Unitymedia IPv6-Problematik mal andersrum - VON IPv4 ZU IPv6 FTP

[EVA-01]

Hi,

an die IPv6-Profis mal folgende Frage:

Ich hab im Heimnetzwerk ein IPv6-fähiges Endgerät (NAS) mit FTP-Server. IM Heimnetz kann ich auch per IPv6 eine FTP-Verbindung zu dem Teil herstellen. Ob das auch von außerhalb geht weiß ich primär erst mal nicht da mir ein zweiter IPv6-Anschluss zum Testen fehlt...
Aber eines krieg ich derzeit auf jeden Fall nicht hin: Per IPv4 über's Internet auf den IPv6 FTP zugreifen. Der Port 21 ist in der Fritzbox für die Interface-ID des NAS freigegeben und auch offen (subnetonline IPv6 Portscan).

Gibt's ne Möglichkeit, mit einer IPv4 zu einem IPv6-FTP zu connecten? Ich dachte eigentlich, dafür gibt's Tunnelbroker wie Teredo die schon automatisch von Windows benutzt werden. Irgendeine Idee?


P.S.
Nur noch mal generell: Das ist NICHT das übliche DS-Lite-NAT-Problem. Ich will ja gar nicht zu einer IPv4 connecten. Bevor jetzt wer mit dem Holzhammer "Portweiterleitung bei DS-Lite ist nicht" ankommt.

 

[Knifte]

Sind denn alle deine Gerät im Heimnetz IPv6-fähig?

Wenn dein Modem per IPv6 mit dem Internet verbunden ist und dahinter dann noch ein Router hängt, der bspw. kein IPv6 beherrscht, dann wird das wohl nicht funktionieren.

Mit welcher IPv6-Adresse versuchst du denn dein NAS anzusprechen? Soweit ich das bisher verstanden habe bekommt ja jedes IPv6-fähige Gerät eine öffentlich zugängliche IPv6-Adresse, die sich aus deinem öffentlichen Präfix und der geräteeigenen Adresse zusammensetzt. Portweiterleitung etc. müsste dann ja eigentlich gar nicht mehr erforderlich sein, das ja das Gerät in deinem Netzwerk direkt angesprochen wird und nicht wie bei IPv4 dein Router, der dann über die Portweiterleitungsregeln erkennen muss, an welches Gerät der eingehende Traffic denn adressiert ist.

 

[EVA-01]

Sind denn alle deine Gerät im Heimnetz IPv6-fähig?

Ja (Fritzbox 6320, Netgear GS108 ProSafe, Zyxel NSA320). Da sind noch andere Geräte die kein IPv6 können, aber die haben ja mit dieser spezifischen Verbindung nichts mehr zu schaffen. Und das Zyxel hat auch eine IPv6.

Mit welcher IPv6-Adresse versuchst du denn dein NAS anzusprechen? Soweit ich das bisher verstanden habe bekommt ja jedes IPv6-fähige Gerät eine öffentlich zugängliche IPv6-Adresse, die sich aus deinem öffentlichen Präfix und der geräteeigenen Adresse zusammensetzt. Portweiterleitung etc. müsste dann ja eigentlich gar nicht mehr erforderlich sein, das ja das Gerät in deinem Netzwerk direkt angesprochen wird und nicht wie bei IPv4 dein Router, der dann über die Portweiterleitungsregeln erkennen muss, an welches Gerät der eingehende Traffic denn adressiert ist.

Die IPv6, die mir im Konfigmenü vom NSA320 angezeigt wird. Afaik ist das ja normalerweise das IPv6-Präfix plus Interface-ID. Wie gesagt, wenn ich hier diese IPv6 auf Port 21 scanne, bekomme ich eine positive Rückmeldung. D.h. subnetonline kommt auf jeden Fall bis zum NAS durch. Über IPv6! Nehme ich zur Überprüfung nen anderen Port, ist der logischerweise dicht (so wie's auch sein sollte).
Bei IPv6 brauchst du keine Portweiterleitung mehr. Aber der Traffic muss dennoch durch den Router. Und der Router fungiert als Firewall, damit nicht bei jedem deiner Geräte Tag der offenen Tür ist. Daher muss man im Router noch für die jeweilige Interface-ID den gewünschten Port in der Firewall aufmachen. Bei der Fritze geht das. Soweit ich das mitgekriegt hab, ist das bei dem TC ja eben nicht möglich (entweder komplett dicht oder komplett offen).

Wie finde ich überhaupt eine Auflistung aller IPv6 im Netzwerk? arp -a liefert mir ja erst mal nur die IPv4 im Subnetz zurück. Und die Fritze zeigt aus unerfindlichen Gründen auch nur IPv4 in der Netzwerkübersicht an.

 

[josen]

Wie finde ich überhaupt eine Auflistung aller IPv6 im Netzwerk? arp -a liefert mir ja erst mal nur die IPv4 im Subnetz zurück. Und die Fritze zeigt aus unerfindlichen Gründen auch nur IPv4 in der Netzwerkübersicht an.

<i>
</i>ip -6 neigh

Und gegebenfalls apt-get install iproute oder ähnliches.

Grüße

 

[EVA-01]

Na ja, unter Windows, nicht Linux... ^^

 

[josen]

Na ja, unter Windows, nicht Linux... ^^

<i>
</i>netsh
interface ipv6
show neighbors

(Quelle)


Grüße

 

[SpaceRat]

Ich hab im Heimnetzwerk ein IPv6-fähiges Endgerät (NAS) mit FTP-Server. IM Heimnetz kann ich auch per IPv6 eine FTP-Verbindung zu dem Teil herstellen. Ob das auch von außerhalb geht weiß ich primär erst mal nicht da mir ein zweiter IPv6-Anschluss zum Testen fehlt...

Ist ja schnell geändert: SixXS

Aber eines krieg ich derzeit auf jeden Fall nicht hin: Per IPv4 über's Internet auf den IPv6 FTP zugreifen. Der Port 21 ist in der Fritzbox für die Interface-ID des NAS freigegeben und auch offen (subnetonline IPv6 Portscan).
Gibt's ne Möglichkeit, mit einer IPv4 zu einem IPv6-FTP zu connecten? Ich dachte eigentlich, dafür gibt's Tunnelbroker wie Teredo die schon automatisch von Windows benutzt werden. Irgendeine Idee?

FTP ist das denkbar ungeeignetste Protokoll, um damit erste Gehversuche zu machen

Man muß nämlich noch unterscheiden zwischen aktivem FTP und passivem FTP:
Beim aktiven FTP initiiert der Client eine Verbindung von seinem Port N (TCP Port > 1024) zum FTP Control Port (TCP Port 21), der Server initiiert für Dateitransfers dann eine Verbindung von seiner Seite aus über seinen Datenport (TCP Port 20) an den Port N+1 des Client-Rechners.
Port 20 serverseitig können wir bei unserer SOHO-Hardware vernachlässigen, da ist ConnTrack voreingestellt, die ACK-Pakete des/der Client(s) kommen also auch ohne explizite Freigabe wieder beim Server an. Problematischer ist aber, daß der Client selber ebenfalls Portfreigaben braucht um mit aktivem FTP umgehen zu können, nämlich im Idealfall einen ganzen Port-Bereich.
Aktives FTP spielt von daher für öffentlich erreichbare FTP-Server keine große Rolle, da der Konfigurationsaufwand auf der Client-Seite im Endeffekt höher ist als auf der Server-Seite. Und von DS-lite-Anschlüssen wäre zu IPv4-FTP-Servern aktives FTP gar nicht möglich, da der Client gar keine Ports öffentlich erreichbar machen kann.

Beim passiven FTP gehen beide Verbindungen vom Client aus und sind damit auch ohne clientseitige Portfreigaben möglich. Der Client kontaktiert den Server über den FTP Control Port (TCP Port 21) und teilt dem Server mit, daß er passives FTP wünscht (Kommando PASV). Daraufhin öffnet der Server einen Datenport für diese Verbindung (TCP Port > 1024) und teilt dem Client die Port-Nummer mit. Der Client kann dann seinerseits eine Verbindung zu diesem Datenport aufnehmen.
Da der Konfigurationsaufwand hierfür clientseitig Null ist und passives FTP somit auch durch NAT und per DS-lite funktioniert, ist das die übliche Art und Weise für FTP-Verbindungen.
Daraus folgt aber auch, daß wir beim Server mehr konfigurieren müssen:
Am Server müssen theoretisch alle Ports > 1024 von außen erreichbar sein, da sich der FTP-Server ja für einen x-beliebigen Port für die eingehende Verbindung entscheiden kann. Um das zu vermeiden, kann man in der Konfiguration des FTP-Servers aber i.d.R. eine Port-Range einstellen, auf die sich der FTP-Server bei den Datenports beschränken soll. Diese Port-Range muß dann aber trotzdem noch in der Firewall des Servers geöffnet werden.

Hier kann man den ganzen Schwachfug auch nochmal nachlesen: http://www.alenfelder.com/Informatik/pass-akt-ftp.html

Damit aber noch nicht genug:
FTP ist als Protokoll aus den Anfangstagen des Internets auch rotzeschlecht gemacht. Diese ganzen Relikte aus den Urzeiten des ARPA-Nets sind unsicher, weil für den Gebrauch in einer Art Intranet konzipiert. FTP überträgt, so wie Telnet oder nacktes POP3 auch, die Credentials (Login+Passwort) und die Payload (Nutzdaten) unverschlüsselt. Beim Ur-SMTP hat man sich den Login gleich ganz gespart (Bis heute kann eigentlich noch jeder E-Mail-Client "POP vor SMTP", um über den POP3-Login wenigstens etwas Sicherheit zu haben, daß der nachfolgende SMTP-Connect von derselben IP auch berechtigt ist).
Verschlüsselung gibt es zwar inzwischen über TLS (Transport-Layer-Security, also Sicherheit innerhalb der Transportschicht) auch bei diesen Protokollen, allerdings muß man eben aufpassen, daß man sie auch nutzt bzw. serverseitig erforderlich macht und unverschlüsselte Verbindungen unterbindet.

Bei FTP kommen aber noch zwei Schmankerl hinzu. Der FTP-Support in Browsern (Chrome, K0tzzilla Crashfox, Internepp Exploder) beschränkt sich - zumindest ohne Erweiterungen - in der Regel auf unverschlüsseltes FTP. Macht man seinen FTP-Server also sicher, dann kommt man um einen richtigen FTP-Client wie FileZilla nicht herum. Zudem ist die Definition des FTP-Protokolls so grottig, würde man die heute als Fachinformatiker abliefern, wäre man arbeitslos. Bei FTP wird nämlich regelmäßig auch die IP mit übertragen. Wenn der Server also z.B. dem Client mitteilt, welchen Port er ihm als Datenport zugewiesen hat, dann schickt er eben nicht nur die Port-Nummer, sondern auch seine IP ...
Damit haben wir eine zusätzliche Fehlerquelle, denn wenn der FTP-Server dem Client seine ULA statt der öffentlichen IPv6 mitteilt und der Client die übertragene IP nicht einfach ignoriert, dann ist ein Verbindungsaufbau von außen zum Scheitern verurteilt.

In dieses Chaos dann auch noch Teredo/Miredo mit reinzubringen grenzt da schon an Größenwahn.

Mit anderen Worten: Versuch Dich erst einmal an einem Web-Server ...

 

[EVA-01]

Am Server müssen theoretisch alle Ports > 1024 von außen erreichbar sein, da sich der FTP-Server ja für einen x-beliebigen Port für die eingehende Verbindung entscheiden kann. Um das zu vermeiden, kann man in der Konfiguration des FTP-Servers aber i.d.R. eine Port-Range einstellen, auf die sich der FTP-Server bei den Datenports beschränken soll. Diese Port-Range muß dann aber trotzdem noch in der Firewall des Servers geöffnet werden.

Hm, ist das immer so? Ich hab erst vor kurzem bei meinen Eltern (VDSL IPv4) einen FTP eingerichtet. Dort musste ich in der Fritze 7390 nur den 21er freigeben, und es funktionierte. Lässt das die Fritze dann automatisch durch wenn vorher schon was über Port 21 kam?

Davon mal abgesehen hab ich in meinem NAS 20 Ports >1024 voreingestellt (für bis zu 10 Verbindungen) und in der Fritze (6320) diese 20 Ports für die IPv6 des NAS auch freigegeben.

Bei FTP kommen aber noch zwei Schmankerl hinzu. Der FTP-Support in Browsern (Chrome, K0tzzilla Crashfox, Internepp Exploder) beschränkt sich - zumindest ohne Erweiterungen - in der Regel auf unverschlüsseltes FTP. Macht man seinen FTP-Server also sicher, dann kommt man um einen richtigen FTP-Client wie FileZilla nicht herum.

Also eigentlich hatte ich schon vor, Filezilla zu nutzen. Ich bin mir nur gerade nicht sicher ob mein NAS überhaupt verschlüsseltes FTP kann (ist ein Zyxel NSA320). Ich hab da zumindest keine Einstellung im Menü gefunden... :

Mit anderen Worten: Versuch Dich erst einmal an einem Web-Server ...

Ich brauch aber keinen Webserver... oder? Kann ich da auch Daten rauf und runter laden?

Davon mal abgesehen: D.h. das FTP-Protokoll ist zu primitiv für unser modernes IPv6? Das ist doch irgendwie bescheuert. FTP wird doch immer und überall gebraucht. oO

Ist ja schnell geändert: SixXS

Ich hab mir sowohl einen SixXs wie auch einen Hurricane Electric Account geholt. SixXs schreckt mich erst mal wegen des komischen Creditsystems ab. Jetzt hab ich aber gelesen, dass die Fritzen angeblich schon 6to4 eingebaut hätten. D.h. bei meinen Eltern könnte ich theoretisch die 7390 so konfigurieren, dass die selber schon zusätzlich zur IPv4 einen IPv6 Tunnel aufmacht. Kannst du dazu was sagen...?

 

[SpaceRat]

Poah, ich krieg die Krätze, der ganze Beitrag im Sack, weil dieses T(/&$(/% Forum wahlweise rumnervt, daß ich pro Stunde nur einen Beitrag schreiben darf oder einen MySQL-Server-Fehler ausspuckt.

Das NERVT.

Daher nur die Ultrakurzfassung:

Wieso der FTP-Server ging, weiß ich nicht.
Vielleicht war's ja aktiv oder der Server hat sich selber Ports für passives FTP freigebohrt.
Natürlich kann man auch per IPv6 einen Server betreiben

HTTP Uploads gibt es aber auch. Sonst hätte Fatzebuck weniger Katzenfotos.

Meine Idee war aber nicht, ganz auf den FTP-Server zu verzichten, sondern nur mit etwas leichter Einzurichtendem anzufangen.

Ja, die Fritz!Box kann IPv6, so wie mein Audi mit LPG fahren kann. Ich muß den Audi aber dennoch betanken, sonst nutzt die Gasanlage nix.

An einem Drosselkom-AllIP-Anschluß kannst Du die Fritz!Box auf der Seite Zugangsdaten -> IPv6 für IPv6 aktivieren, eine der Einstellungen "Immer eine native IPv4-Anbindung" oder "Immer eine native IPv6-Anbindung" sollte vollwertigen DualStack (Kein DS-lite und kein Tunnel) ergeben,
ISDN/Analog-Anschlüsse der Drosselkom sind allerdings IPv4-only, da mußt Du schon einen Tunnel einrichten, von alleine kommt die Fritte nicht an IPv6.

 

[EVA-01]

Meine Eltern sind bei nem Mini-Anbieter... also nix mit T-Com.

http://www.uewag.de/breitband/prinzip-breitband

Aktuell ist da auch nur eine IPv4 aktiv. Ich denke, dass ich dort nen Tunnel werde nehmen müssen.

Edit: Ich hab gerade einfach mal bei dem Anbieter angerufen und gefragt. Die Technik-Abteilung am anderen Ende war etwas verwirrt angesichts meiner Anfrage. Aber nicht in dem Sinne, dass die nicht wussten was ich wollte. "Ja schalten sie's doch einfach an." "Äh, hä? Wie, anschalten?" "Ja, das ist bei uns alles aktiviert. *leicht gekränkt* IPv6 kommt für uns nicht aus heiterem Himmel, müssen Sie wissen." "Ja, also... soll ich einfach nur in der Fritze IPv6 aktivieren und dann krieg ich meine IPv6?" "Jupp." "Kaaaayyyy..."

Webserver ist so eine Sache. Das Ding muss ja auf dem NAS laufen. Der FTP-Client ist schon vorinstalliert. Webserver afaik nicht. D.h. ich müsste mich dann mit Linux und Zusatzpaketen und was auch immer auseinandersetzen. Ich glaub nicht, dass das leichter einzurichten wäre wenn man von null aus anfängt. ^^;

Wie gesagt - der FTP funktioniert über IPv6 (Hinterm Router halt... von vorne dran konnte ich's, wie gesagt, noch nicht testen). Von daher ist das Ding ja effektiv schon eingerichtet. Wenn das mit dem IPv6 in der Fritze aktivieren funktioniert, werd ich das aber heute abend testen können.

 

[EVA-01]

So, Problem gelöst. Teilweise.

Man kommt auf meinen FTP wenn man eine IPv6 hat oder eben einen IPv6-Tunnel. Mit IPv4 ist logischerweise nichts... hätte ich mir auch denken können. Aber DynDns funzt netterweise auch dank AVM!

Zuerst mal hab ich mir unter "Heimnetz" das NSA als Gerät hinzugefügt. Die MAC-Adresse musste ich manuell nachtragen.

Dann hab ich unter Internet bei MyFritz eine neue Freigabe eingerichtet, und zwar FTP auf das NAS. Unter "Freigaben" waren nun bei Portfreigaben und bei IPv6 zwei neue Freigaben eingerichtet worden, eine für IPv4 (sinnlos) und eine für IPv6! Die interessante war die bei IPv6. Die hatte den Namen MyFRITZ-:NSAInterfaceID) und ging auf (NSAInterfaceID). Anfangs nur Port 21, das hab ich dann um eine Port-Range der in der NSA konfigurierten Transfer-Ports erweitert.
Ein subnetonline IPv6-Portscan auf Port 21 bei der IPv6 des NSA ergab auch: Port offen! (Nur die FTP-URL funzte aus unerfindlichen Gründen nicht...)
Aber dennoch können andere nun, wenn sie die FTP-URL von MyFritz in ihrem FTP-Programm eingeben (und selber ne IPv6 haben) über diese AVM-DynDns-URL auf meinen FTP zugreifen!
Und MyFritz wird immer dafür sorgen, dass das aktuelle IPv6-Präfix genommen wird. Zwar ist das kein DynDns-Feature im NAS, aber die Fritze macht effektiv dasselbe, da sie ja jederzeit die MAC und das IPv6-Präfix kennt und dadurch die korrekte IPv6 des NSA zusammenbasteln und updaten kann.

Von daher: Auch mit IPv6 ist man noch erreichbar. Sofern die Gegenstelle auch ne IPv6 hat oder sich die Mühe macht, einen Tunnel zu bauen. Was, sofern eine FritzBox vorhanden ist (Bei Marktanteil >65% eigentlich recht wahrscheinlich), problemlos mit einer kleinen Einstellungen im Menü geht.

 

[SpaceRat]

Ein subnetonline IPv6-Portscan auf Port 21 bei der IPv6 des NSA ergab auch: Port offen! (Nur die FTP-URL funzte aus unerfindlichen Gründen nicht...)

Note: IPv6 support is currently limited to IP notation only, unless the host is reachable only through IPv6. Resolution of multi stack (IPv4 and IPv6) DNS names to IPv6 is under development!

Wenn MyFritz also auch eine (nutzlose) IPv4-Freigabe anlegt und den MyFritz!-Namen zusätzlich zur IPv6 auch mit der CGN-IPv4 "pflegt", dann kann das nicht gehen.

Aber dennoch können andere nun, wenn sie die FTP-URL von MyFritz in ihrem FTP-Programm eingeben (und selber ne IPv6 haben) über diese AVM-DynDns-URL auf meinen FTP zugreifen!
Und MyFritz wird immer dafür sorgen, dass das aktuelle IPv6-Präfix genommen wird. Zwar ist das kein DynDns-Feature im NAS, aber die Fritze macht effektiv dasselbe, da sie ja jederzeit die MAC und das IPv6-Präfix kennt und dadurch die korrekte IPv6 des NSA zusammenbasteln und updaten kann.

Jetzt einfach noch bei afraid.org/FreeDNS einen Host als CNAME auf diese myfritz.net-Adresse angelegt, und man kann sich die Adresse sogar merken

Von daher: Auch mit IPv6 ist man noch erreichbar. Sofern die Gegenstelle auch ne IPv6 hat oder sich die Mühe macht, einen Tunnel zu bauen. Was, sofern eine FritzBox vorhanden ist (Bei Marktanteil >65% eigentlich recht wahrscheinlich), problemlos mit einer kleinen Einstellungen im Menü geht.

Prinzipiell richtig.
Probleme gibt es eigentlich nur, weil manche sie einem machen, z.B. TP-Link mit seinen IPv4-only-Routern, Microsoft mit seiner IPv4-only XBox, usw. usf.
Wenn alle rechtzeitig auf Dual Stack gesetzt hätten, gäbe es heute keine Probleme mehr mit Dual Stack lite.

 

[EVA-01]

Note: IPv6 support is currently limited to IP notation only, unless the host is reachable only through IPv6. Resolution of multi stack (IPv4 and IPv6) DNS names to IPv6 is under development!

Wenn MyFritz also auch eine (nutzlose) IPv4-Freigabe anlegt und den MyFritz!-Namen zusätzlich zur IPv6 auch mit der CGN-IPv4 "pflegt", dann kann das nicht gehen.

Das macht MyFritz nicht. MyFritz macht zwar eine nutzlose IPv4-Portfreigabe, aber offensichtlich keinen Eintrag auf die CGN-IPv4. Eine IPv4-DNS-Abfrage auf die NAS-Subdomain ergibt nichts, eine IPv6-Abfrage gibt aber die korrekte IP. Das Problem saß eher 30 cm vorm Bildschirm (wie so oft). Ich hab bei subnetonline die URL so eingegeben: ftp://nas.blubbs.myfritz.net. Und da kam ein Error zurück. Aber nas.blubbs.myfritz.net (ohne das ftp:// ) funzt und gibt mir auch nen offenen Port, wie bei der IP.

Jetzt einfach noch bei afraid.org/FreeDNS einen Host als CNAME auf diese myfritz.net-Adresse angelegt, und man kann sich die Adresse sogar merken

Cooler Tipp, thx. Das werd ich mal ausprobieren.

 

[SpaceRat]

Das Problem saß eher 30 cm vorm Bildschirm (wie so oft).

Lösung hierzu

Ich hab bei subnetonline die URL so eingegeben: ftp://nas.blubbs.myfritz.net. Und da kam ein Error zurück. Aber nas.blubbs.myfritz.net (ohne das ftp:// ) funzt und gibt mir auch nen offenen Port, wie bei der IP.

Jetzt einfach noch bei afraid.org/FreeDNS einen Host als CNAME auf diese myfritz.net-Adresse angelegt, und man kann sich die Adresse sogar merken

Cooler Tipp, thx. Das werd ich mal ausprobieren.

Aber wiederhol den Fehler nicht, zumindest bei http:// vor der URL macht FreeDNS dann nämlich aus dem CNAME einen Webhop-Redirect ...

 

[EVA-01]

Aber wiederhol den Fehler nicht, zumindest bei http:// vor der URL macht FreeDNS dann nämlich aus dem CNAME einen Webhop-Redirect ...

D.h...?

 

[SpaceRat]

Aber wiederhol den Fehler nicht, zumindest bei http:// vor der URL macht FreeDNS dann nämlich aus dem CNAME einen Webhop-Redirect ...

D.h...?

Na, Du darfst halt bei einem CNAME nur
nas.nbofgbidfbndfnbfg.myfritz.net
eintragen und kein Protokoll davor

 

[EVA-01]

Ah, okay... das hab ich dann wohl instinktiv richtig gemacht. ^^

Die Sache mit MyFritz und so hab ich mir quasi selbst aus der Nase gezogen gestern Abend. Und dann seh ich jetzt heute, dass du EXAKT DASSELBE in deinen IPv6-Tutos beschrieben hast. Arrrg! Da hätte ich mir echt Zeit sparen können.