IPv6 & Reverse Proxy

Rheingold · 20 Mai 2020, 10:01:22

Hallo zusammen,

seit gestern bietet mein Internetanbieter mir nur noch eine IPv6-Adresse an. Bisher hatte ich noch eine IPv4 und konnte gemäß dieser Anleitung einen Zugriff von außen auf mein System ermöglichen: https://haus-automatisierung.com/hardware/fhem/2016/12/30/fhem-tutorial-reihe-part-21-zugriff-auf-fhem-ueber-das-internet.html

Was mir jetzt nicht ganz klar ist: was muss ich denn nun anpassen um den reverse proxy auch für IPv6 nutzen zu können?

DynDNS klappt soweit mit der neuen Adresse. Allerdings komme ich dann im lokalen Netzwerk auf der Fritz Box raus. Wenn ich mich in einem externen Netz befinde, kommt "Webseite nicht erreichbar". Ping geht aber. Schon mal ein gutes Zeichen

Wernieman · 20 Mai 2020, 11:03:38

Der Port muß für alle Protokolle (also auch für IPv6) auf den Proxy weitergeleitet werden.

Um es zu vereinfachen:
Da der Proxy ein Webserver baue Dir mal eine einfache Statische Seite und mach diese extern erreichbar. Wenn das funktioniert kommt der 2. Schritt ....

Btw: Muß es wirklich ein Apache sein? ngnx ist als Proxy wirklich einfacher ...

Und um es zu Betonen:
Ist der Zugriff auf FHEM bei Dir geschützt? Am besten eine Authentifizierung schon am Proxy implementieren!

Rheingold · 20 Mai 2020, 11:46:18

Hi und danke für die flotte Antwort.

Wie stelle ich denn sicher, dass die Ports für alle Protokolle weitergeleitet sind? In der Fritzbox lässt die Ansicht das zumindest vermuten.

Na ja, es lief bisher problemlos mim Apache. Nginx wäre möglich, habe damit wenig Erfahrung und mein Pihole läuft auch darauf... evtl. eine Überlegung wert zu portieren? Kannst du eine Anleitung für Reverse-Proxy per IPv6 empfehlen?

Hier die Config des Apachen (natürlich domain und Mailadresse angepasst):

Code Auswählen

<IfModule mod_ssl.c>
<VirtualHost *:443 *:80>
    ServerName meinedomain.de

    ServerAdmin meineadresse@gmail.com
    DocumentRoot /var/www/html

    ErrorLog ${APACHE_LOG_DIR}/meinedomain.de.error.log
#    CustomLog ${APACHE_LOG_DIR}/meinedomain.de.access.log combined

    SSLCertificateFile /etc/letsencrypt/live/meinedomain.de/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/meinedomain.de/privkey.pem

    Include /etc/letsencrypt/options-ssl-apache.conf

    ProxyRequests Off
    ProxyVia Off
    ProxyPreserveHost On


    <Location /api>
        ProxyPass http://localhost:8088/fhem
        ProxyPassReverse http://localhost:8088/fhem
        AuthUserFile /etc/fhemapi-htpasswd
    </Location>

    <Location /fhem>
        ProxyPass http://localhost:8083/fhem
        ProxyPassReverse http://localhost:8083/fhem
    </Location>

    <Directory />
        RedirectPermanent / /fhem
    </Directory>

    <Proxy *>
        AuthType Basic
        AuthName "Password for FHEM Required"
        AuthUserFile /etc/fhem-htpasswd
        Require valid-user
        Order deny,allow
        Allow from all
    </Proxy>
</VirtualHost>
</IfModule>

Wernieman · 20 Mai 2020, 11:47:52

Leitest Du den Port von IPv6 wirklich auf einen IPv4 Apache um?

Rheingold · 20 Mai 2020, 11:58:32

Zitat von: Wernieman am 20 Mai 2020, 11:47:52
Leitest Du den Port von IPv6 wirklich auf einen IPv4 Apache um?

Ich glaube ja... bin jedoch verunsichert, da ich heute morgen erstmalig richtigen Kontakt mit IPv6 hatte.

Anbei noch die Einstellungen der Fritz Box.

Wernieman · 20 Mai 2020, 12:16:12

Kann FritzBox aktuell nicht dachprüfen, da ich hier im Büro keine habe (mit Portweiterleitung). Das er heute Abend.

- Dein DNS-Server ist wirklich hinter der IP-Adresse fd:XXXX??

Rheingold · 20 Mai 2020, 12:39:50

Zitat von: Wernieman am 20 Mai 2020, 12:16:12
Dein DNS-Server ist wirklich hinter der IP-Adresse fd:XXXX??

Hm... gute Frage. Eigentlich nutze ich den Pihole als IPv4 DNS. Der ist auf dem gleichen Gerät wie der Raspi auf dem FHEM läuft.

ifconfig auf dem Raspi sagt unter anderem:

Code Auswählen

inet6 fd00::ba27:ebff:fe85:617  prefixlen 64  scopeid 0x0<global>
        inet6 fe80::ba27:ebff:fe85:617  prefixlen 64  scopeid 0x20<link>
        inet6 2001:16b8:31c0:f100:ba27:ebff:fe85:617  prefixlen 64  scopeid 0x0<global>

Wernieman · 20 Mai 2020, 13:03:59

ZitatIPv4 DNS

Nur als IPv4? Dann solltest Du das "verkünden IPv6 DNS" rausnehmen ...

Rheingold · 20 Mai 2020, 13:07:00

Habe jetzt nach dieser Anleitung (https://adminforge.de/dns/pi-hole-ipv6-und-die-fritzbox/) den Pihole auch für IPv6 eingestellt. Die Eingaben der Fritzbox hinsichtlich der Adresse scheinen zu stimmen.

Ich glaube was halt nun wirklich fehlt ist die gescheite Konfiguration des Reverse-Proxies. Wie gesagt: an apache bin ich nicht fest gebunden

Wernieman · 20 Mai 2020, 13:13:55

Probiere bitte mal, ob Dein apache intern auch auf IPv6 hört ...

Rheingold · 20 Mai 2020, 13:14:58

Zitat von: Wernieman am 20 Mai 2020, 13:13:55
Probiere bitte mal, ob Dein apache intern auch auf IPv6 hört ...

Wenn du mir sagen kannst, wo/wie ich das testen kann, mache ich das gerne

Wernieman · 20 Mai 2020, 13:29:20

Im Browser die IPv6 IP eintippeln ... ;o)

Rheingold · 20 Mai 2020, 13:32:44

Aso

Ja das geht. Darüber kann ich dir Seiten so aufrufen wie mit IPv4.

Alle sub-Seiten die hinter anderen ports stehen klappen auch einwandfrei zu öffnen.

Ping auf meine dyn-dns gibt eine IPv6 zurück mit <1ms... Was ungewöhnlich schnell ist :-/

Wernieman · 20 Mai 2020, 13:42:33

Was mir einfällt ... Testest Du von innen oder außen? Die fritte hat die negative Eigenschaft, das Port-Forwarding von Innen nach Innen nicht funktioniert.

Rheingold · 20 Mai 2020, 13:52:11

Ich teste mit meinem PC der im gleichen LAN hängt wie FHEM:
- Aufruf der lokalen IPv6-Adresse klappt
- Aufruf der DSL-IPv6-Adresse führt mich zur Firtzbox
- ping auf die DynDNS-Adresse gibt <1ms
- http/https-Aufruf der DynDNS-Adresse im Browser sind erfolglos