3, 4 kurze Fragen zum Verständnis (Anschlusstechnik, IPv6, CGNAT)

    Hallo alle!

    Auch hier macht gerade DG eine Umfrage im Ort, wer Interesse hätte und ich bin noch etwas unsicher, ob ich mich anmelde, da ich trotz Rumgooglen und Lesen der Beiträge hier noch immer nicht 100%ig die Antworten rauslesen konnte, die mir noch fehlen.

    Ich kenne CGNAT von Starlink in der Firma, da kommen wir von außen nicht mehr auf unseren Server, da PortForwarding ja mit IPv6 nicht wie gewohnt funktioniert und auch aus Prioritätsgründen wurde die Lösung des Problems dort bisher nach hinten geschoben :)

    Nun hab ich es aber hier zu Hause (Reihenhaussiedlung), sollte ich einen DG-Anschluss bekommen.

    Ich habe teils ganz kurze Fragen:

    1: Was legt die DG wie und wo ins Haus? Bohren die von der Straße aus Richtung Haus und legen einem dann eine Glasfaserleitung? Wohin genau wird die gelegt? An den erstbesten Ort hinter der Hauswand oder vielleicht sogar dort hin, wo aktuell noch die -T--- Anschlussdose ist? Bei uns gibts keine Leerrohre im Haus, da müsste man durch Böden und Wände und irgendwo anders auf dem Weg dorthin ein Gerät installieren ist auch schwierig. Ich will die FB mit WLAN z.B. nicht gerade im Keller.

    2: Einsetzen möchte ich eine Fritzbox. Ist bei DG zwischen Glasfaserleitung und FB noch eine Konverterbox oder setze ich eine bzw. die FB ein, die optische Ports hat?

    3: Die wichtigste Frage für mich, wo mir noch der Durchblick fehlt: Ich las hier über einige Möglichkeiten, wie man mit externen (kostenpflichtigen) Diensten die Möglichkeit schaffen kann, wie von IPv4 gewohnt auf Server und Geräte zuzugreifen. Ich habe ein paar Geräte, die ich von außen erreichen möchte (Hausautomation, Google Home Sachen, FileServer (aktuell mit WireGuard gelöst), pihole), die ich aktuell mit PortForwarding in der FB erreiche. Ich habe einen DynDNS-Provider dafür, der kann auch IPv6 (SPDNS), was ich derzeit aber überall deaktiviert habe.

    Da jedes Gerät später eine eigene IPv6 hat (also eigentlich ja 3), kann ich dennoch wie gewohnt auf diese Geräte über die IP der FB zugreifen, indem ich per DynDNS die öffentliche IPv6-Adresse der FB aufrufe zusammen mit der entsprechenden Portnummer - und die FB leitet das anhand des Port wie gewohnt weiter?

    Oder muss ich auf jedem Gerät dafür sorgen, dass der DynDNS Provider die jeweilige IPv6 dieses Gerätes erhält?

    So, wie gelesen habe, muss ich auf der FB die Firewall für das Gerät komplett öffnen, auf das ich zugreifen will. Das klingt irgendwie unsicher.

    Daher noch mal anders gefragt: ist es möglich, der FB zu sagen, "forwarde auf LAN-IP 192.168.0.150:xyz, wenn auf deiner öffentlichen IPv6 und Port xyz eine Anfrage kommt"?

    Bitte nicht aufregen, falls die Fragen immer wieder kommen und ich sie einfach nicht gefunden habe oder etwas gelesen habe, das mir schlüssig erscheint. :)


    Danke für Aufklärung und schöne Grüße,

    Nik

    1) Die DG installiert den HÜP in den Keller oder ins Erdgeschoss, in der Nähe der Stelle, wo die Glasfaser durch die Wand kommt. Wo das ist, kannst du in Grenzen bei der Hausbegehung festlegen. Der Kabelweg im Haus vom HÜP zum Gf-TA (Glasfasersteckdose) muss von dir vorbereitet werden bzw. kostet extra. Wo der Gf-TA installiert wird, kannst du ebenfalls bei der Hausbegehung festlegen. Wenn der Kabelweg am Tag der Installation nicht vorbereitet ist, kommt der Gf-TA aber direkt neben den HÜP.

    2) Die DG installiert einen ONT, der dir den Anschluss als Gigabit-Ethernet an einer RJ45 Buchse bereitstellt. Du kannst aber auch einen Router mit einem optischen Anschluss verwenden. Der ONT ist dann überflüssig.

    3) Die Fritzbox kann nicht zwischen IPv6 und IPv4 übersetzen. Die Firewall muss nicht komplett für Geräte geöffnet werden, die per IPv6 erreichbar sein sollen. Du kannst weiterhin auch nur bestimmte Ports freigeben. Es gibt DynDNS Provider, die mit einer einzigen Präfix-Aktualisierung die DNS-Einträge für alle gewünschten IPv6-Geräte erstellen können (z.B. DynV6.com). Die Geräte werden nicht mit der IPv6-Adresse der Fritzbox angesprochen sondern mit ihren eigenen Adressen. Du kannst im Wireguard-VPN auch die IPv4 Geräte ansprechen, während IPv6 als Transportprotokoll für Wireguard verwendet wird.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von NikA

    Besten Dank, das hilft weiter!

    Das mit der fehlenden Übersetzung ist recht schade, wird dadurch irgendwie aufwändiger :)

    Was ist denn dein Ziel der "Übersetzung", was würde es dir bringen?
    Dies möchtest du eigentlich nur, damit du es dir leichter merken kannst, weil du auch noch an den IPv4-Adressen hängst. ;) ^^
    Mein Tipp: gebe deinem Netz und den Geräten einen Namen, das ist dann noch leichter, dies kann man auch im Portforwarding nutzen.

    Jein :)

    klar, die IPv4 merken sich einfach leichter, aber viel blöder ist es, dass entweder jedes Gerät, dass von außen Zugriff bekommen soll, dem DynDNS Service Meldung machen muss

    oder dass der DynDNS Service Teile der IPs der Geräte kennen muss und dann brauch ich dazu mehrere Präfixe, wo es jetzt nur einfach ein Port ist.

    Oder habe ich das oben Geschriebene doch noch falsch verstanden? :)

    Zitat von NikA

    Jein :)

    klar, die IPv4 merken sich einfach leichter, aber viel blöder ist es, dass entweder jedes Gerät, dass von außen Zugriff bekommen soll, dem DynDNS Service Meldung machen muss

    oder dass der DynDNS Service Teile der IPs der Geräte kennen muss und dann brauch ich dazu mehrere Präfixe, wo es jetzt nur einfach ein Port ist.

    Oder habe ich das oben Geschriebene doch noch falsch verstanden? :)

    Ich kann es ja nicht testen, aber mir scheint, dass die Deutsche Glasfaser hier ein gut umsetzbare Anleitung geschrieben hat.

    Das kannst du ja mal versuchen, umzusetzen. Die Screenshots stammen von älteren Firmware aber die FB hat ja beim c´t Test noch am besten abgeschnitten i. V. m. IPv6.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    HubeBube : genau da fehlt mir das Wissen! Wie mach ich das? Meiner Vorstellung nach muss ich ja dann dem DynDNS Service mitteilen, welche das ist. Also muss ich doch wohl bei jedem dieser Geräte einrichten, dass sie sich beim DynDNS Service melden, oder?

    Also mal angenommen, die FritzBox meldet sich beim Wechsel der IP beim Service, wo abc.spdns.eu die neue IP mitgeteilt bekommt.

    Unter abc.spdns.eu:port erreiche ich aktuell diverse Geräte durch PortForwarding in der FB.

    Jetzt muss also jedes Gerät sich beim Service melden und ich habe dann im Endeffekt

    abc.spdns.eu für die FB

    def.spdns.eu für fileserver

    ghi.spdns.eu für IoT Gerät 1

    jkl.spdns.eu für IoT Gerät 2,

    welche ich dann z.B. mit ghi.spdns.eu:port erreiche?

    Das wird, abgesehen von mehr Hostnamen auch schwieriger, wenn sich jedes Gerät melden muss.

    Falls es einfacher geht, welche Info fehlt mir? :)

    Zitat von NikA

    Jetzt muss also jedes Gerät sich beim Service melden und ich habe dann im Endeffekt

    Du kannst auch die Geräte mit ihrer Host-ID bei spdns anlegen. Die Fritzbox meldet dann nur das neue Prefix (dann nur das ändert sich), und spdns baut aus Prefix und Host-ID die komplette IP zusammen. Voilà: Ein dyndns Update in der Fritzbox, aber beliebige Geräte im Heimnetz per IPv6 erreichbar.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Wenn der Dynamic DNS Service, wie der Dienst von Securepoint, nicht die Funktion hat, mit einem Präfixupdate auf einmal alle Hosts anzupassen, dann muss tatsächlich für jeden Host ein separates Update durchgeführt werden. Wenn der Router das, wie die Fritzbox, nicht kann, dann müssen das die Geräte selbst machen, oder ein separates Gerät mit einem flexibleren Dynamic DNS Client kann das für Geräte übernehmen, die das nicht selbst können.

    Die einfachere Lösung ist, einen Dynamic DNS Service mit Präfixupdate-Funktion zu nutzen und die Fritzbox das neue Präfix melden zu lassen. Wie bereits weiter oben erwähnt kann DynV6.com das.

    Der erste Test sollte von außerhalb des Heimnetzes (z.B. Handy mit abgeschalteten WLAN) erfolgen. Sofern ein Webinterface des Endgerätes im Heimnetz vorhanden ist, sollte es unter einer IPv6-Adresse erreichbar sein. Wichtig hierbei: Die IPv6 in eckige Klammern setzen!

    Die Endgeräte müssen so eingestellt werden, das deren IPv6-Adresse statisch ist.

    Das sollte funktionieren, bevor ein DynDNS Dienst verwendet/eingerichtet wird.

    Zitat von NikA

    Unter abc.spdns.eu:port erreiche ich aktuell diverse Geräte durch PortForwarding in der FB.

    Da jedes Endgerät im Heimnetz eine weltweit gültige IPv6-Adresse hat, ist in der FB lediglich eine Firewallfreischaltung für das Endgerät bzw. den Port des Endgerätes vorzunehmen. Es wird immer die IPv6-Adresse des Endgerätes verwendet und nicht die Adresse der FB. Portweiterleitung/Portforwarding ist in diesem Zusammenhang ausschließlich für IPv4 notwendig.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von HubeBube

    Da jedes Endgerät im Heimnetz eine weltweit gültige IPv6-Adresse hat, ist in der FB lediglich eine Firewallfreischaltung für das Endgerät bzw. den Port des Endgerätes vorzunehmen. Es wird immer die IPv6-Adresse des Endgerätes verwendet und nicht die Adresse der FB. Portweiterleitung/Portforwarding ist in diesem Zusammenhang ausschließlich für IPv4 notwendig.

    NikA

    Technisch zutreffen, aber egal ob Firewallfreischaltung bei IPv6 oder Portforwarding bei IPv4, das Gerät ist dann immer zum freien Schießen für das Internet freigegeben.
    Also sehr mit Bedacht und vielleicht lieber VPN nutzen.

    Danke!

    Ja, genau das meinte ich mit "firewall öffnen" weiter oben ...

    hm, ok, ich werde es ja irgendwann (hoffentlich) sehen :)

    Die Infos reichen mir aber erst mal, um mich für DG zu registrieren.

    Ich vermute, die Umstellung auf IPv6 wird auch nicht ohne, da ich das ja aktuell komplett abgestellt habe und Dienste wie pihole dann ja dennoch arbeiten sollen.

    Ich könnte auf meiner Linux-NUC vermutlich auch pfsense installieren, die hat 2 2.5Gbit-LAN-Ports, aber für mich ist das alles Neuland. Allein die Umstellung vom Raspi auf die NUC-Box mit Ubuntu war schon heftig, (zumal sich verschiedene Dienste immer noch in die Quere kommen, z.B. ufw wird immer wieder von irgendwas gestartet, während ich aber firewalld nutze, das mal am Rande erwähnt, googlen hilft leider oft nicht wirklich)