]

Danke für den Tipp mit dem DNS. Das macht schon was, wenn auc nicht das Gewünschte dabei herauskommt:

So sieht's aus, wenn ich den standardmäßigen DNS nehme:

<i>
</i>C:\Users\Marco>nslookup pemxxxxxxxxxxxxxx.myfritz.net
DNS request timed out. timeout was 2 seconds.
Server: UnKnown
Address: fd00::2665:11ff:fe03:df7a
DNS request timed out. timeout was 2 seconds.
DNS request timed out. timeout was 2 seconds.
DNS request timed out. timeout was 2 seconds.
DNS request timed out. timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.

Wundert mich ein wenig, da ich auf die FB ja drauf komme.

Das liefert googles DNS:

<i>
</i>C:\Users\Marco>nslookup pemxxxxxxxxxxxxxx.myfritz.net
Server: google-public-dns-a.google.com
Address: 2001:4860:4860::8888
Name: pemxxxxxxxxxxxxxx.myfritz.net
Address: 2a02:908:ec00:2:xxxx:xxxx:xxxx:xxxx

Sieht schon besser aus, NAS wird auch gefunden:

<i>
</i>C:\Users\Marco>nslookup ds.pemxxxxxxxxxxxxxx.myfritz.net
Server: google-public-dns-a.google.com
Address: 2001:4860:4860::8888
Name: ds.pemxxxxxxxxxxxxxx.myfritz.net
Address: 2a02:908:ec24:4880:xxxx:xxxx:xxxx:xxxx

Wenn ich dann aber versuche, mit Chrome auf die Büchse zu kommen, ist Ende der Fahnenstange. Wobe ich den Fehler jetzt irgendwoanders vermute, da ich zwischendurch mal 'ne Connection-Refused-Fehler hatte. Das heißt doch eigentlich, dass das NAS gefunden wurde, dieses nur nicht mitspielen wollte.


Bin ich eigentlich paranoid, weil ich die IP-Adressen ausge-x-t habe?

 

[SpaceRat]

Du hast 1x Deine echte MyFritz!-Adresse drin gelassen ... angesichts der aktuellen Sicherheitslage: Raus damit (extra nicht gequotet).

 

[Titus]

Danke!

 

[SpaceRat]

Danke für den Tipp mit dem DNS. Das macht schon was, wenn auc nicht das Gewünschte dabei herauskommt:

So sieht's aus, wenn ich den standardmäßigen DNS nehme:
DNS request timed out.

Wundert mich ein wenig, da ich auf die FB ja drauf komme.

Das liefert googles DNS:
Name: pemxxxxxxxxxxxxxx.myfritz.net
Address: 2a02:908:ec00:2:xxxx:xxxx:xxxx:xxxx

Sieht schon besser aus, NAS wird auch gefunden:
Name: ds.pemxxxxxxxxxxxxxx.myfritz.net
Address: 2a02:908:ec24:4880:xxxx:xxxx:xxxx:xxxx

An welchem Anschluß hast Du das ausprobiert?

Diese timeouts sind eigentlich typisch für die verkackten UM-DNS-Server, aber wieso solltest Du das lokal ausprobieren?

Wenn ich dann aber versuche, mit Chrome auf die Büchse zu kommen, ist Ende der Fahnenstange. Wobe ich den Fehler jetzt irgendwoanders vermute, da ich zwischendurch mal 'ne Connection-Refused-Fehler hatte. Das heißt doch eigentlich, dass das NAS gefunden wurde, dieses nur nicht mitspielen wollte.

Chrome hält teilweise extrem hartnäckig an falschen DNS-Rückmeldungen fest, selbst wenn man den Namensauflösungscache längst mit "ipconfig /flushdns" geleert und mit nslookup ein korrektes Ergebnis erhält.
Nimm zum Testen mal Firefox oder gar Internet Explorer (sic!)

Bin ich eigentlich paranoid, weil ich die IP-Adressen ausge-x-t habe?

Ein bißchen.

 

[Titus]

An welchem Anschluß hast Du das ausprobiert?

Diese timeouts sind eigentlich typisch für die verkackten UM-DNS-Server, aber wieso solltest Du das lokal ausprobieren?

Das war über den VF-Anschluss und dann Aiccu. Das liefer über's Kabel und dann die TCP-Einstellungen für IPv6. Lokal? Habe ich was von lokal geschrieben oder was lokal gemacht?

Chrome hält teilweise extrem hartnäckig an falschen DNS-Rückmeldungen fest, selbst wenn man den Namensauflösungscache längst mit "ipconfig /flushdns" geleert und mit nslookup ein korrektes Ergebnis erhält.
Nimm zum Testen mal Firefox oder gar Internet Explorer (sic!)

Ok. Bin ich gestern nicht mehr zu gekommen, war schon zu müde :schnarch:
Ich hatte zwischenzeitlich auch mal den Verdacht, dass die Ayiya-Verbindung nicht immer sauber aufgebaut oder getrennt wird.

Bin ich eigentlich paranoid, weil ich die IP-Adressen ausge-x-t habe?

Ein bißchen.

:glück:

 

[SpaceRat]

An welchem Anschluß hast Du das ausprobiert?

Das war über den VF-Anschluss und dann Aiccu. Das liefer über's Kabel und dann die TCP-Einstellungen für IPv6.

Ok.
Läuft an dem VF-Anschluß etwa die Standard-Easybox oder warum nutzt Du aiccu?

Lokal? Habe ich was von lokal geschrieben oder was lokal gemacht?

Es schien mir nur in einem Anflug geistiger Umnachtung so.

Chrome hält teilweise extrem hartnäckig an falschen DNS-Rückmeldungen fest, selbst wenn man den Namensauflösungscache längst mit "ipconfig /flushdns" geleert und mit nslookup ein korrektes Ergebnis erhält.
Nimm zum Testen mal Firefox oder gar Internet Explorer (sic!)

Ok. Bin ich gestern nicht mehr zu gekommen, war schon zu müde :schnarch:
Ich hatte zwischenzeitlich auch mal den Verdacht, dass die Ayiya-Verbindung nicht immer sauber aufgebaut oder getrennt wird.

Eher unwahrscheinlich.

Was aiccu aber macht:
1. Es vergißt das Löschen der von ihm manuell gesetzten IPv6-Default-Route durch den SixXS-Tunnel. Das Gerät versucht dann auch nach Abbau des Tunnels (z.B. nach dem Umklemmen ins UM-LAN) immer noch, IPv6 durch den Tunnel zu senden.
2. Wenn auf dem Rechner auch VMWare oder andere Virtualisierungssoftware installiert ist, dann kann es sein, daß deren virtuelle Netzwerkschnittstellen eine höher priorisierte Metrik haben als das Tunnel-Interface. D.h. der Rechner versucht dann, trotz aufgebautem Tunnel, Pakete in dieses virtuelle Netz zu senden. Zu diesem Probleme, siehe hier.

Daher auch meine Frage danach, wieso Du aiccu direkt auf dem PC nutzt.
Wenn es irgendwie geht, dann würde ich den SixXS- oder 6in4-Tunnel immer direkt auf dem Router einrichten. Bei einer Fritz!Box ist das mit einem SixXS-Heartbeat-Tunnel absolut schmerzlos, bei diversen anderen Routern kann man zumindest einen 6in4-Tunnel (tunnelbroker.net) einrichten, welcher etwas aufwendiger ist, weil man auch noch einen dazugehörigen DynDNS-Dienst einrichten muß, aber dann auch einfach läuft.
Bei dieser Variante hat dann an diesem Anschluß fortan jedes (IPv6-taugliche) Gerät eine IPv6-Adresse, d.h. der Anschluß verhält sich wie ein normaler "Dual Stack"-Anschluß es auch täte, ohne weitere Verrenkungen auf den Geräten.

 

[Titus]

Ok.
Läuft an dem VF-Anschluß etwa die Standard-Easybox oder warum nutzt Du aiccu?

Etwa ja. Der Anschluss wird ja normalerweise nur zum Telefonieren benutzt. Jetzt nutze ich die Gelegenheit, einen zweiten Zugang zu haben, um zu Testen, ob ich eben von draußen reinkomme. Der Ablauf sieht dann immer so aus: FB übers WLAN für extern freigeben, WLAN am Rechner aus, Kabel rein, Aiccu an, externen Zugang probieren, Aiccu wieder aus, Kabel raus, WLAN wieder an.

Eher unwahrscheinlich.

Ok, dann war's wahrscheinlich ein anderer Effekt.
Irgendwas virtuelles ist nicht auf der Büchse.

Daher auch meine Frage danach, wieso Du aiccu direkt auf dem PC nutzt.
Wenn es irgendwie geht, dann würde ich den SixXS- oder 6in4-Tunnel immer direkt auf dem Router einrichten. Bei einer Fritz!Box ist das mit einem SixXS-Heartbeat-Tunnel absolut schmerzlos, bei diversen anderen Routern kann man zumindest einen 6in4-Tunnel (tunnelbroker.net) einrichten, welcher etwas aufwendiger ist, weil man auch noch einen dazugehörigen DynDNS-Dienst einrichten muß, aber dann auch einfach läuft.
Bei dieser Variante hat dann an diesem Anschluß fortan jedes (IPv6-taugliche) Gerät eine IPv6-Adresse, d.h. der Anschluß verhält sich wie ein normaler "Dual Stack"-Anschluß es auch täte, ohne weitere Verrenkungen auf den Geräten.

Die Frage ist recht einfach zu beantworten:
Für den Zugang über die FB brauche ich das ja später gar nicht mehr, da die ja IPv6 kann. Das nutze ich jetzt nur temporär für den Zugang über den VF-Zugang, später dann nur noch auf dem Handy bis ich dann eine feste-ip.net-Adresse eingerichtet habe. Den Zugang werde ich mir vermutlich gönnen, da es einzig und allein um einen Zugang geht und das das IMHO der unkomplizierteste Weg ist. Früher oder später werde ich dann einen UM-Business-Vertrag anstreben. Spätetens im nächsten Jahr brauchen wir eh eine zweite Rufnummer. Ursprünglich wollte ich da das nächstegrößere "Normal"-Paket nehmen, unter den gegebenen Umständen scheint mir Business aber sinnvoller. Zumal es dann auch noch ein paar € preiswerter ist.

Btw: Mein kleiner Sohn, 7 Jahre, kam gestern ins Zimmer marschiert als ich gerade an einer Antwort schrieb, zeigte auf deinen Avatar und fragte, was das denn sei....

 

[SpaceRat]

Der Ablauf sieht dann immer so aus: FB übers WLAN für extern freigeben, WLAN am Rechner aus, Kabel rein, Aiccu an, externen Zugang probieren, Aiccu wieder aus, Kabel raus, WLAN wieder an.

Mit "Kabel rein" meinst Du eines am Vaderphone-Zugang?
Das geht so, wenn man alles richtig macht, ist aber natürlich arg aufwendig.

Für den Zugang über die FB brauche ich das ja später gar nicht mehr, da die ja IPv6 kann.

Ich meine ja auch eine ggf. am VF-Zugang vorhandene Fritz!Box.
Oder eben einen D-Link oder Asus, welche auch je nach Modell 6in4-Tunnel können.
Mit einer Easybox geht's allerdings tatsächlich nicht.

Btw: Mein kleiner Sohn, 7 Jahre, kam gestern ins Zimmer marschiert als ich gerade an einer Antwort schrieb, zeigte auf deinen Avatar und fragte, was das denn sei....

Tsts, gerade aus der Hand gelegt und aus dem Mund genommen hat er schon vergessen, was das war ... diese Jugend von heute. Juveniler Alzheimer ...
Aber das kommt wieder, glaub mir

 

[Titus]

Mit "Kabel rein" meinst Du eines am Vaderphone-Zugang?

Jepp. Hätte ich noch ergänzen können.

Das geht so, wenn man alles richtig macht, ist aber natürlich arg aufwendig.

Ist ja auch nur zu Testzwecken, um wieder festzustellen, dass nix geht. Aus dem UM-Netz erscheint mir das nicht sinnvoll, da ich mit demselben Prefix anspaziert komme und ich mich ja dann quasi im selben lokalen Netz befinde. Oder denke ich da falsch?

Ich meine ja auch eine ggf. am VF-Zugang vorhandene Fritz!Box.
Oder eben einen D-Link oder Asus, welche auch je nach Modell 6in4-Tunnel können.
Mit einer Easybox geht's allerdings tatsächlich nicht.

Bis vor Kurzem war da noch eine Kombination aus Arcor-Starterbox mit nachgeschaltetem DSL-Modem und anschließend dem WLAN-Router. Da ist das doch jetzt geradezu himmlisch. Wie gesagt, der Zugang wird normalerweise nur für's Telefonieren vom Homeoffice-Platz genutzt. Zahlt die Firma. Sinnvoller wäre sicherlich, wenn ich mich mit der Firma darauf einigen könnte, dass sie sich mit ein paar € an meinem Anschluss für die Handytelefonate beteiligen, aber das ist in großen Firmen immer so 'ne Sache. So habe ich immer noch eine redundante Leitung, wenn der UM-Anschluss mal lahmliegt. Im letzten Jahr war das mal eine Woche lang!

Tsts, gerade aus der Hand gelegt und aus dem Mund genommen hat er schon vergessen, was das war ... diese Jugend von heute. Juveniler Alzheimer ...
Aber das kommt wieder, glaub mir

Ich hoffe doch mal sehr, dass er und sie damit nicht Touchscreens bedienen. Touchen schon...

 

[SpaceRat]

Das geht so, wenn man alles richtig macht, ist aber natürlich arg aufwendig.

Ist ja auch nur zu Testzwecken, um wieder festzustellen, dass nix geht. Aus dem UM-Netz erscheint mir das nicht sinnvoll, da ich mit demselben Prefix anspaziert komme und ich mich ja dann quasi im selben lokalen Netz befinde. Oder denke ich da falsch?

Ne, da denkst Du richtig.

Wenn Du lokal (Also am UM-Anschluß) mit der myfritz-Adresse auf den Router und die Fritz!Box kommst, dann hast Du sichergestellt:
- daß der MyFritz!-Dienst funktioniert (Denn anders als bei ds.fritz.box kommt da keine lokale IPv4 raus, auf die man zurückfallen könnte)
- daß IPv6 auf dem Zielgerät funktioniert (s.o., also muß die Verbindung über IPv6 laufen)
nicht aber
- daß der Zugriff von außen funktioniert, denn der Zugriff auf diese öffentliche IPv6-Adresse geht dann - da selbes Subnet - trotzdem an der Firewall der Fritz!Box vorbei, bleibt also im LAN

Die beiden ersten Punkte würde ich also zuerst einmal lokal sicherstellen. Vorher brauchst Du es von extern gar nicht ausprobieren.

Von extern kommt der Punkt, daß Du dort zwei Probleme hast:
1. Du weißt nicht sicher, ob Du bei der IPv6-Freigabe alles richtig gemacht hast
allerdings
2. Weißt Du auch nicht, ob der IPv6-Zugang auf dem externen Client richtig funktioniert.

Den 2. Punkt würde ich als erstes klären, denn vorher weißt Du ja nicht, ob Zugriffsprobleme am IPv6-Zugang auf dem VF-Anschluß oder am Zielnetz bei UM liegen.
Je umständlicher Du am VF-Anschluß den IPv6-Zugang regelst, umso mehr zusätzliche Fehlerquellen hast Du.

Stelle also am VF-Anschluß erst einmal sicher, daß dort IPv6 reibungslos funktioniert:
1. Installiere Dir dieses Firefox-Addon und/oder diese Chrome-Extension. Damit siehst Du an prominenter Stelle in der Adressleiste des Browser, ob Du auf eine Seite per IPv6 oder per IPv4 zugreifst.
2. Führe diesen Test aus, um sicherzustellen, daß Du auch am Vodafone-Anschluß 10/10 Punkten für die Kompatibilität mit IPv6 erhältst.
3. Öffne diese Seite um zu prüfen, ob die Schildkröte tanzt. Ruft man kame.net per IPv4 auf, ist die Schildkröte nicht animiert, per IPv6 ist sie animiert.
4. Besuche facebook.com, YouTube, Google, usw. usf. und achte auf die Adressleiste: Steht dort 6 oder 4 (Siehe Punkt 1)?

Erst wenn die Antworten
1. erledigt
2. 10/10
3. animiert
4. 6
lauten, lohnt sich ein Test mit Deinen eigenen Zielgeräten.

Momentan gibt es zusätzlich das Problem, daß Unitymedia mit dem Ausrollen des Sicherheitsupdates für die Fritz!Boxen hinterherhinkt und stattdessen mit Workarounds rumhantiert (Die schalten z.B. automatisch den Fritz!Box-Fernzugang wieder ab). Auch das kann natürlich Deine Tests stören.

 

[Titus]

Cool. Danke werde ich mir mal zu Gemüte führen. :super: