Website mit IPv6 hinter DG Router SagemCom F@st 5366se

  • Hallo,


    seit einigen Wochen haben wir einen Anschluß von der Deutschen Glasfaser (DG).


    Auf einem RasPi in meine Heimnetz habe ich eine Internet-Seite am laufen.

    Der RasPi hat IPv6 wie folgt:


    ifconfig |grep inet6

    inet6 fdaa:bbcc:ddxx:xxxx:xxxx:xxxx:xxxx:591e prefixlen 64 scopeid 0x0<global>

    inet6 2a00:6020:50xx:xxxx:xxxx:xxxx:xxxx:591e prefixlen 64 scopeid 0x0<global>

    inet6 fe80::xxxx:xxxx:xxxx:591e prefixlen 64 scopeid 0x20<link>

    inet6 ::1 prefixlen 128 scopeid 0x10<host>


    Gebe ich

    "http://[2a00:6020:50xx:xxxx:xxxx:xxxx:xxxx:591e]" oder

    "http://[fdaa:bbcc:ddxx:xxxx:xxxx:xxxx:xxxx:591e]"

    in den Firefox Browser meines Desktop PC ein, bekomme ich die Internet-Site des RasPi angezeigt.


    Ich kriege es jedoch nicht hin, diese auch von außerhalb meines Heimnetz zu erreichen und vermute, dass meine Einstellungen am von der DG bereitgestellten SagemCom F@st 5366se Router nicht funktionieren.

    Viele Beispiele und Erklärungen im Internet gibt es zur Fritzbox mit IPv6, aber nicht zum SagemCom.


    Hat jemand den gleichen Router?

    Was muss man dort Einstellen, damit eine hinter dem Router gehostete Website per IPv6 erreichbar wird?

  • Ich kriege es jedoch nicht hin, diese auch von außerhalb meines Heimnetz zu erreichen und vermute, dass meine Einstellungen am von der DG bereitgestellten SagemCom F@st 5366se Router nicht funktionieren

    Es wäre gut zu wissen was du denn genau dort eingestellt hast.
    Da es nicht einmal auf der Herstellerwebseite eine Bedienungsanleitung gibt und das gleiche Gerät hier im Forum möglicherweise nur wenige Nutzer haben, wäre es gut wenn du uns ein paar Screenshots von deinen Einstellungen machen könntest und hier als Dateianhang einzustellen?

    Ohne das Gerät zu kennen: In der Theorie sollte es genügen den gewünschten Port (bei Webservern meist 80 oder 443) für das entsprechende IPv6-Gerät freizuschalten (forwarden).

  • Ja, Du hast recht, ich habe auch keine Doku gefunden, zumal der Router ein DG Branding hat. Deshalb frage ich ja nach jemanden, der genau an diesem Typ Router bereits sowas mal eingestellt hat.


    Hier der Screenshot von der IPv6 Firewall. Ich Versuche den externen Port 2a00:6020:50xx:xxxx:xxxx:xxxx:xxxx:591e:80 auf den internen Port 2a00:6020:50xx:xxxx:xxxx:xxxx:xxxx:591e:80 weiterzuleiten:

    so dachte ich zumindestens.

  • Da es bei IPv6 kein NAT gibt, sind mit "local" und "remote" vermutlich nicht zwei Adressen in deinem Bereich gemeint (so wie es bei IPv4 mit externem Port und interner Adresse+Port wäre). Eine Firewall kann man oft so einstellen, dass nicht nur festgelegt wird, worauf zugegriffen werden darf, sondern auch von wo aus. Zum Beispiel könnte ich In meinem Router festlegen, dass von 2a00:6020::/32 auf eine bestimmte Adresse und einen bestimmten Port in meinem Netz zugegriffen werden darf. An diese Freigabe kämen dann nur Geräte im DG-Netz. So würde ich in dem Screenshot "local" und "remote" interpretieren. Kann man remote und remote-port auch leer lassen oder ein Präfix eintragen?

  • Du findest dieses Forum hier toll und möchtest es unterstützen? Großartig! Hier zeigen wir dir eine Möglichkeit, wie du uns supporten kannst. Es kostet dich keinen Cent mehr und das Forum bleibt hiermit weiter werbefrei.

    Amazon Link

    Nutze diesen Button um bei Amazon einzukaufen. Das kostet dich keinen Cent mehr, jedoch bekommen wir eine kleine Provision.
    Bei Amazon einkaufen und das GF unterstützen
    Mehr Infos gibt es in diesem Thread
  • Ich könnte mir vorstellen was mit Remote-IP-Adresse gemeint ist, aber ich bekomme auch keinen offenen Port hin.


    In meinem Heimnetz habe ich einen RasPi, welcher auf Port 80 HTTP lauschen und reagieren sollte. Zusätzliche auf Port 25 und 465 für Mail. Ich würde auch gerne wieder ein VPN für Zugriff von außen einrichten. Doch ich kann machen was ich will, ich bekomme den SagemCom F@st 5366se Router nicht dazu einen der nötigen WAN Ports außen auf den internen Port des RasPi weiter zu leiten.


    1. Akt:

    Zunächst habe ich diesbezüglich hier im Forum nachgefragt, aber niemanden gefunden.


    2. Akt:

    Dann habe ich in einem Forum für Router diesbezüglich nachgefragt. Es war das erste Mal das bei vielen tausend Anfragen jemand nach dem SagemCom F@st 5366se Router gefragt hat. Ergebnis: "Ich rate dir, bei DG nachzufragen".


    3. Akt:

    Also habe ich bei der Deutschen Glasfaser meine Anfrage an den Support gestellt.
    Ergebnis 1: ich soll die DG Anleitung für den Fernzugriff lesen. Ich schreibe zurück, dass diese für FritzBox und somit unbrauchbar ist.


    Ergebnis 2: ich bekomme eine neue Ticket Nr. und eine Antwort "Guten Tag Frau Schmidt,...". Weitere Antwort: "der genannte Router keiner weiteren Einrichtung bedarf, da dieser etwaige Informationen und Einstellungen selbstständig bezieht". Ich schreibe wieder zurück, dass ich weder Schmidt heiße, noch eine Frau bin, dass der Supporter meine Frage nicht verstanden hat und um 2nd Level Support bitte.


    Ergebnis 3: ich bekomme eine neue Ticket Nr. und die Antwort, dass ich die Anleitungen im Netz der DG lesen soll. Auf meine Rück-Mail mit dem Hinweis, dass ich dieses bereits getan habe und bereits in meiner ersten Mail darauf hingewiesen hätte alles gelesen zu haben, bekomme ich:


    Ergebnis 4: eine neue Ticket Nr. und keine Antwort mehr seit dem 8 Dez. 2020.


    4. Akt:

    Ich schreibe eine Mail an sagemcom (den Hersteller des Routers). Vermutlich ist diese in Frankreich eingegangen.


    Ergebnis 1: Ein Antwort in Englisch kommt, dass alle Dokumentationen und Support an eine Firma "X-GEM" übertragen wurden, Sagemcom damit nichts mehr zu tun hat und ich mich doch gefälligst solange noch Garantie wäre an meinen Händler wenden soll.
    Mein Hinweis zurück, dass der Router doch auf Ihrer Internetsite zu finden wäre und somit von Sagemcom und nicht X-Gem verkauft würde. Sowie, dass ich keine Firma X-GEM im Internet finden würde.


    Ergebnis 2: Antwort (Übersetzung von Google aus dem Englischen) "Der technische Support wurde seit 2015 an die Firma X GEM verkauft und jetzt existiert diese Firma leider nicht mehr. Für technische Informationen wenden Sie sich bitte an Ihren Lieferanten oder an das Geschäft, in dem Sie das Produkt gekauft haben, sofern es unter die Garantie fällt. Andernfalls wenden Sie sich an einen örtlichen Reparaturbetrieb."
    Ich frage zurück, ob Sagemcom immer so einen schlechten Service bieten würde.


    Ergebnis 3: Keine Antwort seit Mitte Dezember 2020.


    5. Akt:

    Noch ein Anfrage-Versuch bei Deutsche Glasfaser.

    Diesmal nehme ich für alle meiner Antworten in den E-Mail die "Re:" aus der Betreff Zeile der DG-Antworten, also der Betreff beginnt jeweils mit "[Ticket#2020121403....] Kd.Nr. 33....". Weiterhin hänge ich immer die alten Fragen und Antworten an die seitens DG gekürzten E-Mails, so dass jeweils das gesamt Hin- und Her bei allen meiner Antworten enthalten ist.


    Erste Erkenntnis, ich bekomme keine neue Ticket Nummern mehr, schon mal Gut.


    Zweite Erkenntnis, es geht wieder von vorne los: "Lies die Anleitungen auf der DG Internet Seite".

    Nach einigem Hin- und Her kommt: "

    Guten Tag Herrn ...., vielen Dank für Ihre Nachricht. Um auf den Sagemcom Fast5366se zu kommen, müssen Sie in die Adresszeile Ihres Browsers http://192.168.1.1 eingeben.Benutzer lautet admin und das Passwort ist ihr W-Lan Schlüssel (Web-Access-Key).Ich muss mich entschuldigen aber ich finde ebenfalls keine Einrichtungsanleitung für den Sagemcom Router, nur die Anleitung für den Router an sich, können sie unter https://www.deutsche-glasfaser.de/service/downloads/ einsehen.

    Dazu werde ich umgehend eine Meldung machen und wir werden das nachholen."

    Ich schreibe am 28.12. 2020 zurück, dass dies nicht weiterhilft und darum bitte meine Anfrage an das nächst höhere Supportlevel weiter zu reichen.


    Keine Antwort bis heute.


    Mal sehen, wie es weiter geht.

  • Ich denke immer noch, dass mit Remote IP-Adresse und Remote Port die Adress-Port Kombination der anderen Seite der Verbindung gemeint ist, also von dem Computer, der von außen eine Verbindung aufbauen können soll. Nur ist es natürlich eine völlig unbrauchbare Art, eine Firewall zu konfigurieren, wenn man jedem externen Computer einzeln Zugang gewähren muss. Die lokale Portnummer einer ausgehenden Verbindung ist zudem oft nicht die gleiche wie der Zielport. Sie ist meist nicht festgelegt und wird zufällig gewählt. Deswegen ist es i.d.R. sinnlos, einen lokalen Port nur für einen bestimmten Remote-Port zu öffnen.


    Hinter einem solchen Stück Elektroschrott Router hilft dann nur ein Tunnel zu einem externen Host, der die Verbindungen von außen zurück durch den Tunnel an der Firewall vorbei ins Heimnetz bringt. Wenn man per IPv4 erreichbar sein will, kommt man sowieso nicht um einen externen Host oder Dienstleister herum.

  • Hinter einem solchen Stück Elektroschrott Router...

    Deine Meinung kann ich teilen.


    Ich hatte bis vor ca. 8 Wochen einen Fritzbox 7490 Router am DSL Anschluß der Telekom. Seit einigen Wochen habe ich einen DG giga 1000 Anschluß von der Deutschen Glasfaser (DG). Steigerung von 3 Mbit/sec. auf 900 MBit/sec. Von der DG habe ich den Basic Router SagemCom F@st 5366se gestellt bekommen. Die Fritzbox läuft aber weiterhin im Netz um bis zur Umstellung im Juni 2021 telefonieren zu können. DHCP übernimmt zur Zeit der Sagemcom. An der Fritzbox ist DHCP abgestellt. Im Juni 2021 soll die Fritzbox wieder alleiniger Router im Netz werden (Internet und Telefonie wieder auf ein Gerät statt zwei), der Basic Router der DG soll dann zurückgehen.


    Ich hoffte, dass ich bis Juni 2021 mit dem Sagemcom und IPv6 die VPN, Mail- und Webserver Dienste weiter wie vorher auf der Fritzbox mit IPv4 nutzen könnte. Dies scheint jedoch mühseliger als gedacht. Falls ich es nicht hinbekomme, ist es für mich auch kein Problem, dann versuche ich es halt nach der Umstellung im Juni nochmals mit der Fritzbox. Aufgrund von Homeoffice ist die Dringlichkeit für mich für einen Zugriff von außen in mein Heimnetz zur Zeit nicht hoch priorisiert.


    Falls es aber auf einfache und kostengünstige Weise mithilfe eines

    Tunnel zu einem externen Host, der die Verbindungen von außen zurück durch den Tunnel an der Firewall vorbei ins Heimnetz bringt. Wenn man per IPv4 erreichbar sein will, kommt man sowieso nicht um einen externen Host oder Dienstleister herum.

    zwischenzeitlich möglich wäre, bin ich froh um weitere Tipps und Hilfestellungen.

  • Ich habe hier gerade nochmal meinen Basic Router rausgekramt und mir die GUI angeschaut. Habe den allerdings nicht angeschlossen, von daher kann ich nicht sagen, ob es klappt, aber vielleicht ist das schon die Rätsels Lösung :D


    Ich habe mir zunächst die Einstellungen bei Port-Forwarding angeschaut, wie der eine automatische Regel für "Age-Of-Empire" anlegt:

    Wir sehen, dass man als External Host offenbar ein "*" eintragen kann, wenn diese Regel für alle externen IP-Adressen gelten soll.


    Als nächstes habe ich mir mal den JSON-Request angeschaut, den das Frontend an das Backend beim Anlegen einer IPv6-Firewall Regel sendet und siehe da: Die Bezeichnung in der GUI ist völlig willkürlich und beschreibt so gar nicht, was das Feld eigentlich macht:

    Offenbar ist das Feld "Local-IP" die Source-IP und das Feld "Remote-IP" die Destination, sprich unsere ULA. Es ist also genau andersherum, wie man es erwarten würde (in diesem Beispiel habe ich es auch zunächst intuitiv falsch herum gemacht, deswegen ist die fdaa:: auch die Source-IP, obwohl das eigentlich die Destination sein muss).


    Im Feld Local-IP kann man wie beim IPv4-Portforwarding ein "*" eintragen. Schreibt man beim Port ebenfalls ein "*" rein, so wird dieses durch eine "0" ersetzt. Ich vermute, dass dies heißt "Match-Any-Source-Port". Konkret hatte alfalfa schon Recht mit seiner Vermutung, das die Regel sowohl Source als auch Destination matcht. Aber wer kommt bitte darauf, dass man da ein "*" eintragen kann, für "Match-Any" :D


    Die Regel sieht somit so aus:

    Leider konnte ich es nicht testen. Ich bin für Feedback dankbar, ob es so klappt :D


    P.S. Die Übersetzungen und Labels der Felder sind an allen Ecken und Kanten völlig falsch. Wenn man wirklich wissen will, was ein Feld macht, sollte man über das Developer Menü des Browsers in den JSON-Request schauen.


    Edit: Ich sehe gerade im JSON, das das SourceInterface und DestinationInterface ggf. vertauscht ist. Man müsste also unter RemoteIP ein "*" eintragen, da die Destination auf dem DATA-Interface ist (sprich Internet) und die Source auf dem LAN-BR-Interface, sprich Local. Die Konfiguration erlaubt die GUI allerdings nicht. Modifiziert man aber den HTTP-Json Request und sendet ihn per CURL schluckt der Router diese Einstellung ohne zu meckern. Sollte die Lösung oben also nicht gehen, schaue ich mal ob ich eine einfache Lösung finde die Validierung im Frontend auszuknipsen :D

    (Die Aktion bitte einmal ignorieren. Das war nur ein Test, ob der das überhaupt schluckt :D)


    Edit2: Um die IPv6 Validierung für die Remote-IPv6 Adresse auszuhebeln um ein "*" einzutragen kann man folgenden Befehl in die Browser Konsole eingeben:

    Code
    1. $.util.isValidIpv6 = function(str) { return true; }
  • Bitte weiter erforschen, ob das geht. Also wenn ich das richtig verstanden habe, ist "remote" das Gerät im LAN und "local" entweder das Gerät im Internet oder die WAN-Schnittstelle, was aber egal ist, weil man für "local" einen * eintragen kann. Und das soll man ohne Anleitung erraten, liebe DG und Sagem? <X:cursing:


    Na gut, also wenn das geht, kommt man vielleicht mit diesem Gerät noch hin. Allgemein würde ich aber allen, die einen ordentlichen Router haben (z.B. eine Fritzbox 7490 oder eine andere nicht zu alte Fritzbox), aber bis zur Portierung wegen der Telefonie einen Router für den alten Anschluss brauchen, folgendes empfehlen:


    Es gibt sehr günstige gebrauchte Fritzboxen, die vollkommen ausreichend sind, um Telefonie an einem DSL-Anschluss zu betreiben. Die Fritzbox 7412 ist z.B. problemlos für weniger als 20 Euro zu bekommen, hat ein VDSL-Modem und kann Funktelefone direkt an der integrierten DECT-Basis oder über eine externe Basis am TAE-Anschluss bedienen. Dann kann man den guten Router am Glasfaseranschluss benutzen und sich den Ärger mit den Billigroutern sparen, die die Deutsche Glasfaser ihren Kunden zumutet.

  • Ergebnis 1: Ein Antwort in Englisch kommt, dass alle Dokumentationen und Support an eine Firma "X-GEM" übertragen wurden, Sagemcom damit nichts mehr zu tun hat und ich mich doch gefälligst solange noch Garantie wäre an meinen Händler wenden soll.
    Mein Hinweis zurück, dass der Router doch auf Ihrer Internetsite zu finden wäre und somit von Sagemcom und nicht X-Gem verkauft würde. Sowie, dass ich keine Firma X-GEM im Internet finden würde.


    Ergebnis 2: Antwort (Übersetzung von Google aus dem Englischen) "Der technische Support wurde seit 2015 an die Firma X GEM verkauft und jetzt existiert diese Firma leider nicht mehr.

    Ich habe bezgl. Sagemcom und X-GEM mal etwas gegoogelt "recherchiert". :)

    Also auf Sagemcom.com gibts ne Liste mit allen Büros/Niederlassungen (erstaunt war ich das es sogar ein Büro in meiner Stadt (Bocholt) geben soll, okay, so unwahrscheinlich ist das nicht, da die DG (aus dem benachbarten Borken) hier auch die Marketingleute sitzen hat.)
    Da ich mir aber angesichts der langen Liste von Sagemcom-Büros nicht vorstellen kann, das dass Büro hier in Bocholt von dem Gerät Ahnung hat, habe ich mal geguckt wo denn der Niederländische Sitz ist (Hintergrund: Die Genexis ONTs werden auch aus NL bezogen) und bin auf diese Seite gestoßen: https://drimble.nl/bedrijf/ein…326/sagemcom-benelux.html

    Auf dieser ist Zufällig auch die Historie von "De Kamer van Koophandel" (Handelskammer) einzusehen und in dieser sieht man das die Firma ihre Geschäftsführer und Namen wie andere ihre Unterhose wechseln ;) Jedenfalls hieß "Sagemcom Benelux BV" im Jahr 2015 mal "X-GEM" und ist wohl seit 2016 (letzter Historien-Eintrag) nicht mehr existent.
    Lässt tief Blicken wenn man es seit 5 Jahren nicht hinbekommt den Eintrag eines ehemaligen Büros von der Liste auf der Webseite zu nehmen.


    @Waishon: Gute Idee, das mit dem "0" eintragen wollte ich auch noch vorschlagen, du bist mir aber zuvor gekommen. Auf das sternchen wäre ich aber auch nicht gekommen. Ich hoffe mal das ist des Rätsels Lösung :)

  • Bitte weiter erforschen, ob das geht. Also wenn ich das richtig verstanden habe, ist "remote" das Gerät im LAN und "local" entweder das Gerät im Internet oder die WAN-Schnittstelle, was aber egal ist, weil man für "local" einen * eintragen kann. Und das soll man ohne Anleitung erraten, liebe DG und Sagem? <X:cursing:

    Siehe Edit 1. Ich vermute, dass es doch andersherum richtig ist. Zumindest deutet das Javascript darauf hin:

    "Local" = "Source" = "BR-LAN-Interface" = fd00::

    "Remote" = "Destination" = "DATA-Interface" = 2a00::


    Und für Remote, muss man entsprechend ein "*" eingeben mit der Javascript-Modifikation.


    Bracew

    Teste mal bitte mit Remote "*" und die Javascript-Modifikation, damit der DG Router das schluckt.

  • Du musst dafür die Javascript-Konsole des Browsers öffnen. Zum öffnen der Dev-Tools im Firefox oder Chrome F12 drücken (alternativ Rechtsklick -> Untersuchen) und auf den Reiter "Console" klicken. Dort kannst du den Befehl von oben einfach eingeben. Dann einfach das Formular ausfüllen und die Validierung sollte nicht mehr meckern.


    Funktioniert eigentlich die DMZ Einstellung für den Raspberry PI? Haste die mal probiert, um andere Probleme auzuschließen?


    Hinweis:

    Achja und du musst natürlich bei der Local-IP deine Public IPv6-Adresse des Raspberry PIs eintragen. Nicht die ULA (fd00:). Der Router macht natürlich kein NAT. Nicht das das schon das Problem war :D Habe ich in deinem Post aber auch gerade übersehen. (Ich habe es in meinem Beispiel nur gemacht, weil mein Basic Router nicht angeschlossen ist).

  • Du findest dieses Forum hier toll und möchtest es unterstützen? Großartig! Hier zeigen wir dir eine Möglichkeit, wie du uns supporten kannst. Es kostet dich keinen Cent mehr und das Forum bleibt hiermit weiter werbefrei.

    Amazon Link

    Nutze diesen Button um bei Amazon einzukaufen. Das kostet dich keinen Cent mehr, jedoch bekommen wir eine kleine Provision.
    Bei Amazon einkaufen und das GF unterstützen
    Mehr Infos gibt es in diesem Thread

Erstelle ein Benutzerkonto oder melde dich an um zu kommentieren

Du musst ein Benutzerkonto haben um einen Kommentar hinterlassen zu können

Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Geht einfach!
Neues Benutzerkonto erstellen
Anmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden