Unitymedia Portforwarding FritzBox funktioniert nicht

[Nachtschatten]

Hallo,
Ich bin mir nicht sicher ob hier der richte Ort ist um diese Frage zu stellen, aber ich habe ein Problem damit einen Webserver (Nginx) aufzusetzen.
Auf meinem Raspberry Pi habe ich u.a. den Webser Nginx installiert und ein Portforwarding (Port 80) in der FritzBox eingestellt. Anschließend habe ich ddnss.de genutzt um meine IP 78.**.**.** an ****.ddnss.de zu binden.
Wenn ich http://192.168.178.66 (lokale IP des Raspberrys) in den Browser eingebe sehe ich meine Website. Soweit alles gut.
Wenn ich aber http://78.**.**.** oder http://****.ddnss.de in den Browser eingebe sagt der dass es diese Website nicht gibt.
Dieser Port checker: http://www.yougetsignal.com/tools/open-ports/ sagt dass Port 80 bei 78.**.**.** geschlossen ist.

Wieso funktioniert das nicht? Und was kann ich machen das es funktioniert? Hab ich irgendwas falsch verstanden bzgl. port-forwarding?

Ausgabe von ein paar Befehlen:

http://myip.is -> 78.**.**.**
ifconfig auf dem raspberry pi -> 192.168.178.66
Sinn des Ganzen: Setting up nextcloud and nginx on the Raspberry Pi 3

$ host -t A ****.ddnss.de
****.ddnss.de has address 78.**.**.**

$ host -t AAAA ****.ddnss.de
****.ddnss.de has no AAAA record

$ ping ****.ddnss.de
PING ****.ddnss.de (78.**.**.**) 56(84) bytes of data.
-> no respnse

$ ping 78.**.**.**
PING 78.**.**.** (78.**.**.**) 56(84) bytes of data.
-> no response

 

[addicted]

Hast Du einen Anschluss mit eigener IPv4 Adresse oder DSLite?
Poste mal nen Screenshot der (WAN-)Verbindungsübersicht aus der Fritzbox.

 

[Nachtschatten]

Bei Internet -> Online Monitor steht bei Internet,Ipv4 : FRITZ!Box verwendet einen DS-Lite-Tunnel AFTR-Gateway:2a02:8070:0:30a::1

 

[MichaelBre]

Dann wird das auch nichts.
Du hast keine eigene IPv4 sondern nutzt mit einigen anderen Usern die gleiche IPv4 über den AFTR.

 

[Nachtschatten]

Ok.
Wie kann ich dann einen webserver/nextcloudserver bei mir zuhause laufen lassen? IPv6?

 

[MartinP_Do]

Ja, mit IPv6 sollte Nextcloud/Webserver dem Hörensagen nach gehen. Muss man aber auch Gegenstellen haben, die ihn erreichen können. Für IPv4 Only Clients ist der Nextcloud Server nicht zu erreichen.

Wenn Du mit Deinem Smartphone aus dem Internet mit dem Nextcloud Server Verbindung aufnehmen willst, musst Du zur Telekom.
Die anderen Provider O2 und Vodafone sind noch nicht so weit...

Ob die Telekom-Reseller auch schon IPv6 bieten weiß ich nicht...

Ich habe die Segel gestrichen, und synce mit Owncloud nur, wenn ich zu Hause bin über WLAN - nutze im Großen und Ganzen eh nur den Kalender....

 

[Andreas1969]

Ob die Telekom-Reseller auch schon IPv6 bieten weiß ich nicht...

Ja, tun sie. :winken:

 

[addicted]

- IPv6
- Portforwarding-Dienste wie feste-ip.net
- einige VPN Anbieter (darauf achten, ob man Portforwards oder eigene IP Adressen bekommt)
- eigener (V)Server, quasi als eigen Lösung der vorigen zwei Punkte

 

[Nachtschatten]

Ok. Bzgl. IPv6:

Online Monitor der Fritz Box:
IPv6-Adresse: 2a02:8070:a200::2934:b1f6:ac85:34ac
IPv6-Präfix: 2a02:8070:a28c:4d00::/56

IPv6-Freigabe an der Firtz Box ist eingerichtet (Port 80 + Ping6)
Interface ID: ::c42f:c5ed:850f:beec

Heimnetz -> Heimnetzübersicht -> Raspberry PI -> IPv6 Addressen (und was ping ausspuckt):
fe80::946:ed54:f7d8:b1b3
ping: connect: invalid argument

2a02:8070:a28c:4d00:2818:471e:9264:45a8
Anpingbar, aber nur von meinem WLAN aus, nicht durch http://ping.eu/ping/

2a02:8070:a28c:4d00:446d:9b85:5785:2bbe
Anpingbar, aber nur von meinem WLAN aus, nicht durch http://ping.eu/ping/

2a02:8070:a28c:4d00:b093:eef3:f2b:2b79
Destination unreachable: Address unreachable

2a02:8070:a28c:4d00:60e1:e7a1:da02:77c8
ping: Destination unreachable: Address unreachable

2a02:8070:a28c:4d00:3909:b42:faca:6108
ping: Destination unreachable: Address unreachable

fe80::ba27:ebff:fea5:edb1
ping: connect: invalid argument

Bei Internet -> Zugangsart -> Ipv6 unterstützung ist IPv6 aktiviert


Wieso funktioniert das anpingen immer noch nicht? Liegt das an den Einstellungen der Fritzbox, wenn ja an was?

 

[addicted]

Der externe Ping-Dienst (mir gruselts) muss halt auch IPv6 können.

Was sind denn das alles für Adressen, die Du da probiert hast?

$ ping6 -c3 2a02:8070:a200::2934:b1f6:ac85:34ac
PING 2a02:8070:a200::2934:b1f6:ac85:34ac(2a02:8070:a200:0:2934:b1f6:ac85:34ac) 56 data bytes
64 bytes from 2a02:8070:a200:0:2934:b1f6:ac85:34ac: icmp_seq=1 ttl=246 time=37.1 ms
64 bytes from 2a02:8070:a200:0:2934:b1f6:ac85:34ac: icmp_seq=2 ttl=246 time=35.5 ms
64 bytes from 2a02:8070:a200:0:2934:b1f6:ac85:34ac: icmp_seq=3 ttl=246 time=36.6 ms
--- 2a02:8070:a200::2934:b1f6:ac85:34ac ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 35.511/36.427/37.113/0.709 ms

$ ping6 -c3 2a02:8070:a28c:4d00:c42f:c5ed:850f:beec
PING 2a02:8070:a28c:4d00:c42f:c5ed:850f:beec(2a02:8070:a28c:4d00:c42f:c5ed:850f:beec) 56 data bytes
From 2a02:8070:a200:0:2934:b1f6:ac85:34ac icmp_seq=1 Destination unreachable: Address unreachable
From 2a02:8070:a200:0:2934:b1f6:ac85:34ac icmp_seq=2 Destination unreachable: Address unreachable
--- 2a02:8070:a28c:4d00:c42f:c5ed:850f:beec ping statistics ---
3 packets transmitted, 0 received, +2 errors, 100% packet loss, time 2063ms

$ ping6 -c3 2a02:8070:a28c:4d00:946:ed54:f7d8:b1b3
PING 2a02:8070:a28c:4d00:946:ed54:f7d8:b1b3(2a02:8070:a28c:4d00:946:ed54:f7d8:b1b3) 56 data bytes
From 2a02:8070:a200:0:2934:b1f6:ac85:34ac icmp_seq=1 Destination unreachable: Administratively prohibited
From 2a02:8070:a200:0:2934:b1f6:ac85:34ac icmp_seq=2 Destination unreachable: Administratively prohibited
From 2a02:8070:a200:0:2934:b1f6:ac85:34ac icmp_seq=3 Destination unreachable: Administratively prohibited
--- 2a02:8070:a28c:4d00:946:ed54:f7d8:b1b3 ping statistics ---
3 packets transmitted, 0 received, +3 errors, 100% packet loss, time 2003ms

Funktioniert super, bis auf dass unter der eingetragenen Freigabe niemand antwortet. Die muss natürlich der EUI64 des Pi entsprechen, sonst klappt das nicht.

 

[Nachtschatten]

Ok. Es gibt glaube ich ein wenig klärungsbedarf was genau das Problem ist.
Wenn ich an der Fritzbox auf Heimnetz, dann auf Heimnetzüberischt und dann auf den raspberry pi gehe werden mir 4 IPv6 Addressen angezeigt die der raspy hat.
http://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-ping.php kann aber keine von den vier anpingen: Destination unreachable: Administratively prohibited.
Die einzige IP die du anpingen kontest (2a02:8070:a200::2934:b1f6:ac85:34ac) ist der Router selbst und nicht der pi.
Was muss ich machen dass ich von außerhalb meines WLANS meinen pi anpingen kann und (auf port 80) die Website des raspys anschauen kann? (Auf dem Raspy läuft ein nginx webserver)

 

[Leseratte10]

IPv6-Freigabe an der Firtz Box ist eingerichtet (Port 80 + Ping6)
Interface ID: ::c42f:c5ed:850f:beec

Heimnetz -> Heimnetzübersicht -> Raspberry PI -> IPv6 Addressen (und was ping ausspuckt):
fe80::946:ed54:f7d8:b1b3
ping: connect: invalid argument

2a02:8070:a28c:4d00:2818:471e:9264:45a8
Anpingbar, aber nur von meinem WLAN aus, nicht durch http://ping.eu/ping/

2a02:8070:a28c:4d00:446d:9b85:5785:2bbe
Anpingbar, aber nur von meinem WLAN aus, nicht durch http://ping.eu/ping/

2a02:8070:a28c:4d00:b093:eef3:f2b:2b79
Destination unreachable: Address unreachable

2a02:8070:a28c:4d00:60e1:e7a1:da02:77c8
ping: Destination unreachable: Address unreachable

2a02:8070:a28c:4d00:3909:b42:faca:6108
ping: Destination unreachable: Address unreachable

fe80::ba27:ebff:fea5:edb1
ping: connect: invalid argument

Wenn du die Interface ID ::c42f:c5ed:850f:beec freigegeben hast, muss die IPv6-Adresse erstens mit c42f:c5ed:850f:beec enden, und zweitens mit "2" oder "3" beginnen und nicht mit "f".
Also, entweder "2a02:8070:a28c:4d00:c42f:c5ed:850f:beec" oder deine Freigabe ist falsch.

Und normalerweise beinhaltet die Interface-ID auch "ff:fe", das tut deine nicht. Postest du mal die Ausgabe von "ifconfig" auf dem Pi?
Meine Vermutung ist, die echte Adresse ist 2a02:8070:a28c:4d00:ba27:ebff:fea5:edb1, aber die ist wohl weder in der Fritzbox noch im Pi korrekt konfiguriert.

 

[Nachtschatten]

Ich hab mal "IPv6 Präfix + InterfaceID" in http://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-ping.php eingegeben
funktioniert aber immer noch nicht:

IPv6 Ping Output:

PING 2a02:8070:a28c:4d00:c42f:c5ed:850f:beec(2a02:8070:a28c:4d00:c42f:c5ed:850f:beec) 32 data bytes
From 2a02:8070:a200:0:2934:b1f6:ac85:34ac icmp_seq=1 Destination unreachable: Address unreachable
(2a02:8070:a200:0:2934:b1f6:ac85:34ac ist die FritzBox)#



ifconfig auf dem raspberry pi (nur die relevanten sachen):
inet6 addr: 2a02:8070:a28c:4d00:85c8:6461:93e8:cb13/64 Scope:Global
inet6 addr: 2a02:8070:a28c:4d00:446d:9b85:5785:2bbe/64 Scope:Global
inet6 addr: fe80::946:ed54:f7d8:b1b3/64 Scope:Link

Die ersten beiden IP's sind wieder laut http://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-ping.php nicht anpingbar:

IPv6 Ping Output:
PING 2a02:8070:a28c:4d00:446d:9b85:5785:2bbe(2a02:8070:a28c:4d00:446d:9b85:5785:2bbe) 32 data bytes
From 2a02:8070:a200:0:2934:b1f6:ac85:34ac icmp_seq=0 Destination unreachable: Administratively prohibited

IPv6 Ping Output:
PING 2a02:8070:a28c:4d00:85c8:6461:93e8:cb13(2a02:8070:a28c:4d00:85c8:6461:93e8:cb13) 32 data bytes
From 2a02:8070:a200:0:2934:b1f6:ac85:34ac icmp_seq=0 Destination unreachable: Administratively prohibited

 

[Leseratte10]

Also, fassen wir zusammen:

Du gibst in der Fritzbox die Interface-ID c42f:c5ed:850f:beec frei.

Dein Pi hat die beiden Interface-IDs 85c8:6461:93e8:cb13 und 446d:9b85:5785:2bbe - siehe ifconfig.
Warum sollte dann deine Freigabe irgendwas bewirken?

Ein Ping auf die c42f:c5ed:850f:beec sagt dir dann "Destination unreachable" - die IP hat der Pi ja nicht.
Und die Pings auf die anderen Adressen geben ein "administratively prohibited" - die hast du ja nicht freigegeben.

Schaust du auf dem Pi mal in die Datei "/etc/dhcpcd.conf"? Da sollte eine Zeile stehen die mit "slaac" beginnt. Änder die mal in "slaac hwaddr" (wenn das nicht bereits so da steht) und starte die Kiste neu.
(Das passiert wenn irgendwelche dämlichen Distributoren auf die Idee kommen, so einen dämlichen Mist wie SLAAC mit zufälligen Adressen standardmäßig als "Privatsphärenschutz" zu verkaufen ...)
Danach sollte dann auch eine IP, die das Kürzel "ff:fe" beinhaltet, in "ifconfig" auftauchen, und den rechten Teil dieser IP nutzt du dann als Interface-ID in der Fritzbox.

 

[Nachtschatten]

Also, fassen wir zusammen:

Du gibst in der Fritzbox die Interface-ID c42f:c5ed:850f:beec frei.

Dein Pi hat die beiden Interface-IDs 85c8:6461:93e8:cb13 und 446d:9b85:5785:2bbe - siehe ifconfig.
Warum sollte dann deine Freigabe irgendwas bewirken?

Ein Ping auf die c42f:c5ed:850f:beec sagt dir dann "Destination unreachable" - die IP hat der Pi ja nicht.
Und die Pings auf die anderen Adressen geben ein "administratively prohibited" - die hast du ja nicht freigegeben.

Ok, macht Sinn.

Schaust du auf dem Pi mal in die Datei "/etc/dhcpcd.conf"? Da sollte eine Zeile stehen die mit "slaac" beginnt.

$ sudo grep -r "slaac" /etc/ -i
nix gefunden. OS: Ubuntu Gnome (Raspberry Pi 3 edition)

Ich hab mal ausgetestet die Interface-ID auf ::446d:9b85:5785:2bbe zu ändern. Dann sagt er immer noch "prohibited".

 

[Leseratte10]

Gut, ich ging von einem Standard-Raspbian aus. Unter Ubuntu müsste das die Datei /etc/sysctl.d/10-ipv6-privacy.conf sein, mit folgendem Inhalt - zumindest in einem normalen Desktop-Ubuntu. Ob die Pi-Version da anders ist, weiß ich nicht.

net.ipv6.conf.all.use_tempaddr = 2
net.ipv6.conf.default.use_tempaddr = 2

Bitte beide Werte mal auf 0 setzen.

 

[Nachtschatten]

Ok. Erstmal Danke für deine Hilfe.
Ich hab die Datei und die beiden Zeilen gefunden und auf 0 gesetzt. Dann erstmal nen reboot gemacht.
Funktioniert immer noch nicht richtig:

IPv6 des Routers 2a02:8070:a200::2934:b1f6:ac85:34ac
IPv6 Präfix 2a02:8070:a28c:4d00::/56
Interface ID am Router: c42f:c5ed:850f:beec
Ifconfig am Raspy: 2a02:8070:a28c:4d00:446d:9b85:5785:2bbe/64 Scope:Global
und noch ne 2. IPv6 mit Scope:Link

ping nach 2a02:8070:a28c:4d00:446d:9b85:5785:2bbe ist Destination unreachable: Administratively prohibited
ping nach 2a02:8070:a28c:4d00:c42f:c5ed:850f:beec ist Destination unreachable: Administratively prohibited (wieso?)

ifconfig | grep ff:fe liefert kein Treffer

 

[Leseratte10]

Merkwürdig.

Probier mal, auch noch folgendes in die Datei zu packen:

net.ipv6.conf.eth0.use_tempaddr = 0

Eventuell musst du "eth0" durch den Namen deines Netzwerkinterfaces ersetzen (ich weiß nicht wie die in Ubuntu aufm Raspberry heißen).
Bei mir auf einem Ubuntu mit vernünftig konfiguriertem IPv6 (= deaktivierten Privacy Extensions) sieht ifconfig so aus:

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 10.0.1.104 netmask 255.255.255.0 broadcast 10.0.1.255 inet6 fe80::96de:80ff:fe77:xxxx prefixlen 64 scopeid 0x20<link> inet6 2001:470:70bc:0:96de:80ff:fe77:xxxx prefixlen 64 scopeid 0x0<global> ether 94:de:80:77:xx:xx txqueuelen 1000 (Ethernet) RX packets 29560235 bytes 39535576667 (39.5 GB) RX errors 0 dropped 44 overruns 0 frame 0 TX packets 14691662 bytes 1330944566 (1.3 GB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 device interrupt 20 memory 0xf3200000-f3220000

Der letzte Teil der link-lokalen Adresse stimmt mit dem letzten Teil der globalen Adresse überein und beide beinhalten wiederum ein "ff:fe" und die MAC-Adresse.

Ansonsten habe ich aber auch keine Ahnung mehr, wie man dieses Raspberry-Ubuntu so konfiguriert kriegt.

 

[Nachtschatten]

Ich habs versucht, hat aber nicht geholfen.
1. Wenn das ziel ist, dass die IPv6 Addresse des Raspys gleich Präfix + Inteface ID ist, kann man dann nicht einfach DHCP am raspy abstellen und auf Präfix + Interface ID setzen?
2. Wenn ich Präfix + Interface ID anpingen lasse bekomme ich eine "Destination unreachable: Administratively prohibited" Meldung. Müsste ich nicht eigentlich stattdessen die meldung kriegen dass der Router es zwar durchlässt aber kein Gerät mit dieser IP in meinem WLAN existiert?
3. Wenn ich an der Fritz box die Interface ID umstelle auf das was ifconfig auf dem raspy anzeigt, wieso funktioniert es immer noch nicht?

 

[Leseratte10]

1. Nein, da UM die suboptimale Idee hatte, den Kunden dynamische IPv6-Präfixe zu geben, die sich also ab und zu ändern. Ne vernünftige statische Konfiguration ist so nicht möglich.
2. Eigentlich ja. Eventuell ist mit den Freigaben was durcheinandergekommen, dann könnte es helfen, alle IPv6- und MyFritz-Freigaben zu löschen und dann neu anzulegen.
3. Weiß ich nicht. Eventuell weil die Adresse im Pi eine mit Privacy Extension ist, die ist dann nicht für eingehenden Verkehr gedacht und wird dann eventuell vom Pi gar nicht durchgelassen.

 

[Nachtschatten]

1. Kann man einstellen, dass er sich das präfix via DHCP holt und den hinteren teil selbst setzt?
2. Ich hab alles gelöscht und neu hingemacht -> mit der von der FritzBox vorgeschlagenen Interface ID kommt jetzt Address unreachable, wie es sein sollte. wenn ich das was ifconfig auspuckt als inteface ID nehme heißt es wieder prohibited

 

[addicted]

Das ist eigentlich der Standard bei SLAAC ohne DHCP. Der Router gibt ein Präfix vor und der Client hat die EUI64.
Wie hast Du denn die Fritzbox konfiguriert bzgl. IPv6 im Heimnetz?

 

[Leseratte10]

1. Kann man einstellen, dass er sich das präfix via DHCP holt und den hinteren teil selbst setzt?

Das tut dein Pi ja - nur aus irgend einem Grund nicht mit dem standardmäßigen Wert für den hinteren Teil (MAC + fffe), sondern mit irgend einem anderen Mist ...

 

[Nachtschatten]

ES TUT!

Der Befehl
sudo ip addr add 2a02:8070:a28c:4d00:c42f:c5ed:850f:beec/64 dev enxb827eba5edb1

auf dem Raspy hat es gefixt.
Jetz muss ich nur noch dafür sorgen dass das nicht gefickt wird sobald unitymedia mir nen neues IPv6 präfix gibt.

 

[jyrgi]

Ich habe das generell anders gelöst: zunächst solltest du die Privacy Extensions auf deinem Pi deaktivieren. Dann legst du auf der Fritzbox eine MyFritz freigabe für deinen Pi an. Was du damit erreichst, ist, dass Die FRITZ!Box für dich IP6 mäßig die Adresse aktualisiert und du immer symbolisch mit einem Namen der Art <pi_name>.<dein üblicher Buchstabensalat für myfritz>.myfritz.net erreichbar ist. Also das Problem mit den dynamischen Adressen dein Router übernimmt.
Um dann noch per IPv4 erreichbar zu sein, habe ich bei feste-ip.net einen Account für einem Portrouter. Ich benutze übrigens auch nextcloud für Addressbuch und Termine.