DSLite blockt VPN – Seite 4

FH_1 · ‎28.12.2021

Hallo zusammen,

anscheinend vergibt Vodafone ja keine dynamischen IPv4-Adressen mehr.

Meine (eigene) FritzBox 4590 ist aktuell mit aktivierter IPv6-Unterstützung auf die Native IPv6-Anbindung mittels DHCPv6 eingerichtet.

Leider habe ich das Problem dass z.B. Portfreigaben auf meinen Rechner nicht mehr Funktionieren, der VPN-Zugriff von extern auf die Fritzbox ebensowenig und auch meine Verbindungen aus dem Home-Office sind unter Anderem sehr gestört.

Ich habe bereits 16 Mal bei der Hotline angerufen, dort konnte mir keiner so wirklich weiterhelfen. Teils wurde gar nicht auf mein Ticket reagiert.

Hat hier ggf. einer der Moderatoren eine Möglichkeit für meinen Anschluss IPv4 zu aktivieren oder mir sagen wie ich die IPv6 entsprechend konfiguriere? Eine statische IPv4 wäre auch in Ordnung.

Danke schonmal!

niros · ‎04.01.2022

@FH_1 : warum steht denn nur die letzte Hälfte der IPv6 ohne Präfix, also 4x 16 bits vorweg auf 0, dort?? Hast du vielleicht eine falsche Netzmaske in der Portfreigabe vergeben? Es müsste doch beim DS-lite die /124 sein, wenn ich mich nicht irre.

niros

RobertP · ‎04.01.2022

@niros schrieb:
@FH_1: warum steht denn nur die letzte Hälfte der IPv6 ohne Präfix,

so wird das bei Fritzboxen angezeigt 😉

niros · ‎04.01.2022

@FH_1 : genau das, was @RobertP dir schreibt, ist wichtig!

niros

niros · ‎04.01.2022

@RobertPach sooo ...

niros

FH_1 · ‎04.01.2022

@RobertP
Naja, wenn ich von einem außenstehenden Netzwerk aus darauf zugreifen möchte dann gebe ich natürlich die IP des Routers ein - dieser sollte ja die Anfragen dann entsprechend weiterleiten.
Und wenn das vom externen Netz aus geht dann muss das ja auch vom internen Netz über die Gateway-IP gehen...

RobertP · ‎04.01.2022

@FH_1 schrieb:
@RobertP
Naja, wenn ich von einem außenstehenden Netzwerk aus darauf zugreifen möchte dann gebe ich natürlich die IP des Routers ein

so funktioniert IPv6 nicht

da wird nichts weitergeleitet sondern nur in der Firewall freigegeben

daher heißt es auch IPv6 Freigabe

Portweiterleitungeng gibt es nur bei IPv4

FH_1 · ‎05.01.2022

@RobertP
Ah, okay, wieder was gelernt!
Ich habe jetzt nochmal genauer geschaut und explizit ein Programm auf meinem Rechner hochgefahren und den Port via iptables freigegeben, ebenso in der Fritzbox für IPv4 und IPv6.

Wenn ich nun von einem externen Server einen nmap auf die IPv6 und den Port durchführe ist der STATE immer filtered, egal ob das Programm am Rechner läuft oder nicht. Also kann ich den Rechner hier als Ursache ausschließen.
Ein curl auf die IPv6 und den Port liefert immer ein "Permission denied".
Nun habe ich das Ganze mit verschiedenen Ports getestet um sicherzustellen dass hier nicht ein Filter von Seiten Vodafone eingreift, allerdings ist das Ergebnis überall das Selbe.
Vielleicht kannst du dir darauf einen Reim machen...

RobertP · ‎05.01.2022

und von intern funktioniert der Zugriff über die IPv6 ?

hast du IPv6 in der Firewall des Servers generell erlaubt und für die jeweiligen Ports Freigegeben ?

wenn du UFW installiert hast mach mal ein:

sudo UFW status numbered

FH_1 · ‎05.01.2022

@RobertP

Intern funktioniert der Zugriff, korrekt.

Der Server ist ein produktiver Mailserver, welcher auch über IPv6 Mails versendet und entgegennimmt - das dürfte also kein Problem sein.
UFW läuft nicht darauf.
Zur Sicherheit habe ich über iptables den Testport manuell nochmals freigegeben:

[14:09:38][root@host:~]$iptables -A OUTPUT -p tcp --dport 991 -j ACCEPT
[14:09:41][root@host:~]$iptables -A INPUT -i ens3 -p tcp --dport 991 -j ACCEPT
[14:09:45][root@host:~]$nmap -6 -Pn 2a00:1e:d380:xxxxxxxxx -p 991
Starting Nmap 7.70 ( https://nmap.org ) at 2022-01-05 14:09 CET
Nmap scan report for 2a00:1e:d380:xxxxxxxxx
Host is up (0.015s latency).

PORT    STATE    SERVICE
991/tcp filtered nas

Nmap done: 1 IP address (1 host up) scanned in 0.29 seconds

RobertP · ‎05.01.2022

du bist jetzt aber intern oder woher kommt der Output der Konsole?

läuft der Dienst der auf den Port hört denn auch?

@FH_1 schrieb:

Intern funktioniert der Zugriff, korrekt.

auch über IPv6 ?