Dyndns - noip - ipv6

opheltes

Benutzer
Mitglied seit
08. Apr 2018
Beiträge
25
Punkte für Reaktionen
1
Punkte
1
Hallo Ihr Lieben,

da mein System viele Jahre fehlerfrei lief, habe ich seit der Umstellung von DLS auf Glasfaser(dsl-lite tunnel) ein Problem.

System
DS218play
DSM: 7.1
Fritzbox

Vorhaben:
Nutzung des VPN-Servers(openvpn)

DSM von ausserhalb (optional)

Ich erreiche per ipv4 (dyndsn von synology) nicht mehr meine DS. Nun habe ich eine kostenpflichtige Dyndsn bei noip.com bestellt. Im Anhang befinden sich 2 screens, wo in der Übersicht nur die ipv4 zusehen ist, die zu erreichen ist, obwohl in den Einstellungen ich die ipv6 eintragen habe. in der DS habe ich die Dyndns eingetragen und die Testverbindung war erfolgreich aber dort wird auch nur ipv4 angezeigt aber nicht ipv6.

In der Fritzbox habe ich 1194 und 443 Port freigegeben.


Wo könnte hier die Ursache liegen? Übersehe ich wichtige Informationen?

Gruß

opheltes

edit: passenderen Bereich habe ich nicht gefunden.
 

Anhänge

  • Screens.pdf
    130,9 KB · Aufrufe: 10

chle

Benutzer
Mitglied seit
22. Jan 2017
Beiträge
29
Punkte für Reaktionen
7
Punkte
3
Das könnte daran liegen, dass du für IPv4 hinter einem CGNAT hängst und deshalb keine öffentliche IP mehr hast.
 

opheltes

Benutzer
Mitglied seit
08. Apr 2018
Beiträge
25
Punkte für Reaktionen
1
Punkte
1
Das ist korrekt und es wird auch im Monitoring in der fritz.box dsl-lite tunnel benannt. Darum mein Vorhaben mit der ipv6 adresse & dyndns aber mein Vorhaben scheitert, aufgrund einer fehlenden Ursache.
 

chle

Benutzer
Mitglied seit
22. Jan 2017
Beiträge
29
Punkte für Reaktionen
7
Punkte
3
... dann suche mal die fehlende Ursache ;)

was gibt denn "nslookup xxx.ddns.net" im cmd oder powershell zurück?
 
  • Like
Reaktionen: opheltes

opheltes

Benutzer
Mitglied seit
08. Apr 2018
Beiträge
25
Punkte für Reaktionen
1
Punkte
1
... dann suche mal die fehlende Ursache ;)
Stimmt, so etwas gibt es nicht aber ich suche die Ursache :)

DIe Antwort is:
Code:
Server: fritz.box
Adresse: x.x.x.x.x

nicht autorisierende Antwort:
Name xxxxxx.ddn.net
Adresse: x.x.x.x.x
Adresse 2001:xxx.xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
 

chle

Benutzer
Mitglied seit
22. Jan 2017
Beiträge
29
Punkte für Reaktionen
7
Punkte
3
Ist die IPv6 die deiner NAS?

Dann versuche mit einem externen Portchecker, z. B. IPV6 Scanner , ob dein Port offen ist.
Wenn nicht, erstelle eine eingehende IPv6-Firewallregel. Wie das auf einer Fritzbox gemacht wird, kann ich leider nicht beantworten.
 
  • Like
Reaktionen: opheltes

opheltes

Benutzer
Mitglied seit
08. Apr 2018
Beiträge
25
Punkte für Reaktionen
1
Punkte
1
Die IPv6 ist von der Fritzbox.

Im Anhang der Verlauf was ich getan habe.

Was mich stört am Bild DMS-1, dass dort als externe Adresse eine ipv4 Adresse steht. Eig. lt. Angaben von NO-IP.com werden ipv6 unterstützt.
 

Anhänge

  • DMS-1.jpg
    DMS-1.jpg
    15,6 KB · Aufrufe: 11
  • DMS-2.jpg
    DMS-2.jpg
    16,1 KB · Aufrufe: 11
  • fritz-1.jpg
    fritz-1.jpg
    15,2 KB · Aufrufe: 12
  • scanner-1.jpg
    scanner-1.jpg
    61,2 KB · Aufrufe: 9

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
343
Punkte für Reaktionen
119
Punkte
43
Bei IPv6 benötigst Du aber die IP-Adresse deines NAS. Also musst Du die DDNS-Registrierung auf das NAS verlagern. Außerdem musst Du in der FRITZ!Box eine Ausnahme beim Rebind-Schutz für deine Domäne eintragen. Und bei IPv6 kannst Du keine extern/intern unterschiedlichen Portnummern verwenden, die müssen identisch sein. Wenn Du keine Standard-Portnummern nach extern verwenden willst, musst Du sie also auch intern (auf dem NAS) umstellen.

Edit: Alternative wäre ggf. den VPN-Zugang über die FRITZ!Box zu lösen.
 
  • Like
Reaktionen: opheltes

opheltes

Benutzer
Mitglied seit
08. Apr 2018
Beiträge
25
Punkte für Reaktionen
1
Punkte
1
Bei IPv6 benötigst Du aber die IP-Adresse deines NAS. Also musst Du die DDNS-Registrierung auf das NAS verlagern.
Danke für den Hinweis. Erledigt.
Außerdem musst Du in der FRITZ!Box eine Ausnahme beim Rebind-Schutz für deine Domäne eintragen
Danke, erledigt. Wieso ist das bei ipv4 nicht notwendig gewesen?
Und bei IPv6 kannst Du keine extern/intern unterschiedlichen Portnummern verwenden, die müssen identisch sein. Wenn Du keine Standard-Portnummern nach extern verwenden willst, musst Du sie also auch intern (auf dem NAS) umstellen.
Das verstehe ich nicht. Kannst du das bitte detaillieren?
Edit: Alternative wäre ggf. den VPN-Zugang über die FRITZ!Box zu lösen.
Ja das stimmt aber die Performance is zu unterschiedlich. Ich nutze ggf. quickconnect, seit dem das Problem habe aber extern komme ich mit der Variente eben net auf meine DSM wie damals mit DSL (only ipv4).

Also im Scanner taucht aber nicht mein 5001er Port auf für meine Oberfläche.

Danke Dir für die Schritte und ich komme jetzt tatsächlich rauf - herzlichen Dank :)

Gruß

opheltes
 

Anhänge

  • scan1.jpg
    scan1.jpg
    40,8 KB · Aufrufe: 3
  • fritz-1.jpg
    fritz-1.jpg
    13,3 KB · Aufrufe: 3

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
343
Punkte für Reaktionen
119
Punkte
43
Wieso ist das bei ipv4 nicht notwendig gewesen?
Weil Du da auf die externe Adresse der FRITZ!Box zugegriffen hast. Bei IPv6 hingegen löst der DNS-Name auf ein Gerät innerhalb des eigenen Netzwerks auf und das soll aus Sicherheitsgründen normalerweise vermieden werden um einen sogenannten DNS-Rebind-Angriff zu verhindern. Daher brauchst Du in diesem Fall dafür eine Ausnahme.
Kannst du das bitte detaillieren?
Sehe gerade auf deinen Bildern aus #7, dass Du es ohnehin schon ohne Port-Umsetzung eingestellt hattest.
Bei IPv6 greifst Du direkt auf dein NAS zu und die FRITZ!Box lässt die Pakete bei bestehender Freigabe vom Internet durch ohne dass eine Umsetzung der Port-Nummern vorgenommen wird. Diese Umsetzung (PAT = Port address translation) wurde bei IPv6 abgeschafft weil sie bei IPv4 letztlich nur ein Workaround für die zu geringe Anzahl an öffentlichen IPv4-Adressen war.
 
  • Like
Reaktionen: opheltes

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
343
Punkte für Reaktionen
119
Punkte
43
Also im Scanner taucht aber nicht mein 5001er Port auf für meine Oberfläche.
Vermutlich hast Du im NAS noch die Port-Nummern, wie in den Bildern in #5 dargestellt, konfiguriert? FRITZ!Box und NAS müssen eben bei IPv6 die gleichen Port-Nummern verwenden, die Nicht-Standard-Ports aus #5 waren besser.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Ich nutze diesen "Trick" eigentlich ganz gern, beispielsweise mit einem DDNS-Update. das nur die IPv6 meiner DS veröffentlicht.
So kann ich beispielsweise auch die Zertifikate nutzen, um intern, ganz ohne Portfreigaben, per https auch meine Geräte zuzugreifen.
 

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
343
Punkte für Reaktionen
119
Punkte
43
Korrekt, bei IPv6 kann man auch intern viel einfacher per HTTPS zugreifen ohne irgendwelche Tricks mit dem DNS anstellen zu müssen.
 

opheltes

Benutzer
Mitglied seit
08. Apr 2018
Beiträge
25
Punkte für Reaktionen
1
Punkte
1
eil Du da auf die externe Adresse der FRITZ!Box zugegriffen hast. Bei IPv6 hingegen löst der DNS-Name auf ein Gerät innerhalb des eigenen Netzwerks auf und das soll aus Sicherheitsgründen normalerweise vermieden werden um einen sogenannten DNS-Rebind-Angriff zu verhindern. Daher brauchst Du in diesem Fall dafür eine Ausnahme.
Achso, deswegen die Ausnahme in der Fritzbox - verstehe. Das is mir neu, weil das früher nicht so war, danke dir
Sehe gerade auf deinen Bildern aus #7, dass Du es ohnehin schon ohne Port-Umsetzung eingestellt hattest.
Bei IPv6 greifst Du direkt auf dein NAS zu und die FRITZ!Box lässt die Pakete bei bestehender Freigabe vom Internet durch ohne dass eine Umsetzung der Port-Nummern vorgenommen wird. Diese Umsetzung (PAT = Port address translation) wurde bei IPv6 abgeschafft weil sie bei IPv4 letztlich nur ein Workaround für die zu geringe Anzahl an öffentlichen IPv4-Adressen war.
Ok, da steigt mein Verständis aus, dass durch ipv6 das alles abgelöst wird. Für mich war das eine einfache Erklärung, bevor ipv6 war. Aber man lernt nie aus. Aber Ohne Port-Umsetzung stimmt doch gar nicht, weil ich versucht habe über die ipv6 der fritzbox zu erreichen, was falsch war. Ich wurde ganz oben schon gefragt, ob es die ipv6 des NAS's war - fand die Frage komisch aber jetzt leuchtet mir das ein.
FRITZ!Box und NAS müssen eben bei IPv6 die gleichen Port-Nummern verwenden
Das habe ich im Verlauf hier erst bemerkt und war erstaunt
Ich nutze diesen "Trick" eigentlich ganz gern, beispielsweise mit einem DDNS-Update. das nur die IPv6 meiner DS veröffentlicht.
Funktioniert das auch über Mobilfunk, die kein ipv6 unterstützen?, für den Zugriff per Apps etc.

Abgesehen von der Problemlösung, habe ich hier ein Stück gelernt - das freut mich ehrlich gesagt am meisten.

Ich Danke euch!

Grüße


opheltes
 
  • Like
Reaktionen: Hagen2000

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
343
Punkte für Reaktionen
119
Punkte
43
Dein positives Feedback freut mich.

Wenn Du kein IPv6 hast (beispielsweise in einem WLAN bei Freunden oder in einem Hotel), dann müsstest Du dir bei einem Dienst wie feste-ip.net einen sogenannten Portmapper für IPv4 -> IPv6 mieten. In deutschen Mobilfunknetzen hast Du jedoch in der Regel immer IPv6, im Ausland mag das anders ausschauen.
Der "Trick", den @Benares erwähnt hat, bezog sich hingegen auf interne Zugriffe aus dem eigenen (W)LAN heraus und setzt gerade IPv6 voraus.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat