Glasfaser ipV6 und die Portfreigaben... Fragen über Fragen

Wahrscheinlich muss am Firewall ein Port geöffnet werden. Auf dem Vodafone Connect Box heißt es IPv6 Host Exposure - man gibt die IPv6 Adresse des lokalen Rechners und der Port ein.

Evtl. müssen auch die Privacy Extensions deaktiviert werden, sonst ändert sich die IPv6 Adresse regelmäßig.

Vielleicht kannst du dir hier ein paar Infos ziehen.

Beitrag

RE: IPv4-Erreichbarkeit via Portfreigabe auf einem VPS

Variation ohne WireGuard und 6tunnel

Im letzten Beispiel zeige ich eine Möglichkeit auf, wie man Freigaben im Heimnetz via IPv4 erreichbar machen kann, wenn die Ziele bereits via IPv6 erreichbar sind.

Dazu ist dann keine WireGuard-Konfiguration mehr notwendig.



Ich habe versucht, im bekannten Diagramm die Änderungen so übersichtlich wie möglich einzubauen - gar nicht so trivial.

IPv6-Konfiguration

Wesentlich für die Lösung ist, dass unser fabelhaftes NAS über eine öffentliche IPv6-Adresse…

mbo77

31. Oktober 2023 um 08:48

Wichtig zu verstehen ist, dass jedes Ziel eine eigene Registrierung braucht und nur Firewall-Regeln zu bearbeiten sind.

Der Unterschied zwischen IPv4 und IPv6 ist es, dass es bei IPv4 eine Portweiterleitung gibt, während es bei IPv6 eine Portöffnung ist.

Bei IPv4 hat nur der Router eine öffentliche IP. Dort kommt die Anfrage des Clients an, und er muss sie dann an den richtigen Client in seinem Heimnetz weiterleiten.

Bei IPv6 hat das Gerät selber eine öffentliche IP, und die Anfrage des Clients geht direkt dahin. Hier muss die Firewall lediglich erlauben, dass die Anfrage durchgeht.

Misux2000 ich denke es ist alles hier schon besprochen worden: IPV6 Freigaben an der Fritzbox und DG...Bin ich wirklich sooo doof?

Viel Aufschlussreiches erfährst Du, wenn die Suchfunktion des Forums genutzt wird. Wenn ich dir einen wirklich gut gemeinten Rat geben darf: Vergiss bei denem Kentnisstand von IPv4 und IPv6 semiprofessionelle Hardware wie eine Dream Machine und bleibe bei der FRITZ!Box. Letztere ist gar nicht schlecht und das FRITZ!OS nimmt dir vieles ab.

Lies dir mal den Wiki-Artikel durch, um einen Einstieg in IPv6 zu bekommen und den Mechanismen.

IPv6 – Wikipedia

Und mit der UDM Pro solltest du vielleicht noch ein halbes Jahr warten, da ist, um es vorsichtig zu sagen, IPv6 stiefmütterlich behandelt. Ich hatte letzte Tage desaströse Erfahrungen und IPv6 wieder abgeschaltet. Habe zum Glück habe ich auch IPv4.

PS: Und das ganze bei über 20 Jahren Netzwerkerfahrung.

Zitat von Misux2000

Zudem Habe ich immer mehr "Problemchen" mit meinem Wlan... Es ist schon an der Grenze der Fritteleistung...

Habe eine 4060, 3xRepeater 6000, 1 24x POE Switch und 2 weitere Switches.

Insgesamt ca 30 Wlan und ca 25 Netzwerkgeräte un 10 POE IPCams...

Da würde ich jetzt erstmal dieses Problem weiter eingrenzen.

Welche Flächen willst du damit denn abdecken? 4 APs sind schon eine Menge. Viel hilft nicht immer viel.
Wie sind die 3 Repeater denn verbunden? Über eine LAN- oder WLAN-Verbindung? Nutzt du die Mesh-Funktionen?

Und worin bemerkst du dann Probleme? Gibt es Schwierigkeiten in der LAN- oder WAN-Kommunikation?

Wie sieht es mit anderen WiFi-APs in der Nachbarschaft aus?

Zitat von Misux2000

Vielleicht sollte ich erwähnen das ich mit ipv6 nur nach außen meine!

Intern sollte es natürlich weiterhin mit ipv4 laufen , das erspart mir vermutlich einiges am Arbeit...

So ist es ja jetzt auch... intern habe ich alles mit ipv4 bzw domainnamen über dns umschreibung in AdGuardhome... aber ansprechen tu ich die Geräte immer per V4.

Nur von außerhalb muss ich leider die V6 Geschichte nutzen weil mein Glasfaser Anschluss nur das hergibt...

Ich glaube nicht, dass es Home-Router gibt, die dir IPv6-Adressen von außen in IPv4 intern umsetzen. Du musst schon den Geräten auch IPv6-Adressen geben.
Das Portforwarding auf interne IPv4 Geräte funktioniert über IPv6 nicht mehr.

Um ein Gerät innerhalb des eigenen Netzwerks von extern via DSlite ansprechen zu können, muss das Gerät neben einer IPv4 Adresse auch eine eigene IPv6 Adresse zugewiesen bekommen haben und der notwendige Port muss für das Gerät im Router geöffnet werden.

Intern kann man nun frei wählen ob man das Gerät via v4 oder v6 anspricht, extern geht es nur mit v6.

Zitat von Phino

Du musst schon den Geräten auch IPv6-Adressen geben.

Zitat von Thomas1978

Um ein Gerät innerhalb des eigenen Netzwerks von extern via DSlite ansprechen zu können, muss das Gerät neben einer IPv4 Adresse auch eine eigene IPv6 Adresse zugewiesen bekommen haben

Ich habe einen CG-NAT Anschluß der Deutschen Glasfaser. Wenn ich mich über mein per IPv6 verbundenes Smartphone via Wireguard über meine Fritzbox zuhause in mein Heimnetz einwähle (VPN), kann ich auch auf die IPv4-only Geräte zugreifen, zum Beispiel eine ESP32-Cam!

Also auch Geräte im Heimnetz ohne IPv6 sind über das Fritzbox-Wireguard-VPN von ausserhalb erreichbar.

Ich nutze alternativ ein VPN mit Tailscale über ein im Heimnetz laufenden RasPi. Hierbei ist es völlig egal ob die beteiligten Geräte im Heimnetz oder im Internet IPv4 oder IPv6 haben. Ich komme von IPvX auf IPvX Geräte.

Zitat von Thomas1978

extern geht es nur mit v6.

Mit Tailscale ist dies egal. Es müssen bei Tailscale für ein VPN auch keine Ports geöffnet oder weitergeleitet werden.

Wenn du dich von extern per Wireguard mit deinem Netzwerk verbindest, dann kannst du sämtliche Geräte innerhalb des Netzwerks natürlich so ansprechen, wie du es auch von innerhalb des Netzwerks gewohnt, das ist nichts Neues.

Aber um von extern auf das Wireguard Geräte zugreifen zu können, musst du wieder einen Port öffnen (außer du kannst die Wireguard Verbindung direkt mit deinem Router herstellen).

Zitat von Bracew

Mit Tailscale ist dies egal.

Tailscale ist ein Bezahldienst, und da die bisher nicht angesprochen wurden, werfen wir die nicht einfach mit ins Rennen.

Zitat von Thomas1978

außer du kannst die Wireguard Verbindung direkt mit deinem Router herstellen

Ja das macht die Fritzbox und funktioniert tadellos.

Zitat von Thomas1978

Tailscale ist aber auch ein Bezahldienst

Für Otto Normalverbraucher ist Tailscale gratis.

Das du bereits einen VPN-Tunnel nutzt, war so nicht klar. Dann musst du ja keine Ports öffnen, weil du Teil deines Netzes bist. Dies ist eine andere Situation als der direkte, freie Zugriff auf die Geräte aus dem Internet.
Dies macht die UDM auch, dort hast du die Wahl von verschiedene, mehreren VPN-Tunneln.

Teleport (nur Mobilgeräte), WireGuard, OpenVPN und L2TP als Server oder Client.

TE ist Misux2000, die letzten Posts kamen aber von Bracew. Ob der TE einen VPN Tunnel nutzt, wissen wir bisher noch nicht.

Da hast du recht, haben beide einen Lila Kreis, habe nicht so genau geschaut.

Dann einfach IPv6, DDNS und Firewall konfigurieren.