Unitymedia Port Freigabe mit Connectbox

[Herbert234]

Hallo zusammen,

ich habe ein NAS bei einem Familienmitglied abgestellt, das ich verwenden möchte, um Backups außer Haus zu lagern. Dieses Familienmitglied ist Unity Media Kunde. Jetzt möchte ich, daß der SSH Dienst des von außen erreichbar ist. Aus dem LAN, in dem das NAS steht, funktioniert der Zugriff auf SSH.

Mir ist prinzipiell klar, was ich hier zu tun habe, aber meine Praxiserfahrungen mit IPv6 halten sich noch in Grenzen. Da nur IPv6 Adressen als wirkliche öffentliche verfügbar sind, muß ich etwas umdenken.

Dyndns ist eingerichtet, aber da es noch nicht funktioniert, bin ich nicht ganz sicher, ob die Portfreigabe so gesetzt ist wie es der Router meint. Ich finde die Begrifflichkeiten etwas gewöhnungsbedürftig.

Ich habe unter "Sicherheit" und "IP und Port Filter" folgende Regel eingerichtet:

Quelladresse: All
Zieladresse: Die Link-local Adresse des NAS
Quellport: etwas frei gewähltes
Zielport: 22

Ich würde jetzt anhand der oben beschriebenen Einstellungen erwarten, daß ich jetzt irgendeine IPv6 Adresse aus dem Bereich anspreche, der dem Anschluß gerade zugeordnet ist (auf dem frei gewählten Port und natürlich mit einem SSH Client). Oder verstehe ich da etwas falsch?

Denn funktionieren tut es derzeit noch nicht.

 

[MartinDJR]

Quelladresse: All
Zielport: 22

Richtig

Zieladresse: Die Link-local Adresse des NAS

Falsch:

Die ConnectBox hat keine "Portweiterleitung" für IPv6, sondern eine "Portfreigabe". Theoretisch wären bei IPv6 auch "Portweiterleitungen" möglich (auch auf eine link-lokale Adresse); das wird aber nur für IPv6 -> IPv4 gemacht (um "alte" Geräte zu supporten) und auch nicht von normalen Routern, sondern von speziellen Geräten (meist Raspberry PIs).

Bei IPv6 hat jeder Rechner im Heimnetz mit Internet-Zugriff eine eigene weltweit gültige IPv6-Adresse, über die er erreichbar ist. Von daher wäre irgendeine Einstellung im Router eigentlich gar nicht notwendig.

Um das Heimnetzwerk vor Angriffen zu schützen, haben die WLAN-Router allerdings Firewalls eingebaut, die alle eingehenden Verbindungen abblocken, wenn sie keiner "Portfreigabe" entsprechen. (Beim TechniColor 7200 gibt es zum Beispiel nur die beiden Einstellungen "Firewall komplett ein" oder "Firewall komplett aus", wobei ersteres bedeutet: Alle Ports sperren und letzteres: Alle Ports und alle Adressen freigeben.)

Du hast nun zwei Möglichkeiten:

Du kannst entweder die globale Adresse des NAS in der Firewall-Regel (Portfreigabe) eintragen, oder eben "All". Die erste Möglichkeit funktioniert nur dann, wenn die ConnectBox die Adresse automatisch ändert, wenn deinem Anschluss von UnityMedia ein neuer IPv6-Adressbereich zugewiesen wird (oder du müsstest die Einstellung ständig manuell ändern). Die zweite Möglichkeit hätte zur Folge, dass JEDER Rechner im lokalen Netzwerk auf Port 22 vom Internet aus erreichbar wäre. Das ist natürlich dumm, wenn es einen Rechner gibt, der auf Port 22 vom Internet aus nicht erreichbar sein soll.

Quellport: etwas frei gewähltes

Ein Fehler den viele machen, die IPv4 gewöhnt sind, da sie diese Einstellung mit der Einstellung "Quellport" bei einer Portweiterleitung verwechseln.

Tatsächlich gibt es die entsprechende Einstellung "Quellport" auch bei IPv4-Firewalls (z.B. der Windows-Firewall, Kaspersky, ZoneAlarm, ...).

Ich habe sie aber (für IPv4) noch nie in der Weboberfläche von WLAN-Routern gesehen und auch noch nie, dass diese Einstellung (in PC-Firewalls) auf irgendwas anderes als "alle Ports" gestellt war. Alles andere außer "alle Ports" ergibt gerade bei IPv4 sehr wenig Sinn. Bei IPv6 kann es in bestimmten Sonderfällen sinnvoll sein (weswegen es diese Einstellung ja auch gibt), aber eben nur in Sonderfällen.

Ich würde jetzt anhand der oben beschriebenen Einstellungen erwarten, daß ich jetzt irgendeine IPv6 Adresse aus dem Bereich anspreche, der dem Anschluß gerade zugeordnet ist (auf dem frei gewählten Port und natürlich mit einem SSH Client). Oder verstehe ich da etwas falsch?

Natürlich musst du zum Zugriff auf den NAS nicht die "IPv6-Adresse des Internet-Anschlusses" verwenden (wie bei IPv4), denn dein Anschluss hat keine IPv6-Adresse, sondern eben jeder einzelne Rechner im Heimnetz hat seine eigene Adresse.

Du musst auch nicht irgendeine Adresse aus dem Bereich des Internet-Anschlusses verwenden.

Du musst exakt die (globale, nicht die link-lokale) IPv6-Adresse des NAS verwenden.

 

[Herbert234]

Hallo MartinDJR,

zunächst mal vielen Dank für Deine ausführlichen Erläuterungen! Ein paar Folgefragen würden mir noch einfallen. Das wäre sehr nett, wenn Du mir da nochmal mit Klärung helfen könntest.

Nehmen wir für das Folgende mal an ich möchte von außen über den Port 21389 auf das SSH des NAS zugreifen.

Bei IPv6 hat jeder Rechner im Heimnetz mit Internet-Zugriff eine eigene weltweit gültige IPv6-Adresse, über die er erreichbar ist. Von daher wäre irgendeine Einstellung im Router eigentlich gar nicht notwendig.

Um das Heimnetzwerk vor Angriffen zu schützen, haben die WLAN-Router allerdings Firewalls eingebaut, die alle eingehenden Verbindungen abblocken, wenn sie keiner "Portfreigabe" entsprechen. (Beim TechniColor 7200 gibt es zum Beispiel nur die beiden Einstellungen "Firewall komplett ein" oder "Firewall komplett aus", wobei ersteres bedeutet: Alle Ports sperren und letzteres: Alle Ports und alle Adressen freigeben.)

Gut, verstanden.

Du hast nun zwei Möglichkeiten:

Du kannst entweder die globale Adresse des NAS in der Firewall-Regel (Portfreigabe) eintragen, oder eben "All". Die erste Möglichkeit funktioniert nur dann, wenn die ConnectBox die Adresse automatisch ändert, wenn deinem Anschluss von UnityMedia ein neuer IPv6-Adressbereich zugewiesen wird (oder du müsstest die Einstellung ständig manuell ändern).

Hm, darüber nachgedacht hatte ich auch schon, bin bisher aber nicht gerade davon ausgegangen, daß die Box sowas könnte, also die Regel ändern, wenn sich im Rahmen einer Neueinwahl die Adressen ändern. Weiterhin müßte ich ja irgendwie die Lease Time des DHCPv6 Server der Connectbox auf etwas möglichst niedriges, etwa 1h stellen, damit ein neuer Adressbereich auch möglichst fix den Weg auf die Clients im eigenen Netz findet.

Die zweite Möglichkeit hätte zur Folge, dass JEDER Rechner im lokalen Netzwerk auf Port 22 vom Internet aus erreichbar wäre. Das ist natürlich dumm, wenn es einen Rechner gibt, der auf Port 22 vom Internet aus nicht erreichbar sein soll.

Ja, ich denke zwar, wenn ich etwas wie 21389 wähle, ist die Wahrscheinlichkeit von Angriffen eher gering, aber wünschenswerter wäre es natürlich es nur auf einen bestimmten Rechner eingrenzen zu können. Ich habe allgemein den Eindruck wir sind gerade in einer etwas ungünstigen Zeit, wenn man über so einen Anschluß und einen zu simplen Router einen Dienst im Internet veröffentlichen möchte. Zumindest die einfachereren Router scheinen noch nicht darauf ausgelegt zu sein, um damit umzugehen, daß sich die Adressen eben ab und an ändern. Bei einer Fritzbox richte ich die Portfreigaben ja mehr auf Basis von Client-Objekten ein und die Box behält automatisch die aktuellen Adressen eben dieses Clients im Auge, so daß die Freigaben immer aktuell sind und funktionieren.

Ein Fehler den viele machen, die IPv4 gewöhnt sind, da sie diese Einstellung mit der Einstellung "Quellport" bei einer Portweiterleitung verwechseln.

Tatsächlich gibt es die entsprechende Einstellung "Quellport" auch bei IPv4-Firewalls (z.B. der Windows-Firewall, Kaspersky, ZoneAlarm, ...).

Ich habe sie aber (für IPv4) noch nie in der Weboberfläche von WLAN-Routern gesehen und auch noch nie, dass diese Einstellung (in PC-Firewalls) auf irgendwas anderes als "alle Ports" gestellt war. Alles andere außer "alle Ports" ergibt gerade bei IPv4 sehr wenig Sinn. Bei IPv6 kann es in bestimmten Sonderfällen sinnvoll sein (weswegen es diese Einstellung ja auch gibt), aber eben nur in Sonderfällen.

Was bedeutet denn dann hier die Einstellung Quellport? Mir fallen zwei Deutungen ein:

• Das ist der eigentliche Zielport des ursprünglichen Pakets ist und die Connectbox somit eine Übersetzung macht von Quell auf Ziel.

• Vermutlich es aber eher so, daß das einfach der Absenderport in dem IPv6 Paket ist. Das würde bedeuten ich müßte den SSH Dienst des NAS wirklich auch auf den Port 21389 umstellen statt 22, oder? Die Box führt hier keine Übersetzung durch wie man es in IPv4 Forward Regeln häufiger verwendet hat.

Du musst exakt die (globale, nicht die link-lokale) IPv6-Adresse des NAS verwenden.

Ok, auch verstanden.

 

[MartinDJR]

Weiterhin müßte ich ja irgendwie die Lease Time des DHCPv6 Server der Connectbox auf etwas möglichst niedriges, etwa 1h stellen, damit ein neuer Adressbereich auch möglichst fix den Weg auf die Clients im eigenen Netz findet.

An der Stelle musst du nichts machen: Bei einer Änderung des IPv6-Adressbereichs des Anschlusses müssen alle angeschlossenen Rechner eine neue IPv6-Adresse aus dem neuen Bereich bekommen, da sonst die Internet-Verbindung weg wäre. Das passiert auch - und zwar ohne dass man am DHCP-Server was einstellen muss.

Es gibt aber ein anderes Problem:

Wie bekommst du die neue IP-Adresse des NAS bei einem Adresswechsel mit?

Es gibt wohl NAS, die bei einem Adresswechsel den DynDNS-Server benachrichtigen - aber ich kenne mich da nicht so aus.

Was bedeutet denn dann hier die Einstellung Quellport? Mir fallen zwei Deutungen ein:
...
Vermutlich es aber eher so, daß das einfach der Absenderport in dem IPv6 Paket ist.

Richtig

Die Box führt hier keine Übersetzung durch wie man es in IPv4 Forward Regeln häufiger verwendet hat.
...
Das würde bedeuten ich müßte den SSH Dienst des NAS wirklich auch auf den Port 21389 umstellen statt 22, oder?

... oder eben am SSH-Client Port 22 einstellen (bzw. eingestellt lassen).

 

[Herbert234]

Hallo MartinDJR,

nochmal vielen Dank für Deine Ausführungen, jetzt funktioniert es. Die aktuelle Adresse bekomme ich über einen Dyndns Dienst mit, richtig.
Allerdings kann ich oft nicht direkt mit der Dyndns Adresse arbeiten, sondern muß manuell einen nslookup machen und dann direkt die IPv6 Adresse verwenden. Viele Dienst sehen, daß dem Namen auch eine IPv4 Adresse zugeordnet ist und verwenden dann diese - welche ja aber von außen nicht erreichbar ist.

Jetzt bin ich nur noch gespannt, was passiert, wenn sich die Adresse mal ändert, d.h., ob der Router die Firewall Regel entsprechend selbstständig anpasst oder ob ich da eingreifen muß. Der Adresswechsel scheint ja eher nur einmal pro Monat zu passieren im Gegensatz zu z.B. DSL Anbietern.

 

[addicted]

Viele Dienst sehen, daß dem Namen auch eine IPv4 Adresse zugeordnet ist und verwenden dann diese - welche ja aber von außen nicht erreichbar ist.

Dann stell es doch so ein, dass dort kein v4 Adresse eingetragen ist?

 

[Herbert234]

Ich glaube das kann ich gar nicht. Der Dyndns Client des NAS gibt solche Einstellungsmöglichkeiten leider nicht her. Beim Anbieter habe ich bisher auch nichts gefunden, daß ich sagen kann "nur IPv6". Aber das ist auch alles nicht so Schlimm, Hauptsache ich komme jetzt überhaupt drauf .

 

[Gizeh775]

...Viele Dienst sehen, daß dem Namen auch eine IPv4 Adresse zugeordnet ist und verwenden dann diese - welche ja aber von außen nicht erreichbar ist...

Eigentlich sollte überall IPv6>IPv4 verwendet werden, wenn denn IPv6 vorhanden ist, hast du da mal ein Beispiel?

 

[hajodele]

Bei https://www.spdyn.de/ läuft IPv6 und IPv4 unabhängig voneinander.
Man kann also entweder nur IPv4, nur IPv6 oder beide verwenden.
Einen Test, in welcher Reihenfolge die bei gleichem Namen aufgelöst werden, kann ich auf die Schnele nicht machen.
Nach der allgemeinen Theorie wird imho immer zuerst IPv6 versucht.

 

[Andreas1969]

Eigentlich sollte überall IPv6>IPv4 verwendet werden, wenn denn IPv6 vorhanden ist

Ja, IPV6 steht zuerst.

So sieht es z.B. bei dem myfritz.net aus:
Name: XYZ.myfritz.net
Addresses: 2001:XXXX:YYYY:ZZZZ::2
95.223.XX.XX

 

[addicted]

Naja, eine Reihenfolge gibt's ja im DNS nicht, was "zuerst" irgendwo steht spielt keine Rolle

 

[Herbert234]

Ich habe ein paar Experimente gemacht. Die meisten Programme verwenden i.d.T. bevorzugt IPv6. Nur manche wenige nehmen dann doch noch IPv4. Von daher sollte alles ok sein.