Unitymedia TC7200: Rechner von aussen erreichen

[OlliL]

Hallo,

die Anfangseuphorie über die 120MBit in meinem neuen Heim (hatte vorher nur 6k DSL) sind schnell verflogen.
Ich habe x Dienste auf meinem Homeserver laufen die ich von unterwegs nutze (DynDNS Domain bisher dafür usw).

Nun mit dem TC7200 und IPv6 Geraffel - Pustekuchen..... IPv4 gibts natürlich nicht sagt mir die Hotline... ansonsten - man kann mir einfach nicht helfen, es gibt keine Lösung. Ich hätte mich halt vorher informieren sollen riet man mir. Auf meinen Einwand das die Erreichbarkeit der System vom Internet für mich ein Basisfunktionalität wie das Rad an einem Auto ist über dessen Vorhandensein ich mich bei einem Autokauf auch nicht gesondert informiere entgegnete Sie mir nichts... man kann mir nicht helfen, Punkt.

Welche Möglichkeiten gibt es dennoch?

- Wenn ich von einem System mit IPv6 Adresse im INet auf meinen Homeserver zugreife - geht dann Portforwarding? Habe es bisher nur von IPv4 Geräten im INet auf die IPv4 Adresse meines Routers probiert? Dann müsste ich wohl auch zu Hause am besten alles auf v6 umstellen? Nur was mache ich dann wenn ich irgendwo bin wo ich nur via v4 ins Netz komme und auf meine Geräte zugreifen will..

- Kann ich ein VPN auf meinen Server einrichten welcher bei nem ISP steht und dann über das VPN auf meine Systeme zugreifen? Sollte klappen, oder?

- Die Fritzbox für 5 EUR mehr im Monat hilft mir wahrscheinlich auch nicht, da ich auch weiterhin nur IPv6->IPv4 Bridge ohne Rückweg habe?

- Business-Anschluss für 50 EUR im Monat mit statischer IP?

Gestern viel mir auf, dass die SSH Verbindung zu meinem Server beim ISP nach ein paar Minuten Inaktivität getrennt wurde.... normal bei UM oder ein TC7200 Problem?

 

[tokon]

- Die Fritzbox für 5 EUR mehr im Monat hilft mir wahrscheinlich auch nicht, da ich auch weiterhin nur IPv6->IPv4 Bridge ohne Rückweg habe?

Die Fritzbox kann mit IPv6 wohl etwas besser umgehen als das TC.

- Business-Anschluss für 50 EUR im Monat mit statischer IP?

Wenn das für dich eine Option ist, wäre das der einfachste Weg.
50 EUR? Meinst du Office Internet & Phone 100?
Bei den Business-Tarifen kommt noch MwSt. hinzu.

 

[OlliL]

50 EUR sind mir eigentlich zu viel für INet + Telefon... und dann noch + 19%...

Wenn die Fritzbox IPv6 besser kann... heisst das ich kann wenn ich vom INet mit IPv6 ankomme dort dann Portforwarding auf einen Rechner hinter der Fritzbox zugreifen? Kann die das auch wenn ich von einem IPv4 Device aus dem Internet komme? Kann das Technicolor Teil gar kein Port Forwarding - nichtmal von IPv6 Devices?

 

[Leseratte10]

Der TC kann keine vernünftigen Portfreigaben. Die Fritzbox kann die zwar, aber zugreifen kannst du trotzdem nur aus IPv6-Netzen.

 

[Madee]

bei IPv6 gibt es dieses Thema Portfowarding so nicht.

Der Sinn und Zweck von IPv6 war seit je her, das jedes Gerät seine eigene IP bekommt, das wird allerdings bei UM nicht so umgesetzt,
dort bekommt sowohl nur das Modem eine IPv6 Adresse und diese ist dann auch noch Dynamisch, kann also ständig den Prefix ändern.

Somit aktuell mit DS Lite keine Chance.

 

[SpaceRat]

Der Sinn und Zweck von IPv6 war seit je her, das jedes Gerät seine eigene IP bekommt,

Das ist korrekt.

das wird allerdings bei UM nicht so umgesetzt, dort bekommt sowohl nur das Modem eine IPv6 Adresse

Das ist Blödsinn.
Man erhält ein Präfix /56, /57 oder zumindest /58, also allemal mehr als genug Subnetze, um nicht nur alle Geräte mit Adressen zu versorgen, sondern das sogar in mehreren Netzen.

und diese ist dann auch noch Dynamisch, kann also ständig den Prefix ändern.

Das ist in der Tat so, bei anderen Providern in Deutschland aber nicht anders.

Die Abteilung Vernebelung und Volksverdummung des Reichspropagandaministeriums (Deckname "Datenschützer") hatte halt den Auftrag bekommen, von echten Problemen wie dem Verkauf von Adressen durch Einwohnermeldeamt, Abschaffung des Bankgeheimnisses, usw. usf. abzulenken.
Weil Google Streetview schon verheizt war, hat man halt die IPv6-Adressierung zur als durch's Dorf zu treibenden Sau erkoren und deshalb die Empfehlung ausgesprochen, dem Anwender die Nutzung durch Zappelpräfixe doch bitte bestmöglich zu erschweren.

Somit aber mal kurz zum Thema zurück:
Mit der Fritz!Box kann man IPv6-Freigaben trotzdem realisieren. Als in Deutschland ansässige Firma hat AVM eine ganz gute Lösung für dieses künstlich geschaffene Problem gefunden.

Sobald man sich die Verkomplizierung und Denkblockade durch NAT und private IPs aus IPv4-Zeiten mal aus dem Schädel gekloppt hat sind IPv6-Freigaben sogar einfacher zu realisieren.

 

[OlliL]

Heisst, ich hesorge mir für 5 Euro mehr ne Fritz box, stelle meinen Router WAN seitig auf ipv6 um, und er ist dann automatisch über die via DHCP von der fritzbox zugewiesenen ipv6 Adresse von aussen erreichbar? Ich muss nix weiter machen oder einstellen? Im LAN würde ich dann hinter ner NAT weiter ipv4 nutzen. Die Dienste laufen aber alle auf dem Router in ner VM und wenn ich erstmal auf dem Router ankommen kann ist alles in Butter.

 

[SpaceRat]

Heisst, ich hesorge mir für 5 Euro mehr ne Fritz box, stelle meinen Router WAN seitig auf ipv6 um, und er ist dann automatisch über die via DHCP von der fritzbox zugewiesenen ipv6 Adresse von aussen erreichbar?

Nein, wenn Du einen eigenen Router betreiben willst, müsstest Du noch die Prefix Delegation in der Fritz!Box aktivieren, damit der eigene Router ein eigenes Präfix durch die Fritz!Box zugewiesen bekommt.

Theoretisch ist damit alles in Butter:
Der eigene Router kriegt sein eigenes Präfix und kann daraus seine eigenen Clients versorgen.

Die Sache hat allerdings einen "klitzekleinen" Haken:
Nach mehreren Berichten funktioniert die Prefix Delegation zwar scheinbar, aber es ist nicht möglich darauf auch Freigaben zu definieren, da die Fritz!Box mit ihrer Firewall weiterhin dazwischen funkt.

Die Option mit der Fritz!Box bezieht sich also schon darauf, daß diese dann auch als Router genutzt wird.

 

[OlliL]

Ich habe also auch mit der Fritbox nicht die Möglichkeit Incomming Traffic einfach stur auf eine andere IPv6 IP zu forwarden?
Ich will ja einfach nur alles was eigenständig ankommt auf meinem "Router" (es ist ein UNIX System) verwursten. Dahinter würde ich eh mit IPv4 weitermachen. Der eigenständige Incomming-Traffic soll auch nicht weiter als bis zu diesem Rechner kommen.

Also auch mit Fritzbox kein "Port Forwarding" oder Ähnliches? Du sprichst von Firewall... kann man die nicht einfach auf "allow all" setzen?

 

[OlliL]

Ist der Rechner hinter der Fritbox der dann eine IPV6-Addy von der Fritzbox bekommt dann aus dem INet erreichbar via IPv6 oder nicht? Keiner eine Idee? Kann ich bei der Fritzbox die Firewall nicht deaktivieren?

Eine andere Idee die mir noch gekommen ist. Ich habe bei meinem Rechner der beim ISP steht ein Kleines IPv4-Netz (5 Adressen). Könnte ich nicht via OpenVPN von meinem Rechner zu Hause einen Tunnel aufmachen zu dem Rechner bei meinem ISP und dann dort ein Routing vornehmen das alles was bei Adresse X des Rechners ankommt, dies über den OpenVPN Tunnel zu meinem Heim-Rechner geleitet wird? Dadurch das der Tunnel von zu Hause aufgemacht wird, sollte doch dann die Kommunikation durch den Tunnel klappen, oder? Die Leute machen ja auch VPNs zu Ihren Firmen auf für Home-Office usw....

 

[SpaceRat]

Ist der Rechner hinter der Fritbox der dann eine IPV6-Addy von der Fritzbox bekommt dann aus dem INet erreichbar via IPv6 oder nicht? Keiner eine Idee? Kann ich bei der Fritzbox die Firewall nicht deaktivieren?

Wenn Du eine Fritz!Box 6320/6340/6360 oder 6490 (Also eines der Kabelmodelle) direkt am Kabelanschluß betreibst und Deine Geräte daran anschließt, dann erhalten sie von der Fritz!Box auch jedes seine eigene IPv6 und dafür sind dann auch anständige Freigaben möglich.

Eine andere Idee die mir noch gekommen ist. Ich habe bei meinem Rechner der beim ISP steht

Du hast einen Rechner bei Unitymedia stehen?

ein Kleines IPv4-Netz (5 Adressen). Könnte ich nicht via OpenVPN von meinem Rechner zu Hause einen Tunnel aufmachen zu dem Rechner bei meinem ISP und dann dort ein Routing vornehmen das alles was bei Adresse X des Rechners ankommt, dies über den OpenVPN Tunnel zu meinem Heim-Rechner geleitet wird?

Ja, Du kannst selbstverständlich Tunnel über OpenVPN aufbauen und darüber alles tunneln, was man über OpenVPN tunneln kann.

Dadurch das der Tunnel von zu Hause aufgemacht wird, sollte doch dann die Kommunikation durch den Tunnel klappen, oder?

Nicht erst dadurch.
Da OpenVPN auch IPv6 kann, kann man selbstredend auch per OpenVPN auf einen OpenVPN-Server zuhause zugreifen, also von außen nach innen. Man braucht lediglich den OpenVPN-Server für den IPv6-Betrieb einzurichten und freizugeben.

 

[OlliL]

Der Server beim ISP (nicht UM) ist jedoch leider nur via IPv4 angebunden.
Ich habe nun einen OpenVPN Tunnel welcher mir erlaubt auf meinen "Router" daheim zuzugreifen - zummindest von meinem Server beim ISP aus.
Um via HTTP auf meinen Rechner daheim zu kommen, habe ich mir einen reverse Proxy auf den Server gepackt welcher dann via OpenVPN alles auf den Rechner daheim durchschleust.
Nicht gerade sexy, aber läuft. Für SSH connecte ich mich nun also erstmal auf meinen Server und von dort dann weiter, HTTP geht aber über den Reverse-Proxy.

NAT und IP-Forwarding funktionierte leider nicht vom Server über OpenVPN zu meinem Rechner daheim, da mein Rechner daheim dann die Antwort über sein default gateway zurück sendet welches dann UM ist.... somit bekommt der Client dann die Antwort von ner anderen Stelle als er die Anfrage gerichtet hat und akzeptiert es nicht. Doppeltes NAT auf meinem Server was theoretisch das Problem lösen sollte funktionierte leider nicht.

 

[t17]

Hallo OlliL,

kannst du ein bisschen mehr zu deinem Setup sagen? Ich überlege selbst gerade, ob ein vServer nicht ein Weg zu echtem (wenn auch teilweise getunnelten) DualStack wäre.
Leider kenne ich mich mit der Thematik nicht gut aus, daher weiß ich nicht, ob das so möglich ist:

<i>
</i>eigener Server <-ipv4-> Internet <-DS-lite-> Zwangsrouter <-> eigener Router <-> Heimnetz /\ /\ ------ ständige OpenVPN Verbindung für ipv4 Traffic ------

Nun auf dem Server Portfreigaben einrichten, die über VPN an Router weitergeleitet werden, der an die Geräte im Heimnetz weiterleitet. Sprich, der Server verhält sich so, wie ein üblicher alter ipv4-Internetanschluss mit NAT/IP-masquerading-Router.

Kann jemand sagen, ob das a) theoretisch, b) praktisch umsetzbar ist? Ist das nicht sogar genau das, was z.B. “feste-ip.net” anbietet (Server entspricht “Portmapper”, FIP-Box ~ Router)?

Edit: Ich habe von User n8tie gehört, dass er ein solches Setup betreibt. Mehr Infos folgen – spannend. :smile:

 

[OlliL]

Ich habs nicht hinbekommen.
Ich habe versucht:

externe-ip@Server -> NAT -> Server -> NAT -> OpenVPN@Server -----> OpenVPN@Home

Problem war, dass die Pakete durch beide NATs liefen und auch wieder zum ersten NAT zurück kamen, aber dann vom 2. NAT nicht mehr prozessiert wurden

<i>
</i>In {default}[TCP] [TCP] <browser-ip>:18691 -> <external-ip>:80 aliased to
[TCP] <browser-ip>:18691 -> 10.0.0.13:80
Out {vpn}[TCP] [TCP] <browser-ip>:18691 -> 10.0.0.13:80 aliased to
[TCP] 10.3.0.1:18691 -> 10.0.0.13:80
In {vpn}[TCP] [TCP] 10.0.0.13:80 -> 10.3.0.1:18691 aliased to
[TCP] 10.0.0.13:80 -> <browser-ip>:18691

- default ist das externe-NAT
- vpn ist das VPN-NAT
- 10.0.0.13 ist meine Home-Webserver-IP
- 10.3.0.1 ist die OpenVPN-Server-IP (Tunnel-Interface)

- 10.0.0.0/24 ist "sichtbar" vom Server aus (iroute, route). Das spart das NAT auf dem Home-Rechner (OpenVPN-Client)