Portfreigaben und Deutsche Glasfaser

[nex86]

Ich habe für einige Geräte im Netzwerk Portfreigaben gehabt und habe auch meinen Persönlichen Wireguard VPN Zugang ins Heimnetz über meinen Raspberry Pi geregelt.
Damals mit Netcologne hat das alles funktioniert.
Nun sind wir bei der Deutschen Glasfaser und nichts geht mehr.
Habe mich mit einem Kollegen darüber unterhalten und er meinte das liegt daran weil DG CGNAT benutzt und normale portweiterleitung in dem fall nicht funktionieren wird.
Er meinte das würde über einen anderen Betreiber gehen der sowas bereitstellt, wir hatten wenig Zeit um uns darüber zu unterhalten und er hatte mir auch keinen Namen von irgendeinem Dienst oder betreiber nennen können.

welche Lösung hätte ich da? was wäre die beste/einfachste/kostengünstigste Lösung???

 

[0x8100]

benutze einfach ipv6

 

[nex86]

wie denn genau?

 

[0x8100]

so wie mit ipv4 auch. nimm einfach einen dyndns anbieter, der auch v6 kann, z.b. https://dynv6.com

 

[nex86]

dumme frage, also der pi und der vpn server sind ja nur per ipv4 intern verbunden und an den dns der fritze.
das spielt dann keine rolle oder?
muss ich quasi nur den endpoint ändern welcher die clients drauf zugreifen?

 

[razzy]

die brauchen natürlich auch eine ipv6 adresse.
Du kannst aber über die Fritte einen DHCPv6 Server laufen lassen, der die Adressen aus deinem Präfix automatisch zuweist.
Dann kannst du auch dort die Portweiterleitungen "öffnen"

 

[nex86]

Bei der Portfreigabe hat er die IPV4 automatisch ausgefüllt und die IPV6 muss ich eigenhändig eintragen.
Wenn ich mir das Gerät unter Heimnetz/Netzwerk ansehe werden dafür 4 IPV6 adressen angezeigt.
3 stück die mit 2a00: anfangen und eine mit fe80
welche davon brauch ich?
andere sache..
sobald ich IPV6 für das gerät einschalte und auf DHCP stelle habe ich intern keinen zugriff auf das SSH mehr.
Muss IPV6 immer deaktivieren damit ich weiterhin reinkomme

 

[blackshuck]

Was für eine Fritte hast du?

 

[0x8100]

du musst in der fritzbox bei der portfreigabe die ipv6 interface-id angeben:

diese ist teil der adresse:

ipv6 hat die möglichkeit, diese id regelmässig zu ändern - das ist hier kontraproduktiv und sollte deaktiviert werden:

root@lunix:~# ip addr show dev ens18
2: ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether xxxx:32:42:ea brd ff:ff:ff:ff:ff:ff
    altname enp0s18
    inet 192.168.1.3/24 metric 100 brd 192.168.1.255 scope global dynamic ens18
       valid_lft 578684sec preferred_lft 578684sec
    inet6 2003:xxxx:fe32:42ea/64 scope global dynamic mngtmpaddr noprefixroute
       valid_lft 6802sec preferred_lft 1402sec
    inet6 fe80::xxxx:fe32:42ea/64 scope link
       valid_lft forever preferred_lft forever
root@lunix:~# sysctl -a | grep use_tempaddr | grep ens18
net.ipv6.conf.ens18.use_tempaddr = 0

hier ist die interface-id die 4 tupel endend auf fe32:42ea. ohne privacy-extensions wird hier die mac verwendet. hier sind diese extensions deaktiviert, da use_tempaddr = 0 ist. wenn nicht, mit sysctl deaktivieren und in /etc/sysctl.conf permanent machen. siehe z.b. hier.

auch muss die dyndns-adresse auf den pi zeigen, nicht auf die fritzbox. daher einen dyndns-client auf dem pi laufen lassen.

und bei der freigabe dann natürlich auch ipv6 bzw. ipv4/ipv6 wählen

 

[Pummeluff]

Eine kleine Korrektur der sehr guten Anleitung:

auch muss die dyndns-adresse auf den pi zeigen, nicht auf die fritzbox. daher einen dyndns-client auf dem pi laufen lassen.

Nein, brauchst du nicht.

Dynv6.com

1. Auf dynv6.com legst du Dir ein Konto an.
2. Create New Zone
3. Name: Deine Subdomain, z.B. nex86. Dahinter steht die dynv6-Domain, z.b. dns.army. Die vollständige Domain Deiner Fritzbox wäre dann nex86.dns.army.
4. IPv4 address + IPv6 prefix lässt du erst mal frei.

Wenn du das angelegt hast, bekommst du eine Anleitung zum DynDNS-Update für ddclient und die Fritzbox.

Fritzbox

1. Internet →Freigaben →DynDNS
2. Update-URL: http://dynv6.com/api/update?hostname=<domain>&token=<username>&ipv6=<ip6addr>&ipv6prefix=<ip6lanprefix>

Den IPv4-Teil kannst du Dir sparen. Die IPv4, die Dir in der Fritzbox angezeigt wird, funktioniert nur innerhalb des Netzes der Deutschen Glasfaser, da CGN.

Erreichbar ist jetzt erst mal nur die Fritzbox. Als nächstes willst du den PI noch erreichbar bekommen.

Dynv6.com (2.)

1. My Zones →Auf den Eintrag klicken →Records →Add Record →Type AAAA
2. Name: z.B. pi
3. Data: Hier kommt die Interface-ID rein, z.B. fe32:42ea.

Identifizierbar wäre der PI dann über die Adresse: pi.nex86.dns.army

Fritzbox (2.)
Jetzt musst du noch die Firewall öffnen, damit der PI auch aus dem Internet erreichbar ist. Im Gegensatz zu IPv4 ist das keine Portweiterleitung (NAT).

1. Internet →Freigaben →Portfreigaben→Gerät für Freigabe hinzfügen
2. Gerät: Hier wählst du den PI aus. Da sollte dann sofort die IPv6-Interface-ID angezeigt werden.
3. Neue Freigabe →[x] Freigabe aktivieren + [x] Internetzugriff über IPv6
4. Anwendung: Andere Anwendung, Protokoll: TCP
5. Port an Gerät: 22 bis 22

Bei Freigaben müsste dann ein grüner Button mit "SSH" daneben angezeigt werden. Port extern vergeben: 22. Wenn das geklappt hat, ist Dein PI aus dem Internet erreichbar über:

ssh -6 pi.nex86.dns.army

Für Wireguard gibst du entsprechend den Wireguard-Port an. Allerdings können die neueren Fritzen ab Firmware 7.3 (Labor) und 7.5 (Stable) auch Wireguard.

 

[nex86]

Für Wireguard gibst du entsprechend den Wireguard-Port an. Allerdings können die neueren Fritzen ab Firmware 7.3 (Labor) und 7.5 (Stable) auch Wireguard.

hab die 7590 von der Deutschen Glasfaser, aber habe bisjetzt nicht rausfinden können wie man sie auf eine andere version bekommt. Das Menü für Firmware update fehlt.

habe gestern den ganzen tag rumprobiert und es mit diesem wireguard probiert: https://hub.docker.com/r/weejewel/wg-easy
Es läuft zwar aber bekomme von den clients keine verbindung ins netzwerk.

hab das ganze testweise beim nachbarn probiert der noch DSL hat, da funktioniert es.

 

[Pete11]

Das Menü für Firmware update fehlt.

Das ist geblockt von der Deutschen Glasfaser. Du mußt warten, bis DG das Update von 7.29 auf 7.50 freigibt.
Vielleicht rufst Du mal bei DG an - je mehr Leute das machen, desto mehr Druck entsteht.
Alternative (allerdings teuer): Du kaufst Dir eine eigene 7590.

 

[nex86]

habe nachgesehen die aktuellste scheint immer noch die 7.31 zu sein.
woher bekommt man die 7.50?
https://ftp.avm.de/fritzbox/fritzbox-7590-ax/deutschland/fritz.os/

 

[Pummeluff]

Das Menü für Firmware update fehlt.

Jupp, wie Pete11 schon richtig gemeint hat, musst du da wohl die DG kontaktieren. Meine 7590 ist von 1&1. Das Branding beschränkt sich auf den Assistenten mit 1&1-Vorauswahl, wenn man bei der Fritzbox einen Werksreset vornimmt. Ansonsten ist das Ding komplett frei nutzbar.

habe gestern den ganzen tag rumprobiert und es mit diesem wireguard probiert: https://hub.docker.com/r/weejewel/wg-easy

Warum? Wireguard ist im Linux-Kernel sowieso integriert. Ansich musst du nur die Wireguard-Tools installieren und eine einzige Configdatei erstellen. Ist für mich nicht nachvollziehbar, warum man jedes kleine Tool mittlerweile über Docker installieren will. Das ist kontraproduktiv, kompliziert und unnötig fehleranfällig.

Alternativ kannst das auch in den Networkmanager (hat nicht gut funktioniert) oder in den Systemd-Networkd (nutz ich auf meinem V-Server) integrieren. Das Gefrickel über Docker ist da wirklich nicht notwendig.

Sehr gut zum Lernen:

• Anleitung Digitial Ocean für Debian 11 (sollte dem Raspi entsprechen)
• Arch-Wiki
• Gentoo-Wiki (den Kernel-Teil sparst du Dir)

 

[nex86]

mir gehts auch um das web interface, dass ich zugänge ganz einfach verwalten kann..
wird as mit abgedeckt?

 

[Pummeluff]

habe nachgesehen die aktuellste scheint immer noch die 7.31 zu sein.

https://avm.de/fritz-labor/

Du hattest oben 7590 geschrieben. 7590 und 7590 AX sind unterschiedliche Modelle. Für die 7590 gibt's die 7.50 stable schon, für die 7590 AX noch nicht.

Allerdings hatte mir der Support von AVM (hatte ich per Kontaktformular angeschrieben) letztes Jahr tatsächlich geraten, die Labor-Version zu installieren. Inzwischen bin ich aber auf die stable zurück.

Achtung: Deine ganzen Einstellungen gehen damit flöten. Die solltest du vorher abspeichern. Um eine saubere Konfiguration zu bekommen, hab ich die Fritzbox nach dem Firmware-Wechsel aber wieder komplett manuell eingerichtet.

Ergänzung (5. Februar 2023)

mir gehts auch um das web interface, dass ich zugänge ganz einfach verwalten kann..
wird as mit abgedeckt?

Wozu brauchst man das? Am Anfang muss man wirklich etwas lesen. Aber wenn man die Config mal verstanden hat, ist die so einfach, dass man wirklich kein Webfrontend braucht.

Die Config auf meinem V-Server sieht so aus:

[Interface]
PrivateKey = 123456xyz
ListenPort = 58123
Address = 192.168.1.1/24
DNS=192.168.1.1
# Damit darf das Smartphone den gesamten Traffic über das VPN jagen
PostUp = iptables -A FORWARD -s 192.168.1.2/32 -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -s 192.168.1.2/32 -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
# Lan2Lan 1
PublicKey = 123456abc
PreSharedKey = 54321ghi
AllowedIPs = 192.168.2.0/24
PersistentKeepalive = 25
Endpoint = lan1.dns.army:58678

[Peer]
# Lan2Lan 2
PublicKey = 123456def
PreSharedKey = 54321def
AllowedIPs = 192.168.3.0/24
PersistentKeepalive = 25
Endpoint = lan2.dns.army:58345

[Peer]
# Smartphone
PublicKey = 123456ghi
PreSharedKey = 54321abc
AllowedIPs = 192.168.1.2/32
PersistentKeepalive = 25

 

[nex86]

Also ein Kollege meinte dass der Raspberry Pi seine IPV6 an den DynDNS übertragen muß.
habe das ganze mit ddclient versucht.. bekomm es aber nicht gebacken..
die konfig so übernommen wie in den instructions auf dynv6.net beschrieben aber er überträgt nichts.

wenn ich ddclient manuell ausführe wirft er mir das aus:

WARNING:  file /var/cache/ddclient/ddclient.cache, line 3: Invalid Value for keyword 'ip' = ''
WARNING:  skipping update of *snip*.dynv6.net from <nothing> to 192.168.178.250.
WARNING:   last updated <never> but last attempt on Sun Feb  5 11:41:01 2023 failed.
WARNING:   Wait at least 5 minutes between update attempts.

hab so langsam die schnauze voll, vllt sollte ich wirklich auf fritz OS 7.50 warten.

 

[Pummeluff]

Also ein Kollege meinte dass der Raspberry Pi seine IPV6 an den DynDNS übertragen muß.

Das ist falsch. Siehe oben.

Den DynDNS-Client auf dem PI brauchst du nur, wenn die Fritzbox nicht dazu in der Lage ist. Die kann das allerdings schon viele Jahre sehr gut. Ich benutz DDClient auf meinem V-Server. Dazu musste ich den Service umschreiben, damit das Script sowohl die IPv4 als auch die IPv6 an den Dynv6-Server schickt. Die Fritzbox kann das einfacher.

 

[Pummeluff]

wenn ich ddclient manuell ausführe wirft er mir das aus:

WARNING:  file /var/cache/ddclient/ddclient.cache, line 3: Invalid Value for keyword 'ip' = ''
WARNING:  skipping update of *snip*.dynv6.net from <nothing> to 192.168.178.250.

Das ist höchst kontraproduktiv.

Zum einen ist Dein ddclient so konfiguriert, dass er die private IPv4 übertragen will. Damit ddclient mit IPv6 läuft, brauchst die Config (/etc/ddclient.conf)

ssl=yes
protocol=dyndns2
server=dynv6.com
password='daswasbeidynv6.comangezeigtwurde'
login=none
usev6=if, if=eth0
pi.nex86.dns.army

 

[Holzkopf]

Ehttps://www.computerbase.de/forum/threads/portfreigaben-und-deutsche-glasfaser.2129160/post-27855797

Wäre wohl keine schlechte Idee das nochmal in einem eigenen Thread zu Posten und ein Mod zu fragen ob er das oben anpinnen kann.
Die Frage wie das geht kommt oft vor.