Deutsche Glasfaser: IPv4 Adresse mit Port 443 (oder zumindest mit SSL-Zertifikat/Letsencrypt)

henfri

Hallo,

ich habe einen Anschluss von Deutsche Glasfaser der nur IPv6 anbietet.

Ich habe daraufhin in der Fritzbox IPv6 aktiviert und mein dyndns-Anbieter (twodns) scheint ipv6 zu unterstützen - ich komme jedenfals unter meine.dyndns.domain auf die Dienste, die ich zuvor eingerichtet habe.

Allerdings habe ich einen Dienst (einen Custom-Alexa-Skill), welcher ein gültiges (nicht self-signed) SSL-Zertifikat hat UND IPv6 nicht kann.

Das habe ich bisher über letsencrypt gemacht, indem ich für meine dyndns-Adresse ein Zertifikat erstellt habe. Das erfordert allerdings, dass Port 80 oder 443 von Letsencrypt.

Wenn ich jetzt den Universellen Portmapper von feste-ip verwende, bekomme ich ja nicht den Port 80 oder 443. Somit bekomme ich kein Letsencrypt Zertifikat.

Lange Rede, kurzer Sinn: Wie bekomme ich eine

Eine (sub)Domain

Eine IPv4 Adresse

mit SSL-Zertifikat für meinen Anschluss

Gruß&Danke,

Hendrik

frank_m

Das Zertifikat bezieht sich ja auf die Domain und nicht auf die Adresse. Es lässt sich also problemlos auch über IPv6 einrichten. Dafür braucht man auch nicht das finale Endgerät. Ich generiere die LE Zertifikate für meine Fritzbox auch auf einem Raspi.

henfri

Hallo,

da hast du Recht. Aber ich sehe noch nicht ganz, wie das gehen soll:

Als Dyndns nutze ich ich.twodns.de. Dafür kann ich (über ipv6) auch ein LE Zertifikat erstellen.

ABER: Mein Alexa-Skill kann kein ipv6.

Daher habe ich dafür über feste-ip.com den universellen portmapper eingerichtet.

Der leitet jetzt weiter: meine-alexa.feste-ip.net:64757 nach ich.twodns.de:443 - dafür habe ich ja das LE Zert.

Bei Amazon mache ich jetzt meine-alexa.feste-ip.net:64757 bekannt. Mein Server antwortet jetzt aber doch mit dem ich.twodns.de Zertifikat - und das passt nicht zur Domain, die Amazon erwartet (jetzt meine-alexa.feste-ip.net).

Oder übersehe ich etwas?

Darüber hinaus bekomme ich unter meine-alexa.feste-ip.net:64757 aktuell ein ERR_CONNECTION_RESET

Gruß,

Hendrik

frank_m

Ach du hast schon den Portmapper? Du hast recht, der wird dir für das Szenario nicht weiterhelfen. Ich dachte, es geht lediglich um das Zertifikat, und nicht um den Zugang von außen. Dafür benötigt man bei Diensten wie fest-ip aber einen IPv6 tauglichen Server. Du könntest vielleicht bei dir zu Hause was mit einem Raspi oder ähnlichem bauen, der IPv6 wieder in IPv4 umsetzt, aber das wird komplex, und du steht immer noch vor der Herausforderung, für die Subdomain von feste-ip.net ein Zertifikat zu bekommen.

Einfacher ist der eigene V-Server und ein VPN Tunnel, wie hier im Forum schon einige Male beschrieben. Da hast du freie Wahl in Bezug auf den Domainnamen und kannst die IPv4 Verbindung einfach tunneln.

henfri

Hallo,

ja ich fürchte, da gibt es keine gute Lösung.

Kannst du einen V-Server empfehlen?

Gruß,

Hendrik

frank_m

Wenn du Wireguard nutzen willst, brauchst du einen V-Server mit "echtem" Root Zugang, nicht so einen Virtuozzo Server.

Preiswert sind die von 1&1, und die scheinen zu reichen (1 EUR/Monat) . Ich selbst hab einen bei netcup, da kosten sie ab 2,70 EUR, soweit ich weiß.

HubeBube

Bei TLS Zertifikaten ist der Port völlig wurscht. Geprüft wird per Default auf eine valide Serverdienst.Domain.Topleveldomain Kombination also beispielsweise http://www.meinedomain.de da muss freilich auch ein reverse lookup die richtige IP-Adresse liefern. Beim Generieren des CSR kann man noch ein Subjekt Alternative Name (SAN) mitgeben werden. Hier kann auch eine IP-Adresse eingegeben werden und nicht nur Hostnamen. Mit IPv6 Adressen habe ich es noch nicht versucht, sollte allerdings auch gehen. Nur der FQDN, ohne diesen noch einmal als SAN zu verwenden, erzeugt übrigens ein nicht den RFCs entsprechenden und daher seit dem Jahr 2000 (kein Witz!) ungültiges Zertifikat! Glücklicherweise fügen die professionellen CAs den SAN ein, wenn er nicht im CSR vorhanden ist.

Ach ja, ihr werdet es schon gelesen haben, in FRITZ!OS 7.39 ist Wireguard implementiert. Vermutlich wird das in 7.4x die bisherige VPN Lösung von AVM ersetzen, dann darf @alfalfa auch wieder die Fritzen ruhigen Gewissens empfehlen 😉

henfri

Hallo,

ich nutze aktuell Wireguard. Das sollte aber doch auch über IPv6 funktionieren, oder?

Hier geht es ja nur um meinen Alexa Skill der kein IPv6 kann.

Ich habe es jetzt mal mit uberspace probiert. Das ist aber nur ein VServer.

Der Plan ist:

Uberspace hat ein ssl-cert für meine.domain. Das kann ich mir runterladen und in meinem nginx nutzen

In Uberspace leite ich meine.domain:1234 auf meine.dynv6.com weiter (socat).

Das funktioniert soweit. Aber wenn ich jetzt meine.domain:1234 öffne, dann strahlt mich das Webinterface der Fritzbox an - obwohl ich in der Fritzbox doch eine Weiterleitung von port 443 auf meinen Server (ich weiß dass es bei ipv6 keine Port-Weiterleitung ist, sondern eher ein umbiegen auf den enstprechenden lokalen teil der IPv6 ist).

Wie kommt das?

HubeBube: Also 25% hab ich verstanden, sorry.

Dass der Port für das Zertifikat egal ist, weiß ich. Aber wenn ich feste-ip und deren port-weiterleitung nutze komme ich ja nicht an ein SSL-Zertifikat von ich.feste-ip.net:64757 Denn der letsencrypt-certbot braucht ja port 80 oder 443 für den NAchweis, dass ich.feste-ip.net auch mir gehört.

Gruß,

Hendrik

frank_m

Zitat von henfri

ich nutze aktuell Wireguard. Das sollte aber doch auch über IPv6 funktionieren, oder?

Klar, kein Problem, nutze ich auch. Du kannst auch eine IPv4 Verbindung durch eine IPv6 Wireguard Verbindung tunneln.

Zitat von henfri

Aber wenn ich jetzt meine.domain:1234 öffne, dann strahlt mich das Webinterface der Fritzbox an - obwohl ich in der Fritzbox doch eine Weiterleitung von port 443 auf meinen Server

Bei IPv6 hat jedes Gerät seine eigene öffentliche IP. Es ist nicht wie bei IPv4, wo der Router eine öffentliche IP hat, die dann auf jedes Gerät per Portweiterleitung durchgereicht werden muss. Auch das steht bereits hundertfach in den anderen Threads zu IPv6 und Portweiterleitungen hier im Forum.

Für dich heißt das: Anstatt der IPv6 Adresse seiner Fritzbox musst du die IPv6 Adresse des Servers angeben, und dann in der Fritzbox eine entsprechende Portöffnung auf die Host-ID des Endgerätes einrichten. "meine.dynv6.com" zeigt also offensichtlich auf die falsche IPv6:

Zitat von henfri

In Uberspace leite ich meine.domain:1234 auf meine.dynv6.com weiter (socat).

Wenn du schreibst, dass dein Alexa Skill kein IPv6 kann, dann hilft dir das natürlich überhaupt nicht weiter. Ich kenne uberspace nicht, aber es sieht nicht so aus, als wäre das im Moment hilfreich. Oder erlauben die das aufbauen eines VPN Tunnels? Um die IPv4 Verbindung über socat zu tunneln, müsstest du sie aus deinem Heimnetz heraus triggern, und auch das halte ich für irgendwas zwischen heikel und unmöglich.

henfri

Zitat von frank_m

Bei IPv6 hat jedes Gerät seine eigene öffentliche IP. Es ist nicht wie bei IPv4, wo der Router eine öffentliche IP hat, die dann auf jedes Gerät per Portweiterleitung durchgereicht werden muss. Auch das steht bereits hundertfach in den anderen Threads zu IPv6 und Portweiterleitungen hier im Forum.

genau das meinte ich doch mit

Zitat

(ich weiß dass es bei ipv6 keine Port-Weiterleitung ist, sondern eher ein umbiegen auf den enstprechenden lokalen teil der IPv6 ist).

Zitat

Für dich heißt das: Anstatt der IPv6 Adresse seiner Fritzbox musst du die IPv6 Adresse des Servers angeben, und dann in der Fritzbox eine entsprechende Portöffnung auf die Host-ID des Endgerätes einrichten. "meine.dynv6.com" zeigt also offensichtlich auf die falsche IPv6:

Ja. Weil feste-ip.net in den Anleitungen zeigt, wie man die Aktualisierung der IP in der Fritzbox einrichtet.

Es muss also der Host, der erreicht werden will das IP-Update bei feste-ip machen.

Zitat

Wenn du schreibst, dass dein Alexa Skill kein IPv6 kann, dann hilft dir das natürlich überhaupt nicht weiter.

Warum nicht? Der Port-Mapper bei feste-ip.net leitet doch eine v4 frage auf meine.feste-ip.net:1234 auf meine ipv6 weiter, dachte ich.

Zitat

Ich kenne uberspace nicht, aber es sieht nicht so aus, als wäre das im Moment hilfreich. Oder erlauben die das aufbauen eines VPN Tunnels? Um die IPv4 Verbindung über socat zu tunneln, müsstest du sie aus deinem Heimnetz heraus triggern, und auch das halte ich für irgendwas zwischen heikel und unmöglich.

Nein, ein VPN-Tunnel geht nicht.
Aber was geht ist

Code

socat tcp4-listen:42580,fork,reuseaddr tcp6-connect:meine.dynv6.net:443

Das leitet alle Anfragen auf meineUberspaceDomain:42580 auf meine.dynv6.net:443 weiter. Das certifikat von meineUberspaceDomain kann ich mir über scp regelmäßig holen.

Gruß,

Hendrik

frank_m

Zitat von henfri

Ja. Weil feste-ip.net in den Anleitungen zeigt, wie man die Aktualisierung der IP in der Fritzbox einrichtet.
Es muss also der Host, der erreicht werden will das IP-Update bei feste-ip machen.

Ja und nein.

Es muss die Adresse des Hosts abrufbar sein, der erreicht werden soll. Aber das Update kann ggf. durch die Fritzbox erfolgen.

In deinem Fall ist es ja offensichtlich so, dass "meine.dynv6.net" auf die Fritzbox zeigt. Das musst du halt ändern. dynv6 erlaubt es ja, dass die Fritzbox das Prefix aktualisiert, und dann manuell Hosts mit ihrer entsprechenden Host-ID konfiguriert werden. Beim Aufrufen eines solchen Hosts wird dann die Kombination aus Prefix von der Fritzbox und manueller Host-ID zurückgeliefert - voilà. Genau das was du brachst. Der Hostname dafür wäre dann etwas wie alexa-skill.meine.dynv6.net.

Alternativ kann natürlich der Host direkt die ddns Updates machen, so er es kann. Bei einer Alexa weiß ich nicht, ob man ihr das beibringen kann.

henfri

Hallo,

danke für den Tipp. Ich denke, so komme ich weiter. Wenn ich eine Lösung habe, poste ich sie hier. Danke!

Gruß,

Hendrik