Fehler bei Portfreigabe finden

[OMGWTFBBQ]

Moin,

Ich bin gerade dabei meinen Homeserver neu einzurichten und scheine irgendwas bei der Portfreigabe zu übersehen.

Als OS wird eine Standardinstallation von Debian 11 genutzt mit DE.
Der Rechner ist direkt an eine Fritzbox angeschlossen.
Die Fritzbox ist für IPv6 eingerichtet und kann dafür Ports weiterleiten. Getestet wurde das mit einem weiteren Gerät und die alte Windows Installation auf dem Homeserver war ebenfalls aus dem Internet via IPv6 erreichbar.

Nun habe ich einen Webserver und VPN auf dem Server installiert und komme trotz Freigabe in der Fritzbox nicht auf den Server.
Ich habe den Server im Router zurückgesetzt und die Freigaben neu gesetzt.
Danach liefen sowohl VPN als auch der Webserver.
Nachdem der Server nun aber für ein paar Tage aus war, komme ich weder auf den Webserver, noch baut sich die VPN Verbindung auf.

Die IP Adressen sind statisch und die Fritzbox so eingerichtet, dass jedes Gerät seine eigenen Adressen erhält. Die Adresse hat sich weder auf dem Server, noch in der Fritzbox geändert.

Wo fange ich jetzt am besten mit dem Troubleshooting an?

 

[razzy]

lokal auf der Maschine:

• gucken ob der Dienst auch über den Port läuft
• guck dir mit netstat an ob der Dienst/Port auf der IP auch horcht

Netzintern:
- versuch mal mit telnet + port auf die maschine zuzugreifen

Dann auf der Firtzbox noch mal checken, wobei ipv6 und fritzbox... da kenn ich mich nicht mit aus

 

[Helge01]

Mich würde interessieren welcher Provider und Anschlussart, sowie welche Fritzbox. Was für IPv6 Adressen werden vergeben (LLA, ULA, SLA, Global Address) und wie werden die Adressen vergeben (SLAAC, DHCPv6). Stimmt der Präfix mit deinem Anschluss noch überein?

 

[h00bi]

IPv6 Port Forwarding bei einer Fritzbox?
Mach Mal Screenshots was du da eingestellt hast.

 

[OMGWTFBBQ]

Der Rechner hat sich eine der anderen ihm zugewiesenen IPs ausgesucht. Ob das jetzt erst ist oder auch schon vorher, als es noch lief, weiß ich leider nicht mehr.
Die Basis Netzwerkkonfiguration habe ich nicht angefasst.

 

[Helge01]

Es sind schon mal globale IPv6 Adressen. Wie realisierst du den das die statisch sind? Sie sehen eher aus wie per SLAAC zugewiesen. Da gibt es Privacy Extensions, wo die Adresse temporär ist und sich ständig ändert. Das kann man aber deaktivieren. Auch wird der IPv6 Präfix vermutlich nie statisch sein.

 

[chrigu]

Ipv6 im Zusammenhang mit VPN ist keine paradedisziplin für avm Router. Da wird schon seit 2 Jahren gerätselt wieso es nicht geht, Lösungen gab es bis heute(mein Wissensstand) nicht. Versuche lieber mit einer VPN Softwarelösung statt der fritzbox

 

[Der Lord]

Versuche lieber mit einer VPN Softwarelösung statt der fritzbox

Wenn ich das im Screenshot richtig sehe, hat er ja genau das vor. Wireguard über Port 62312 - somit ist die Fritzbox ja, VPN technisch, aus dem Spiel.

Wie bereits vorgeschlagen würde ich mich nun von innen nach außen arbeiten:

• auf den Servern schauen ob auf den Ports gelauscht wird (ss -tulpen)
• innerhalb des LANs mit telnet prüfen ob die Ports ne Verbindung entgegennehmen
• prüfen, ob die korrekte IPv6 verwendet wird und diese von außen auch erreichbar ist (telnet)

 

[OMGWTFBBQ]

Statisch sind die Adressen. Ich habe den Webserver auf dem alten Windows Server ca. 1,5 Jahre über die gleiche IP erreicht.

Auf dem neuen Linux Server ist Wireguard installiert. Darüber soll der VPN laufen.

 

[Helge01]

Linux Server

Wurde auf diesem die Privacy Extensions deaktiviert? Wo das bei Debian ist weiß ich nicht, beim Ubuntu Server wäre es diese Datei.

/etc/sysctl.d/10-ipv6-privacy.conf

net.ipv6.conf.all.use_tempaddr = 0
net.ipv6.conf.default.use_tempaddr = 0

Ich gehe davon aus das du keinen statischen IPv6 Präfix hast und die Geräte per SLAAC konfiguriert wurden. Du bekommst vermutlich nur sehr lange den gleichen Präfix zugewiesen. Bei manchen Kabelanbieter ist das so, nur ist das nicht garantiert.

 

[OMGWTFBBQ]

Der Server ist via Glasfaser angeschlossen und die Geräte erhalten eine IPv6 via DHCPv6.
Ich erhalte vom Anbieter ein /56 Netzwerk oder wie man das nennt.
Das Präfix hat sich seit drei Jahren nicht geändert, habe gerade noch ein einem Backup der DNS Einträge nachgeschaut.

Eine Temp Adresse wird laut ifconfig nicht verwendet und die Einstellungen für die Privacy Extension wird nirgends genutzt.

 

[Mr. Robot]

Der Rechner hat sich eine der anderen ihm zugewiesenen IPs ausgesucht.

Die Fritzbox scheint an dem Punkt leichte Probleme zu haben.
Trag dort einfach manuell die richtige IP Adresse ein, dann sollte die Freigabe wieder funktionieren.

 

[OMGWTFBBQ]

So, das Problem ist behoben.

Tatsächlich war die Privacy Extension im KDE GUI aktiviert. Das hat dann genau ein Mal dazu geführt, dass die IP geändert wurde ._.
Ich habe das geändert und nun setzt der Rechner korrekt die IPv6 Adressen ein.

In der Fritzbox mussten noch Interface ID und die Freigaben auf die IP angepasst werden und jetzt funktioniert wieder alles.

Bei der DG handelt es sich übrigens um DualStack mit CGNATv4 bei dem jeder Kunde ein eigenes IPv6 Präfix/56 bekommt.

Vielen Dank euch allen für die Hilfe