IPv4 , IPv6 , DS-Lite , das alte Problem der Erreichbarkeit von Aussen

S7YX · 2024-09-29T12:14:49+00:00

Sunrise Community - Kunden helfen anderen Kunden rund um die Themen Fernsehen, Internet, Telefon und Mobile. Jetzt registrieren!

S7YX

Ich habe mich einmal an das Thema gewagt, einen eigenen Server nach Aussen exponieren zu wollen.
Um nicht gleich total ins Fettnäpfchen zu treten, habe ich einmal einen Raspberry Pi Zero mit Docker und NGINX an die Connectbox per WLAN gehängt und wollte nun den Port 80 und 443 entsprechend weiterleiten, um einfach zu sehen, dass der Zugang von Aussen funktioniert.

In früheren Tagen hatte ich zum Erhalt eines gültigen Let’s Encrypt Zertifikates für mein lokalen Traefik per DNS-01, ein Konto bei ipv64.net erstellt.
IPv64.net ist ein DynDNS Dienst, welcher die Erstellung von Zertifikaten mit DNS-01 Challenge unterstützt.
Dabei habe ich auch einmal das Update Script laufen lassen, was die aktuell öffentliche IP bei IPv64.net entsprechend einträgt.
Da ich scheinbar DS-Lite angebunden bin, wurde nur die IPv4 Adresse eingetragen.
Diese Adresse ist aber nutzlos, wie schon so oft, auch hier, zu lesen ist.

Bei Dennis Schröder, dem Inhaber von IPv64.net habe ich folgendes gefunden.
[https://schroederdennis.de/ipv64-net/dynamisch-dns-dyndns-ds-lite-dsl-dualstack-ipv6-ipv4-problem-loesung/]
Da wird beschrieben, dass die IPv4 zwar nutzlos ist, aber die IPv6 Adresse ist für mich nutzbar.

Ok, ab auf die Weboberfläche der Connectbox und die Infos angezeigt.
Einige Einträge habe ich mit “x” unkenntlich gemacht und der genaue Wert sollte keine Rolle spielen.

Connect Box Geräteinfo:

Die folgenden Informationen zeigen Ihnen den aktuellen Status Ihrer Connect Box.

Konform zur Standardspezifikation : DOCSIS 3.0
Hardware Version : 5.01
Software Version : LG-RDK_CH7465LG-NCIP-6.18-2309.5.2-NOSH
Kabel MAC Adresse : xx:xx:xx:xx:xx:xx
Kabelmodem Seriennummer : xxxxxxxxxxxx
Systemverfügbarkeit : 87day(s)9h:3m:28s
Netzwerkzugang : Erlaubt

WAN IP Einstellungen
Die aktuellen Internet Einstellungen Ihrer Connect Box sind unten aufgeführt:

MAC Adresse : xx:xx:xx:xx:xx:xx

IPv6 Adresse : 2a02:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xx59/128
fe80::xxxx:xxxx:xxxx:xxx6/64
IPv6 default gateway : fe80::xxxx:xxxx:xxxx:xxxa
IPv6 lease time : D:3 H:16 M:7 S:54
IPv6 lease expire : Thu Oct 3 03:29:00 2024
IPv6 DNS Servers : 2001:730:3e82::12, 2001:730:3e82::13
IPv6 DS-Lite Status : Aktiviert
DS-Lite-FQDN : aftr01.upc.ch
DS-Lite-Adresse : ::

Unter den Menüpunkt “Erweiterte Einstellungen -> Sicherheit -> IP und Port Filter”
Habe ich folgendes eingestellt:

Eingehend ✅

Aktiviert ✅

Traffic Policy ✅ Ja

Protokoll : Alle

Quell IP-Adresse : Alle

Ziel IP-Adresse : Single

IPv6 Adresse : [IPv6 Adresse des Raspberry Pi Zero, welche in der Connectbox auch angezeigt wird]

Zuerst hatte ich nur Port 80 und 443 probiert, aber kein Erfolg erzielt.

Bei IPv64.net habe ich zu meiner Domäne ein AAAA Record angelegt, mit der IP Adresse, die mir bei der Connectbox Info angezeigt wurde (2a02:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xx59).

Wie richtig vermutet wird, hat dies nicht zum Ziel geführt.
Darum hier mein Post und die Fragen …
Was übersehe ich?
Was verstehe ich falsch?
Funktioniert dies ohne Anfrage beim Support?
Warum wird bei ipv64.net die ipv6 Adresse nicht aktualisiert, wenn ich doch eine haben soll?

Vielen Dank!

PS: Was bedeutet beim Absenden folgende Meldung?
“tag count primary sub muss zwischen 1 & 1 liegen.”

pato

S7YX Ich schätze die Software welche das Update des Records machen sollte, oder der Computer auf welchem die Software läuft hat keine gültige IPv6 Adresse?
Am einfachsten lässt du dich via Support auf IPv4 umstellen und dann sollte das ohne Probleme funktionieren.

Sunrise_Team

Hallo S7YX

Danke für deine Nachricht.

Wie ich mitgelesen habe, benötigst du die Umstellung auf IPv4. Kannst du mir bitte bestätigen, dass du diese Umstellung wünschst? Dann kann ich sie sofort für dich vornehmen.

Freundliche Grüsse
Jamiro

S7YX

Sunrise_Team

Guten Tag Jamiro

Vielen Dank für die Antwort und Möglichkeit der Umstellung auf IPv4.

IPv6 ist seit 1998 existent und doch haben alle damit Mühe, mich ganz besonders eingeschlossen.

Es wird als so viel besser und einfacher angepriesen, doch glaube ich, dass schon allein rein die Grösse der Adresse und deren Darstellung, schwieriger für die menschliche Auffassung ist, als die 4 Blöcke von IPv4 in rein dezimalen Zahlen.

Dann die Vergabe von 3 bis 4 Adressen pro Interface. Wie muss ich mir da Firewallregeln vorstellen? Konfiguriere ich Regeln für die GUA Adresse, habe ich dann ohne Regel für die ULA oder Link Local eine Sicherheitslücke? Was für ein Aufwand wäre das dann? Nebenbei noch die temporäre Adresse, welche sich ständig ändert.

Wie könnte ich Adressräume angeben, wenn schon die Berechnung der Link Local anhand der MAC Adresse bei jedem gefundenen Generator anders ausfällt, als die Adressen auf meinem System?

Mir scheint da gibt es immer noch viel zu viel Spielraum oder Uneinigkeit und so NATet die Welt lieber als IPv6 ganz umzusetzen.

Ich würde es wirklich gern verstehen und werde dran bleiben es zu lernen, aber derzeit verfluche ich es noch.

Sorry, musste mal raus und nicht persönlich nehmen.

Bei meinem Anliegen jetzt einfach auf IPv4 Umzustellen, erklärt mir leider nich nicht, was für ein Denkfehler ich habe, dass es mit IPv6 nicht funktioniert. Kann ich die IPv6 Adresse von der Connectbox also nicht nutzen?

Wenn es keinen anderen Ausweg gibt, als die Umstellung auf IPv4, dann bitte gerne.

Danke und einen schönen Tag!

pato

S7YX Kurz zusammengefasst, bei Server vergibst du eine statische Adresse aus dem 2aXY:: Bereich und auf der Firewall öffnest du die Ports dann für diese Adresse. Dynamischer Rest ist dann Link-Local, welcher aber nicht geroutet wird.
Setzt natürlich voraus, dass du einen fixen IPv6 Range zugewiesen hast.

S7YX

pato

Hallo nochmal 🙂

Ich habe derweil folgendes probiert …

Version 1:

Connectbox - DHCPv6 - stateless
zugewiesene IPv6 vom Server (2a02:🙂 als Regel bei Portfilter usw eingefügt mit Allen Protokollen und von jeder Quelle , quasi voll exponiert
beim DynDNS Dienst ein AAAA Record angelegt mit eben dieser IPv6 Adresse vom Server
versucht die URL im Browser zu öffnen
versucht die IPv6 Adresse und die URL anzupingen
nslookup liefert die eingetragene IP korrekt

Version 2:

wie Version 1, doch diesmal DHCPv6 stateful
entsprechend die Einträge angepasst, da nun eine neue IPv6 zugewiesen wurde

Ich habe hier den Beitrag
https://community.sunrise.ch/d/29779-connect-box-1-3-port-forwarding-port-weiterleitung
gelesen und beim ersten Link, sehe ich nur eine IPv4 und keine IPv6.
Spiegelt das auch die Infoseite der Connectbox wieder? Bei DS-Lite Adresse steht auch nichts.

Habe ich das Gganze nun im Prinzip richtig verstanden oder mache ich immer noch Blödsinn?

Wenn das auf die Art sowieso nicht geht, dann bitte stellt die Box bitte entsprechend auf IPv4 um.

Danke und einen schönen Abend! 👋

pato

S7YX Ganz wichtig, wenn du die URLs versuchst zu erreichen, musst du dies via einem anderen Internetanschluss machen, damit es korrekt durch den Router geht. Hairpinning funktioniert auf den Sunrise Routern nicht.
Habe IPv6 bei Sunrise/UPC nie getestet, da ich einen eigenen Router nutze und die CB3 im Bridge Modus ist, was nur mit IPv4 geht.

S7YX

pato
Danke für den Hinweis und ich habe dies auch so gemacht.
Mit meinem Smartphone habe ich das heimische WLAN verlassen und per mobilem Internet die Tests gemacht.

Bleiben also 2 mögliche Lösungen.

Connectbox auf IPv4 umstellen
Connectbox als reines Modem umstellen und einen geeigneten Router 🔌💸 dahinter setzen 🤞🙄

Hmmm … die Idee, auf IPv4 umzustellen wird immer attraktiver.

Danke nochmal und beste Grüsse

Daniele_Sunrise

S7YX Melde dich, wenn wir dein Modem auf IPv4 umstellen sollen. 😁

Liebe Grüsse
Daniele

EZS1234

S7YX

Bleiben also 2 mögliche Lösungen.
1. Connectbox auf IPv4 umstellen
2. Connectbox als reines Modem umstellen und einen geeigneten Router 🔌💸 dahinter setzen

Der zweite Punkt ist optional. Wenn dir die eingeschränkten Möglichkeiten der Connect Box ausreichen musste du nicht zwingend die Connect Box im Bridge Mode betreiben und einen eigenen Router nutzen. Punkt 1 ist zwingend erforderlich wenn man Punkt 2 möchte.

pato

S7YX In der Schweiz hat meines Wissens noch kein Anbieter IPv6 auf dem Handy aufgeschaltet, du kannst deshalb keine IPv6 Ziele via Handy erreichen. Ein weitere Grund um auf IPv4 umzuschalten 😉

S7YX

EZS1234
Hallo!
Danke für deine Nachricht.
Ich habe dadurch bemerkt, dass ich die Nachricht von pato nicht ganz richtig aufgenommen habe.

Habe IPv6 bei Sunrise/UPC nie getestet, da ich einen eigenen Router nutze und die CB3 im Bridge Modus ist, was nur mit IPv4 geht.

Ich werde mich bei Daniele_Sunrise melden, für eine Umstellung auf IPv4.

Danke nochmal an Alle für die Zeit und Geduld! 🙂

Daniele_Sunrise

S7YX Wir haben die Umstellung auf IPv4 vorgenommen, welche in einigen Minuten abgeschlossen sein wird.

Liebe Grüsse
Daniele

S7YX

pato

Ah … hab ich garnicht beachtet, da ich mit ping6, IPv6 Adressen anpingen konnte. Da war ich wahrscheinlich noch im heimischen Netz.
Naja, viel rumprobiert und irgendwann den Überblick verloren und dann passieren die Schusselfehler und falschen Rückschlüsse. Aber mit guten Rückmeldungen ein Lernerlebnis. 😁

Ich werde Deine (ich erlaube mir das respektvolle Du) Antwort als Lösung markieren, da dort die erste Erwähnung der Umstellung auf IPv4 stattfand.
Zusätzlich Danke auch an EZS1234, Jamiro, Daniele, sowie dem Sunrise Community Team. 👍

S7YX

Rückmeldung nach Umstellung auf IPv4

Alles wie gewünscht am Laufen. Wie kann es auch anders sein, wenn das Richtige eingestellt ist. 🫣🤗

Alles Gute Euch!