cloudservice in DMZ hinter CH7466CE ipv6 DS-lite n... – Seite 2

siamoss · ‎17.02.2019

Hi,

Ich habe die Herausforderung, meinen server am Vodafone Kabel anschluss mit ipv6 ans Rennen zu bekommen, erstmal angenommen, aber er ist weiterhin von außen nicht erreichbar. ich habe vieles versucht und schon 2 volle Tage bis 2uhr nachts investiert, jetzt komme ich hier nicht weiter

Hintergrund:

Ich habe einen DSL Anschluss von 1&1 wo bislang mein Server läuft. dieses Netz ist insofern demilitarisiert als dass er einzig und allein für meinen Server dient. kapert also ein Angreifer meinen Server, wird er sich in diesem Netz schnell sehr einsam fühlen. Das Heimnetzwerk ist an dem Kabelanschluss von Vodafone red 200 internet & phone. nun möchte ich meinen Server in eine DMZ (demilitarisierten zone, nicht exposed host) vom 1&1 Anschluss an den Vodafone anschluss umziehen und den 1&1 Anschluss abstoßen.

Anforderung:

der Server muss erreichbar sein

1. von außen aus dem internet weltweit

2. von usern, die noch eine ipv4 adresse haben

3. aus dem Mobilfunknetz (vom SmartPhone)

Ausgangssituation

- der Vodafone CH7466CE (externer router) wird im Routermodus betrieben

- über den Kabelanschluss wird eine dynamische ipv6 Adresse zugewiesen

- DS-lite ist aktiv

- am externen router hängt per LAN der Server (raspberry pi = raspi)

- außerdem befindet sich am externen router per LAN ein sekundärer router (fritzbox 7560) der als Accesspoint betrieben wird und das Heimnetz absichert

- am externen router ist die ipv6 portweiterleitung von port 80 bis 450 auf die MAC Adresse des raspis konfiguriert (nur 80 und 443 geht ja nicht bei dem Schrott)

- der raspi updatet mit dem ddclient erfolgreich seine ipv6 (sichtbar über ifconfig) für den dynamicDNS Service, hier z.b. spdns, damit der raspi über einen statischen domainnamen erreicht werden kann.

Fehlerbild

- die ipv6 des Servers (raspi) sichtbar über ifconfig ist aus dem internet nicht erreichbar (online ping NOK), mit dieser muss aber nach meinem Verständnis von ipv6 der Server adressiert werden

- damit ist auch die domain nicht erreichbar. Lediglich lokal kann diese über den domainname sowie über Eingabe der ipv6 adresse erreicht werden

Weiteres

- die WAN ipv6 des routers ist erreichbar (online ping OK)

- auch die LAN ipv6 des routers ist erreichbar (online ping OK)

Vermutung

- Ich schätze das Problem liegt an dem DS-lite und der damit verbundenen ipv4 Tunnellung

Folgende Fragen

- sind die Anforderungen mit der vorhandenen Hardware sowie mit dem gegebenen Vodafone Anschluss technisch überhaupt realisierbar?

- Welche Lösungsansätze gibt es noch?

Lösungsansätze

a.) man kann den externen kabelrouter auch im bridgemode betreiben. der DHCP Server würde dann im sekundären router (fritzbox 7560) konfiguriert und laut vodafone erhält man dann eine ipv4 adresse. Ist gewährleistet, dass dies eine dauerhafte Lösung ist? Außerdem würde am sekundären Router dann noch ein dritter Router benötigt, um das Heimnetz abzusichern. Eine adäquate Lösung ist das nicht gerade aber wenn es funktioniert... Es reicht dann ja eine einfache Fritzbox z.b. die 4040 als tertiären router (*omg*)

b.) Einsatz einer neuen Kabel Fritzbox 6490, aber würde dies das Problem lösen? Löst dies auch die Anforderung 2? Ich habe gesehen, dass ich über meinen DSL anschluss, der noch eine ipv4 bekommt z.b. die ipv6.google.com nicht anpingen kann. Kann das für clients mit ipv4 Adresse zum Problem werden?

c.) Erweiterung des Vertrags auf business so dass ich wieder eine ipv4 adresse bekomme mit einem angemessenen router. Dann müsste ich doch meinen server im dual stack mode betreiben können. Wieviel kostet das dann zusätzlich und kann ich meinen Vertrag einfach upgraden oder beginnt die Laufzeit dann wieder von vorne?

danke schonmal für die Unterstützung

reneromann · ‎17.02.2019

@siamoss schrieb:
ich würde sagen man sollte eher gegen solche Punkte in den AGBs vorgehen ob sie überhaupt rechtens sind. Mit der Routerfreiheit wurden ja bereits erste Verbesserungen erzielt.

Erst einmal steht genau dieser Punkt in den AGB, die du bei Vertragsschluss akzeptiert hast. Für "normalen" Heimgebrauch wird da sicherlich niemand etwas sagen, wenn du MAL von außen auf dein eigenes NAS zugreifst - nur einen ausgedehnten Serverbetrieb könnte dir der ISP halt mit einer Sonderkündigung quittieren.

Für einen richtigen Serverbetrieb ist ein Kabelanschluß en nicht wirklich geeignet, weil er viel zu wenig Upload hat - da kommst du mit einem günstigen Server bei einem der "normalen" Hoster aber selbst bei einem Cloudanbieter deutlich günstiger.

Und weiterhin hast du bei einem normalen Endkundenanschluß nur einen SLA von mehreren Tagen -und- eine Verfügbarkeit von 98% im Jahresmittel - mehrere Tage Ausfall am Stück sind also vertraglich gesehen völlig in Ordnung - ob du das bei deinem Service verkraften kannst/willst, musst du selbst wissen. Nur Ansprüche gegen deinen ISP kannst du da nicht draus ableiten.

Und noch was: Einige Dienste laufen an einem Anschluß mit dynamischer IPv4 (so du sie halt überhaupt noch bekommst) nicht wirklich vernünftig. Unter Anderem ist der Betrieb eines eigenen Mailservers damit so gut wie gar nicht möglich, weil die dynamischen IP-Ranges auf nahezu allen SPAM-Blacklists stehen. Und ausgetragen bekommst du sie dort nicht. Dann kommt halt der fehlende rDNS-Eintrag dazu und schon landest du fast überall im SPAM (wenn du überhaupt Mails "abkippen" darfst).

siamoss · ‎17.02.2019

mich würde mal interessieren wie die Lösungsstrategie aussieht, wenn diese ipv4 Adressen so ein großer Mangel darstellen aber immer mehr Geräte und Haushalte an das Internet angebunden werden und die Verwendung von ipv6 nicht flächendeckend funktioniert. Wie gesagt, prinzpiell wäre ich ja bereit auch ipv6 zu verwenden, aber selbst wenn ich die firewall komplett deaktiviere ist mein Gerät über die ipv6 Adresse nicht erreichbar.

reneromann · ‎17.02.2019

Die Lösungsstrategie nennt sich langfristiger Einsatz von IPv6 -und- CGNAT für IPv4.

DS-Lite ist genau ein solcher Modus - du hast eine vollwertige öffentliche IPv6-Anbindung und eine per CGNAT ausgeführte IPv4-Verbindung.

Im Mobilfunk ist CGNAT schon seit Jahren Standard - und auch da ist es nur noch eine Frage der Zeit, bis VF hier mit IPv6 nachzieht (die Telekom hat IPv6 im Mobilfunknetz schon seit mehreren Jahren im Einsatz).

Und zum Thema IPv6-Erreichbarkeit des Raspberry:

Wichtig ist, dass du im Serverbetrieb des RPi die PrivacyExtensions deaktivierst! Mit aktivierten PE wird das nichts werden (von ständig wechselnden IPv6-Adressen dann mal abgesehen).

siamoss · ‎17.02.2019

die wechselnden ipv6 adressen sollten doch kein Problem sein, dafür gibt es ja den dynDNS und mit dem ddclient kann man die aktuelle ipv6 updaten. dies habe ich über web checkip gemacht und die ipv6 adresse wird auch richtig beim dynDNS service eingetragen.

das mit den privacy extensions war ein guter Hinweis, ich habe diese deaktiviert und nun funktioniert auch der online ipv6 ping. allerdings scheint dies nur mit deaktivierter firewall zu funktionieren. aktiviere ich die firewall in diesem unterirdischen kabel router, kommt wieder keine Antwort. d.h. die portweiterleitung scheint nicht zu funktionieren

allerdings kann ich von meinem 1&1 Anschluss die ipv6 adressen ja nicht anpingen. nach meinem Verständnis würde es so nie möglich sein, eine Verbindung von meinem 1&1 Anschluss, wo ich eine dynamische ipv4 Adresse erhalte, eine Verbindung zu dem Server der am Kabelanschluss hängt, herzustellen. Sehe ich das so richtig? Denn das wäre für die ipv6 Verträglichkeit ein massiver Nachteil wenn diese Teilnehmer ausgeschlossen werden. der 1&1 Anschluss ist grad mal 1 jahr alt, warum kann man von diesem den ipv6.google.com nicht anpingen. Damit bin ich nicht der einzige. Wenn die ISP wirklich die Umstellung mit vorantreiben wollten, wäre sicherzustellen, dass bei neuanschlüssen auch das neue protokoll verwendet werden kann

reneromann · ‎17.02.2019

@siamoss schrieb:
die wechselnden ipv6 adressen sollten doch kein Problem sein, dafür gibt es ja den dynDNS und mit dem ddclient kann man die aktuelle ipv6 updaten. dies habe ich über web checkip gemacht und die ipv6 adresse wird auch richtig beim dynDNS service eingetragen.

Das Problem mit wechselnden IPv6-Adressen bei aktivierten Privacy Extensions ist, dass diese sich z.T. binnen von Minuten ändern können - das ist dann zu schnell für DynDNS-Dienste.

@siamoss schrieb:
das mit den privacy extensions war ein guter Hinweis, ich habe diese deaktiviert und nun funktioniert auch der online ipv6 ping. allerdings scheint dies nur mit deaktivierter firewall zu funktionieren. aktiviere ich die firewall in diesem unterirdischen kabel router, kommt wieder keine Antwort. d.h. die portweiterleitung scheint nicht zu funktionieren

PING6 und Portweiterleitung sind zwei verschiedene Paar Schuhe!

Nur weil die FW des Routers PING6 unterdrückt, heißt das noch längst nicht, dass die Portfreigabe nicht offen ist.

@siamoss schrieb:
allerdings kann ich von meinem 1&1 Anschluss die ipv6 adressen ja nicht anpingen. nach meinem Verständnis würde es so nie möglich sein, eine Verbindung von meinem 1&1 Anschluss, wo ich eine dynamische ipv4 Adresse erhalte, eine Verbindung zu dem Server der am Kabelanschluss hängt, herzustellen. Sehe ich das so richtig? Denn das wäre für die ipv6 Verträglichkeit ein massiver Nachteil wenn diese Teilnehmer ausgeschlossen werden. der 1&1 Anschluss ist grad mal 1 jahr alt, warum kann man von diesem den ipv6.google.com nicht anpingen. Damit bin ich nicht der einzige. Wenn die ISP wirklich die Umstellung mit vorantreiben wollten, wäre sicherzustellen, dass bei neuanschlüssen auch das neue protokoll verwendet werden kann

Wenn dein 1&1-Anschluß noch kein IPv6 unterstützt, dann kannst du - wie du richtig anmerkst - NICHT auf IPv6-Dienste zugreifen (sei es ipv6.google.com -oder- dein Kabelanschluß). Und leider lassen sich da einige ISP (u.a. 1&1, aber auch o2) ziemlich lange Zeit...

Letzten Endes im Mobilfunkbereich genau so - während die Telekom schon vor Jahren IPv6 aktiviert hat, sieht's derzeit bei VF und o2 noch mau aus (wobei VF hier wohl kurz vor der Einführung steht, während o2 noch gar keine Anstalten macht).