Kabel Helpdesk Forum

Hallo liebe Leute.

Owohl mir der Unitymediamitarbeiter versicherte, dass sich durch die Umstellung auf den neuen Tarif in meinem Netzwerk nichts verändert und ich alles wie gehabt betreiben kann,
habe ich seit der Umstellung meines Tarifes ein kleines Problem mit der erreichbarkeit meines (Synology) NAS Servers.

Der Server unterstützt IPv6 und hat über die Connectbox auch zugriff auf das Internet.

Zu IPv4 Zeiten habe ich im Router Ports weitergeletet um über https, WEBDav, FTP, etc auf diesen Server zuzugreifen.
Dazu hatte ich eine DynDNS (von synology) erstellt und konnte über z.b. https://meinserver.synology.me:5001 auf das Webinterface gelangen.
Der DynDns Dienst unterstützt auch IPv6. Daran sollte es also nicht scheitern.

Nun habe ich in den Systemeinstellungen der Connectbox wie gehabt die Ports weitergeleitet leider ohne Erfolg.

Daraufhin habe ich den technischen Kundendienst von Unitymedia angerufen und mir von einem "äußerst motivierten und freundlichen" .... Mitarbeiter erklären lassen " Das geht nicht. "

Genauso schlau wie vorher meine Frage also an euch:

Wie bekomme ich meinen Server in das IPv6 Netzwerk integriert, sodass ich wieder einen externen Zugriff habe.

Im Anhang noch ein paar Screenshots

Allgemeine Einstellung des Servernetzwerkes


Connectbox Portweiterleitung


Internetassistent des Servers


Frühere (Fritzbox) einstellungen der Portweiterleitung


IPv4 Einstellungen des Servers


IPv6 Einstellungen des Servers


DynDNS Anbieter




Mfg

zippo

http://www.feste-ip.net könnte dir helfen.

Lutz

Viele Dank für deine schnelle Antwort.

Notfalls könne es wohl helfen.

Allerdings verstehe ich nicht warum es jetzt schon nicht geht, da ja alles IPv6 unterstützt.
Der Provider nutzt IPv6, die Connectbox nutzt IPv6, der DynDNS Dienst von Synology nutzt IPv6, und schließlich die DS selber ist auch IPv6 kompatibel.

Man sollte meinen, dass ein umstieg auf IPv6 ohne probleme möglich sein sollte. (was in absehbarer zukunft zum Standart wird)

MFG

Bei Unity Media gibt es nach meinen Infos noch kein vollwertiges IPV6 sondern allenfalls DS-LITE was eine Mischversion zwischen IPV4 und IPV6 darstellt und für alle ein Problem ist die von außen auf Geräte innerhalb Ihres lokalen Netzes zugreifen wollen.

Die einzige praktikable schnelle Lösung ist ein Business Tarif der eine IPV4 Adresse und eine Fritzbox als Router garantiert

Thomas

_________________
Multimedia Süchtiger mit FB 6591 und VF BUSINESS CABLE MAX

DS-Lite ist vollwertiges IPv6. Nur IPv4 wird über die AFTR-Gateways geleitet.

@ Entstrubbler: der Businesstarif fällt für mich leider flach, da ich keinen Gewerbeschein habe. Gibt es Bei Unitymedia keine alternative Lösung (unter 60€/mon) für Privatkunden? Ich kann mir nicht vorstellen, dass ich ein Einzelfall bin.

@Dragon: Wenn DS-Lite vollwertig IPv6 ist dürfte ich doch nicht solche probleme haben oder?

Von welchem Tarif hast du eigentlich upgegraded und vor allem wann?
Wenn du einen Altvertrag (außer Horizon) mit IPv4 hattest, kannst du das behalten.
So was funktioniert aber deutlich besser, wenn du es über Facebook/Twitter PN an Hilfe machst.

Zumindest das TC7200, ich glaube auch die Connectbox, haben den Nachteil, dass du auch die Firewall entsprechend öffnen musst.
Wie hast du eigentlich die Tests gemacht? Bei diesen Geräten kannst du es nicht vom eigenen Netz aus testen.

Für einen Business Tarif wird kein Gewerbeschein benötigt - den kann jedermann buchen wenn er den Preis bezahlen kann - Achtung bei den Businesstarifen sind die angegebenen Preise zzgl MwSt.

Thomas

_________________
Multimedia Süchtiger mit FB 6591 und VF BUSINESS CABLE MAX

Das funktioniert aber auch nur dann, wenn IPv6-Verbindungen richtig funktionieren. Wenn es bei IPv6 Probleme gibt, wird auch "feste-ip.net" nicht richtig funktionieren.


Was ich nicht ganz kapiert habe: Was genau willst du machen, was dann nicht funktioniert:

Du willst auf deinen NAS zugreifen. Aber von wo aus (Handy, anderer Internet-Anschluss, Internet auf der Arbeit, ...)? Und mit welcher Software (Webbrowser, ...) greifst du darauf zu?

Um eine funktionierende IPv6-Verbindung aufzubauen, muss natürlich auch die "Gegenstelle" (also z.B. dein Handy) und die dort verwendete Software (z.B. Webbrowser) IPv6-fähig sein!


Ports weitergeleitet?

Bei IPv6???

Oder meinst du "Ports freigeschaltet"???

Eine Portweiterleitung an einen bestimmten Rechner macht man eingentlich nur bei IPv4, da bei IPv4 nicht jeder Rechner eine eigene globale IP-Adresse hat, sondern sich mehrere Rechner (nämlich alle, die zuhause an deinem Router hängen) eine IP-Adresse teilen (nämlich die des Routers). Bei IPv6 hat jeder Rechner seine eigene Adresse, weswegen das Feature "Portweiterleitung" zwar theoretisch möglich ist, allerdings in der Praxis wohl nur in Ausnahmefällen gemacht und von den meisten Routern nicht unterstützt wird.


Bei Portweiterleitung (also IPv4) haben viele Router dieses Problem.

Da bei IPv6 allerdings direkt geroutet wird (theoretisch nocht nicht mal über den Router) sollte man bei IPv6 unabhängig vom verwendeten Router jedes Gerät im lokalen Netzwerk mit der jeweiligen globalen Adresse ansteuerbar sein!


Erst einmal herausfinden, wo das Problem überhaupt liegt:

Ich selbst habe noch keinen IPv6-Anschluss, aber in deinem Screenshot von der ConnectBox ist keine "Filterregel" definiert. Wenn ich das richtig verstehe, bedeutet das, dass die ConnectBox alle eingehenden Verbindungen blockt.

Du müsstest eine Filterregel einfügen, die in etwa folgenden Inhalt hat (wobei ich nicht weiß, ob das mit der ConnectBox geht):



Erklärung:

Bei IPv6 hat jeder Rechner eine eigene, weltweit gültige Adresse. Von daher gibt es auch keine "Portweiterleitung" mehr, sondern "nur" eine Firewall.

Der Screenshot in deinem ersten Beitrag zeigt eine recht komplexe Firewall, die man nicht nur "ein" und "aus" schalten kann, sondern bei der man Regeln definieren kann:

- Quell IPv6 ist wahrscheinlich die IP-Adresse des Rechners, von dem aus man auf dein Heimnetzwerk zugreifen darf. Bei einer normalen Portweiterleitung wäre das "jeder Rechner", so dass man auch in dieser Regel "jeder Rechner" einstellen muss. Dasselbe gilt für "Quellport".

- Ziel-IP wäre die Adresse des Rechners bei dir zuhause (also z.B. der NAS). Leider ändern sich die IPv6-Adressen der Geräte regelmäßig, so dass du entweder die Firewall-Regeln automatisch regelmäßig anpassen müsstest (möglichst automatisch über irgend ein Skript), oder einfach "alle Adressen" durchlassen musst. Im zweiten Fall könnte man dann vom Internet aus z.B. auf den Port 16881 jedes Rechners in deinem Netzwerk zugreifen - aber nur, wenn man die IP-Adresse des jeweiligen Rechners kennt!

(Aus Sicherheitssicht ist dies ein Nachteil gegenüber IPv4!)

- Zielport ist der TCP-Port, der "durchgelassen" werden soll.

@ Haushelene

Ich hatte 6 Jahre lang den 3Play 50 mit einer Fritzbox bei der IPv4 tadellos funktionierte. Nun habe ich einen Solo-Internetanschluss 120 mit der ConnectBox (brauche weder telefon noch TV)
Die Tests habe ich von meinem Handy, Nachbarn, Arbeit gemacht. Mit Apps, WebDAV, FTP, VPN und das normale Webinterface. Leider alle mit dem selben Ergebnis.

@ Thomas

Der nette Unitymediamitarbeiter am Telefon sagte mir heute Morgen, dass ich dazu einen Gewerbeschein benötige allerdings muss dazu gesagt werden, dass er wenig Interesse hatte mir bei meinen Fragen zu helfen. Wie konnte ich mich auch erdreisten am Samstag dort anzurufen....
Das nächste sind die Preise. Als Student hat man in der Regel nur begrenzte Mittel zur verfügung deshalb fällt auch der 3 play Tarif mit Extraoption weg den besagter Mitarbeiter mir vorgeschlagen hatte (60€/mon)

@ Martin

Deine Infos sind sehr interessant ich hatte mich zuvor nur oberflächlich mit IPv6 auseinandergesetzt. Aber mit deinen Infos ergibt das alles halbwegs einen Sinn. Ich werde das mal durchtesten.

Ich nehme an, dass meine IPv6 Konfiguration passt, da ich vom Synology - Internen Dienst "Quickconnect" auf mein Webinterface zugreifen kann auch die DynDNS wird richtig erkannt (was sie nicht würde, wenn dort schon der Fehler liegen würde). Aus dem Grund nehme ich an, dass "FESTEIP" auch klappen würde.

Was genau ich machen will ist eigentlich sehr einfach. Ich habe für meinen Studienkurs ein Laufwerk (cloud) eingerichtet auf dem wir alles mögliche speichern.
Auch meine Filme, Fotos, etc etc sind auf dem Server gespeichert, sodass ich an meinen PC's nur kleine Festplatten benötige.
Ich möchte über verschiedene Dienste (WebDAV, FTP, VPN, Webinterface / Firefox, Handyapps) auf meine Daten zugreifen. Z.B. Filme streamen, Fotos vom Handy automatisch Katalogisieren, vom schlafzimmer TV Filme schauen, in meiner Zweitwohnung natürlich alles über das Internet. Was bisher über eine DynDNS wunderbar ging.

Ich wusste nicht dass man bei IPv6 keine Ports mehr weiterleiten kann. Dank deinen Infos ist mir das jetzt bekannt. (Ich kannte das eben so von IPv4 )

Jetzt kommen wir zum Punkt mit der Filterregel. Wenn ich bei der QuellIP "Alle" eingebe, müsste ich dann nicht in der ZielIP die IPv6-IP von meinem Server angeben? Und weshalb muss ich beim Quellport "Alle" eingeben, wenn ich doch nur will (wie bei IPv4), dass der Port 5006 weitergeleitet, bzw freigegeben wird.

Ich könnte dem Server auch eine feste IP vergeben (bin mir aber nicht sicher ob das nur auf die IPv4 zutrifft oder auch auf die IPv6). Allerdings habe ich nicht gemerkt (in den letzten 24h), dass sich die IPv6 geändert hat.

Das mit der Sicherheit ist im Prinzip meine Frage mit der ZielIP von oben. Wenn ich es nur an eine freigebe, dürfe das restliche Netzwerk davon nicht betroffen sein.



Vielen Dank euch allen nochmal für die schnellen Antworten, das bringt mich meinem Ziel immer näher.

MFG

Jein.

Bei IPv4 gibst du mit der Portweiterleitung an, auf welchen Rechner eine eingehende Verbindung weitergeleitet werden soll. Wenn du bei IPv4 drei Webserver an deinem Router hängen hast, würdest du drei unterschiedliche Ports weiterleiten, einen pro Webserver. Nehmen wir an, dein Internet-Anschluss hätte die IP-Adresse 192.0.2.123. Dann wären die Adressen der drei Server zum Beispiel:

http://192.0.2.123:80/
http://192.0.2.123:81/
http://192.0.2.123:82/

Bei IPv6 jeder Rechner eine eigene IPv6-Adresse hat, kann man auch jeden Rechner mit der eigenen IP-Adresse direkt ansprechen - jeweils auf Port 80. Wenn dein Internet-Anschluss den Präfix 2001:DB8:1234:5678:: hat, dann wären die drei Webserver zum Beispiel:

http://[2001:DB8:1234:5678:1:2:3:4]:80/
http://[2001:DB8:1234:5678:5:6:7:8]:80/
http://[2001:DB8:1234:5678:9:10:11:12]:80/

(Bei Verwendung von dynamischem DNS müsstest du auch für jeden Rechner einen eigenen Hostnamen anlegen!!!)

Mit dem Firewall-Eintrag gibst du an, welche Rechner in deinem Netz denn "Server" sein dürfen, so dass alle anderen "einkommenden" Netzwerkverbindungen geblockt werden. Diese Einstellungen würden dann vielleicht so aussehen:


... oder eben auch so:

Andere Router haben übrigens laut einschlägigen Foreneinträgen eine sehr primitive Firewall, die nur die Zustände "ein" und "aus" kennt. "Aus" entspräche dann:

Du könntest also auch die IPv6-Adresse des NAS angeben. Allerdings ändert sich das IPv6-Präfix eines Internetanschlusses regelmäßig (bei einigen Providern angeblich sogar alle 20 Minuten) - und damit auch die IPv6-Adresse des NAS!!

Du müsstest also ein Skript haben, das die Firewall-Einstellungen bei jedem Präfixwechsel aktualisiert oder eben damit leben, dass man alle Rechner in deinem Netzwerk auf den Ports 80, 443, 5006, ... kontaktieren kann.


Achtung: Die Einstellung "Quellport" hast du bei anderen Routermodellen wahrscheinlich gar nicht!

Wenn du z.B. per FireFox auf einen Webserver zugreifst, verwendet FireFox einen quasi-zufälligen "Quellport" im Bereich 1025-65535. Dasselbe gilt für fast alle anderen Anwendungsfälle. Es gibt aber auch bestimmte Programme, die einen ganz bestimmten Quellport verwenden. Falls du so ein Programm verwenden würdest, könntest du mit der Einstellung "Quellport" sicherstellen, dass man eben nicht mit FireFox auf den Server zugreifen kann, sondern nur mit dem speziellen Programm.


Eine IPv6-Adresse manuell zu vergeben, wäre sicherlich auch möglich. Aber: Das Präfix (also die vordere Hälfte der IPv6-Adresse) wird vom Provider vorgegeben und regelmäßig geändert! (Diese vordere Hälfte müsste übrigens für alle Adressen in deinem lokalen Netzwerk gleich sein.)

Du müsstest dann bei einem Wechsel des Präfixes nicht nur die Firewall-Einstellungen, sondern auch die IPv6-Adresse des NAS.