[erledigt] Fritzbox IPv6 richtig nutzen

[_IcedEarth_]

So, dank der Hilfe von @DJKuhpisse läuft der Gbit Anschluss jetzt. Danke nochmal!

Da mein langfristiger Plan ja die Erreichbarkeit meines einfachen Homeservers in meinem privaten Netzwerk ist und ich nur eine öffentliche IPv6 Adresse habe, muss mein Server ja (der einfachhalthalber) eine interne IPV6 Adresse zugewiesen bekommen.
In der Fritzbox unter Heimnetz->Heimnetzeinstellungen-> IPv6 Adressen sind die folgenden Einstellungen gesetzt:

Ich habe absolut keine Ahnung (auch nach Recherche), was die einzelnen anderen Optionen nun bewirken.
Meine Frage ist nun: Sind das schon die optimalen Einstellungen für mein Vorhaben, oder gibt es etwas zu verändern?
Meine Fritzbox ist übrigens über die IPv6 Adresse und auch über die DynDNS Adresse erreichbar (natürlich nur aus IPv6 kompatiblen Netzen; IPv4 kommt danach). Damit komme ich dann entsprechend auf die Anmeldeseite der Fritzbox.
IPv6 ist auf dem Heimserver auch aktiviert und hat auch eine (interne; richtig?) fe20..... und eine "externe" mit dem von Deutsche Glasfaser bereitgestellten Präfix 2a00......

Wenn ich nun in den Freigaben eine Portfreigabe auf den Heimserver einrichte 80/443 und diese aus einem externen Netz (Mobilfunk) aufrufe, klappt das nicht. Irgendwo hakt es demnach. Leider konnte ich das bisher nicht lösen, weshalb ich hier nochmals um Hilfe fragen muss. Es wirkt so, als ob der Port im IPv6 nicht weitergeleitet , sondern von dern Fritzbox abgewiesen wird.

Wo setze ich jetzt am besten an?
Viele Grüße

 

[MircoSfot]

Eingebundener Inhalt

Youtube

youtube.com/watch/?v=Df9RLovWwUQ

An dieser Stelle findest du externe Inhalte von Youtube. Zum Schutz deiner persönlichen Daten werden externe Einbindungen erst angezeigt, wenn du dies durch Klick auf "Alle externen Inhalte laden" bestätigst: Alle externen Inhalte laden Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt.
Für mehr Informationen besuche die Datenschutz-Seite.

 

[_IcedEarth_]

Eingebundener Inhalt

Youtube

youtube.com/watch/?v=Df9RLovWwUQ

An dieser Stelle findest du externe Inhalte von Youtube. Zum Schutz deiner persönlichen Daten werden externe Einbindungen erst angezeigt, wenn du dies durch Klick auf "Alle externen Inhalte laden" bestätigst: Alle externen Inhalte laden Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt.
Für mehr Informationen besuche die Datenschutz-Seite.

Danke für das Video. Interessante Infos, nur leider ist meine Situation ja ein wenig anders: Natives IPv6 über das ich meinen Server freigeben will. Das geht dann nämlich nicht

 

[DJKuhpisse]

Vergesse bitte die Begriffe intern und extern. Es gibt da sog. Scopes. Für dich relevant ist global (Global Unicast address, vom Provider), site-local (ULA fd00::/7, nicht öffentlich geroutet) und link-local (fe80::/10, gar nicht geroutet.) link-local generiert der Rechner selbst. Um den Rest muss man sich kümmern.
Wenn du ein site-local-Präfix haben willst, musst du das über das Router-Advertisement bekannt geben lassen. Den sollte man dann immer bekannt geben, die Einstellung passt also. Die Bits 9-48 müssen von dir zufällig gesetzt werden. Hintergrund ist, dass so mehrere Sites (z.B. Firmennetze) ohne Störung zusammengelegt werden können und Routing zwischen diesen möglich ist. Zeige jetzt mal am Server die Ausgabe von

ip a #Linux
ipconfig # Windows

 

[_IcedEarth_]

Vergesse bitte die Begriffe intern und extern. Es gibt da sog. Scopes. Für dich relevant ist global (Global Unicast address, vom Provider), site-local (ULA fd00::/7, nicht öffentlich geroutet) und link-local (fe80::/10, gar nicht geroutet.) link-local generiert der Rechner selbst. Um den Rest muss man sich kümmern.
Wenn du ein site-local-Präfix haben willst, musst du das über das Router-Advertisement bekannt geben lassen. Den sollte man dann immer bekannt geben, die Einstellung passt also. Die Bits 9-48 müssen von dir zufällig gesetzt werden. Hintergrund ist, dass so mehrere Sites (z.B. Firmennetze) ohne Störung zusammengelegt werden können und Routing zwischen diesen möglich ist. Zeige jetzt mal am Server die Ausgabe von

ip a #Linux
ipconfig # Windows

Du meist die leeren Felder hier?:

ip a: (hab die Adresse mal ge-xt

2: enp0s31f6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 2c:4d:54:4b:b5:4a brd ff:ff:ff:ff:ff:ff
    inet 192.168.178.44/24 brd 192.168.178.255 scope global dynamic noprefixroute enp0s31f6
       valid_lft 862002sec preferred_lft 862002sec
    inet6 fd11::4651:596c:877d:8110/64 scope global dynamic noprefixroute
       valid_lft 7010sec preferred_lft 3410sec
    inet6 2a00:XXXX:XXXX:XXXX:71e5:3230:f716:7fc3/64 scope global dynamic noprefixroute
       valid_lft 2262sec preferred_lft 2261sec
    inet6 fe80::9b13:603a:adc3:e3b1/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

 

[DJKuhpisse]

ja, aber so wie es ist passt es. DU hast jetzt ULA. Diese sind nur innerhalb deines Netzes erreichbar und nicht von anderen Providern.

 

[_IcedEarth_]

ja, aber so wie es ist passt es. DU hast jetzt ULA. Diese sind nur innerhalb deines Netzes erreichbar und nicht von anderen Providern.

Ok, aber, wieso kann ich den Server nicht über 2a00:XXXX:XXXX:XXXX:71e5:3230:f716:7fc3 erreichen, wenn ich die Freigabe einrichte?

 

[DJKuhpisse]

Da musst du die Firewall in der FB und am Rechner selbst prüfen. Nimm den Wireshark und schaue, was ankommt.

 

[_IcedEarth_]

Ok, das müsste ich aber theoretisch aus einem anderen Netz machen, um zu sehen, wo terminiert wird, oder kann ich das auch aus meinem eigenem machen?
In der Fritzbox Freigabe stellt man ja explizit ein, die "Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen."

Ich sehe gerade eventuell das Problem:
Die ipv6 Ip, die ich vom Router erhalte ist ja 2a00:XXXX:XXXX:XXXX:71e5:3230:f716:7fc3.
In der Fritzbox unter Freigabe wird mir angezeigt, dass das Gerät über 2a00:XXXX:XXXX:XXXX:9b13:603a:adc3:e3b1 erreichbar sei. Probiere ich das, kommt ERR_ADDRESS_UNREACHABLE.
Wenn ich die aus der ip a anzeige nehme, kommt ERR_NETWORK_ACCESS_DENIED (aus dem Mobilnetz) und die nginx Seite aus meinem lokalen Netz.
Irgendwas scheint also in den Freigaben der Fritzbox durcheinander zu sein (oder ich verstehe es noch nicht).

Ist die Fritzbox da irgendwie strubbelig, was die Gerätezuordnung angeht?
Kann ich einfach die Interface ID in der Eingabemaske ändern? Er scheint da ja die fe80 ID zu nehmen und nicht die vom Präfix generierte?

EDIT: Ich beantworte mir die Frage mal selber: Wenn ich in den Freigaben in der Fritzbox als Interface ID diejenige angebe, die nach dem Präfix von DG kommt, kann ich auch aus dem Mobilnetz zugreifen.
Die Frage bleibt: Wieso nimmt die Fritzbox bei der Auswahl immer die ID aus dem fe80 Bereich und nicht die mit dem 2a00 Bereich?

 

[DJKuhpisse]

Es gibt die Privacy Extensions, die dafür sorgen, dass die 64 Bit interface ID zufällig generiert wird und sich ändert.
Das musst du beim Server abstellen, der soll EUI64 machen. Damit sind die rechten 64 Bit immer gleich und man kann die FB-FW bequem anpassen.

 

[_IcedEarth_]

Es gibt die Privacy Extensions, die dafür sorgen, dass die 64 Bit interface ID zufällig generiert wird und sich ändert.
Das musst du beim Server abstellen, der soll EUI64 machen. Damit sind die rechten 64 Bit immer gleich und man kann die FB-FW bequem anpassen.

Das wird es wohl sein.
Davon hatte ich gelesen und die entsprechend auch deaktiviert. Vermutlich waren die aber noch aktiviert, als der Server sich das erste mal eine IPv6 geholt hat, was sich die Fritzbox gemerkt hat und deswegen dieses Interface als Standard angibt.

 

[DJKuhpisse]

Das wird es wohl sein.
Davon hatte ich gelesen und die entsprechend auch deaktiviert. Vermutlich waren die aber noch aktiviert, als der Server sich das erste mal eine IPv6 geholt hat, was sich die Fritzbox gemerkt hat und deswegen dieses Interface als Standard angibt.

Dann ändere das, mache nen Neustart und teste dann.

 

[_IcedEarth_]

Dann ändere das, mache nen Neustart und teste dann.

Wird gemacht, sobald ich zu Hause bin (und das Kind mich lässt )

 

[_IcedEarth_]

So, habe jetzt mal die entsprechenden Konfigurationen gesetzt. Da es ja jetzt funktioniert, wird es das auch wohl in Zukunft ( wenn nicht, checke ich das nochmal).

Jetzt kann ich mich mal an das Problem IPv4->IPv6 setzen. Da hast Du mir ja schon ein paar Tipps gegeben, die ich erstmal ausprobieren werde.

Danke!