Community Navigation
abbrechen
Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du 
1

Frage

2

Antwort

3

Lösung

SSH Verbindung über IPv6
Vitaly
Netzwerkforscher
Netzwerkforscher

am ‎25.05.2018 16:19

Hallo,

 

ich habe einen Raspberry-Pi, der über LAN-Kabel mit meinem Hitron CV-30360 Router verbunden ist. Der Raspberry-Pi ist bereits für IPv6 eingerichtet und bekommt erfolgreich eine IPv6 Adresse. Jetzt will ich mich über das Internet mit dem Raspberry über seine globale IPv6 verbinden. Wenn ich das in meinem Heimnetz mache, also "ssh user@pi_global_ipv6", dann klappt es. Wenn ich das extern mache oder einfach auf der Webseite https://centralops.net/co/Ping.aspx die globale IPv6 des Raspberry anpinge, dann geht es gar nicht.

Was ich gelesen habe, kann mein Router den Zugriff blocken und man muss das im Firewall freigeben. Ich kann aber diese Möglichkeit in den Einstellungen des Routers nicht finden. Es gibt da nur Portweiterleitung Einstellungen. Übrigens kann man hier in den EInstellungen die IPv6 Adresse des Routers finden und sie kann ich problemlos auf https://centralops.net/co/Ping.aspx anpingen. Deswegen habe ich entschieden, die Portweiterleitung einzurichten. Es sieht so aus:

Portweiterleitung.png

Auf dem Raspberry-Pi habe ich SSH auch auf 10622 Port umgestellt und lokal getestet, es funktioniert.

Jetzt versuche ich das so "ssh user@router_global_ipv6 -p 10622" aber leider wieder ohne Erfolg. 

 

Warum klappt es bei mir nicht, den Raspberry-Pi direkt über seine globale IPv6 zu erreichen? Wenn das unmöglich ist, warum funktioniert die Portweiterleitung nicht oder mache ich etwas falsch?

 

Vielen Dank im Voraus!

 

VG, Vitaly

 

0 Gefällt mir
16 Antworten 16
reneromann
SuperUser
SuperUser

am ‎25.05.2018 19:08

Hast du auch die "richtige" IPv6 genutzt?

Schau mal, ob die sich in regelmäßigen Abständen ändert - das wäre ein Anzeichen darauf, dass Linux die Privacy Extensions aktiviert hat und du eben jene Adresse der IPv6 Privacy Extensions benutzt (die dann aber der Router nicht aus der MAC bestimmen kann).

 

Schau mal da nach, da steht, wie du die Privacy Extensions ausschalten und auf die MAC-basierte IPv6 umstellen kannst (ansonsten gibt's wieder "Krach").

0 Gefällt mir
Vitaly
Netzwerkforscher
Netzwerkforscher
Als Antwort auf reneromann

am ‎25.05.2018 21:03

Hi Reneromann,

 

danke für Deine Antwort. Das war ein interessanter Hinweis, das wusste ich bisher nicht. Tatsächlisch waren diese  Privacy Extensions auf meinem Raspberry-Pi aktiviert. Ich habe sie deaktiviert. Die IPv6 haben jetzt am Ende ähnliche mit MAC Teile, aber trotzdem kann ich über SSH keine Verbindung weder direkt noch über Portweiterleitung erstellen. 

 

Vielleicht kann die Info auch nützlich sein: ich habe in der /etc/dhcpcd.conf einige Einstellungen hinzugefügt, damit der Raspberry einen lokalen statischen IPv4 bekommt. Es sieht so aus:

interface eth0

static ip_address=192.168.0.100/24

static routers=192.168.0.1

static domain_name_servers=192.168.0.1

 

Vielleicht sollte man da etwas auch für IPv6 anpassen?

 

VG, Vitaly

0 Gefällt mir
reneromann
SuperUser
SuperUser
Als Antwort auf Vitaly

am ‎26.05.2018 00:47

Portweiterleitungen im Sinne von "Ich nehme die öffentliche IP des Routers und leite den Port X am Router auf das Gerät Y mit Port Z weiter" funktionieren bei IPv6 nicht mehr, da es kein NAT mehr gibt.

 

Du musst viel eher direkt die global gültige IPv6 des Raspberry benutzen!

Ob die Einstellung der statischen IPv4 ohne IPv6-Teil evtl. Probleme machen kann, kann ich dir nicht sagen - schau einfach mal auf dem Raspberry per ifconfig, ob der Raspberry überhaupt eine IPv6 hat...

0 Gefällt mir
Vitaly
Netzwerkforscher
Netzwerkforscher
Als Antwort auf reneromann

am ‎26.05.2018 09:36

Meine Präferenz wäre natürlich auch, den Raspberry direkt über seine globale IPv6 zu errecihen. Das klappt aber irgendwie nicht. Der Raspberry bekommt bereits erfolgreich eine IPv6. Zum Testen habe ich den Eintrag in /etc/dhcpcd.conf für die statische IPv4 auskommentiert. Privacy Extensions habe ich wieder aktiviert (slaac private), weil das nicht mehr über Portweiterleitung des Routers funktionieren sollte und deswegen sollte es auch so passen.

Hier ist mein ifconfig:

ifconfig.png

Das Ergebnis ist aber leider immer noch gleich: ich kann keine IPv6 auf https://centralops.net/co/Ping.aspx anpingen. Da kriege ich jedes Mal ein TimedOut.

0 Gefällt mir
reneromann
SuperUser
SuperUser
Als Antwort auf Vitaly

am ‎26.05.2018 10:06

Der PING muss auch separat freigeschaltet werden, weil er standardmäßig (als Sicherheitsmaßnahme gegen Scans in dein Netz hinen) vom Router abgeblockt wird.

 

Weiterhin: Mit aktivierten Privacy Extensions ändert sich deine IPv6 in regelmäßigen Abständen - ganz böses Foul, wenn man von außen etwas freigeben möchte...

 

Und wie ich schon schrieb:

Portweiterleitungen gibt es bei IPv6 nicht mehr, weil es kein NAT mehr gibt. Du adressierst direkt die Ports auf dem Raspberry und musst in der Firewall des Routers nur den Traffic zu diesem Port erlauben.

 

Hast du denn schon mal versucht, im lokalen Netz per IPv6 auf den Raspberry zu kommen?

Klappt das wenigstens?

0 Gefällt mir
thomasschaefer
Royal-Techie
Royal-Techie

am ‎26.05.2018 11:33

Da Ping und TCP 22 wirklich komplett verschieden sind, probiere mal bitte den Portscanner:

http://www.ipv6scanner.com/
0 Gefällt mir
Vitaly
Netzwerkforscher
Netzwerkforscher
Als Antwort auf reneromann

am ‎26.05.2018 11:40

Zu den Privacy Extensions: ich habe ein dynamic DNS für den Raspberry eingerichtet, deswegen war mein Plan eine SSH Verbindung über ein Domain zu erstellen. In diesem Fall sollte es dann kein Problem sein, wenn die IPv6 vom Raspberry sich ändert. Die IPv6 wird jede 5 Minuten überprüft und bei Bedarf aktualisiert, sodass ein Domain immer zu aktueller IPv6 leitet. Aber wie gesagt, ich habe versucht, die Privacy Extensions zu deaktivieren, aber es funktioniert immer noch nicht. Deswegen liegt das Problem vermutlich nicht daran.

 

Wo kann ich denn die Firewall-Einstellungen des Routers finden, um den Traffic zu dem SSH-Port vom Raspberry zu erlauben? In 192.168.0.1 finde ich keine solchen Einstellungen, also nur Portweiterleitung wie auf dem Screenshot oben. Das einzige, was ich dort noch gefunden habe, war die "UPnP Funktion" Checkbox.  Zum Testen habe ich sie mal aktiviert und den Router neu gestartet. Leider immer noch keine Auswirkung.

 

Im lokalen Netz kann ich den Raspberry via seine globale IPv6 erreichen, das klappt problemlos.

0 Gefällt mir
Vitaly
Netzwerkforscher
Netzwerkforscher
Als Antwort auf thomasschaefer

am ‎26.05.2018 11:56

Ich habe die IPv6 vom Raspberry auf http://www.ipv6scanner.com/ geprüft. 

Alle Ports werden als FILTERED markiert:

"FILTERED The port is blocked by firewall or other network obstacle"

 

Was ich einteressant fand: dort gabt es in der Liste keinen 10622 Port, auf den ich SSH auf dem Raspberry umgestellt habe. Auf der Webseite kann man eigene IPv6 sehen und ich habe die Ports für meinen Laptop geprüft.

Für den Laptop wurden die gleichen Ports wie beim Raspberry aufgelistet und alle waren auch FILTERED.

 

Kann das sein, dass das ganze Traffic zuerst über Router geht? Deswegen sieht man auf der Webseite immer die gleichen Ports für verschiedene Geräte und alle sind FILTERED.

0 Gefällt mir
thomasschaefer
Royal-Techie
Royal-Techie

am ‎26.05.2018 12:11

Du kannst aber bevor du scannst einen individuellen Port angeben, auch 10622.
0 Gefällt mir