1

Frage

2

Antwort

3

Lösung

Fritzbox 6591 Portfreigaben IPv6 auf Raspberry PI
Hüsi
Smart-Analyzer
Smart-Analyzer

Hallo zusammen,

finales Ziel: ich möchte zu Hause für den Fernzugriff einen Wireguard Server auf nem RasPi bereiben.

Zwischenziel: Webserver erreichbar (Zwischenziel, da einfacher zu konfigurieren, nachdem ich bei Wireguard auf Fehler gelaufen bin)

Gegebenheiten: Fritzbox 6591 in NRW von Vodafone mit DS-lite Anschluss und FritzOS 7.29, funktionierender MyFritz Zugang zur Fritzbox, RasPi 3b mit laufendem Apache auf Port 8000. congstar Mobilfunk (unterstützt IPv6)

 

Nachdem ich den Zugriff mit Wireguard nicht hinbekommen habe, dachte ich mir "versuchs erstmal mit nem Webserver". Dieser läuft auch auf dem Pi und ist intern problemlos erreichbar auch über die IPV6 Adresse.

 

Auf der Fritzbox habe ich im Punkt Internet -> Freigaben -> Portfreigaben eine MyFritz-Freigabe erstellt (als "Andere Anwendung" mit Schema http, da ich an Port 8000 muss. Beim nächsten Öffnen wird mir auch als IPv6 eine Subdomain meiner MyFritz Adresse (sinngemäßer Aufbau: raspiname.myfritzname.myfritz.net:8000) angezeigt inkl. dazugehöriger V6-Adresse. nslookup löst die bei mir auch auf.

 

Ich hätte jetzt erwartet, dass ich den PI bzw. den Apache, wenn ich diese Adresse im lokalen Browser oder auf dem Handy aufrufe, erreiche. Jedoch gibts immer ein "Website nicht erreichbar". Ich komm also nicht durch und ich vermute, dass ist auch der Grund, warum ich nicht an den Wireguard-Server herankomme. 

 

Ich hoffe es ist einigermaßen klar, was ich vor habe und wie meine Konfig aussieht. Vielleicht kann mir ja jemand auf die Sprünge helfen. Falls noch etwas unklar ist: Bitte nachfragen.

Vielen Dank schon mal für die Hilfe. 

 

Hüsi

1 Akzeptierte Lösung

Akzeptierte Lösungen
12 Antworten 12
reneromann
SuperUser
SuperUser

Du musst unbedingt die IPv6-Privacy Extensions auf dem Raspberry deaktivieren!

 

Und schaue unbedingt mal per netstat -ln, ob auf dem RasPi auf dem gewählten Port auch IPv6-seitig ein Dienst "lauscht".

verwendest du pivpn?

das ist recht einfach zu konfigurieren..

was @reneromann geschrieben hat ist natürlich auch richtig  😉

thomasschaefer
Royal-Techie
Royal-Techie

Prüfe bitte zwei Dinge:

Ist die freigegebe Adresse identisch mit einer vom Raspberry Pi?

(die Fritzbox wählt manchmal nicht die richtige aus, bzw. privacy extensions verhageln alles)

Trage myfritz in den DNS Rebindschutz ein.

 

 

Nach dem Wochenende schaff ich's hier wieder ran zu gehen. Danke für die Antworten.

 

@reneromann@RobertP : die Privacy extensions sind deaktiviert und auf IPv6 läuft der Dienst laut netstat. Und ich komm ja auch lokal über V6 an den Apache

 

@RobertP  Ja hab pivpn verwendet. Da das aber nicht klappte, wollte ich um weitere Fehler auszuschließen, erst mal nen simplen Apache testen, der dann jetzt auch nicht funktionierte.

 

@thomasschaefer Ob die V6-IP vergeben ist, kann ich nicht zu 100% sagen. In der Fritzbox sehe ich in den Eigenschaften des RasPI im Bereich Netzwerk als IPv6-Interface-ID die IP Adresse, die auch das nslookup auflöst. Guck ich aber direkt auf dem PI (ifconfig), dann taucht diese Adresse dort nicht auf.  Vermutlich ist es das. Der PI steht aber auf DHCP (ziemlich sicher, ist frisch aufgesetzt und ich hab diesbezüglich nichts geändert) und die IP wird über die FritzBox fix vergeben.

Meine myfritz-Adresse (bzw. die des PI) hab ich beim DNS-Rebind Schutz jetzt eingetragen, brachte aber auch keine Verbesserung. 

läuft auf dem Raspberry eine Firewall (z.B. ufw)?

 

gibt der Befehl

sudo ufw status numbered

etwas aus?

@RobertP Nein. Command not found. 

Hüsi
Smart-Analyzer
Smart-Analyzer

Zwischenstand: ich hab jetzt den PI nochmal komplett in der Fritzbox unter Netzwerk-> Gerätename zurückgesetzt und komm jetzt von extern auf den Apache. Die richtige IPv6 taucht jetzt in der FB Konfig auf und wird an den PI auch vergeben.

 

Wireguard teste ich jetzt.

Hüsi
Smart-Analyzer
Smart-Analyzer

Wireguard klappt leider noch nicht. Handshake did not complete after 5 seconds. Komm also nicht durch würde ich sagen. Ein Online-Portscanner bestätigt das auch.

 

Ich bin mir bei der Freigabe auch nicht ganz sicher, was ich dort als Schema angeben soll. So wie ich das verstehe, bestimmt das ja nur die Protokollangabe in der Anzeige der myfritz-Adresse (also bspw. das führende http://) und sollte hier egal sein. Beim Suchen (am Freitag schon) hab ich auch gelesen, dass Wireguard auf UDP hört. Dazu find ich aber bei V6 gar keine Möglichkeiten mehr in der Fritzbox. 

wireguard.JPG