Glasfaser Mehrere DDNS Adressen, IPv6 und Accsess-Point

[Zorn511]

Hallo Zusammen,

Ich bin gerade am Renovieren und will mein Netzwerk entsprechend Optimieren.
Im Keller wird ein NW-Schrank mit Switch Router Modem (NT) und GF-TA installiert. In den einzelnen Etagen sollen Accsess-Points für WLAN angebracht werden. Der Internetanbieter wird DG mit FTTH und CGNAT ohne öffentlich IPv4.
Aktuell besitze ich eine Fritzbox 7560
Momentan bin ich bei NOIP.com für meine DDNs registriert.

Ich suche aktuell nach einer sinnvollen Router/Accsess-Point Kombination, auch wenn es mir nicht unrecht ist meine alte Fritzbox zu behalten. Da sich der Router im Keller befindet benötigt dieser nicht zwingend Wlan, aber VOIP müsste funktionieren.

jetzt zu meinem Problem:
Da ich von außen über IPv4 nicht mehr rein komme würde ich das Ganze gerne über IPv6 Realisieren.
Ich will auf 3-4 Endgeräte mittels DDNS zugreifen.
Wenn ich alles richtig verstanden habe, brauche ich auf jedem Endgerät einen DDNS-Client, der bei Änderung der IPv6 dem DDNS Dienst die neue IP mitteilt oder einen Client der alle Adressen Aktualisiert.
Jetzt habe ich im Internet gelesen, dass man den DDNS-Client der Fritzbox auch so Konfigurieren kann, dass sie nicht die eigene IP sondern die eines Präferierten Gerätes aktualisiert. Das funktioniert aber augenscheinlich auch immer nur mit einem Gerät.
Gibt es ein Gerät, mit welchem ich Zentral die einzelnen Hostnamen den Entsprechenden Geräten zuweisen kann?

Vielleicht hat ja jemand einzeln Lösungen für mein Problem, oder es Gibt ein gesamt Konzept welches für meine Anforderungen sinnig erscheint.

Da es sich um ein Privathaushalt handelt, will ich auch keine Tausenden Euros Pro gerät ausgeben, allerdings auch kein Ramsch kaufen. Mir ist auch Klar, dass es nichts geschenkt gibt.

Sollte ich bei irgendwelchen Annahme falsch Liegen, bitte ich um Korrektur.

Gruß Cas

 

[madmax2010]

Die DG laesst dir eigentlich dein IPv6 prefix, wenn du den Router nicht laengere Zeit vom Strom nimmst.
Sprich: Spar dir das DynDNS gefuckel und setz die DNS Eintraege beim Domain Anbieter deiner Wahl.

Verteil die v6 Adressen Netzintern via prefix delegation - sollte hier grob beschrieben sein: https://avm.de/service/wissensdaten...70/1239_IPv6-Subnetz-in-FRITZ-Box-einrichten/

Hier sit ganz gut aufbereitet, wie du dein Netz wohl strukturieren willst
https://tools.ietf.org/id/draft-chakrabarti-homenet-prefix-alloc-01.xml

 

[kamanu]

Wieso genau möchtest du mehrere Geräte direkt über das Internet freigeben? Nen VPN könnte das Problem auch lösen.
Alternativ wenn es dabei nur um Webanwendungen geht: Setz nen Reverse Proxy wie NGINX davor und gib nur den nach außen frei.

 

[Zorn511]

Vielen dank erstmal für die Antworten.

Die DG laesst dir eigentlich dein IPv6 prefix, wenn du den Router nicht laengere Zeit vom Strom nimmst.
Sprich: Spar dir das DynDNS gefuckel und setz die DNS Eintraege beim Domain Anbieter deiner Wahl.

Das die DG das so macht weiß ich nicht, aber würde die Sache ja vereinfachen.

Verteil die v6 Adressen Netzintern via prefix delegation - sollte hier grob beschrieben sein: https://avm.de/service/wissensdaten...70/1239_IPv6-Subnetz-in-FRITZ-Box-einrichten/

Hier sit ganz gut aufbereitet, wie du dein Netz wohl strukturieren willst
https://tools.ietf.org/id/draft-chakrabarti-homenet-prefix-alloc-01.xml

Was hab ich für ein Vorteil, wenn ich das Netz so Strukturiere? Die IPs der Geräte bleibt doch auch unberührt, solange DG den Prefix nicht anpasst, oder Lieg ich da falsch?

eigentlich benötige ich nur ein (Haupt-)Netz und dann noch ein Gäste Wlan die Accsess-Points sollen nur eine Wlan Brücke zu meinem Hauptnetz sein und den Gästen Wlan zur Verfügung stellen, da der Router nicht im Keller ist

Wieso genau möchtest du mehrere Geräte direkt über das Internet freigeben? Nen VPN könnte das Problem auch lösen.
Alternativ wenn es dabei nur um Webanwendungen geht: Setz nen Reverse Proxy wie NGINX davor und gib nur den nach außen frei.

VPN funktioniert nicht immer an allen Geräten oder orten an denen ich mich so befinde. dafür allerdings ab und zu RDP. Warum das manchmal so ist weiß ich nicht. hat bestimmt irgendwas mit Firmenrichtlinien der einzelnen Gast-Netzwerken zu tun. Manchmal erteile ich auch eine Temporäre FTP Freigabe für Dateien oder erstelle einen Gamingserver. Es hat sich in Vergangenheit einfach gezeigt, dass ich manchmal einen anderen weg als VPN in mein Netz nehmen oder zur verfügung stellen muss. Mit IPv4 war das auch alles einfacher...glaube ich.

 

[kamanu]

dafür allerdings ab und zu RDP

Bitte gib niemals RDP in Richtung Internet frei. Das ist dazu verdammt schief zu gehen.

 

[riversource]

Jetzt habe ich im Internet gelesen, dass man den DDNS-Client der Fritzbox auch so Konfigurieren kann, dass sie nicht die eigene IP sondern die eines Präferierten Gerätes aktualisiert. Das funktioniert aber augenscheinlich auch immer nur mit einem Gerät.

Nein, das ist so nicht richtig.

Die IPv6-Adressen deiner Endgeräte setzen sich ja aus dem Prefix und der Host-ID zusammen. Wenn du alles richtig konfiguriert hast, ist die Host-ID stabil, z.B. mit EUI-64 ermittelt. Das Prefix bekommst du vom Internetanbieter, und es ist für alle Geräte gleich.

Du kannst der Fritzbox sagen, dass sie nicht ihre Adresse, sondern ihr Prefix an einen dyndns Dienst meldet. Dann trägst du deine Endgeräte mit ihrer stabilen Host-ID bei diesem Anbieter ein und lässt das Prefix von der Fritzbox aktualisieren. Der dyndns Dienst setzt aus Prefix und Host-ID dann die vollständigen und gültigen IP-Adressen der Endgeräte zusammen. Damit kannst du problemlos für viele Geräte in einem Rutsch deine ddns Einträge aktuell halten.

dynv6 ist so ein Dienst, oder auch myfritz. Vielleicht gibt es weitere.

Übrigens: Das Prefix bei der DG ist praktisch stabil, aber es garantiert niemand. Beim Endgerätewechsel oder auch bei Wartungsarbeiten kann es sich ändern.

 

[mae1cum77]

Das ist dazu verdammt schief zu gehen.

Geht auch ohne Selbstmord zu begehen.

Ich nutze das freie Angebot von LocalToNet zum Tunneln, im Gegensatz zu ngrok kann der LTN Client im passiven Lauschen-Modus gestartet werden und der Tunnel wird über das Accountdashboard bei Bedarf gestartet.

Der Guacamole-Host für die RDP-Verbindung über den Webbrowser ist TOTP Auth gesichert, man weiß ja nie .

 

[kamanu]

@mae1cum77 Das ist bei dir dann aber kein direkter RDP der in Richtung Internet freigegeben ist. Sondern ein Reverse Proxy (wie ich ihn auch schon erwähnt hab), der dann über einen Webserver RDP bereitstellt. Und wie du ja selbst schreibst auch noch mit 2FA. Dein Setup ist da wesentlich weniger problematisch.

 

[mae1cum77]

@kamanu Naja, gerade RDP ist nichts, das einfach so im Netz hängen sollte, da hast du recht.

Ging darum eine Möglichkeit für flexiblen Zugriff auf lokale Netzwerkressourcen aufzuzeigen.

Habe eigentlich nach einer Lösung gesucht, einen lokalen HTTP Server vom Netz aus anzusprechen.

Dieser Server steuert mein LAN mittels HTTP Requests über SleepOnLAN (als kleiner Befehlserver). Wenn ich das einfach freigebe, komme ich zwar auf den Server, aber die HTTP Requests werden mit einem Fehler quittiert.

Der Tunnel über LTN umgeht genau solche Probleme. Und er ist bei Bedarf de/aktivierbar.

 

[Zorn511]

Bitte gib niemals RDP in Richtung Internet frei. Das ist dazu verdammt schief zu gehen.

Das mach ich auch immer nur temporär, wenn grad nichts anderes geht. Auf Dauer gefällt mir das auch nicht.

Nein, das ist so nicht richtig.

Die IPv6-Adressen deiner Endgeräte setzen sich ja aus dem Prefix und der Host-ID zusammen. Wenn du alles richtig konfiguriert hast, ist die Host-ID stabil, z.B. mit EUI-64 ermittelt. Das Prefix bekommst du vom Internetanbieter, und es ist für alle Geräte gleich.

Du kannst der Fritzbox sagen, dass sie nicht ihre Adresse, sondern ihr Prefix an einen dyndns Dienst meldet. Dann trägst du deine Endgeräte mit ihrer stabilen Host-ID bei diesem Anbieter ein und lässt das Prefix von der Fritzbox aktualisieren. Der dyndns Dienst setzt aus Prefix und Host-ID dann die vollständigen und gültigen IP-Adressen der Endgeräte zusammen. Damit kannst du problemlos für viele Geräte in einem Rutsch deine ddns Einträge aktuell halten.

dynv6 ist so ein Dienst, oder auch myfritz. Vielleicht gibt es weitere.

Übrigens: Das Prefix bei der DG ist praktisch stabil, aber es garantiert niemand. Beim Endgerätewechsel oder auch bei Wartungsarbeiten kann es sich ändern.

Das klingt doch noch nach einer Lösung die ich gut finde. Ich werde das die Tage mal testen.

 

[kamanu]

Selbst temporär ist das keine gute Idee. Es gab irgendwo mal "Benchmarks", wie schnell was passiert wenn du z.B. einen Windows XP Rechner für ne halbe Stunde ans Netz hängst. Das war dann eher eine Sache von Minuten. Klar kannste Glück haben, aber Murphy's Law existiert leider.
Dann eher wie @mae1cum77 ein RDP-Gateway betreiben, was du besser absichern kannst.

 

[pufferueberlauf]

Ich sag es mal so, wenn Du Dich mit einem Rechner ansonsten auch im Internet bewegst, maxht das oeffnen/anbieten von limitierten Diensten wie RDP jetzt kein qualitativen Sicherheitsunterschied, aber Du must dann halt das System auch rechtzeitig updaten (aber bei einer RDP-Gateway gilt das natürlich auch fuer das Gateway selber). Und die Firewall sollte auch im Heimnetz selbstverständlich bei allen Endgeräten immer aktiv sein.

 

[madmax2010]

Selbst temporär ist das keine gute Idee. Es gab irgendwo mal "Benchmarks", wie schnell was passiert wenn du z.B. einen Windows XP Rechner für ne halbe Stunde ans Netz hängst. Das war dann eher eine Sache von Minuten. Klar kannste Glück haben, aber Murphy's Law existiert leider.

das gesamte Internet abzuscannen daurt bei ipv4 keine 5 minuten, wenn man es richtig anstellt.
Es gibt hunderte Institutiopnen, die das X mal am tag machen.
bei IPv6 ists etwas kniffeliger, aber auch da kann man scyhnell pech haben.
Waere mir zu viel Risiko

 

[pufferueberlauf]

bei IPv6 ists etwas kniffeliger,

sind halt 96bit mehr die man scannen muss um an alle Endpunkte zu kommen.... das ist ziemlich unrealistisch auf diese Weise zum Zug zu kommen.

Der Punkt ist, statt darauf zu hoffen, dass das eigene System sicher bleibt weil es nicht gefunden wird, macht es vielleicht mehr Sinn dafür zu sorgen, dass mit dem Internet verbundene System entweder sicher sind oder aber, dass deren feindliche Übernahme tolerierbar ist.

 

[Zorn511]

Das mit dem IPv6 hat gut und einfach funktioniert.
Hat jetzt jemand noch einem Empfehlung für einen bis drei Accsess-Points, oder gleich an ganzes System (Router, auch ohne WLAN, und Accsess-Points)?

 

[pufferueberlauf]

Die IPv6-Adressen deiner Endgeräte setzen sich ja aus dem Prefix und der Host-ID zusammen. Wenn du alles richtig konfiguriert hast, ist die Host-ID stabil, z.B. mit EUI-64 ermittelt. Das Prefix bekommst du vom Internetanbieter, und es ist für alle Geräte gleich.

Das stimmt so meistens nicht mehr (und ddas ist auch gut so). Standardmäßig verwenden die meisten Betriebssysteme IPv6 Privacy Extensions weil man ansonsten im Interface-Identifier der IPv6 Addresse ein "Super-Cookie" implementiert hat welches einfaches Tracking ueber Zeit und Raum erlaubt. Du solltest, wenn Du Dienste auf einem Endhost zu Verfuegung stellen moechtest, zusaetzlich zu den wechselnden PE-Adressen noch eine/mehrere feste IPv6 einrichten (also fixe Interface-Identifier, das variable Präfix kommt von Deinem ISP) ueber die Du erreichbar sein willst und in Deiner Firewall musst Du Zugang auf diese IP(s) erlauben. Ich wuerde eine solche Adresse nicht per EUI-64 generieren, weil es keinen echten Grund gibt die MAC Adresse des Netzwerkinterfaces mit der Welt zu teilen.

 

[Zorn511]

ok, wenn ich das Jetzt richtig Deute, dann Stell ich in meinem Router am besten eine Feste Host-ID für das/die Betroffenen Geräte ein. Die Host-IP überlege ich mir am besten selbst und lasse sie nicht per EUI-64 generieren. Der Router Synchronisiert das Präfix mit Dynv6 und Dynv6 bastelt aus Host-ID und Präfix die gesamt Adresse zu welcher weitergeleitet wird. Die Firewall im Router lässt dann entsprechende Anfragen durch.
ist das so Korrekt?

 

[riversource]

ok, wenn ich das Jetzt richtig Deute, dann Stell ich in meinem Router am besten eine Feste Host-ID für das/die Betroffenen Geräte ein.

Nur im Router reicht vermutlich nicht. Geräte erhalten nur in Ausnahmefällen ihre vollständige Adresse vom Router. Üblicherweise wird nur das Prefix verteilt. Heißt: Du musst die Interface-ID auch im Zielgerät selber setzen.

Unter Linux geht das z.B. mit

/sbin/ip token set ::1000 dev eth0

Das lässt sich z.B. in einem pre-up Statement einer /etc/network/interfaces unterbringen. Andere Netzwerkkonfigurationsdienste, wie netplan, erlauben das sicherlich auch.

 

[pufferueberlauf]

Im Router kann klappen via DHCPv6, aber nicht alle Endgeräte spielen da mit (z.B. ignorieren Android-Geraete DHCPv6 aber Du wirst ja eher kein Android-Geraet per RDP fernsteuern wollen ).

Der Router Synchronisiert das Präfix mit Dynv6 und Dynv6 bastelt aus Host-ID und Präfix die gesamt Adresse zu welcher weitergeleitet wird.

Unklar, haengt vom DDNS Script ab das da laeuft (und davon wie Du dem Script die IPv6 uebergibst).

 

[riversource]

Der Router Synchronisiert das Präfix mit Dynv6 und Dynv6 bastelt aus Host-ID und Präfix die gesamt Adresse zu welcher weitergeleitet wird.

Das ist guter Hinweis, die Host-ID muss natürlich auch bei dynv6 richtig angegeben sein.

Damit die Freigabe von außen erreichbar wird, müssen die Angaben beim ddns Anbieter, im Router und auf dem Zielgerät konsistent sein.