Hallo!
Ich musste mich nun einmal bei einen Bekannten wo ich Fhem für Ihn installiert habe, mit IPV6 beschäftigen und muss leider sagen,
das ich bei diesem Thema nicht ganz weiter komme.
Er hat in seiner Fritzbox einen "DS-Lite-Tunnel" der über eine IPV6 Adresse verfügt, Fhem läuft und ist Local erreichbar.
Mich hatte zum einen gewundert das Fhem von außen trotz Portfreigabe und einem DynDns Service nicht mehr erreichbar ist, dann habe ich mich versucht in das Thema ein zu lesen und es mit Diensten wie "Feste-Ip-net inkl. Portmapper auf 8083" und "DDnss" versucht, aber auch hier kein Erfolg auf Fhem aber komischer weise ist die Fritzbox über Port 443(DDnss) erreichbar.
Dann die Tips hier aus dem Forum hinzugezogen mit "define WEB FHEMWEB IPV6:8083 global" aber auch da kein Zugriff von außen.
Jetzt hatte ich gelesen das Ipv6 auch nur von einer ipv6 erreichbar ist und so weiter....
Jetzt wollte ich mal fragen ob jemand sich hier gut mit diesem Thema aus kennt und vielleicht bitte mir erklären könnte, was
der Weg wäre in Zukunft mit IPV6 um zugehen?!
Mfg Steffen
Hi Steffen,
das ist in der Tat relativ einfach.
Die größten Stärken von IPv6 sind zugleich die Antwort auf Deine Frage.
Bei DS-lite (bekannt von Kabel BW) hast Du keine eindeutige IPv4 Adresse mehr im Internet sondern nur noch eine IPv6. Solltest Du von extern auf interne Geräte zugreifen wollen, dann nur noch über IPv6. Auf den Router greifst Du gar nicht mehr zu, und es wird auch kein Port mehr weiter geleitet, sondern Du greifst vom Internet direkt (!) auf das Gerät / Server im internen Netz zu. Dessen globale IPv6 Adresse ist in der Tat über das Internet erreichbar. Port Forwarding gibts nicht mehr, nur WAN-->LAN Kommunikation, die in der Firewall zugelassen werden muss.
z.B. mit OpenWrt https://forum.openwrt.org/t/how-do-i-allow-a-device-in-ipv6-firewall/23843/10
Ganz einfach kannste das testen, indem Du nur erst einmal den PING zu dem Device "aufmachst" mit protocol ICMP.
Solange Du kein IPv6 NAT machst, und davon ist mal auszugehen, hat Deine Kiste, auf dem der fhem server läuft, mehrere IPv6 Adressen
- "link local" beginnend mit fe80 oder sowas - die sind nicht route-bar, kannst Du ignorieren
- ULA - den prefix dafür kannst Du selber vergeben auf dem Router, geeignet um im internen Netz Geräte per IPv6 anzusprechen
- globale - können z.B. mit 2a02 beginnen, here we go
Für Deine Fragestellung Relevant sind die globalen Adressen. Die werden von Deinem Provider vergeben und Dein Router darf als Stellvertreter die Adressen an interne Geräte vergeben (prefix delegation).
Das ganze kann noch mit /54 /56 oder /64 Präfixen beschrieben werden, aber das ist dann schon komplizierter. Das ist möglichst einfach dargestellt um unnötige Verwirrung zu reduzieren.
Für fhem generell etwas off topic, was Du für fhem auf jeden Fall brauchst ist der perl IPV6 support; Darüber bin ich mal gestolpert, weil bei mir fhem irgendwie sehr viel über IPv6 macht.
https://forum.fhem.de/index.php/topic,96619.msg896749.html#msg896749
define WEB FHEMWEB IPV6:8083 global
apt-get install libio-socket-inet6-perl
"attr global useInet6"
Alles in allem muss ich aber sagen, dass es sich so anhört, als würdest Du über diese Fritz Box interne Adressen verfügbar machen wollen, oder hast das in der Vergangenheit gemacht.
Davon würde ich aber eh stark abraten! Wenn, dann nur über VPN eine Verbindung auf den Router (OpenVPN oder so) und von da aus dann nach intern.
Viele Grüße, Frood
Alternativ über einen Proxy (z.B. NGINX). Direkte Erreichbarkeit von FHEM aus dem Netz bedeutet ... Große Schwierigkeiten!
Hallo Steffen,
ich hatte bis vor kurzen eine funktionierende Lösung für eine Fritzbox 6490 mit DS-lite von Unitymedia. Ich bin auf IPv4 gewechselt, als mein Vertrag mit Unitymedia auslief.
Bis dahin konnte ich mithilfe von feste-ip.net eine VPN-Verbindung zu meinem RPi (=Fhemserver) aufbauen. Der RPi war per LAN mit der Fritzbox verbunden. Damit hatte ich vollen Zugriff auf den RPi und damit auch auf meinen Fhem-Server.
Auf dem RPi muss laut Anleitung von feste-ip.net eine VPN-Software installiert werden, auf dem Handy auch, mit dem ich Zugriff von aussen hatte. Bei der Fritzbox waren ebenfalls noch Einstellungen notwendig.
Da die Erklärungen bei feste-ip.net etwas verwirrend sind, hatte ich mir ein kleines how-to geschrieben, welche ich dir gerne zur Verfügung stelle. Schreib mir eine PN, dann ich schicke ich es dir zu.
Viele Grüße Gisbert
@Frood42 vielen danke für deine Ausführliche Beschreibung und damit stellt sich ja ganz klar bei mir der Fehler im denken ein, ipv6 Routen zu können.
Habe nun mit den ipv6 Adressen direkt vom Server von außen versucht mal zum Testen, aber kann das sein das es aus dem Mobilfunk Netz nicht geht?
Hatte mal gelesen das es nur von da geht wo auch eine ipv6 angeboten wird und nicht nur ipv4 und das scheint im Mobilfunk gegeben zu sein oder habe ich
da auch ein Denkfehler?
Könnten man dann die Interne Ipv6 vom sagen wir Rpi auch als Dyndns dienst nehmen?
Mfg Steffen
Hallo Steffen,
soweit ich weiß, betreiben die Mobilfunkprovider ihre Netze mit IPv4, zumindest bei D2 ist das so. Weiterhin habe ich verstanden, dass man dann einen Portmapper benötigt, um IPv6 auf IPv4 umzusetzen.
Ich hab diesen Dienst von feste-ip.net in Anspruch genommen, was gut funktioniert hat.
Viele Grüße Gisbert
telekom setzt ipv6 ein normalerweise dual stack. funktioniert sogar beim tethering.
Zitat von: justme1968 am 23 April 2019, 20:10:08
telekom setzt ipv6 ein normalerweise dual stack. funktioniert sogar beim tethering.
Dann ist das D1-Netz eine Lösung für die Unitymedia/... DS-lite Geschädigten für ein VPN ohne einen Portmapper?
Viele Grüße Gisbert
ich habe jetzt mal versucht über "Feste-ip.net" eine Eintrag über DynDns mit der Internen Ipv6 meines Server anzulegen,
aber es kommt kein Zugriff, weder über 80(webserver) oder 22(ssh) versucht habe ich es so:
Feste-Ip.net ipv6: xxxx:xxxxx:a180:1d98:64f8:8f98:a5af:4d47(manuell eingetragen und ist die Ipv6 vom Server) / steffenxxxxx.dnsupdater.de
IPv6 Features: Port 80 Port 22
bei aufrauf bekomme ich:
Der Hostname steffenxxxxx.dnsupdater.de ist noch nicht konfiguriert oder wurde gesperrt.
ein direkte Zugriff über "xxxx:xxxxx:a180:1d98:64f8:8f98:a5af:4d47:80" klappt sofort auch über ssh.
Mfg Steffen
Eine Art Mapping von IPv6 auf 4 oder umgekehrt kann es nicht ohne weiteres geben ohne dass die Verbindung terminiert wird. Das würde ich nie empfehlen.
Wenn, dann wird 4 in6 oder 6 in4 getunnelt, sodaß beides auf beiden Seiten verfügbar ist.
Das endet aber so oder so in Bauchschmerzen, sodass Du dringend dual stack benötigst, bis überall v6 verfügbar ist. Für DS hast Du dann etwas wie dyndns für beides, Deine IPv4 und Deine IPv6 adresse.
DS lite ist käse.
Du wirst kurz bis mittelfristig immer wieder auf einen Zugang treffen, der nur v4 unterstützt, und kommst damit nicht an v6 ran.
Von einem anderen IPv6 Anschluss ist es kein Problem auf den eigenen Anschluss zuzugreifen.
Hat man am anderen Ende nur altes v4 kann man sich bei he.net ein eigenes IPv6 holen und über dies routen.
Die ipv6 natürlich noch bei dynv6 oder ähnlichen registrieren damit man die auch wiederfindet. Das mache ich seit Jahren.
Es ist eine sehr persönliche Entscheidung ob man auf ipv4 hängen bleiben will oder sich der Zukunft zuwendet.
In der Fritzbox unter Freigaben die externe IPV6 des Raspi mit dem gewünschten Port für IPV6 eintragen.
Bei feste-ip.net unter "universelle Portmapper" einen Antrag anlegen mit der IP des Raspi und dem Port.
Dort gibt es auch ein Testicon um die Verbindung zu testen.
Hallo!
Ich würde gerne diese Thema hier nochmal aufrollen...
Denn ich kann mich mit "http://[2a02:8070:48e:e700:3b6e:17a9:XXXX:XXXX]:8083/fhem" mit Fhem verbinden, nun versuche ich schon sehr lange mit
einem der Anbieter der Ipv6 auflöst(feste-ip-net,dynv6) einem Namen(Name.dynv6.net) aufzulösen aber ich bekomme dann keinen Zugriff auf die Dienste des RPI(fhem/ssh).
Habe alle möglichen Freigabe(ssh:22/fhem:8083/exposedhost) in der Oberfläche von der FB versucht aber sobald ich den Zugriff über den Namen versuche bekomme ich keine Antwort.
Hat ihr irgendwer das über die FB lösen können?
Mfg Steffen
ZitatHat ihr irgendwer das über die FB lösen können?
siehe mein Beitrag vom 24.04.
Welche IP hast Du in der Fritzbox freigegben?
Was sagt der Test des Ports bei festeIP?
ZitatDenn ich kann mich mit "http://[2a02:8070:48e:e700:3b6e:17a9:XXXX:XXXX]:8083/fhem" mit Fhem verbinden,
Von wo aus? außen?
wenn ich von außen und port freigabe lese: bitte lasst das wenn ihr nicht wisst was ihr euch damit einhandelt.
und selbst wenn ihr es wisst: ein vpn ist mit wenigen klicks eingerichtet und hat neben der sicherheit noch viele weitere vorteile.
es gibt im normalfall wirklich keinen grund fhem nach außen freizugeben.
Hallo,
zu einem mag ich die Mobile Flexibilität auch von jeden Gerät zugreifen zu können, wo man bei einer vernünftigen VPN doch recht schnell eingeschränkt ist und mir ist das Risiko in diesem System bewusste aber habe kein Problem damit.
Meine Adressen auf dem Client:
inet 192.168.178.45
inet6 fd00::b1df:392d:ca9e:XXXX prefixlen 64 scopeid 0x0<global>
inet6 fe80::7e1c:b2db:bb12:XXX prefixlen 64 scopeid 0x20<link>
inet6 2a02:8070:48e:e700:3b6e:XXX:XXXX:XXXX prefixlen 64 scopeid 0x0<global>
was auch geht ist per ssh von einem anderen Linux System außerhalb des Netzwerk mich über "pi@XXXXXX.feste-ip.net" einzuwählen.
Mfg Steffen
Wenn es wirklich muß, dann würde ich definitiv über eine proxy-Lösung mit eigener Passwortnachfrage nachdenken. FHEM ist NICHT auf Sicherheit optimiert ...... und hat bestimmt Probleme in dem Bereich ....
Hallo,
was ich gerade nicht verstehe das ich von einem anderen Netzwerk(Debian) per "ssh pi@xxxx.feste-ip.net" einwählen kann.
Aber mit Putty oder anderen Clients nicht aus dem eigenen Netzwerk.
Wie könnte man das verstehen?!?
Mfg Steffen
FritzBox-Router?
Zitat von: Wernieman am 07 Oktober 2019, 22:25:08
FritzBox-Router?
Ja ist ein FritzBox(6490)!
Mfg Steffen
Externe IP wird bei der FritzBox von Innen nicht durchgereicht .... also von Innen nach Innen .. trotz Portforwarding u.Ä.
Ich habe nun beides auf Bedarf laufen - auch mit feste-ip.net. Sowohl VPN als auch Portmapper. Das Portmapping auf der lokalen Seite kann aber keine Fritzbox - dazu musst Du dann die fipbox im internen Netz laufen lassen.
Wenn Du über "ssh pi@xxxx.feste-ip.net" macht das Dein Client über IPv4 und wird auf IPv6 gemappt. Warum Du im eigenen Netz nicht via IPv6 zugreifen kannst, kann ich nicht sagen - würde erst mal versuchen ob Ping v6 geht, dann über IP Adresse und dann über DNS Namen. Du musst dazu aber in der FritzBox die volle IPv6 Unterstützung aktivieren (DHCP etc.)