Vor einiger Zeit hatte ich ein zunächst mysteriöses Problem mit meiner FritzBox, das ist hier kurz erwähnen will, weil ich sicherlich nicht der einzige bin, der in die diese Falle getappt ist ;)
Zuhause betreibe ich hinter meiner FritzBox einen kleinen Webserver, auf den ich vom Internet aus zugreifen will. Dazu habe ich mir mit nsupdate.info (übrigens sehr zu empfehlen!) dynamisches DNS eingerichtet und auf meiner FritzBox Port 80 und 443 freigegeben. Beide Ports werden via NAT zum lokalen Zielserver weitergeleitet. Soweit, so gut. Das Setup ist ein Klassiker und schnell eingerichtet.
Beim Testen verhielt sich das ganze aber nicht so, wie ich mir das gedacht hatte: Von manchen Geräten aus (und aus dem Mobilfunknetz) konnte ich den Server hinter der FritzBox wunderbar erreichen. Von meinem Desktop-Rechner aus wurde mir aber nur die Weboberfläche der FritzBox präsentiert. Lange habe ich herumprobiert und gerätselt, bis mir die Ursache für das merkwürdige Verhalten eingefallen ist: Ich hatte für DynDNS sowohl IPv4 als auch IPv6 aktiviert – das war das Problem. im IPv4-Betrieb läuft alles wie gewohnt: Eine Anfrage wird an die IP-Adresse der FritzBox gestellt, die Fritzbox leitet die Anfrage via NAT weiter an den Zielrechner. Fragt ein fremder Rechner allerdings via IPv6 an, bekommt er zwar auch die IP-Adresse meiner FritzBox – die Anfrage wird aber nicht weitergeleitet, sondern direkt auf der FritzBox beantwortet, und da präsentiert sich die eigene Weboberfläche. Die FritzBox „NATet“ kein IPv6 – Portweiterleitungen gelten nur für IPv4.
Die Lösung war ganz einfach: Ich habe keine IPv6-Adressen mehr an meinen DynDNS-Provider geschickt (und die vorhandene gelöscht), sodass der Server Zuhause nur noch via IPv4 angesprochen werden konnte. Sollte IPv6 dennoch benötigt werden, muss sichergestellt werden, dass ein entsprechend eingerichteter DynDNS-Client auf dem Zielserver (!) seine eigene IPv6-Adresse an den DynDNS-Dienst weitergibt. Auf der FritzBox muss zusätzlich eine IPv6-Firewallfreigabe für das Ziel erfolgen. In dem Fall würde sich der Zielserver mit allen anderen Geräten im Haus eine IPv4-Adresse teilen (daher braucht man ja NAT) – was IPv6 angeht, besitzt der Zielserver allerdings eine eigene, eindeutige IP-Adresse, die direkt angesprochen werden muss.
Eigentlich völlig klar, wieso ich mit meinem Setup gescheitert bin. Manchmal hat man einfach ein Brett vor dem Kopf ;) Dass die FritzBox IPv6 nicht „NATet“, ist übrigens vollkommen korrekt: Ein NAT sollte man mit IPv6 ohnehin vermeiden … der Betrieb mit NAT gilt als „schlechter Stil“. Schließlich ist es ja gerade ein Vorteil von IPv6, dass wir damit kein NAT mehr brauchen und trotzdem genug IP-Adressen für sämtliche Geräte weltweit haben.
https://quarkdose.de
Moin,
danke, cooler Artikel. Ursprünglich wollte ich bei mir auf dem Server auch einen eigenen dynDNS-Server aufsetzen. Da ich mich damit aber nicht auskenne, die FritzBox jedoch von Hause aus mit myfritz ja schon quasi einen dynDNS-Dienst mitbringt, habe ich hier dann einfach nur noch eine Subdomain mit CNAME-Eintrag in den DNS-Einstellungen meiner Domain erstellt.
Damit habe ich dann das gleiche erreicht, ohne einen eigenen Nameserver :)
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Jepp, ganz ähnlich mache ich das auch mit nsupdate.info: Ich mache mir für eine eigene Domain einfach einen CNAME record, der auf die entsprechende nsupdate.info-Subdomain zeigt. ;)
https://langhaarschneider.net
In meiner FritzBox (6360) kann ich unter Internet/Freigaben die IPv4-Weiterleitungen eintragen – und unter Internet/Freigaben/IPv6 bestimmte Ports für die Weiterleitung an IPv6-Interfaces im Heimnetz freigeben. Das funktioniert soweit. Ich musste aber für Zugriffe aus dem Heimnetz/Netzwerkeinstellungen/DNS-Rebind-Schutz die entsprechende Domain eintragen, damit ich auch innerhalb meines Netzwerks via IPv6 auf die aufgeschalteten Domains zugreifen kann.
Für DynDNS nutze ich die API meines Domain-Verwalters und ein kleines Shellskript, das A bzw. AAAA-Records setzt. Siehe https://langhaarschneider.net/2015/12/31/nameservereintraege-bei-inwx-via-api-aendern/
https://gamemodeon.de
Aber Thomas! Bei IPv6 braucht man doch gar kein NAT mehr ;)
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Eben. ;) Siehe letzter Absatz.
https://gamemodeon.de
Hoppla, hab ich wohl überlesen. *duckundweg*
Hallo Leute,
ich bin immer noch ein Freund von NAT, mit der Portfreigabe ist es möglich hinter einer Domain so viele Server mit verschiedenen (lokalen) IP-Adressen zu betreiben, wie man will. Wenn ich mein TS abschalte um es zu warten, kann ich einfach einen anderen PC verwenden und die Portweiterleitung dazu ändern, ohne auch alle anderen Services auf diesen umleiten zu müssen.
Des Weiteren sehe ich trotz Privacy-Extantion es trotzdem als Datenschutztechnisch bedenklich, das wirklich jedes Gerät, vom Raspberry über das Smartphone bis zum PC eine eigene globale IP Adresse besitzt…
IPv6 mag den Mangel an IP Adressen erst einmal beendet zu haben, aber damit so sehr rumzuaasen, ist nich gerade schlau. Den richtigen Weg ersteinmal, würde ich in einem Router mit IPv6 sehen, welches ein IPv4 NAT lokal erzeugt und kein IPv6 durchreicht. Bzw, solange das nicht geht, bleibt bei mir IPv6 abgeschaltet!
Gruß Mytril