Externer Zugriff nach Umzug zu Deutsche Glasfaser

eddie irvine

Benutzer
Mitglied seit
14. Jan 2009
Beiträge
168
Punkte für Reaktionen
3
Punkte
18
Moin,

ich bin jetzt von der Telekom zur deutschen Glasfaser umgezogen.
Ich musste feststellen, dass mein derzeitiges Setup bestehend aus Fritzbox 7590 und DS 923+ dank DS-Lite nicht mehr funktioniert.

Vorher funktionierte es wie folgt:
  • Domain meine-domain.de (gehostet von Strato) war in der Fritzbox als Dyndns eingerichtet.
  • Port 443 wurde an die DS durchgereicht
  • In der DS habe ich einen Reverse Proxy konfiguriert.
    Basierend auf der Subdomain (z. B. dsm.meine-domain.de) wurde entsprechend an bspw. 192.168.178.2:5001 weitergeleitet.
All das funktioniert jetzt leider nicht mehr.

Was ich bisher versucht habe:
Ich habe die Update URL für Dyndns in der FB auf https://<username>:<passwd>@dyndns.strato.com/nic/update?hostname=<domain>&myip=<ip6addr> geändert.
Als Domainname habe ich meine-domain.de,dsm.meine-domain.de,evcc.meine-domain.de etc. eingetragen.

Wenn ich jetzt meine Domain von extern bspw. via ping.eu anpinge, bekomme ich eine IPV6 Adresse zurück. Soweit, so gut!

Rufe ich aber bspw. dsm.meine-domain.de im Browser auf, dann bekomme ich die Meldung 'Could not connect to the server'.


Weiteres Problem:
Ich konnte mich zuvor auch mittels meine-domain.de via VPN mit der FB verbinden (per Wireguard).
Auch das funktioniert nicht mehr.
Jetzt funktioniert es nur noch über eine myfritz.net Adresse.
Da habe ich dann aber das Problem, dass ich mich von meiner Arbeitsstelle (ist im Ausland) nicht per VPN verbinden kann, da im Roaming wohl nur IPV4 möglich ist.
Ich habe auch versucht, ein Portmapping via feste-ip.net einzurichten:
meine-domain_test.feste-ip.net:59157 ist gemapped auf xyz.myfritz.net:59157
Auch das funktioniert leider nicht.

Wäre super, wenn mir jemand helfen könnte!
Danke im Voraus.

Gruß,
Thorsten.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.633
Punkte für Reaktionen
5.809
Punkte
524
mach bitte mal den IPv6 Test bei wieistmeineip.de
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.766
Punkte für Reaktionen
3.740
Punkte
468
Du must über IPv6 gehen, brauchst aber die IPv6 deines NAS, nicht die der Fritzbox. Bei IPv6 gibt es kein NAT mehr.
Das geht entweder über MyFritz in Verbindung mit einer MyFritz-Portfreigabe (dadurch werden auch interne Geräte DNS-auflösbar wie z.B. diskstation.[MyFritz-ID].myfritz.net) oder du nutzt den DDNS-Update auf der DS von synology.me und verwendest die als CNAME bei Strato.

Edit: Schau mal z.B. auch hier.
 
Zuletzt bearbeitet:

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.168
Punkte für Reaktionen
1.133
Punkte
194
Und wichtig ist auch das alles in deiner Kette dann IPv6 Unterstützt und nicht abgeschaltet wurde
 
  • Like
Reaktionen: ctrlaltdelete

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.097
Punkte für Reaktionen
2.151
Punkte
289
Und bei der FRITZ!Box macht FritzOS 8 das Leben bei IPv6 auch deutlich einfacher und ist für deine Box vorhanden, falls du noch nicht aktualisiert haben solltest.
 
  • Like
Reaktionen: ctrlaltdelete

eddie irvine

Benutzer
Mitglied seit
14. Jan 2009
Beiträge
168
Punkte für Reaktionen
3
Punkte
18
Besten Dank schon mal für eure Antworten!

Du must über IPv6 gehen, brauchst aber die IPv6 deines NAS, nicht die der Fritzbox. Bei IPv6 gibt es kein NAT mehr.
Das geht entweder über MyFritz in Verbindung mit einer MyFritz-Portfreigabe (dadurch werden auch interne Geräte DNS-auflösbar wie z.B. diskstation.[MyFritz-ID].myfritz.net) oder du nutzt den DDNS-Update auf der DS von synology.me und verwendest die als CNAME bei Strato.

Edit: Schau mal z.B. auch hier.

Mit der myfritz.net Adresse bekomme ich die Weiterleitung zu bspw. diskstation.[MyFritz-ID].myfritz.net hin.
Auch der Wireguard VPN Zugang funktioniert über myfritz.net.

Aber geht Beides auch noch über meine Strato Domain und Dyndns?
Da bekomme ich den Wireguard Zugang bspw. nicht hin, obwohl mir auf Strato beim AAAA Eintrag die gleich IPV6 Adresse angezeigt wird wie in der Fritzbox.
 
Zuletzt bearbeitet:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.766
Punkte für Reaktionen
3.740
Punkte
468
Strato ist bei mir schon länger her. erinnere mich kaum noch.
Aber da gab's doch auch CNAMEs, oder?

Edit: @eddie irvine ist übrigens ein sehr schöner NIC, ich bin auch F1-Fan (y)
 
Zuletzt bearbeitet:
  • Like
Reaktionen: eddie irvine

eddie irvine

Benutzer
Mitglied seit
14. Jan 2009
Beiträge
168
Punkte für Reaktionen
3
Punkte
18
Sorry, dass ich mich jetzt erst melde.
Es hat leider etwas länger gedauert... ;)

Ich habe Einiges versucht (feste-ip.net oder auch eine andere Domain bei ipv64.net).
Leider hat das alles nicht zufriedenstellend funktioniert.

Meine Lösung sieht jetzt so aus:
Ich habe einen Strato V-Server für 1 EUR/Monat gemietet.
Wichtig ist, dass dieser eine feste IPV4 Adresse bietet.

Dann habe ich eine Wireguard Site-to-site Verbindung zwischen diesem Server und meiner Fritzbox laut dieser Anleitung erstellt (ich hoffe, andere Forenlinks sind ok):
https://www.glasfaserforum.de/forum/thread/1968-ipv4-erreichbarkeit-via-vps-und-vpn-wireguard/
Eine feste IPV4 Route habe ich in der Fritzbox übrigens nicht eingerichtet.

Danach habe ich einen Reverse Proxy mittels NGINX auf dem V-Server konfiguriert (zuvor musste ich natürlich meine Domain auf die IP des Servers umleiten):
https://gist.github.com/gmolveau/5e5b0bd2773100d85d9302d0fa96632d

Dieser Reverse Proxy Server erlaubt, dass ich bspw. unter bw.meinedomain.de auf meinen Bitwarden Docker Container verweise, der auf meiner Disk Station läuft.
Im Prinzip hat sich somit überhaupt nichts im Vergleich zu vorher verändert.

Zudem kann ich mich auch mit bspw. meinem Smartphone mit dem VPN des V-Servers verbinden.
Die DynDns Einstellungen sowie die Portweiterleitungen auf der Fritzbox konnte ich löschen.
Auch den Reverse Proxy auf der Disk Station brauche ich nicht mehr.

Insgesamt ist das in meinen Augen eine ziemlich elegante Lösung, die ich letztlich in 2 Stunden aufgesetzt habe.
 
  • Like
Reaktionen: Benares

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.766
Punkte für Reaktionen
3.740
Punkte
468
Interessant. In Vorbereitung meines künftigen (hoffentlich nicht noch weitere Jahre dauernden) DG-Anschlusses hatte ich auch mal sowas ähnliches probiert

1. V-Server (bei mir ST-Hosting) mit fester IPv4 und IPv6
2. Wireguard drauf mit Tunnel über IPv6 zu meiner Fritzbox mit modifizierter Konfiguration auf dem V-Server (.71 ist mein NAS)
Code:
...
# port forwarding (added 15.01.2024)
PreUp = iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.71:80
PreUp = iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination 192.168.0.71:443
PostDown = iptables -t nat -D PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.71:80
PostDown = iptables -t nat -D PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination 192.168.0.71:443

# packet masquerading (added 15.01.2024)
PreUp = iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADE
...
3. Dann noch gem. dem Artikel hier einen Timer gesetzt, der den Tunnel alle 5 Minuten prüft. So kann ich den Tunnel auf der Fritzbox ein- und ausschalten ohne auf den V-Server zu müssen. Tunnel auf der Fritte ein, max. 5 Minuten später steht die Verbindung. Wozu dieser 2. Teil noch notwendig war, weiß ich jetzt grad nicht mehr.

Das funktioniert auch ganz gut. Vorteil hier: Man hat mit dem V-Server nichts mehr am Hut, Zugriffe auf Port 80/443 landen einfach auf dem NAS, wenn der Tunnel an ist. Das Konstrukt verhält sich so ähnlich wie Dual-Stack mit festen IPs.

Nur über über die Firewall muss ich noch Gedanken machen.
 
Zuletzt bearbeitet:

eddie irvine

Benutzer
Mitglied seit
14. Jan 2009
Beiträge
168
Punkte für Reaktionen
3
Punkte
18
Ich bin genau nach der verlinkten Anleitung vorgegangen und es funktioniert problemlos.
Keine Ahnung, ob diese Firewall Einstellungen ok sind:
Bash:
sudo iptables --policy FORWARD DROP
sudo iptables -A FORWARD -o wg0 -i eth0 -j ACCEPT
sudo iptables -A FORWARD -i wg0 -o eth0 -j ACCEPT
sudo apt install iptables-persistent
sudo iptables-save >/etc/iptables/rules.v4

Ich denke, da wird jetzt wirklich alles zwischen V-Server und Fritzbox weitergeleitet, oder?

Ich nutze den VPN des V-Servers, um mich mit meinem Heimnetz zu verbinden.
Da ich im Ausland arbeite und dort im Mobilfunknetz nur IPV4 habe, kann ich nicht mehr den IPV6 VPN meiner Fritzbox nutzen.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat