Deutsche Glasfaser, externer Zugriff auf NAS über IPv6

    Hallo liebe Community, ich hoffe ihr könnt mir weiterhelfen, ich habe viel im Internet gelesen aber wirklich schlau, bzw. weiter hat es mich bis jetzt nicht gebracht.
    Was ich herausgelesen habe ist, das ich per IPv4 nicht auf Geräte im Heimnetz von außen zugreifen kann, dass dies nur über IPv6 möglich sein soll.

    • Ich möchte von außen (aus dem Internet) auf mein lokales NAS zugreifen können
    • Auf diesem sollen verschiedene Anwendungen später laufen z.B.:
      • NextCloud oder OwnCloud
      • ein Austauschlaufwerk
      • irgendein Streamer für eigene Musik
      • DNS (AdGuard)
    • das Ganze soll so einfach wie möglich sein, damit die Familie von außen/unterwegs Fotos hochladen, aber auch ansehen kann.

    Aktuell kann ich per VPN WireGuard auf das NAS (DXP4800PLUS) zugreifen.
    Dieses hat zwar eine Funktion, für diese man sich jedoch registrieren muss, was ich allerdings nicht möchte.

    Bis jetzt verwende ich das NAS als DNS & Austauschlaufwerk, funktioniert lokal soweit auch ganz gut.
    Allerdings wäre der Zugriff von außen wünschenswert.

    Ich habe bereits einige Einstellungen versucht mit IPV6 (s. unten), jedoch bekomm ich es nicht hin, von außen auf das Gerät zuzugreifen.

    Ich hoffe ihr könnt mir hierbei behilflich sein.

    Sollte etwas fehlen an Informationen, lass es mich gerne wissen.
    Ich bin für jeden Tipp dankbar.

    Anbieter: Deutsche Glasfaser

    Aufbau des Heimnetzes:

    aktuelle IPv6 Einstellungen:


    DG Verbindungsdetails:


    Gerät welches angesprochen werden soll (NAS):


    PING6 (iPhone aus Mobilfunknetz --> FritzBox)
    PING6 (iPhone aus Mobilfunknetz --> google.com)


    PING6 (iPhone aus Mobilfunknetz --> NAS mit IPv6-GUA-Temporary) x

    PING6 (iPhone aus Mobilfunktnetz --> NAS mit IPv6-GUA) x

    Du musst für deine Versuche auch Ping6 aufs NAS freigeben. Hast du das getan? Auf Port 9999 läuft ein HTTP(!)-Service, auf den du zugreifen kannst? Es ist nicht HTTPS? Hast du das probiert?

    Hat das NAS ausgehend IPv6 Konnektivität?

    Genereller Hinweis: Du solltest "Native IPv4 Verbindung" und "Adresse automatisch aushandeln" benutzen. Alles andere kann zu Problemen führen.

    Eine VPN Lösung ist nicht akzeptabel? Ein Web-Service eines NAS einfach so im Internet ist immer auch eine signifikante Sicherheitslücke. Vor allem, wenn es wirklich http sein sollte, halte ich das für eine Katastrophe.

    Na, pingen kannst du das NAS von außen natürlich nicht, weil du dafür keine ICMPv6-Freigabe eingerichtet hast (zumindest sehe ich das nicht).

    Du kannst laut FB-Freigabe nur einen HTTP-Connect via 9999\tcp testen:

    http://[IPv6-Adresse des NAS laut GUA - (2a00:6020: ... :f3ed)]:9999

    (IPv6-Adresse muss mit [ ] umgeben werden!)

    Nachtrag:

    Ich gehe davon aus, dass du die FB-Freigabe für das NAS anhand dessen "IPv6-Interface-ID" und somit passen für die "IPv6-GUA" (und somit nur für diese) eingerichtet hast. Für diese "IPv6-Interface-ID" muss ferner gelten: Sie muss wirklich fest sein, darf sich nach einem Neustart des NAS oder nach der Zuweisung eines neuen IPv6-LAN-Präfix durch DG nicht ändern! Wenn diese "IPv6-Interface-ID" in der Mitte z.B. das Muster "ff:fe" aufweist, und "f3ed" auch am Ende der NAS-MAC-Adresse auftaucht, kannst du davon ausgehen, dass sie tatsächlich konstant ist.

    2 Mal editiert, zuletzt von ::1 (4. Oktober 2025 um 17:55)

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Erst einmal vielen Dank für eure Tipps.


    frank_m

    ::1

    ich habe nun auf „Native IPv4-Anbindung verwenden“ umgestellt.
    Der Punkt „Adresse Automatisch aushandeln“ scheint dann zu entfallen.

    Ping6 ist freigegeben und jetzt für https der Port 9999 geöffnet, über den das NAS im Heimnetz erreichbar ist.

    Auch wenn ich auf „Exposed Host“ umschalte komme ich von Außen nicht drauf.

    Um die Frage bzgl. VPN zu beantworten, ich wollte es für die anderen beteiligten die auf das NAS zugreifen möglichst einfach halten ohne das sie etwas einrichten müssen.

    Zitat von Xonic207

    Auch wenn ich auf „Exposed Host“ umschalte komme ich von Außen nicht drauf.

    Ich weiß nicht, wie du "von außen" testest: Falls mit Smartphone, musst du auf dem natürlich "WLAN" ausschalten, und dein mobile Provider muss deinem Phone auch eine IPv6-Adresse spendieren.

    Und wie gesagt, IPv6-Adresse des NAS in der Zielansprache in eckige Klammern setzen (später wirst du die sicherlich über DynDNS auflösen wollen):

    https://[2a00:6020: ... :f3ed]:9999

    Nicht wundern, wenn du hierfür einen Zertifikatsfehler kassieren wirst.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    ::1 mit von außen meine ich außerhalb des Heimnetzes, sprich z.B. über das Mobilfunknetz von Vodafone.
    Die im ersten Post gemachten PING6 wurden so erstellt. Zumindest konnte ich darüber den Router anpingen und scheine auch eine IPv6 von Vodafone zu erhalten "2a00:20:00x0:0000:0000:0xxx:0x0:2e7a", daher war meine Annahme, so müsste ich auch das NAS anpingen können.

    Später wäre es wünschenswert, wenn es per DynDNS funktioniert, aber erst einmal muss es ja auch ohne gehen.

    maik6849 das NAS ist wie folgt erreichbar/nicht erreichbar:

    Zugriff aus dem Mobilnetz mit IPv6-GUA auf das NAS

    https://[2a00:6020:x000:xx00:0x0x:xx00:x000:f3ed]:9999

    Meldung:
    "Safari kann keine Verbindung zum Server aufbauen
    Safari kann die Seite „https://[2a00:6020:x000:xx00:0x0x:xx00:x000:f3ed]:9999" nicht öffnen, da Safari keine Verbindung zum Server„2a00:6020:x000:xx00:0x0x:xx00:x000:f3ed" aufbauen kann."


    http://[2a00:6020:x000:xx00:0x0x:xx00:x000:f3ed]:9999

    Meldung:
    "Safari kann die Seite nicht öffnen
    Safari kann die Seite „www.[2a00:6020:x000:xx00:0x0x:xx00:x000:f3ed]:9999" nicht öffnen, da die Adresse der Seite ungültig."

    (auf die IPv6-GUA-Temporary kommen die selben Meldungen.)


    Zugriff im Heimnetz klappt lediglich über HTTP und die IPv6-GUA-Temporary

    https://[2a00:6020:x000:xx00:00x0:0000:000x:50ed]:9999

    Meldung:
    "Safari kann die Seite nicht öffnen
    Safari kann die Seite ,https://[2a00:6020:x000:xx00:00x0:0000:000x:50ed]:9999" nicht öffnen, da Safari keine sichere Verbindung zum Server „2a00:6020:x000:xx00:00x0:0000:000x:50ed" aufbauen"

    http://[2a00:6020:x000:xx00:00x0:0000:000x:50ed]:9999

    Meldung:
    Weboberfläche des NAS wird geöffnet.


    In den Einstellungen des NAS wird auch nur die IPv6-GUA-Temporary angezeigt


    Für mich scheint es irgendwie so, als würde der Router das NAS trotz Freigabe nicht wirklich freigeben, aber ich habe auch keine Ahnung btw. Bin daher für jeden Vorschlag dankbar.

    Zitat von Xonic207

    In den Einstellungen des NAS wird auch nur die IPv6-GUA-Temporary angezeigt

    das hättest du bereits eher erwähnen können. ;)

    In der FritzBox.

    Heimnetz - Netzwerk - Netzwerkeinstellungen - Erweiterte Netzwerkeinstellungen ändern - IPv6 Einstellungen.

    Dort einmal so einstellen, die FritzBox und das NAS dann einmal neu starten.

    Was für IPv6 Adressen werden nun im NAS angezeigt?

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von maik6849

    ins Internet kommt es sicher,

    Das weißt du woher?

    Zitat von maik6849

    aber durch die temporäre IPv6 ist es nicht dauerhaft von außen erreichbar.

    Das ist klar, die Freigaben passen ja auch nicht dazu. Ich würde allerdings auch nicht so weit gehen, dass da keine feste IPv6 Adresse ist, nur weil sie in einem (mobilen) Web-Frontend nicht auftaucht. Wer weiß, wie das implementiert ist. Bislang haben wir Verbindungsversuche von Außen nur auf die feste Adresse und aus dem Heimnetz nur auf die temporäre Adresse gesehen. Es gibt diesbezüglich also noch keinerlei belastbare Informationen. Wir wissen nicht mal, ob die feste IP gemäß EUI-64 ermittelt wird.

    Ich denke, eine systematischere Herangehensweise würde schneller zum Ziel führen. Mit den Grundlagen anfangen, und dann um die spezifischen Einstellungen kümmern.

    Da der Router ja von außen erreicht werden kann, sieht es so aus, als ob der IPv6 Internetzugang grundsätzlich funktioniert. Das wird also vermutlich eine Sache im Heimnetz sein.

    Einmal editiert, zuletzt von frank_m (5. Oktober 2025 um 11:24)

    Ich verweise auf meinen ersten Beitrag: Du könntest in der FB den IPv6 Interface Identifier einfach mit dem Identifier der temporären GUA überschreiben und die Freigabe dann für diesen Wert durchführen - dann würde der Zugriff von außen vermutlich funktionieren. Aber du hast damit keine Dauerlösung, falls das nur ein temporärer Identifier ist, der sich z.B. nach einem NAS-Neustart ändert.

    maik6849 Ich habe die Einstellung unter Netzwerk - Erweiterte Netzwerkeinstellungen - IPv6 so wie auf dem Screenshot umgestellt.
    Nun hat das NAS folgende IPs wenn ich diese in dessen Weboberfläche schaue:


    In der FritzBox sind einige IPv6-GUA-Temporary hinzugekommen:


    probiert habe ich hier zuerst den lokalen Zugriff:

    IPv6-GUA:
    2a00:6020:b092:ec00:3b6a:bf43:d278:f3ed
    Zugriff per http: (Adresse der Seite ungültig) x
    Zugriff per https: (kein Verbindung zum Server) x

    IPv6-GUA-Temporary
    2a00:6020:b092:ec00:59f4:3648:522c:50ed
    Zugriff per http: (Adresse der Seite ungültig) x
    Zugriff per https: (kein Verbindung zum Server) x

    2a00:6020:b092:ec00:9798:d819:f69b:4977
    Zugriff per http: (Weboberfläche öffnet sich)
    Zugriff per https: (kein sichere Verbindung zum Server) x

    2a00:6020:b092:ec00:364e:2b7d:cfea:21b6
    Zugriff per http: (Weboberfläche öffnet sich)
    Zugriff per https: (kein sichere Verbindung zum Server) x

    2a00:6020:b092:ec00:41f6:7ba2:60b6:3578
    Zugriff per http: (Adresse der Seite ungültig) x
    Zugriff per https: (kein Verbindung zum Server) x

    selbiges habe ich vom Handy aus dem mobilen Netz probiert, hier erhalte ich dann für alle
    http --> (Adresse der Seite ungültig) x
    https --> (keine Verbindung zum Server) x

    frank_m wie kann ich prüfen, ob das NAS per IPv6 ins internet gelangt? (ich kann zumindest vom NAS aus Dinge herunterladen z.B. per Docker)

    Ich habe gerade nachdem ich die Einstellung geändert habe und die IPs durchgeprüft habe, einen Test auf https://test-ipv6.com gemacht, hier das Ergebnis:

    Hier hatte ich letzte Woche 10/10 und es sagte mit auch das ich IPv6 habe.

    In der FitzBox wird IPv6 auch als i.O. angezeigt:

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von Xonic207

    frank_m wie kann ich prüfen, ob das NAS per IPv6 ins internet gelangt? (ich kann zumindest vom NAS aus Dinge herunterladen z.B. per Docker)

    Logge dich aufs NAS ein und mache ein "ping -6 http://www.heise.de". Wenn du schon da bist, schau auch mit ip oder ifconfig nach, welche IPs das NAS wirklich hat. Achte auch in den Einstellungen des NAS darauf, dass es wirklich eine permanente IP generiert. Wenn die Anzeige stimmt, ist das nicht der Fall.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von maik6849

    Das Problem ist das NAS was keine dauerhafte IPv6 nimmt

    So ist es, die Hersteller des NAS-OS haben da bzgl. "Privacy über alles" versus feste IPv6-Interface-ID für Server leider die falschen Prioritäten gewählt.

    Workaround: Das NAS statisch konfigurieren und dafür eine Freigabe einrichten. Das muss man dann nur in den seltenen Fällen anpassen, wenn einem DG ein neues IPv6 LAN-Präfix verpasst.