IPv6 Tunnel über HTTPS

Dabei seit
Jan. 2019
Beiträge
4
#1
Hallo zusammen,

ich komme mit meinem Wissen nicht weiter. Erstmal die Ausganssituation:
Ich bekomme von meinem ISP eine DSLite Verbindung, also keine feste IPv4 Adresse. Dennoch möchte ich mich von außerhalb auf meine internen Rechner/Server verbinden können.

Um zu gewährleisten, dass ich auch von nur IPv4 fähigen Geräten zugreifen kann, habe ich einen 4to6 Tunnel (6tunnel) auf einem VPS Server mit fester v4 und v6 IP. Für eine Verschlüsselung zu dem Server wird ein Reverse Proxy (Traefik) vor den Tunnel geschaltet. In der FritzBox wurde eine IPv6 Freigabe für die gewünschten Geräte angelegt.

Veranschaulicht sieht das in etwa so aus:

[Gerät] --(https/v4)--> [VPS: Proxy]
[VPS: Proxy] --(http/v4) --> [VPS: Tunnel]
[VPS: Tunnel]--(http/v6)--> [Homeserver]

Dieses Setup funktioniert, ich kann (zumindest teilweise verschlüsselt) von jedem Gerät auf meine Homeserver zugreifen. ABER: Die Verschlüsselung funktioniert leider nur bis zum VPS, das Programm 6tunnel verbindet sich über http. Wenn ich jetzt ein Dienst habe, der sich nur verschlüsselt aufrufen lässt, funktioniert das Setup nicht mehr.

Ist es irgendwie möglich, dass der Tunnel auf dem VPS eine eigene verschlüsselte Verbindung aufbaut? Laut meinem Verständnis kann die Verschlüsselung nicht ohne weiteres von v4 zu v6 weitergegeben werden, das wäre aber gar nicht nötig! Ich hätte gerne, dass der Proxy weiterhin nach aussen mit validem Zertifikat verschlüsselt, gleichzeitig aber der Tunnel eine neue verschlüsselte Verbindung mit einem selbst signiertem Zertifikat aufbaut! Wäre das mit den verwendeten Protokollen, etc. technisch möglich?

Und wenn ja, gibt es alternativen zu 6tunnel, die so etwas können?

Bonusfrage: Wie sicher stuft ihr die unverschlüsselte Verbindung vom VPS (bei Contabo, einer dt. Firma) zur Fritzbox ein? Ist es Angreifern möglich, sich auf dem Weg einzuklinken?

Danke für eure Einschätzung und Hilfe!

LG
Robin
 

Ebrithil

Lt. Junior Grade
Dabei seit
Dez. 2014
Beiträge
322
#2
Also ich bin kein Experte auf dem Gebiet, aber nach meinem Verständnis müsste der Aufbau so sein:

Der VPS leitet einfach alle ankommenden Verbindungen auf Port 80 und 443 (HTTP & HTTPS) an die IPV6 deines HomeServers weiter.
Der VPS hat an der Stelle überhaupt nichts mit den Protokollen HTTP/S zu tun und arbeitet rein auf TCP Basis. Dementsprechend müsste TRAEFIK (oder einanderer Service der HTTPS ausliefert) dann auf deinem HomeServer sitzen.
 

robin.msr

Newbie
Ersteller dieses Themas
Dabei seit
Jan. 2019
Beiträge
4
#4
Danke für eure Antworten!

Da bin ich längst drüber gestolpert bei der Recherche, die schreiben allerdings nichts über HTTPS, worum es in meiner Frage ging.

Also ich bin kein Experte auf dem Gebiet, aber nach meinem Verständnis müsste der Aufbau so sein:

Der VPS leitet einfach alle ankommenden Verbindungen auf Port 80 und 443 (HTTP & HTTPS) an die IPV6 deines HomeServers weiter.
Der VPS hat an der Stelle überhaupt nichts mit den Protokollen HTTP/S zu tun und arbeitet rein auf TCP Basis. Dementsprechend müsste TRAEFIK (oder einanderer Service der HTTPS ausliefert) dann auf deinem HomeServer sitzen.
So werde ich es jetzt wahrscheinlich lösen, danke für den Tipp!

Ich wollte eigentlich einen Layer 7 Loadbalancer verwenden, um volle Kontrolle über Zertifikate, Hostnamen, Authentifizierung, etc. zu haben, das ich an einer zentralen Stelle (Traefik auf VPS) verwalten kann.

Da ich aber keine Lösung finde, habe ich jetzt wie vorgeschlagen auf Layer 4, also TCP Basis umgestellt. Ich habe einen Weg gefunden, trotz Ende-zu-Ende Verschlüsselung den Hostnamen über SNI abzugreifen, um danach verschieden zu routen. Mit der Variante kann ich leben.

Falls Konfigurationen o.ä. benötigt werden, einfach fragen!

Und wenn jemandem doch noch eine Methode einfällt, die Verbindung aufzubrechen und beim Tunneling erneut zu verschlüsseln, um dazwischen die volle Kontrolle zu haben, wäre ich euch dankbar!
 

h00bi

Fleet Admiral
Dabei seit
Aug. 2006
Beiträge
11.034
#5
Bist du bei Unitymedia? Da gäbe es Mittel und Wege um auf normales Dual Stack zu kommen. Löst also das grundlegende Problem.
 

Ebrithil

Lt. Junior Grade
Dabei seit
Dez. 2014
Beiträge
322
#6
Und wenn jemandem doch noch eine Methode einfällt, die Verbindung aufzubrechen und beim Tunneling erneut zu verschlüsseln, um dazwischen die volle Kontrolle zu haben, wäre ich euch dankbar!
Naja wenn du unbedingt auf HTTP/S Basis arbeiten willst könntest du einen doppelten reverse proxy nehmen.

Proxy 1: Sitzt auf dem VPS und leitet die HTTP/S Anfragen an deinen Homeserver weiter
Proxy 2: Sitzt dann bei dir zu Hause und splittet weiter nach Service auf.
Dein HomeServer liegt dann hinter einem DDNS Eintrag und hat dafür ein HTTPS Zertifikat.

Zumindest für Proxy 1 müsstest du dann aber vermutlich einen normalen nginx/apache Server nehmen und das selbst konfigurieren, glaube nicht, dass das mit Traefik so direkt funktioniert.

Theoretisch sollte das so gehen, hab ich aber selbst noch nie so benutzt.
 

robin.msr

Newbie
Ersteller dieses Themas
Dabei seit
Jan. 2019
Beiträge
4
#7
Bist du bei Unitymedia? Da gäbe es Mittel und Wege um auf normales Dual Stack zu kommen. Löst also das grundlegende Problem.
Ich bin bei Vodafone Kabel Deutschland. Laut Erfahrungsberichten und offizieller Seite gibt es keine Möglichkeit, umzustellen, so schön das auch wäre! Dafür bräuchte man ein Businessvertrag.
 
Dabei seit
Juni 2009
Beiträge
8.052
#8
Top