Frage
Antwort
Lösung
am 05.06.2018 11:49
ich habe einen Home-Server (Debian-Linux), den ich über eine Freigabe in der FritzBox via IPv6 von außen erreichbar gemacht habe. Für die Firewall-Regel benötige ich eine feste bzw. eine bekannte IP-Adresse. Daher habe ich im Server eine statische IP-Adresse vergeben.
Das Setup lief einige Zeit ohne Probleme, jetzt hat sich allerdings mein IPv6 Präfix geändert und die statische IP-Adresse passt natürlich nicht mehr.
Folgende Lösungsansätze habe ich bisher gefunden:
1. DHCPv6 verwenden. Das hätte allerdings zur folge, dass die anderen Geräte im Heimnetz Privacy Extensions nicht mehr verwenden können, oder sehe ich das falsch?
2. Privacy Extensions deaktivieren und die auf der Mac-Adresse basierende IPv6 Adresse verwenden. Das wird allerdings nicht von allen Geräten unterstützt. Außerdem scheint mein Server standardmäßig eingehende Verbindungen von Extern über diese Adresse zu blockieren.
Die schönste Lösung wäre natürlich eine statische Host-Adresse zu vergeben, und das Präfix über RA abzufragen, aber das scheint noch nicht vorgesehen zu sein.
Gibt es für IPv6 Firewall Regeln bei dynamischen Präfix eine schöne Lösung bzw. sowas wie ein Best practice?
am 05.06.2018 14:55
Hallo A-S,
eigentlich ist das ganz einfach: Die privacy extensions werden nur auf deinem Server ausgeschaltet.
In der Fritz!Box wird dann die Firewall-Regel für das (eine) Interface angelegt.
Was aber immer sein kann ist, dass der Fritz!Box ein neues Präfix zugeordnet wird. Das kannst du aber über einen Dyndns-Dienst abfangen (der IPv6 unterstützt). Damit das dann auch richtig funktioniert wird der Dyndns-Updater direkt auf dem Server installiert.
Die interne (fe80) Adresse bleibt aber immer die selbe.
Andreas
am 05.06.2018 16:31
am 05.06.2018 17:42
am 05.06.2018 18:10
am 05.06.2018 18:40
Danke für euren Input!
Auf meinem anderen Server würde ich allerdings gerne Temp-Adressen aktiviert lassen, da ich diesen auch ausgehend als Proxy nutze.
Der Server hat 3 IPv6 Adressen:
1. fe80::<Mac Adresse> (Link lokal)
2. <prefix>::<Mac Adresse>
3. <prefix>::<Temp Adresse>
Ich kann den Server über die 1. und 3. Adresse erreichen. Allerdings nicht über die 2. (Die Firewall von Server B habe ich zum Test komplett deaktiviert)
Sollte der Server nicht auch über die 2. Adresse erreichbar sein? Oder ist es einfach nicht vorgesehen, falls PE aktiviert ist?
am 05.06.2018 18:53
Hallo A-S,
bei mir war es so, dass mein Server unter der Adresse Typ 2 (von deinem Beispiel) nicht erreichbar war, wenn die privacy extensins aktiv sind.
Diese Adresse steht zwar auch in der Liste der IP-Adressen zu diesem Netzwerkgerät in der Fritz!Box, ist aber nicht mehr gültig.
Oder auch einfach: Das geht nicht, da ja die privacy Extension aktiv sind, damit eben nicht das Interface erkannt wird.
Die Fritz!Box ist schon so intelligent, dass die Freigabe in der Firewall für das jeweilige Interface eingerichtet wird, auch wenn die PE aktiv sind. Jedoch ändert sich dann jeweils die komplette IP-Adresse und das muss der DynDNS Dienst/ Updater erstmal hinbekommen, wenn man auf dieses Geräte von Außen wieder zugreifen möchte.
Andreas