DynDNS, FritzBox und Strato

[Benares]

Wenn man eine Fritzbox hat, MyFritz aktiv hat, und mit MyFritz-Freigaben anstatt der normalen Portfreigaben arbeitet, werden auch die IPv6-Adressen der internen Geräte (zumindest die mit Freigaben) DNS-auflösbar. Neben den IPs der Fritzbox selbst (<myfritzid>.myfritz.net) geht dann auch z.B. diskstation.<myfritzid>.myfritz.net.
Diese Namen lassen sich wunderbar als CNAME in einer eigenen Domain verwenden (Bsp. diskstation.example.com -> diskstation.<myfritzid>.myfritz.net.)

 

[Kachelkaiser]

muss ich mal testen. danke sehr

 

[ralhako]

... da die wohl keine Update-URL, aber eine DNS-API für acme.de bieten

In der anhängenden Text-Datei ist erklärt wie man bei Netcup A/AAAA-Records einrichtet und diese via PHP-Script updaten kann.

 

[Flubber051180]

Hallo zusammen,

ich habe jetzt schon zig Foreneinträge gelesen und bin verzweifelt...
Seit dem Umstieg auf die Deutsche Glasfaser vor ein paar Tagen funktioniert mein VPN über Strato dynDNS auch nicht mehr. Ich habe schon unzählige Dinge ausprobiert und vielleicht könnt ihr mir weiterhelfen. In der Fritze habe ich dynDNS eingerichtet und zwar nicht über die std, Konfiguration von Strato, sondern über einen benutzerdefinierten Update String.
In der std. Konfig wurde mir der IPv6 Status immer als "unbekannt" angezeigt. Mit dem Update String funktioniert es nun und beide Adressen werden registriert. Ich sehe den A- und AAAA-Eintrag auch bei Strato. Nun wird dort als IPv4 allerdings eine Adresse 100.116.xx.xx (die auch in der Fritzbox angezeigt wird) eingetragen. Das ist aber eine CG-NAT Adresse und nicht die richtige. Komischerweise funktioniert mit diesen Einstellungen der externe Zugriff auf die Box via MyFritz, aber anscheinend keinerlei Weiterleitung (DSM und VPN) auf mein NAS. Habe auch schon die "richtige" v4 Adresse über nslookup ermittelt und manuell in den A-Eintrag bei Strato eingetragen, auch ohne Erfolg.
Ich habe auch schon die IPv6 Adresse meines NAS (also der Präfix in Kombination mit lokaler IP) manuell bei Strato in den AAAA-Record eingetragen. Auch ohne Erfolg.
Was mache ich falsch? Habt ihr vielleicht noch eine Idee?

Viele Dank und viele Grüße!

 

[Flubber051180]

Achso, VPN direkt über die FritzBox habe ich auch ausprobiert. Ebenfalls ohne Erfolg...

 

[Hagen2000]

Durch das CG-NAT kommst Du nicht hindurch, VPN via IPv4 geht jetzt nicht mehr.
Entweder beantragst Du die (vermutlich kostenpflichtige) Zuteilung einer öffentlichen IPv4-Adresse oder Du stellst alles auf IPv6 um.

 

[Flubber051180]

Danke für die schnelle Rückmeldung. Wie verhindere ich denn, dass IPv4 verwendet wird? Ich habe ja schon folgendes ausprobiert:
1.) Registrierung über aktiviertes DynDNS, hier werden beide Adressen erfolgreich registriert. Wird dann standardmäßig erstmal v4 probiert?
2.) Manueller Eintrag der IPv6 Adresse in den AAAA-Record bei Strato
a.) Adresse der Fritzbox mit Portweiterleitung auf die Diskstation
b.) Adresse der Diskstation (Prefix+lokale IP), wie sie mir bei der Portöffnung angezeigt wird

Bisher beides ohne Erfolg

 

[plang.pl]

Wird dann standardmäßig erstmal v4 probiert?

Kommt auf den Internetanschluss der Gegenstelle an. I.d.R. aber schon. Einfach mal IPv4 beim DDNS deaktivieren und nur IPv4 abschalten und abwarten.

 

[Flubber051180]

Einfach mal IPv4 beim DDNS deaktivieren und nur IPv4 abschalten und abwarten.

Ich dachte eher daran, dass VPN standardmäßig über die IPv4 geht... Wo soll ich das denn abschalten? Ich kann der Fritzbox die IPv4 aus der Update URL streichen, aber dann wird sie doch einfach nur nicht bei Strato angemeldet und mein Verbindungsversuch läuft weiter ins Leere. Ich hatte in den Domaineinstellungen bei Strato DDNS schon deaktiviert und die IPv6 Adresse manuell in den AAAA-Record eingetragen. Das hat aber auch nicht funktioniert. Muss/kann ich meinen Apfel VPN Client irgendwie dazu zwingen über IPv6 zu gehen?

 

[Ronny1978]

Evtl. liegt es hier dran. Aber so fit mit VPN UND IPv6 bin ich nicht.

 

[plang.pl]

IPv4 über den IPv6 Tunnel ist ja erstmal kein Problem.

aber dann wird sie doch einfach nur nicht bei Strato angemeldet und mein Verbindungsversuch läuft weiter ins Leere

Wenn eine IPv6 "gemeldet" ist, sollte das eigentlich nicht passieren. Die Frage ist halt, ob der Client / das DNS nicht noch die deaktivierte IPv4 gecacht hat(te).

Apfel VPN Client

Puh, mit Apple bin ich leider raus.

Mit FritzOS 8, welches schon in den Startlöchern steht, stehen einige Verbesserungen bezüglich IPv6 an. Ob das dein Problem bessert oder gar behebt, weiß ich nicht. M.W. ist jetzt schon ein Aufbauen eines End-to-Site VPNs über reines IPv6 an einer Fritte möglich. Mit Site-2-Site sieht es aktuell noch schlecht aus, hier braucht man zwingend eine öffentliche IPv4 an mindestens einer Seite.

 

[Hagen2000]

@Flubber051180 Welchen VPN-Client benutzt Du denn eigentlich?
Über das Terminal könntest Du mal einen ping6 probieren (ggf. vorher bei den Freigaben in der FRITZ!Box aktivieren) um prinzipiell zu testen, ob der IPv6-Zugriff und die Namensauflösung funktionieren.

 

[Flubber051180]

Welchen VPN-Client benutzt Du denn eigentlich?

Ich benutze hauptsächlich den iOS Client auf iPhone und iPad. Damit habe ich es auch ausprobiert, da ich mich mit den Mobilgeräten am einfachsten aus meinem Netzwerk auskoppeln kann und trotzdem noch eine Internetverbindung habe. Ich könnte es aber nachher mal mit meinem Laptop über mobilen Hotspot versuchen.

 

[Flubber051180]

IPv4 über den IPv6 Tunnel ist ja erstmal kein Problem.

Was genau meinst du damit? Wie gesagt, mit IPv6 bin ich noch nicht warm geworden...
Momentan ist die Einstellung so.

 

[Hagen2000]

Und welchen VPN-Typ - IKEv2 oder IPsec?

 

[Hagen2000]

Evtl. ist auch die Umstellung der FRITZ!Box auf Native IPv6-Verbindung sinnvoll, lies mal hier: https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/573_IPv6-in-FRITZ-Box-einrichten/

 

[Flubber051180]

Deutsche Glasfaser schreibt in den FAQ, dass IPv6 unterstützt wird. Nicht genau wie. Wenn ich umstelle, dann verbindet sich die Fritzbox nicht.
VPN benutze ich entweder L2TP oder IPsec. IKEv2 unterstützt meine Diskstation nicht.
Ich habe mich gerade schon gefreut, dass die VPN Verbindung mit meinem Handy hergestellt wird und dann festgestellt, dass ich noch im WLAN war. Wieso funktioniert es dann? Wo findet die Auflösung des Hostnamens und die Weiterleitung an die DS statt?

 

[Flubber051180]

Kurzer Nachtrag nach meinem Test über mobilen Hotspot...
"ping meineDomain.de" und "ping -6 meineDomain.de" liefern jeweils Antworten mit der IPv6 Adresse meines Routers. "ping -4 meineDomain.de" liefert keine Antwort. Als Zieladresse wird die CG-Nat Adresse angezeigt.
Namensauflösung scheint also problemlos zu funktionieren und der "normale" ping Befehl wird auf die IPv6 geleitet. Könnte ich nun nicht auf einen speziellen Port pingen, der an meine DS weitergeleitet wird um zu prüfen ob ich mit der IPv6 Adresse und dem Port zur DS durchkomme?

 

[Benares]

Entscheidend ist erst mal, was ein "nslookup meineDomain.de" liefert. IPv4, IPv6 oder beides? Welchen Weg er dann geht, entscheidet jeder Client selbst.
Wenn die IPv4 nicht öffentlich erreichbar ist, publiziert man die besser gar nicht erst per DDNS.
Und wenn IPv6, dann muss es die IPv6 des Endgeräts sein, das man erreichen möchte, nicht die IPv6 des Routers, wie es noch bei IPv4 war. NAT gibt bei IPv6 nicht mehr.

 

[Flubber051180]

Ok, ich versuche mal meine Ergebnisse und Erkenntnisse des Try&Error, das ich gerade gemacht habe, zusammenzufassen...
- Wenn IPv4 und v6 per DDNS angemeldet sind, dann gibt nslookup meineDomain.de beide Adressen zurück. Pfad geht über einen "Unknown Server" dann kommt meine Domain.
- Lösche ich die IPv4 aus dem DDNS gibt nslookup nur die IPv6 Adresse zurück. Route ist identisch.
- ping -6 auf die IPv6 Adresse meiner Diskstation gibt auch Antworten
- telnet auf die IPv6 Adresse meiner Diskstation mit Freigabe Port 23 gibt keine Antwort

Warum funktioniert der ping aber die Portfreigabe scheinbar nicht?