DSM 6.x und darunter DS713+ von extern ansteuern mit Unitymedia IPv6

[jerek4]

Hallo,

ich habe nun schon einiges gelesen, dass es Probleme mit IPv6 und der Erreichbarkeit von außen im Zusammenhang mit der Unitymedia IPv6 Umstellung gibt. Ich selbst schaffe es auch nicht, die Diskstation anzusteuern. Da ich aktuell noch IPv6 habe (konnte es bei Unitymedia auf IPv4 umstellen lassen, was vermutlich die nächsten Tage passiert), frage ich mich, warum ich nicht von meinem IPv6 Internet raus und rein in die DS mich verbinden kann, da die DS ja wohl auch IPv6 unterstützt. Das müsste doch eignetlich gehen, oder kann ich am Tage XY die DS austauschen, wenn IPv4 abgeschafft ist?

Was muss ich wenn wo einstellen? Den Router kann ich nicht in der DS konfigurieren. Das ist ein Cisco 3208G und im Router selbst weiß ich nicht, was ich umstellen könnte.
Den Zugriff über den Browser gebe ich so ein:

NAME.synology.me:5000

Klappt alles nicht.

 

[tomtom00]

Das liegt vermutlich daran, dass du momentan keine richtige IPv4 Adresse besitzt.

Ich habe das selbe Problem mit DS-Lite von Unitymedia.
Das wird auch wohl der Grund sein, weswegen ich in den nächsten Tagen Unitymedia wieder kündige.
Wenn du bald wieder eine richtige! (kein DS-Lite!) IPv4 Adresse erhälst sollte es kein Problem sein.

Wobei ich auch sagen muss, dass ich komischerweise ab und zu genau das gleiche Problem wie du hast.
Trage ich die IPv6 der DiskStation bei einem DynDNS Anbieter ein, kann ich über den Browser auf die DiskStation zugreifen. Manchmal aber eben auch nicht.

Ich denke das es da, einfach noch große Probleme mit der Umstellung auf IPv6 gibt. Generell tut sich Unitymedia auch mit der Umsetzung der FritzBox keinen Gefallen (siehe extrem viele Beschwerden bzgl. der FritzBoxen).

 

[jerek4]

Ich bekomme von Unitymedia nachdem ich da gemeckert habe IPv4. Aber müsste ich nicht mit meinem DDNS Account, den ich bei Synology.me registriert habe (ist hoffentlich auch IPv6), auf die NAS extern von zuhause zugreifen können, also quasi raus und rein wählen? IPv4 wird ja irgendwann abgeschaltet, daher will ich vor der Umstellung zurück auf IPv4 den Zugang per IPv6 testen.

Was muss ich denn im Modem wo eintragen? Vielleicht habe ich da auch noch was falsch gemacht. Die Fritzbox habe ich nicht. Ich hab das Cisco Modem.

 

[tomtom00]

Oh das mit dem Modem habe ich überlesen, sorry. Aber wenn das wirklich nur ein Modem ist dürfte es damit nichts zu tun haben.

Mit dem DDNS Account von Synology.me habe ich es auch nicht geschafft. Das liegt vermutlich daran, dass diese ganzen Dienste nicht die IPv6 der DiskStation speichern und somit nur auf eine öffentliche IPv4 Adresse verweist, die ja z.B. mehrere 100 Benutzer von UM erhalten haben.

Aber wenn du wirklich eine "echte" IPv4 Adresse bekommst, sollte es denke ich dann wieder gehen.

 

[jerek4]

Ja, die Umstellung müsste die Tage erfolgen, bei Beibehaltung der 50er Leitung.

Meinst du wirklich, dass synology.me kein IPv6 support hat? Welchen kostenlosen DDNS nutzt du denn, der auch IPv6 kann. Würd schon noch gerne vor der Umstellung testen, obs auch in Zukunft funktioniert.

 

[tomtom00]

Das Problem ist nicht direkt die Unterstützung, das Problem ist viel mehr, dass es meines Wissens nur einen Anbieter gibt, der eine API hat wo man die IPv6 automatisch aktualisieren könnte.
Nur muss diese API auch auf der Synology in ein Programm gebaut werden, dass dann die IP-Aktualisierung vornimmt.

Der Anbieter ist https://freedns.afraid.org/ funktioniert auch soweit, nur muss man jedes mal wenn sich die IPv6 der DiskStation ändert eben manuell eingeben - auch nicht Sinn der Sache. Deswegen werde ich Unitymedia wieder kündigen und vielleicht in paar Jahren wenn die Umstellung evtl. weiter vorrangeschritten ist es nochmal probieren. Mal sehen, dass muss ich mir noch überlegen.

QTip, der Entwickler seines DDNS Updater (hier im Forum zu finden), hat im Forum geschrieben, dass er aber mal gucken will ob der die API von afraid.org in sein DDNS Updater einbauen kann. Mal abwarten was draus wird

 

[Darkdevil]

Systemsteuerung - Netzwerk - Netzwerkschnittstelle - IPv6-Setup

 

[Fartman]

Das Problem mit IPv6 ist nicht IPv6 sondern deren Implementierung ansich bei Unitymedia. Andere Anbieter mit IPv6 (z.b. rosa riese) haben das Problem nicht..

 

[jerek4]

Ok, also bekommt Unitymedia das nicht richtig auf die Kette bzw. Synology.me unterstützt kein vernünftiges IPv6?! Im Modem muss ich aber nichts einstellen, oder wo muss ich wenn was einstellen? Ich hab dort Port Filterung und Port Triggering.

 

[tomtom00]

Inwieweit von Synology.me auch die IPv6 Adresse gespeichert wird weiß ich nicht.

Wie Fartman geschrieben hat, ist das größte Problem Unitymedia. Deren Implementierung von DS-Lite bringt eben diese Probleme mit sich. Desweiteren bauen sie auch nich ziemlichen Mist mit der FritzBox....

 

[jerek4]

Ok, leider muss ich bei Unitymedia bleiben, wenn ich keinen Geschwindigkeitsverlust hinnehmen will. Ich wohne in einer Einfamiliensiedlung und bis dort Glasfaser liegt ist ganz Köln schon vernetzt. Ohne Glasfaser kann ich nur ne 6er Leitung nutzen. Aber solange IPv4 seinen Dienst erfüllt, bin ich ja dann zufrieden. Danke euch für die Hilfe!

 

[jerek4]

EIne Frage noch: Unter IPv4 gibt man ja POrts unter Port Forwarding frei. Wo macht man das unter IPv6? Dort gibt es das ja nicht mehr. Ich hab nur noch Port Triggering und Port Filterung.

 

[jerek4]

Hallo,

nachdem nun schon wieder ein paar Monate ins Land gezogen sind, möchte ich mal nachfragen, ob es diesbezüglich wieder etwas neues gibt. Aktuell bietet Unitymedia für 35 EUR eine 100 MBit Leitung an. Klingt verführerisch, aber würde wieder neues Modem (Technicolor) und dann def. IPv6 bedeuten. Da ich immer noch meine DS713+ habe, würde ich schon gerne wissen, ob sich da was getan hat.

Kann man nun die Diskstation (IPv6) aus dem IPv4 Netz (wenn ich z.B. bei meiner Familie bin) erreichen oder gibts da immer noch Probleme?

 

[tomtom00]

Nein es gibt und wird dazu denke ich auch nichts neues geben. So lange man bei Unitymedia DS-Lite bekommt wirst du immer das Problem haben, das du "von Außen" nur auf deine DS zugreifen kannst wenn du auch über eine IPv6 Verbindung im Netz bist. Mit einem IPv6 Tunnel geht das auch (nutze ich teilweise in der Uni).
https://www.sixxs.net wäre z.B. so ein Anbieter dafür.

Ich habe eine 6320 von UM und über den MyFritz-Dienst habe ich zumindest eine "DynDNS" Adresse. Da ich die DS meistens nur zu Hause benutze und mein Bruder auch Unitymedia hat, hab ich momentan nicht all zu große Probleme damit das IPv6 noch nicht bei allen Anbietern (z.B. auch im Mobilfunk) angekommen ist.

 

[trininja]

Ich hab mal einige Jahre bei einem Anbieter im technischen Bereich gearbeitet und auch den FUT (Friendly User Test) mitgemacht bevor der DS-Lite scharf geschalten wurde bei uns im Netz samt IPv6 Schulung.

IPv6 sieht nicht vor das es ein Portmapping gibt, sondern das jeder Nutzer sein eigenes Subnet innerhalb eines Providernetzes hat. Man müsste also die Geräte anhand ihrer vergebenen IPv6 Adressen direkt ansprechen. In meinem Fall zum Beispiel: 2a02:xxxx:xxxx:xxxx::/56, diese IPv6 Adresse wurde meinem Kabelmodem zugewiesen. Nett, ich hab nen /56 Netzwerk, das heisst ich hab nen paar Millionen IP Adressen. Nun kann man auf der DS unter Systeminfo nachschauen welche IPv6 diese hat.

Mit dieser IP der DS kann man nun im Browser https://[2a02:xxxx:xxxx:xxxx:xxx:xxxx:fe15:1e4d]:8001 eingeben und ich lande Schnurstracks auf meiner DS. Ein anderes Gerät in meinem Subnet, das auch nach aussen hin Erreichbarkeit haben kann ist auch direkt erreichbar, obwohl ich unter IPv4 keine Portweiterleitung in meinem Kabel Modem (Fritz!Box 6360 cable) angegeben hatte. Ergo fällt das Port Forwarding eh flach, brauch man einfach nicht mehr, da wir mit IPv6 nun alle in einem großen Heimnetzwerk sitzen (Überspitzt gesagt), was auch einer der Kritikpunkte ist, da im Falle von kleineren IP Pools die Netze gezielter gescannt werden können. Solange es bei /56 bleibt, ist das aktuell aber noch ein zu großer Aufwand und dauert zu lange.

DS-Lite hat seine Problem, NAT funktioniert nicht, da die Implementierung aufwendig ist, und das Ziel eh ist sobald wie möglich volles IPv6 zu fahren und zwar Zwangsweise. Man kann sich bei den Anbietern beschweren und auf Dual Stack umgestellt werden (So wie ich es direkt getan habe, da es massive Probleme mit VPN gab, und mein VPN Anbieter noch keine IPv6 Unterstützung hat.) und somit wieder NAT-fähig zu sein. Wenn man das bei der Kontaktaufnahme schon richtig beschreibt ("Hardware nicht mehr von extern Erreichbar, Geräte funktionieren nicht mehr richtig im Internet die nur IPv4 Unterstützung haben." Sowas in der Art halt.) sollten die es machen. Danach hat man beides, eine echte IPv4 und eine echte IPv6 Adresse.

Problem bei DS-Lite ist halt leider, das man bis zum Anbieter zwar eine IPv4 Adresse hat, diese aber aus einem Privaten Subnet kommt, sprich man ist mit dem Provider in einem "lokalen" Netzwerk. Die IPv4 Pakete werden halt gekapselt weitertransportiert über das IPv6 Netzwerk sobald sie sie Entrypoints des Anbieters verlassen. Nach aussen hin hat das Kabel Modem dann auch diese "interne" IPv4 Adresse und ist zu keiner Zeit erreichbar über dieselbige. Alle Pakete direkt an diese IP gesendet, die nicht als Antwort auf eine Anforderung kommen, laufen also ins Leere, da der DS-Lite 0 Ahnung hat, was du von ihm willst. Wenn es eine Antwort auf eine Anforderung des Kabel Modems ist und somit ein gekapseltes IPv4 Paket in einem IPv6 Paket, dann kennt der DS-Lite die Route und findet auch die entsprechende IPv4 Adresse. (NAT auf Providerebene, ganz großes Thema, woran sich schon so einige die Zähne ausgebissen haben wie man das evtl. umsetzen kann, das Portforwarding bei DS-Lite funktioniert.).

Im Grunde ist die Kernaussage aber folgende: Du brauchst kein Portforwarding mehr wenn du selber in einem IPv6 Netz unterwegs bist, was du heute bei den meisten Anbietern eh schon bist, da alle Geräte über ihre IPv6 Adresse auch über den Router hinweg direkt ansprechbar sind. Wenn du in einem IPv4 Netz bist und der Gegenüber hat nur DS-Lite, schwer, sehr schwer. Möglichkeiten sind Proxies, öffentlichen Tunnelbroker und Toredo. Aber bei Toredo schrillen bei jedem guten Admin die Alarmglocken, da es dir nen Tunnel selbst durch die beste Firewall bohrt. 6to4, ja, aber... Im Grunde ist das Thema extrem Komplex und nicht einfach zu lösen, aber es wäre irgendwie machbar. Und eben der freundliche eBrief an den Anbieter zur Umstellung auf DualStack. Hier noch kurz ein Angebot zu dem Thema http://www.feste-ip.net/dslite-ipv6/ . Ist leider ein kostenpflichtiger Dienst, aber er funktioniert auch bei DS-Lite und man ist auch aus einem nativen IPv4 Netz ohne DualStack erreichbar. 1 Jahr kostet 4,95, wer es wirklich viel und oft braucht, naja, muss jeder selber wissen.

P.S.: Ich habs vereinfacht dargestellt, wer mit mir gerne über IPv6 detailierter und technischer diskutieren will weiß hoffentlich wie die PN Funktion geht.

 

[jerek4]

Wow... Das war noch recht viel Tech-Speak für mich. Aber vielen Dank für deine ausführliche Beschreibung.

Sollte ich also DualStack irgendwie bekommen können (hat das jemand Unitymedia schon aus dem Ärmel schütteln können?), könnte ich aus einem IPv4 Netz ins IPv6 Netz bei mir einsteigen? Ich müsste dann aber doch auch einen DDNS-Anbieter haben, der meine IPv6 u. IPv4 Adresse speichert oder wie würde das funktionieren? Gibt es denn überhaupt einen? Bislang greife ich nicht über das Eintragen der IP von Außen auf die Diskstation zu, sondern über einen Namen von einem DDNS-Anbieter.

Warum macht Unitymedia dann dieses schieß DS-Lite, wenn es doch gar keinen Nutzen hat?

Das mit dem Tunneln kommt für mich wohl eh nicht in Frage, da auf den Server auch Bekannte zugreifen, die gerade mal den Browser bedienen können.

Aber sollten alle um mich herum Unitymedia haben und auch dieses DS-Lite, dann würde der Zugang dann funktionieren?

 

[trininja]

Kurz gesagt: Wenn du reines DualStack bekommen würdest, bist du auch aus dem reinen IPv4 Netz erreichbar, da du dann nach wie vor eine echte IPv4 Adresse bekommst, zusätzlich zu deiner IPv6 Adresse. Also es funktioniert dann wie vorher auch, NAT im Router sauber einstellen mit Port Forwarding etc.

DS-Lite hat einfach den Vorteil, das der Anbieter keine echten IPv4 Adressen verbrauchen muss, da er dir "lokale" IPV4 Adressen gibt, die ja "unendlich" sind (Mag nicht wissen wieviele 10.0.0.0/8er und 192.168.0.0/16er Netze es auf der Welt gibt mit wievielen Clients.) und er diese "lokalen" IPs segmentieren/routen/umlenken kann wie er will. Den Heinz Müller von Nebenan interessiert sowas meistens nicht, der hat nen PC, der kommt ins Internet, sein Samsung TV bekommt sein Maxdome und gut ist. Und dann gibts da eben so "Freaks" wie uns. Und Firmen, die brauchen meistens noch IPv4 für ihre Entrypoints (Firewalls, Router, Honeypots, whatever.) für das Port Forwarding, da dort ne ganz andere Infrastruktur dahinterhängt.

IPv4 Adressen sind halt knapp, die letzten Blöcke sind in der Vergabe, es werden zwar immer wieder kleinere Netzesegmente wieder freigelegt, z.B. aus Zeiten als man noch großzügig jedem kleinen Firmennetz nen x.0.0.0 /16 Netz zugewiesen hat, aber es geht dem Ende zu. Daher diese IPv6 Geschichten und vor allem DS-Lite. Wenn irgendwann in 30 Jahren mal alle IPv6 haben und die letzten Geräte ohne IPv6 vom Netz gehen, wird DS-Lite dann eh abgestellt. ^^

Sobald mal alle um dich herum DS-Lite haben, kann man dich jederzeit über IPv6 erreichen, ja, nicht über IPv4, das wird immer nur über oben genannte Methoden gehen.

 

[Matthieu]

Wenn unter IPv6 alle Ports über externe Netze (sprich durch den Router hindurch) erreichbar sind, ist das IMHO ein Problem des Routers. Die Firewall gehört in meinen Augen klar zu dessen Aufgabe. Ein Router der keine v6-Firewall hat, gehört nicht in ein v6-fähiges Netz bzw. darf in meinen Augen nicht von einem Provider empfohlen oder bereitgestellt werden. Nur weil das Netz groß ist, macht es keinen Sinn auf eine gute Firewall zu verzichten. Es gibt ja auch Anwendungen wo ich bewusst die v6-Adresse freigebe. Da möchte ich mich nicht gleich zum Abschuss freigeben.

Auch NAT ist durchaus ein Thema und hat seine Vorzüge. Ich verweise mal auf folgenden Sachverhalt und spare mit lange Erklärungen:
http://lwn.net/Articles/452293/
Ob man NAT mag oder nicht - auch mit v6 gibt es noch Anwendungsfälle dafür. In dem Fall würde man überall wieder die v6-Adresse des Routers verwenden (bei externem Zugriff).

MfG Matthieu

 

[trininja]

Jep, ergänzent dazu muss ich noch anfügen das es wohl bei den Cable Fritz!Boxen so ist, das sie IPv6 generel Filtern und Toredo blocken, seit 6.00 des Fritz!Os kann man nun auch gezielt Toredo Filterung deaktivieren und auch die IPv6 Firewall einstellen, was vorher noch nicht ging. Leider muss man da aber noch ein wenig frickeln bis man das sauber eingestellt hat bei der Fritte, die IPv6 Firewall ist noch ziemlich rudimentär einstellbar, man muss sich die Zieladresse aufschreiben und gezielt als Sonstige/Anderer Host aufbauen, da das Gerät was man freigeben will nach einmal auswählen und einstellen in der Liste nicht mehr aufrufbar ist. AVM hat schon ein Ticket von mir erhalten zur Verbesserung.

Es gibt aber anscheinend Modems/Router, die das noch nicht umgesetzt haben/hatten bisher.

Ich sehe NAT in einem IPv6 Netzwerk als unsinnig an, da ja genug Adressen existieren, eine Firewall mit gezielter Port Filterung wiederum ist eine andere Geschichte und in meinen Augen definitiv zu bevorzugen. Der Vorteil nur 1 Adresse nutzen zu müssen mag sicherlich legitim sein, aber wer über eigene Webseiten mit Zugriff auf die Nameserver verfügt, kann hier auch wunderbar einzelne Subdomains für seine Geräte einrichten, was es ihmo einfach macht zum Beispiel bestimmte Hosts im eigenen Netz nur freizulegen und nicht einen einzelnen Entrypoint, den man gezielt Scannen und somit auf alle offenen Ports kommt.

 

[jerek4]

Ich habe jetzt 2 Freunde, die beide IPv6 von Unitymedia haben. Ich habe nun einem der beiden meinen Server gegeben und will gucken, ob der andere draufkommt. Wenns klappt, mache ich auch ne Bandbreitenerhöhung mit IPv6. Was muss ich nun einstellen, damit meine DS713+ richtig angesteuert werden muss, oder ist sie auch über meine normale Adresse wie bisher erreichbar? Derjenige, der den Server hat, kommt schonmal drauf. In seinem Netzwerk ist sie also integriert und läuft. Mehr konnten wir aus zeitlichen Gründen nicht testen.