Unitymedia Fritz Box Cable und das Zugriffsthema von Außen

[vocaris]

Hallo Gemeinschaft,
auch wenn das Thema vereinzelt in verschiedenen Threads angesprochen wurde, für mich ist es im Kopf noch nciht ganz rund und ich würde die Lücken gerne versuchen zu schließen und am Ende auch alles lauffähig haben. Demnach hoffe ich auf Euren Input.

Also ich habe einen Unity ipV6 Anschluss und eine frische Fritz Box.
An der FB hängt per LAN mein QNAP NAS.

Nun möchteich von Außen (zumeinst ipV4 Netze) auf mein NAS und auf die FB zugreifen.
Was ich nun verstanden habe (oder glaube) ist, das man "so" aus dem ipv4 Netz nicht auf das ipV6 Netz zugreifen kann. Hier muss man wohl einen Mappingdienst nutzen.
Sprich ich muss einem Dienst meine eindeutige ipv6Adresse nennen. Dieser gibt mir dann eine ipV4 Adresse und ich kann dieser Adresse dann einen Port mitgeben.
Sprich wenn ich dann z.B. mappingdienst.net:8080 aufrufe würde dieser Dienst diese Anfrage umleiten und würde mir dann das ipv6 Gerät anzeigen.
Das habe ich mittles myonlineportal.net auch geschafft.
Jetzt wollte ich gerne eine DDNS einrichten, damit meine FB dort immer die neuen Adressen meldet. Aber in der FB von Unity habe ich keinen Punkt um DDNS zu definieren. Ist sicherlich beschnitten worden. Denn den Eintrag gibt es in einer offnen FB. Somit dachte ich, dass meine ipV6 Adresse, die ich dem Maping Dienst mitgeteilt habe am nächsten Tag nicht mehr funktioniert. Denn bis dahin gab es sicherlich eine Zwangstrennung und das NAS ist auch schon 1x rauf und runter gefahren. Aber als ich heute morgen die URL aufrief, kam ich wieder drauf!? Trennt Unity die Verbindung alle 24 Std. nicht? Oder habe ich bei Unity immer die gleiche IP? Also quasi eine statisch, so dass die immer gleich bleibt?
Wenn ja, wäre ja ein DDNS nicht notwendig, oder?

Jetzt fehlt mir nur noch der Zugriff auf die FB an sich und der myFritz Dienst. Das habe ich noch nicht verstanden.
Im NAS hatte ich für das NAS eine ipV6 Adresse gefunden. Diese konnte ich dem Mapping Dienst mitgeben.
Was muss ich tun, damit ich a9 auf die FB springen kann, bzw. das ich den myFritz Dienst aufrufen und am Ende auf diese Oberfläche komme?

Danke Euch schon im Voraus.

 

[Leseratte10]

Myfritz und DynDNS ist in der Unitymedia - Box ganz normal verfügbar, also nicht gesperrt.
Die IPv6 ist nicht statisch, ändert sich aber nur bei Routerneustart.

 

[tokon]

Trennt Unity die Verbindung alle 24 Std. nicht? Oder habe ich bei Unity immer die gleiche IP? Also quasi eine statisch, so dass die immer gleich bleibt?

Eine Zwangtrennung gibt es nicht und du hast eine gewisse Zeit die selbe IP, kann sich aber durchaus ändern.

 

[vocaris]

myFritz kann ich konfigurieren. DDNS steht nicht zur Verfügung.
Der Reiter ist nicht sichtbar unter FREIGABE. als wäre er in der FB von Unitymedia entfernt worden.
Ich brauche also eine Methode, wie ich einem Dienst eine eventuell neue Ipv6 Adresse mitteilen kann.
Und ich weiß nicht, wie ich über den myFritz Dienst aus dem ipv4 Netz auf die FB zugreifen kann.

 

[hajodele]

Warum bei dir DDNS nicht verfügbar ist, verstehe ich auch nicht.
In der Kabelbw-Variante (allerdings ohne "Lite") meiner Mutter ist der Reiter vorhanden und funktioniert. Ich habe auch mal die Ansicht "Standard" probiert. Auch da wird er nicht ausgeblendet.
Mit der eigentlichen Problematik rund ums IPv6/DS-Lite hat das auch eigentlich nichts zu tun, da es durchaus auch IPv6-DDNS-Dienste gibt.

Die Funktionsweise via Portmapper kannst du am einfachsten in den dortigen Anleitungen nachlesen.
z.B. http://www.feste-ip.net/dslite-ipv6-portmapper/allgemeine-informationen/ hier vor allem der weiterführende Link zum http://www.feste-ip.net/dslite-ipv6-portmapper/universelle-portmapper/
In diesen Beispielen wird ebenfalls immer die MyFritz-Freigabe verwendet.

Ohne solch ein Mapping kommst du nicht von IPv4 auf IPv6.

p.s. Mir ist noch ein zweites Portal bekannt, das sogar kostenlos sein soll: http://www.myonlineportal.net/home Praktische Erfahrungen habe ich weder/noch.

 

[Leseratte10]

Wenn du myfritz hast, wofür dann noch DynDNS? Myfritz ist doch (unter anderem) ein DynDNS Dienst...

 

[vocaris]

Ok. Also DDNS geht halt bei mir nicht. Haken dran.

http://www.feste-ip.net habe ich schon mal ausprobiert. Kostet aber Geld.
Aktuell mache ich es über myonlineportal.net
Ohne DDNS kann ich denen bei einem Wechsel halt nicht mitteilen, wie die neuen IP ist. OK. Dann habe ich es 1x händisch gemacht und dort die ipv6 meines NAS mitgegeben.
Dann den Port 8080 (Das ist die Oberfläche des NAS). Habe dann eine allg. Adresse mit einem Port bekommen.
Das funktioniert auch. Es ist aber keine eigene DDNS Adresse sondern eine allg. Das ist irgendwie blöd. Denn jeder nimmt einfach mal die allg. Adresse und spielt hinten an den Ports rum. Irgendwann hat der den, den ich gewählt habe und er kommt zumindest schon mal bis zum Login meines NAS.
Habe in dem Portal noch nicht verstanden, wie ich über eine DDNS Adresse diesen Weg gehen kann.
Bei fest-ip.net geht es ja ähnlich. Dort kann ich aber im Mapper zumindest einen alias eingebe und den die ipv6 Adresse und einen Port.
ipv6 Adresse des NAS iVm 8080 und ich komme auf das NAS Webinterface
In der FB habe ich auch eine myFritz Gerätezuordung zum NAS erstellt und bekomme eine myFritzadresse nas.xxxxx.myfritz.net. Auch das Mapping mit 8080 auf diese Adresse funktioniert.
Nun möchte ich aber myFritz normal aufrufen. Also direkt auf die Box. Das klappt nicht. Oder ich kenne den Port nicht.
Wenn ich über den Browser auf http://www.myfritz.net gehe und nach dem Login auf meine FB klicke kann die Seite nicht angezeigt werden.
Da ich die ipv6 der FB habe könnte ich auch diese im Mapper eingeben. Aber auch das klappt nicht. ich muss ja einen Port mitgeben. Den der FB an sich kenne ich nicht.
???

 

[hajodele]

Ohne DDNS kann ich denen bei einem Wechsel halt nicht mitteilen, wie die neuen IP ist

Das ist die rznbrnft.myfritz.net. Die korrekte findest du unter Internet - Freigaben - Fritzbox-Dienste.

Den der FB an sich kenne ich nicht.

Dieser steht auch oben. Standard ist 443. Ich habe aber einen anderen fünfstelligen Port eingetragen.
Beispiele für den Zugang sind ebenfalls hinterlegt.

 

[hajodele]

Wenn du myfritz hast, wofür dann noch DynDNS? Myfritz ist doch (unter anderem) ein DynDNS Dienst...

Einfach um sich nicht "rznbrnft.myfritz.net" merken zu müssen. "xzy.self-ip.net" kann sich der Mensch besser merken.

 

[vocaris]

OK. Auf das Webinterface komme ich jetzt auch. Man muss mit httpS aufrufen :glück:
Bleibt jetzt noch die Frage, warum der Zugriff über myfritz.net nicht geht.
Bei Aufruf sehe ich den langen https link, mit dem port 200 (habe ich in der fb von 403 geändert) und dem User
Aber es kommt: Die Webseite ist nicht verfügbar

 

[domi123456]

Hi Leute,
ich glaube das wir das selbe Problem haben. Ich möchte auf meine Fritzbox von außerhalb zugreifen. Von zuhause aus geht das auch wunderbar auch mit der App von AVM, allerdings nur von zuhause :zerstör: ich kann euren versuchen gerade nicht ganz folgen.
was ist hiermit gemeint? rznbrnft.myfritz.net ?? auf meinen Nas komme ich ohne Probleme von außerhalb aber auf meinen Router nicht. Ich nutze den Portmapper von www.feste-ip.net.
Wäre um Tipps oder Hilfe dankbar
LG domi123456

 

[hajodele]

OK. Auf das Webinterface komme ich jetzt auch. Man muss mit httpS aufrufen :glück:
Bleibt jetzt noch die Frage, warum der Zugriff über myfritz.net nicht geht.
Bei Aufruf sehe ich den langen https link, mit dem port 200 (habe ich in der fb von 403 geändert) und dem User
Aber es kommt: Die Webseite ist nicht verfügbar

Das "S" war eine böse Falle. Da bin ich auch schon aus Versehen reingelaufen :zwinker:
Was sich im Detail hinter myfritz.net abspielt, weiß ich leider auch nicht.

@domii123456:
Wie hast du eigentlich dein Doppeleintrag mit dem relativ hohen zeitlichen Abstand hinbekommen? :zwinker:
Zu deiner Frage:
Ja, du hast das gleiche Problem. Weiter oben habe ich ja schon die Links zum lesen gesetzt.
Das "RZNBRNFT" steht für den ziemlich unleserlichen Namen, den man von Myfritz.Net bekommt und den man nicht ändern kann.

 

[domi123456]

Das mit dem Eintrag war ein versehen :wand:
Also nochmal zu meiner Frage ich nutze ja Feste-ip.de um den portmapper zu nutzen. Der kann aber nur eine direkte Adressierung an ein Endgerät. Also demnach nicht an die Fritzbox. Wie bekomme ich es dann hin auch mit meinem iPhone oder HTC von extern drauf zu zugreifen? es geht ja auch mit dem Nas warum sollte es dann nicht auch über den Myfritz dienst gehen, zumal ich ja auch den Myfritz dienst nutze um auf den server zu kommen. Nur auf den Router komme ich halt nicht :kratz: hajodele läuft es denn bei dir?

 

[GoaSkin]

@vocaris: Du kannst einen IPv6-Tunnelbroker nutzen, um der von unterwegs eine IPv6-Adresse auf den Endgerät zu holen. Dann kannst du normal per IPv6 auf die Fritzbox und die Rechner dahinter zugreifen. IPv6-Tunnelbroker kosten nichts. Du kannst dich z.B. bei SIXXS registrieren und dort Netcologne als Gateway nutzen; dann ist die Verbindung zu Unity Media auch recht flott.

www.sixxs.org

 

[vocaris]

Tja. Habe jetzt ein ganz anderes Problem. Direkt nach einem Tag Fritz.box ist Jemand von außen auf die FB gegangen und hat eine Rufumleitung auf eine 0137 Nummer eingestellt und hat dann x mal anonym angerufen.
Wie geht das jetzt? Kotzt mich schon an.

 

[Seufz]

Bleib doch bitte im anderen sinnvolleren Thema (Hack). Hier geht es doch primär um gewollten ZUgriff auf die FRitzbox und Geräte. Bei dir aber "nur" um Telefon.

 

[SpaceRat]

Das funktioniert auch. Es ist aber keine eigene DDNS Adresse sondern eine allg. Das ist irgendwie blöd. Denn jeder nimmt einfach mal die allg. Adresse und spielt hinten an den Ports rum. Irgendwann hat der den, den ich gewählt habe und er kommt zumindest schon mal bis zum Login meines NAS.

Das ist aber bei feste-ip.net nicht anders:

Alle User auf demselben System sind User desselben Systems.
Das klingt deshalb so bescheuert, weil es ganz genau so banal ist und eigentlich keiner weiteren Erklärung bedarf.


Die Verwirrung um Hostnames kommt nur daher, weil es ein vollkommen primitives System ist, dem von Laien die wundersamsten, kompliziertesten und aufwendigsten Wundereigenschaften angedichtet wurden.

Das DNS-System ist das Telefonbuch/die Auskunft des Internets, wenn ich "Hein Blöd" erreichen will, frage ich die Auskunft, welche Telefonnummer Hein Blöd hat und wenn ich http://www.google.de erreichen will, frage ich das DNS-System, welche IP die Seite hat.
Mehr nicht.

Der Server, der zum Anbieten des "Port-Mappers" genutzt wird, ist nun für alle Kunden derselbe (myonlineportal) bzw. es sind eine Handvoll Systeme, aus denen der Benutzer zu Anfang eines aussuchen kann (feste-ip.net).

Machen wir es zum Verständnis mal einfach so, daß wir DNS als Adressbuch betrachten und an eine WG denken.
Da kennt man ja die Klingelschilder:
Atze - 1x klingeln
Rotzi - 2x klingeln
Kotzi - 3x klingeln
Bumsi - 4x klingeln

Auch im IPv4-Internet wohnen nun Atze, Rotzi, Kotzi und Bumsi in derselben Wohnung, nämlich in de1.portmap64.net bzw. 89.163.225.168 und wenn man Atzes NAS erreichen will, muß man halt 8800 Mal klingeln und für Bumsis NAS 43759 Mal. Die Anzahl der Klingelzeichen hab ich jetzt einfach mal als Portnummer umgedeutet ...
Wenn Atze nun jemandem seine Adresse de1.portmap64.net mitsamt der Anzahl der Klingelzeichen mitteilt und derjenige geht zu dieser Wohnung, klingelt aber 43759 Mal, dann macht ihm eben Bumsi auf, obwohl er zu Atze wollte.

Nun zu dem Hostname:
Der zugewiesene Hostname ist nichts weiter als ein Alias für den eigentlichen Hostname, welcher nichts weiter ist als eine leichter zu merkende Bezeichnung für ein Flurstück soundso im Flur blablabla.

Oder anders:
atze.feste-ip.net verhält sich zu de1.portmap64.net verhält sich zu 89.163.225.168
wie
"Das angeschrägte Grundstück an der Ecke Antoniusstr./Bösselbach" zu "Antoniusstr. XX" zu "Grundstück Flur 6, Flurstück 470 (Schürscheid), Anzhausen"

Alle Angaben einer Zeile bezeichnen immer das selbe Ziel.
Egal ob Du zum "angeschrägten Grundstück an der Ecke Antoniusstr./Bösselbach" oder in die "Antoniusstr. XX" oder zum "Grundstück Flur 6, Flurstück 470 (Schürscheid), Anzhausen" gehst, Du stehst vor derselben Baulücke.
Genau so klingelt man unter atze.feste-ip.net, de1.portmap64.net und 89.163.225.168 immer an derselben Tür ...

 

[vocaris]

Hallo SpaceRat,

erst mal danke für diese super Erklärung!
Das fest-ip.net nun (ich glaube) 4 verschieden Server als Map-Server anbietet ist das schon mal mehr als myonlineportal.
Sprich mit dem Umstand muss man leben und ist wohl auch nichts sonderbares.
Da ja nun "jeder" durch Probieren oder Zufall vor meiner Haustür stehen kann bliebe mir nur noch übrig ab der Haustür eine Sicherheitschleuse einzubauen. Was dann wohl eine VPN wäre!?
Jetzt müsste ich mal nachlese, wie ich das hinbekomme. Meine in der FB von Unitymedia kann ich keinen VPN Tunnelung einrichten. Da ich aber auf mein NAS nicht nur per myFritz kmmen kann, sondern durch seine eigenständig ipv6 das NAS direkt von Außen ansprechen kann, könnte ich ggf. das VPN auf dem QNAP NAS einrichten?

 

[SpaceRat]

erst mal danke für diese super Erklärung!

Büdde.

Das fest-ip.net nun (ich glaube) 4 verschieden Server als Map-Server anbietet ist das schon mal mehr als myonlineportal.

Wenn die 4x so viele Kunden haben, macht es genau gar keinen Unterschied. Und davon gehe ich fast schon aus.

Da ja nun "jeder" durch Probieren oder Zufall vor meiner Haustür stehen kann

Davon sollte man generell ausgehen, wenn man irgendwelche Dienste nach außen öffnet, egal ob per IPv4 oder IPv6, mit oder ohne DynDNS, ...

bliebe mir nur noch übrig ab der Haustür eine Sicherheitschleuse einzubauen. Was dann wohl eine VPN wäre!?

Ein VPN ist eigentlich immer vorzuziehen, wenn es darum geht, etwas im Heimnetz allein zur eigenen Nutzung von außen erreichbar zu machen.

Anstatt 20 Ports für 20 potentiell unsichere Dienste aufzureißen öffnet man dabei einen einzigen Port für das VPN und kommt somit ins ganze Heimnetz.
Damit braucht man sich dann nur noch um die Sicherheit des VPNs selber zu kümmern.

Umgekehrt gibt es aber auch Fälle, wo es sinnvoller ist, den Dienst direkt nach außen zu öffnen.
Wenn man z.B. Freunden/Verwandten den Zugriff auf (bestimmte) Dateien auf dem NAS o.ä. eröffnen will, dann halte ich einen (sicheren) ftps-Zugang für geeigneter.
Ist Onkel Werner z.B. bekannt dafür, sich regelmäßig den Trojaner des Tages einzufangen, dann steht man am Ende schlechter da wenn man aus Onkel Werners LAN per VPN auch in Dein LAN kommt, als wenn ein Angreifer schlimmstenfalls nur den gleichen (Nur-Lese-)Zugriff auf Deinen ftps-Server hatte wie Onkel Werner.

Wenn Dein LAN Dein Haus wäre, dann wäre ein VPN eine Art Teleporter-Haustür in der Fremde und offene Ports Klingel und Briefkasten ...
... überlege einfach, wem Du dann den Schlüssel zur Teleporter-Haustür geben würdest und wer nur Briefe einwerfen und klingeln dürfte.

Den Briefschlitz in der Tür macht man ja z.B. auch nur so groß, daß kein Mensch durchpaßt, auch wenn ein großer Briefschlitz für Pakete auch irgendwie total praktisch wäre ...
... da gewinnt ja auch der Sicherheitsgedanke vor der Faulheit, wegen des Pakets eventuell zur Post latschen zu müssen.

Bei Haustür, Briefschlitz und Katzenklappen obsiegt meistens die Logik ... beim LAN, wo heutzutage Sachen liegen die mindestens so wichtig sind wie das was man aus dem Haus tragen könnte, neigen die Leute aber zum Leichtsinn.

Die Verlockung, einen Webzugang zum NAS zu öffnen, ist riesig, aber man sollte sich da schon mal vorher informieren:
Bei normalem Web-Zugriff (http:// vorne in der Adresse) erfolgt der Zugriff unverschlüsselt. Es reicht, sich einmal von einem öffentlichen WLAN-Hotspot aus einzuwählen und irgendjemand kann alles mitprotokollieren.
Befindet sich im protokollierten Datenstrom Dein Login und Kennwort, hat derjenige dann denselben Zugriff wie Du.

Benutzernamen und Kennwörter allein sind völlig wertlos!

Damit man einen Dienst nach außen freigeben und trotzdem noch ruhig schlafen kann, muß schon der Login zusätzlich auch noch verschlüsselt sein
und
man braucht vor dem Login die Gewißheit, daß es wirklich der heimische Server ist, auf dem man sich anmeldet.

oder

Alle erreichbaren Daten des Dienstes müssen für die Öffentlichkeit bestimmt und sicherheitsmäßig unbedeutend sein.

Beispiel zu 2. wäre die "Wetter-Cam", also eine IP-Cam, die irgendwas filmt, was jeder sehen darf und auch soll.
Sollte soweit klar sein, wieso hier die Zugangssicherheit keine Rolle spielt ...

Bei der anderen Geschichte wird's komplizierter:
Benutzername und Kennwort alleine sind wertlos, wie schon gelernt.
Damit die Sache funktioniert, muß die Übertragung zusätzlich noch verschlüsselt sein, damit der Loginvorgang nicht von jedermann mitprotokolliert werden kann. Telnet, ftp, http, ... sind nie verschlüsselt.

Aber:
Eine verschlüsselte Übertragung allein verhindert noch keinen Angriff durch einen MITM (Man-In-The-Middle)!
Jeder kann einen gleichen oder ähnlichen Server errichten und Dir als Deinen vorsetzen. Wenn Du Dich nun dort einloggst, kann er wieder ganz einfach die Login-Daten mitprotokollieren und Dich netterweise auch noch zu Deinem ursprünglichen Ziel (Deinem echten Server) weiterleiten, damit Du davon nichts merkst.
Genau das ist das Prinzip von Phishing-Attacken und der ganzen eMails, die Dich dazu auffordern, zum 2000. Mal Deine Kreditkarte, Deine PayPal-/eBay- oder Amazon-Daten zu bestätigen.

Diese Phishing-Attacken sind sogar weniger gefährlich als MITM-Angriffe auf Ziele bei Dir zuhause:
1. Ist schon die Aufforderung zum Irrsinn meistens nur mit Google Translate übersetzt und nach Betrug stinkend falsch.
2. Sollte selbst ein Vollidiot der sich den Hut mit dem Hammer aufsetzt spätestens beim Öffnen der Webseite sehen, daß die angezeigte Adresse nicht die richtige ist (z.B. paypal-phishing.myspamhost.cn statt paypal.com)
3. Hat man schon bei der Kontoeröffnung eröffnet bekommen, daß man niemals per Telefon oder eMail nach vertraulichen Daten wie Passwort oder PIN gefragt werden wird.

Beim Zugriff auf Deine Server zuhause befindest Du Dich aber in Fremdnetzen.
Ist der MITM im selben Fremdnetz oder kontrolliert es sogar, dann kann er Dir Deinen Server zuhause aber unter genau der Adresse vorsetzen, die Du erwartest (DNS-Spoofing).

Sicher ist die Verbindung also nur dann, wenn sich Dein Server zuhause vor dem Login ausweisen und der Client diesen Identitätsnachweis auch überprüfen kann.
Dafür müßte man z.B.
- ein CA-Root-Zertifikat
- einen Server-Key
- ein Server-Zertifikat
erzeugen (alles mit OpenSSL)
und
das CA-Root-Zertifikat auf dem Client-Rechner als vertrauenswürdiges Zertifikat installieren, damit der Client die Echtheit des Servers validieren kann (Genau das tut z.B. auch OpenVPN).

Das Ganze funktioniert dann zumindest, solange man auch wirklich brav darauf achtet, daß das "https://" in der Adresszeile von Chrome/Firefox/Opera grün wird, bevor man sich anmeldet.
Alternativ kann sich auch der Client mit einem Client-Cert ausweisen, welches dann der Server überprüft. Diese Authentifizierung in zwei Richtungen nutzt OpenVPN, wenn man will, dann kann man das auch bei https-Seiten machen.

Das ist natürlich alles etwas mehr Arbeit, als einfach nur mal eben einen Port aufzureißen.

könnte ich ggf. das VPN auf dem QNAP NAS einrichten?

Wenn es auf dem QNap einen IPv6-tauglichen OpenVPN-Server gibt (Bei Synology gibt es das) ja.

Bevor Du loslegst, würde ich aber als allererstes mal den IPv4-Adressbereich Deines Heimnetzes in irgendwas anderes als
- 192.168.0.x (Standardbereich vieler Router)
- 192.168.1.x (Standardbereich vieler Router)
- 192.168.100.x (Standardbereich vieler Bridges für die Admin-Oberfläche)
- 192.168.178.x (Standardbereich der Fritz!Box)
- 192.168.189.x (Standard-Gastnetz der Fritz!Box)
ändern.

Ansonsten wirst Du nämlich früher oder später eine der anderen Tücken von IPv4 kennenlernen, nämlich die identischen Pseudo-Adressen (Private IPv4-Adressen halt) in unterschiedlichen LANs ...

Routen kann man nämlich nur zwischen unterschiedlichen Netzen und das Netz 192.168.178.x Deiner Fritz!Box ist zwar physisch ein anderes Netz als das Netz 192.168.178.x der Fritz!Box Deines Nachbarn, aber adressmäßig ist es das selbe Netz = Kein Routing möglich. Eines der vielen IPv4-Probleme, die IPv6 löst, da man da keine privaten IPs mehr nötig hat ...
Es gibt zwar Tricks, wie das trotzdem geht, aber wozu, wenn man es auch vermeiden kann ...

Wenn man z.B. die Schwanzlänge
192.168.35.x
oder die Quersumme aus Geburtstag, -Monat und Jahr nimmt
20.4.1889 = 20+4+89 = 192.168.113.x
sinkt die Wahrscheinlichkeit extrem, bei McBrech, am Flughafen, im Hotel oder bei Freunden im WLAN denselben Bereich zu haben.

Man kann natürlich auch in das Netz 10/8 gehen, da hat man noch mehr Spielraum:
10.20.4.89
oder
10.35.55.200 (Schwanzlänge, Gewicht der Frau, Jahresgehalt in kEUR )

 

[vocaris]

Uff. Das war viel.

Also ich habe schon vor Open VPN zu nutzen. QNAP bietet das auch an. Ob es jetzt auch iVm ipv6 geht weiß ich nicht. Auf jeden Fall ist das NAS ipv6 fähig. Habe ja auch eine ipv6 Adresse für das NAS, welches ich von Außen derzeit auch ansprechen kann ohne den Weg über die myFritz Freigabe zu gehen.

Ob ich das konfiguriert bekomme!? Mal sehen und probieren. So wie ich das verstanden habe, wird die Konfiguration in eine Art Datei gespeichert, die ich dann bei den Clients wieder brauche.
Den Zugriff auf das NAS brauche ich hauptsächlich dahingehend, dass ich immer Zugriff auf Dokumente etc. habe. Das kann man schön über die eigen QNAP App QFiles arrangieren. Das müsste ja auch weiterhin gehen, wenn ich z.B. mit dem Smartphone vorher einen VPN Verbindung zu dem Server hergestellt habe. Dann muss ich die APP ja auch anders einrichten. Denn ich gebe ihr ja nicht die externe ipv6 Adresse, sondern (ich bin ja schon drin in meinem Haus) die interne IP Adresse.

Das ist dann wohl auch der Grund, warum du meinst, dass ich meine interne Steuerung von den Standartwerten z.B. 192.168.8.xx abändern soll.
Jetzt meine ich, dass ich das wieder nicht könnte, da die FritzBox von Unitymedia in vielen Bereichen Beschnitten ist. Ich kann kein DynDNS eingeben und ich meiner, ich kann auch die interne IP Vergabe nicht ändern. Aber mal gucken.
Das mit einem letzten Abschnitt gemeinte "Identitätsnachweis" ist somit per OpenVPN gelößt?

Bin mal gespannt ob ich das alles hin bekomme. Dennoch werde ich einen Dienst wie feste-ip.net etc. benötigen, oder? Denn das NAS ist im ipV6 und ich muss es über ipv4 Netze erreichen können. Demzufolge werde ich eine test.feste-ip.net:65521 benötigen, die ich dann dem OpenVPN Client als URL mitgeben muss.

Eins habe ich noch nicht geschnallt: Wenn ich nun die Daten des NAS per VPN erreichen will, aber z.B. die WEbCam, die am NAS hängt für jeden zugänglich machen möchte, wie geht das denn?
Ich denke, wenn ich im NAS das VPN konfiguriere, ist die gesamte Kiste NUR über den Tunnel zu erreichen.

 

[SpaceRat]

Ob ich das konfiguriert bekomme!? Mal sehen und probieren. So wie ich das verstanden habe, wird die Konfiguration in eine Art Datei gespeichert, die ich dann bei den Clients wieder brauche.

Ich weiß nicht, wie es bei QNap gelöst ist.

Die kompliziertere Variante einer OpenVPN-Konfiguration besteht aus
- CA-Cert
- Server-Cert
- Server-Key
auf dem Server
und
- CA-Cert
- Client-Cert
- Client-Key
auf den Clients (Jeder Client ein eigener Satz).
Das CA-Cert ist in beiden Configs das selbe.

Die kompliziertere Variante brauchst Du, weil z.B. OpenVPN Connect für Android die einfachere (Static key, wie AVMs VPN) nicht beherrscht.
Wenn QNap das gut gelöst hast, läßt sich das aber direkt aus dessen Oberfläche fertig erzeugen.

Denn ich gebe ihr ja nicht die externe ipv6 Adresse, sondern (ich bin ja schon drin in meinem Haus) die interne IP Adresse.

Genau.

Das ist dann wohl auch der Grund, warum du meinst, dass ich meine interne Steuerung von den Standartwerten z.B. 192.168.8.xx abändern soll.

Genau.
Wärst Du in einem Internet-Cafe in einem LAN mit demselben Adressbereich den Du auch zuhause verwendest, wäre trotz VPN keine Verbindung nach Hause möglich, weil Dein Smartphone ja dann nicht wissen kann, ob 192.168.178.10 (Angenommene IPv4 Deines NAS) nun im LAN des Internet-Cafes oder im VPN sein soll.

Jetzt meine ich, dass ich das wieder nicht könnte, da die FritzBox von Unitymedia in vielen Bereichen Beschnitten ist.

Doch, das kannst Du ..
Heimnetz -> Reiter "Netzwerkeinstellungen" -> Button "IPv4-Adressen"

Das mit einem letzten Abschnitt gemeinte "Identitätsnachweis" ist somit per OpenVPN gelößt?

Ja.
Client und Server können sich mit ihrem jeweiligen Client- bzw. Server-Zertifikat gegenseitig ausweisen und anhand des CA-Certs (Das ist das Zertifikat des Ausstellers der anderen Zertifikate) auch das Zertifikat der Gegenseite auf Echtheit überprüfen.
Nach derzeitigem Kenntnisstand kann diese Authentifizierung als sicher gelten.
Getreu der Devise "trust in no-one" sogar sicherer als die Verschlüsselung beim Online-Banking, denn da werden Zertifikate von öffentlichen CA-Autoritäten verwendet, bei denen man fast schon davon ausgehen kann, daß sie die erstellten Zertifikate und Schlüssel auch der NSA zur Verfügung stellen ...

Dennoch werde ich einen Dienst wie feste-ip.net etc. benötigen, oder?

Wenn Du das VPN auch aus IPv4-only-Netzen erreichen können willst/mußt ja.

Der OpenVPN-Server selber ist per IPv4 genausowenig erreichbar wie jeder andere Server in Deinem LAN auch.
Durch das VPN hindurch jedoch kannst Du IPv4 transportieren, also im Heimnetz mit IPv4 rumfuhrwerken.

Demzufolge werde ich eine test.feste-ip.net:65521 benötigen, die ich dann dem OpenVPN Client als URL mitgeben muss.

Korrekt.

Tip:
Lege Dir erst einen Port-Mapper an und versuche eine 1:1-Variante zu bekommen, wo also der Port auf dem Mapper derselbe ist wie der Port auf dem IPv6-Server, den Du erreichbar machen willst.
Das "wieso" erkläre ich Dir später

Eins habe ich noch nicht geschnallt: Wenn ich nun die Daten des NAS per VPN erreichen will, aber z.B. die WEbCam, die am NAS hängt für jeden zugänglich machen möchte, wie geht das denn?

Wenn es einen separaten Server auf einem separaten Port gibt, auf dem man einfach nur das Bild besagter Webcam sehen kann (Aber nicht ihre Konfiguration ändern oder sonstwas machen kann), dann bräuchtest Du für genau diesen Server/Port einen zweiten Mapper.
Und für andere freizugebende Server dann einen dritten, vierten, ...

Du kannst ja für einen Ziel-Host bei feste-ip.net mehrere Ports mappen lassen, genau das tust Du dann auch.
Und da würde ich immer so lange verschiedene Ports probieren, bis alle davon 1:1 sind und dann erst im Nachhinein den Port des Servers auf einen der so gewonnenen Ports legen.

Wenn es wirklich um einen reinen http-Server geht, gibt es noch einen anderen Weg ohne feste-ip, der auch im Ergebnis etwas eleganter ist ...
1. Du legst einen DynDNS-Hostname für den Server an, hier reicht der MyFritz-Name, z.B. qnap119.fgbdifnbifgbfgio.myfritz.net
2. Du richtest den Server ein und gibst dessen Port (z.B. 12345) in der Fritz!Box frei (Es reicht für jedes Gerät eine einzige MyFritz-Freigabe zu machen, weitere Ports kann man dann einfach in der dabei entstandenen IPv6-Freigabe zufügen)
3. Du legst auf FreeDNS.afraid.org einen Host (z.B. "wettercam.mooo.com") als Redirect an, der als Ziel "http://qnap119.fgbdifnbifgbfgio.myfritz.net.ipv4.sixxs.org:12345" hat.

Jeder Zugriff auf
http://wettercam.mooo.com (Keine Portangabe nötig, da der Standardport 80 verwendet wird)
wird nun weitergeleitet zu
[qnap119.fgbdifnbifgbfgio.myfritz.net.]ipv4.sixxs.org
welches ein Dienst ist, um IPv6-only-Webseiten per IPv4 erreichbar zu machen.
Der Dienst öffnet einfach die Adresse die seiner eigenen Adresse vorangestellt wurde über IPv6 und proxied sie per IPv4 zum Client.

Also:
Client öffnet wettercam.mooo.com
wettercam.mooo.com redirected zu ipv4.sixxs.org
ipv4.sixxs.org proxied die IPv6-Webseite qnap119.fgbdifnbifgbfgio.myfritz.net via IPv4 zum Client

Die Vorteile:

• Der Server ist ist als "http://wettercam.mooo.com" unter dem Standardport 80 erreichbar
  Auf feste-ip.net hingegen würdest Du Port 80 im Leben nicht mehr als 1:1-Mapper kriegen ...
• ein Port-Scan auf wettercam.mooo.com zeigt einem Angreifer nicht die anderen Ports, die auf dem echten Ziel offen sind, denn der Port-Scanner scanned den Redirector-Server, nicht Dich
  (Die Adresse des echten Servers kann man zwar rausfinden, aber für Script-Kiddies reicht das)
• Du sparst einen Port auf feste-ip.net für was anderes ein

Ich denke, wenn ich im NAS das VPN konfiguriere, ist die gesamte Kiste NUR über den Tunnel zu erreichen.

Nein.
Sie ist dann zusätzlich über den Tunnel zu erreichen.
Wenn das NAS dabei IPv4-Masquerading aktiviert, ist sogar das gesamte Heimnetz durch den VPN-Tunnel erreichbar.

 

[vocaris]

OK Space Rat,

wie gedacht klappt das alles nicht so. Bekomme es wohl alleine nicht hin.
Ggf. Lust auf eine Guideing Tour?

 

[SpaceRat]

wie gedacht klappt das alles nicht so. Bekomme es wohl alleine nicht hin.
Ggf. Lust auf eine Guideing Tour?

Ich verstehe es selber nicht, aber kaum sage ich irgendwo was schlaues, kommen immer alle mit diesem Wunsch.
Inzwischen bin ich nicht mehr in der Lage, das alles zu schaffen.

Leider darf ich jetzt schon alle paar Wochen dem TeamViewer-Support mailen, damit die mich wieder vom unterstellten kommerziellen Gebrauch auf Privatnutzer zurückstellen ...

In diesem Fall kommt auch noch hinzu, daß ich die Implementierung von OpenVPN in der QNap-Oberfläche nicht kenne.
Daß OpenVPN etwas kann wenn man auf einem "normalen" Linux die ganze Config selber schreibt heißt ja noch lange nicht, daß es sich auch irgendwie über die QNap-GUI so einstellen läßt.
Unter OpenWrt geht es z.B. auch nicht ohne manuellen Eingriff.

 

[tokon]

Auf dem QNAP wird es vermutlich wegen IPv6 scheitern.
Das NAS selbst kann zwar IPv6, im OpenVPN-Bereich bleibt's dann jedoch bei IPv4.

 

[SpaceRat]

Auf dem QNAP wird es vermutlich wegen IPv6 scheitern.
Das NAS selbst kann zwar IPv6, im OpenVPN-Bereich bleibt's dann jedoch bei IPv4.

In etwa das hatte ich auch befürchtet.

Selbst auf den Synology NAS wurde OpenVPN ja erst mit einer der letzten Firmwares auf den aktuellen Stand gebracht.

Und soweit ich das heraushören konnte, ist die Konfiguration dort auch unnötig komplex:
Zuerst einmal wäre es ja nur wichtig, das OpenVPN über IPv6 als Trägernetz herstellen zu können, die Payload kann ja zumindest für den Anfang IPv4-only bleiben.
Der Konfigurator unter Synology will aber anscheinend alles direkt "richtig" machen und auch die Payload auf Dual-Stack bringen.

Ich bin der Überzeugung, daß es in beiden Fällen, also sowohl bei Synology als auch bei QNap, Mittel und Wege gibt, trotzdem ans Ziel zu kommen. Bei QNap müßte man halt notfalls eine geeignete OpenVPN binary selber bauen.
Das ist dann aber mit Sicherheit nichts für zwischen Suppe und Kartoffeln ...