Community Navigation
abbrechen
Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du 
1

Frage

2

Antwort

3

Lösung

SSH Verbindung über IPv6
Vitaly
Netzwerkforscher
Netzwerkforscher

am ‎25.05.2018 16:19

Hallo,

 

ich habe einen Raspberry-Pi, der über LAN-Kabel mit meinem Hitron CV-30360 Router verbunden ist. Der Raspberry-Pi ist bereits für IPv6 eingerichtet und bekommt erfolgreich eine IPv6 Adresse. Jetzt will ich mich über das Internet mit dem Raspberry über seine globale IPv6 verbinden. Wenn ich das in meinem Heimnetz mache, also "ssh user@pi_global_ipv6", dann klappt es. Wenn ich das extern mache oder einfach auf der Webseite https://centralops.net/co/Ping.aspx die globale IPv6 des Raspberry anpinge, dann geht es gar nicht.

Was ich gelesen habe, kann mein Router den Zugriff blocken und man muss das im Firewall freigeben. Ich kann aber diese Möglichkeit in den Einstellungen des Routers nicht finden. Es gibt da nur Portweiterleitung Einstellungen. Übrigens kann man hier in den EInstellungen die IPv6 Adresse des Routers finden und sie kann ich problemlos auf https://centralops.net/co/Ping.aspx anpingen. Deswegen habe ich entschieden, die Portweiterleitung einzurichten. Es sieht so aus:

Portweiterleitung.png

Auf dem Raspberry-Pi habe ich SSH auch auf 10622 Port umgestellt und lokal getestet, es funktioniert.

Jetzt versuche ich das so "ssh user@router_global_ipv6 -p 10622" aber leider wieder ohne Erfolg. 

 

Warum klappt es bei mir nicht, den Raspberry-Pi direkt über seine globale IPv6 zu erreichen? Wenn das unmöglich ist, warum funktioniert die Portweiterleitung nicht oder mache ich etwas falsch?

 

Vielen Dank im Voraus!

 

VG, Vitaly

 

0 Gefällt mir
16 Antworten 16
Vitaly
Netzwerkforscher
Netzwerkforscher
Als Antwort auf thomasschaefer

am ‎26.05.2018 13:09

Für den 10622 Port zeigt es auch FILTERED. 

Wo könnte ich dann diesen Port freigeben? In den Router EInstellungen sehe ich keine solche Möglichkeit.

0 Gefällt mir
reneromann
SuperUser
SuperUser
Als Antwort auf Vitaly

am ‎27.05.2018 11:09

Das Problem ist, dass mit den Privacy Extensions die vom Router auf Grundlage der eingegebenen MAC-Adresse berechnete IPv6 nicht mit der vom Raspberry verwendeten Adresse übereinstimmt.

 

Daher schaltet der Router dann den Port nicht frei - deshalb ja auch meine Bitte: Privacy Extensions abschalten!

 

Und beim Testen dann bitte unbedingt darauf achten, dass du die IPv6 des Raspberry verwendest!

0 Gefällt mir
Vitaly
Netzwerkforscher
Netzwerkforscher
Als Antwort auf reneromann

am ‎27.05.2018 13:50

Ok, ich habe die Privacy Extensions auf dem Raspberry deaktiviert. Jetzt hat er die IPv6 Adressen, die am Ende mit seinem MAC ähnlich sind. 

 

Ich prüfe auf http://www.ipv6scanner.com die globale IPv6 vom Raspberry und den 10622 Port, auf dem SSH aktiv ist. Das Ergebnis auf der Webseite ist leider immer noch FILTERED 😕

0 Gefällt mir
reneromann
SuperUser
SuperUser
Als Antwort auf Vitaly

‎27.05.2018 15:01 - bearbeitet ‎27.05.2018 15:10

Hast du denn mal probiert, von einem anderen IPv6-fähigen Anschluss von außen per SSH auf den Port 10622 zuzugreifen?

 

Und auch auf die Gefahr hin:

Hast du mal mit "netstat -aln |grep 10622" geschaut, ob der Port auch wirklich auf dem Raspberry geöffnet ist?

Wenn ja, sollte da etwas wie

"tcp 0.0.0.0:10622 0.0.0.0:* LISTEN" -und-

"tcp6 :::10622 :::* LISTEN" stehen...

 

Weiterhin sollte natürlich auch die Firewall auf dem Raspberry, sofern aktiv, geprüft werden - nicht das die derzeit nur lokale Verbindungen zulässt und alles aus dem Internet abblockt...

 

Noch was:

Die globale IPv6 auf dem PI sollte nach Deaktivierung der Privacy Extensions in Etwa so aussehen:

=> MAC-Adresse: OP:QR:ST:UV:WX:YZ

=> letzte 64 Bit der IPv6: OP*QR:STff:feUV:WXYZ

(P* deshalb, weil diese Zahl durch ein binäres Austauschen des 3. Bits abgeändert wird).

 

Daher reicht es in der Routerfirewall auch, die MAC-Adresse anzugeben - weil aus dieser die letzten 64 Bit der IPv6 abgeleitet werden -und- die ersten 64 bit, also der Präfix, eh vom Router kommen.

Vitaly
Netzwerkforscher
Netzwerkforscher
Als Antwort auf reneromann

am ‎28.05.2018 20:50

@reneromann danke nochmal für deine Unterstützung!

 

"netstat -aln |grep 10622" sieht bei mir so aus:

netstat_10622.png

aus meiner Sicht sollte da alles passen, oder?

 

Nach der Deaktivierung der Privacy Extensions bekommt der Raspberry eine IPv6, die in zweiter Hälfte mit der MAC-Adresse sehr ähnlich ist. Deswegen würde ich davon ausgehen, dass das auch passt.

 

Ich habe aber heute noch eine Sache gefunden und zwar, dass ich außen meines Heimnetzes einen anderen IPv6-Subnetwork habe, als zuhause. Was ich gelesen habe, kann das Problem sein, wenn der Router zwischen unterschiedlichen Subnetzen keinen Weg findet. Stimmt das? Sorry, wenn das eine dumme Frage ist. Ich bin im Thema ganz neu und kenne mich nicht so gut aus.

 

Ich werde jetzt versuchen, außen meines Heimnetzes auch das gleiche Subnetz einzustellen.  

0 Gefällt mir
thomasschaefer
Royal-Techie
Royal-Techie
Als Antwort auf Vitaly

am ‎28.05.2018 21:00

Hallo @Vitaly

 

Es tut mir zwar leid, dass wir Dein Problem noch nicht lösen konnten. Mache aber deswegen bitte keine unüberlegten Sachen. Netze oder IP-Adressen doppelt zu vergeben war unter IPv4 schlecht und ist es auch unter IPv6.

 

Natürlich hat "draußen" ein Gerät eine andere IPv6-Adresse als beispielsweise jedes Gerät in Deinem Netz.

Sie müssen verschieden sein, sonst könnten sie nicht miteinander kommunzieren.

 

Mit freundlichen Grüßen

Thomas Schäfer

0 Gefällt mir
Vitaly
Netzwerkforscher
Netzwerkforscher
Als Antwort auf thomasschaefer

am ‎29.05.2018 11:18

Kann das sein, dass Vodafone selbst etwas in eigenen EInstellungen (z.B. des Routers?) anpassen muss?

Sollte ich versuchen, mich an Vodafone-Support zu wenden?

0 Gefällt mir