Unitymedia Noch mal Frage zur IPv6 Weiterleitung des TC7200

[mettwurst]

Hallo,
nachdem ich mich jetzt sehr lange mit der gesamten Thematik befasst habe, wollte ich noch mal kurz eine Frage zum TC7200 stellen.

Aufbau: TC7200 mit Raspberry Pi als kleiner Server. Wegen DS-Lite verwende ich afraid.org als DynDNS-Anbieter mit meiner IPv6 Adresse.

Wie ich schon hier im Forum erfahren habe, kann ich den Raspi von außen erreichen, wenn ich im TC7200 die IPv6 Firewall deaktiviere. Da das ja kein dauerhafter Zustand ist, habe ich noch mal mit der Weiterleitung des TC7200 gespielt und mir ist aufgefallen, dass diese sogar funktioniert, wenn man als lokale IP des Weiterleitungsauftrages (z. B. für Port 21) die IPv6 des Raspis einträgt. Prinzipiell ist das ja schon mal gar nicht so schlecht... Da sich der Präfix dieser IP jedoch ab und an ändert, hatte ich nun die Idee, einfach die Link-Local Adresse des Raspis (anstelle des Präfixes einfach fe80: in der Weiterleitung als lokale IP einzutragen, jedoch kann man dann leider nicht mehr von außen zugreifen. Kann mir jemand erklären, woran das liegt? Theoretisch müsste dem Router doch auch die Link-Local Adresse bekannt sein.

Falls man das so nicht zum Laufen bekommt wäre meine Frage, ob man über das Netzwerk dem TC7200 neue Weiterleitungsaufträge geben kann? Dann könnte man ja per Script einfach prüfen, ob sich der Präfix geändert hat und im TC7200 die IP der Weiterleitung abändern.

Vielen Dank für Eure Hilfe.

 

[Leseratte10]

Für link-Lokale Adressen muss das Interface mit angegeben werden - unter Linux z. B. mit "fe80::1234:5678::12%eth0".
Wie das dem TC beizubringen ist, weiß ich nicht.

Wie genau hast du das eingerichtet? Eine normale (IPv4-)Portweiterleitung von TC auf die IPv6 des Pi?

 

[mettwurst]

Für link-Lokale Adressen muss das Interface mit angegeben werden - unter Linux z. B. mit "fe80::1234:5678::12%eth0".

Habs mal ausprobiert mit dem Zusatz %eth0 bzw. %1, jedoch kam dann jedes Mal die Meldung "Target IP Addresse ist ungültig", das scheint also leider nicht zu funktionieren.

Wie genau hast du das eingerichtet? Eine normale (IPv4-)Portweiterleitung von TC auf die IPv6 des Pi?

Jup, ich habe einfach im TC7200 unter Fortgeschritten -> Weiterleitung (http://192.168.0.1/advanced/forwarding.asp) eine Weiterleitung für Port 21 auf die globale IPv6 des Pi (bestehend auf Präfix + Interface ID) eingerichtet. Ich war selbst total erstaunt, dass das funktioniert. Anscheinend versteht er in diesem Feld nicht nur IPv4 Adressen und wie gesagt, mit der IPv6 Adresse und aktivierter IPv6 Firewall kann ich so trotzdem von außen auf den Pi zugreifen.

 

[Leseratte10]

Und du nutzt für den Zugriff die externe IP des Pi? Oder macht dein TC jetzt auch IPv6-NAT und du nimmst die des TC?

 

[mettwurst]

Und du nutzt für den Zugriff die externe IP des Pi? Oder macht dein TC jetzt auch IPv6-NAT und du nimmst die des TC?

Ich habe bisher die externe IP des Pi genommen (die Adresse, die ich auch in die Weiterleitung eingetragen habe). Wenn ich die des TC nehme, funktioniert es nicht (egal ob fe80:: oder die gesamte externe IP des Pi in die Weiterleitung eingetragen ist). Ich kann es mir bisher nur so erklären: Die IPv6 Firewall blockt erst mal alles weg und wenn eine Anfrage per IPv6 an ein Gerät hinter dem TC kommt, wird verglichen, ob es eine Regel für diesen Port mit übereinstimmender IP gibt. Wie ich festgestellt habe, lassen sich nämlich auch mehrere verschiedene Regeln für den selben Port (mit unterschiedlichen IPv6 Adressen) erstellen. Eigentlich gar nicht so schlecht, allerdings wäre ich eben froh, wenn man das Ganze präfixunabhängig hinbekommt...

Liebe Grüße und schon mal vielen Dank für die bisherigen Antworten :smile:

 

[Leseratte10]

Ist ja schonmal interessant dass das zumindest mit statischem Präfix klappt.

Kann man nicht einfach mit Wireshark oder so mal die Seitenaufrufe im Webinterface loggen und die dann mit wget nachbauen? Dann ließen sich solche Regeln sicher über ein Script anlegen.

Leider (bzw. zum Glück) habe ich kein TC7200 sonst würde ich das schnell ausprobieren.

 

[mettwurst]

Kann man nicht einfach mit Wireshark oder so mal die Seitenaufrufe im Webinterface loggen und die dann mit wget nachbauen

Super Idee... Leider habe ich noch nie mit Wireshark gearbeitet und momentan nicht die Zeit, mich in das Thema einzuarbeiten. Es wäre genial, wenn das mal jemand hier ausprobieren könnte. Ansonsten kümmere ich mich darum, wenn ich mal wieder ein bisschen freie Zeit habe.

EDIT: Ok, es scheint ja doch nicht soo schwer zu sein.. Das Panel des TC7200 ist passwortgeschützt und ich konnte mit Wireshark die Anmeldung abfangen:

267	3.829825000	192.168.0.11	192.168.0.1	HTTP	539	POST /goform/login HTTP/1.1 (application/x-www-form-urlencoded)

Mit dem Inhalt:

0000 58 23 8c 1e 2f 98 28 d2 44 3f 53 b6 08 00 45 00 X#../.(.D?S...E.
0010 02 0d 77 dd 40 00 80 06 ff b0 c0 a8 00 0b c0 a8 ..w.@...........
0020 00 01 dc ce 00 50 fc 0b 96 f6 10 e0 de 3d 50 18 .....P.......=P.
0030 01 00 9e a9 00 00 50 4f 53 54 20 2f 67 6f 66 6f ......POST /gofo
0040 72 6d 2f 6c 6f 67 69 6e 20 48 54 54 50 2f 31 2e rm/login HTTP/1.
0050 31 0d 0a 48 6f 73 74 3a 20 31 39 32 2e 31 36 38 1..Host: 192.168
0060 2e 30 2e 31 0d 0a 55 73 65 72 2d 41 67 65 6e 74 .0.1..User-Agent
0070 3a 20 4d 6f 7a 69 6c 6c 61 2f 35 2e 30 20 28 57 : Mozilla/5.0 (W
0080 69 6e 64 6f 77 73 20 4e 54 20 36 2e 33 3b 20 57 indows NT 6.3; W
0090 4f 57 36 34 3b 20 72 76 3a 33 34 2e 30 29 20 47 OW64; rv:34.0) G
00a0 65 63 6b 6f 2f 32 30 31 30 30 31 30 31 20 46 69 ecko/20100101 Fi
00b0 72 65 66 6f 78 2f 33 34 2e 30 0d 0a 41 63 63 65 refox/34.0..Acce
00c0 70 74 3a 20 74 65 78 74 2f 68 74 6d 6c 2c 61 70 pt: text/html,ap
00d0 70 6c 69 63 61 74 69 6f 6e 2f 78 68 74 6d 6c 2b plication/xhtml+
00e0 78 6d 6c 2c 61 70 70 6c 69 63 61 74 69 6f 6e 2f xml,application/
00f0 78 6d 6c 3b 71 3d 30 2e 39 2c 2a 2f 2a 3b 71 3d xml;q=0.9,*/*;q=
0100 30 2e 38 0d 0a 41 63 63 65 70 74 2d 4c 61 6e 67 0.8..Accept-Lang
0110 75 61 67 65 3a 20 64 65 2c 65 6e 2d 55 53 3b 71 uage: de,en-US;q
0120 3d 30 2e 37 2c 65 6e 3b 71 3d 30 2e 33 0d 0a 41 =0.7,en;q=0.3..A
0130 63 63 65 70 74 2d 45 6e 63 6f 64 69 6e 67 3a 20 ccept-Encoding:
0140 67 7a 69 70 2c 20 64 65 66 6c 61 74 65 0d 0a 44 gzip, deflate..D
0150 4e 54 3a 20 31 0d 0a 52 65 66 65 72 65 72 3a 20 NT: 1..Referer:
0160 68 74 74 70 3a 2f 2f 31 39 32 2e 31 36 38 2e 30 http://192.168.0
0170 2e 31 2f 0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a .1/..Connection:
0180 20 6b 65 65 70 2d 61 6c 69 76 65 0d 0a 43 6f 6e keep-alive..Con
0190 74 65 6e 74 2d 54 79 70 65 3a 20 61 70 70 6c 69 tent-Type: appli
01a0 63 61 74 69 6f 6e 2f 78 2d 77 77 77 2d 66 6f 72 cation/x-www-for
01b0 6d 2d 75 72 6c 65 6e 63 6f 64 65 64 0d 0a 43 6f m-urlencoded..Co
01c0 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 37 31 ntent-Length: 71
01d0 0d 0a 0d 0a 43 53 52 46 56 61 6c 75 65 3d 32 32 ....CSRFValue=22
01e0 35 31 30 35 39 35 26 6c 6f 67 69 6e 55 73 65 72 510595&loginUser
01f0 6e 61 6d 65 3d 61 64 6d 69 6e 26 6c 6f 67 69 6e name=admin&login
0200 50 61 73 73 77 6f 72 64 3d 61 64 6d 69 6e 26 6c Password=admin&l
0210 6f 67 6f 66 66 55 73 65 72 3d 30 ogoffUser=0

Bzw. besser lesbar (ich habe für den Test absichtlich das Passwort auf admin geändert)

Form item: "CSRFValue" = "22510595"
Form item: "loginUsername" = "admin"
Form item: "loginPassword" = "admin"
Form item: "logoffUser" = "0"

Meine Fragen:

- Kann man die Anmeldung in ein Script packen?

- Was hat es mit der CSRFValue auf sich? Ist das eine Art Session Nummer die verhinden soll, dass sich jemand ungewollt anmeldet? In einem Paket davor (vom Router zu mir) gibt es nämlich folgende Zeile:

<input type="hidden" name="CSRFValueL" value=22510595>\n

Das müsste man dann ja auch abgreifen, um sich per Script anzumelden, oder?