Website mit IPv6 hinter DG Router SagemCom F@st 5366se

    Übrigens ist xxxx:...:591e die IPv6 Adresse des RasPi (ifconfig) und

    ich habe jedes mal den Sagemcom Router neu gestartet.

    Den Router Neustart, weil ich eine feste IPv4 Adresse im Router neu an ein anderes Geräte vergeben wollte und dies nur nach einem Neustart funktionierte.

    • Offizieller Beitrag

    Dass man mit der Javascript-Manipulation auch auf der anderen Seite einen * eintragen kann, heißt im Prinzip noch nicht, dass das auch in die Tabellen der Firewall übernommen wird, selbst wenn das Webinterface die Regeln dann so anzeigt.

    Ich würde mit zwei exakten Adressen testen und die Regeln nacheinander in beide Richtungen anlegen, also z.B. wenn die IPv6 Adresse eines VPS im Internet AdresseA ist und AdresseB die öffentliche IPv6 Adresse des Servers im LAN ist, dann würde ich eine Regel erst mit local AdresseA und remote AdresseB anlegen, jeweils TCP Port 2000, und dann mit socat testen.

    Auf dem Server im LAN:

    Code
    socat TCP6-LISTEN:2000 -

    Auf dem VPS im Internet:

    Code
    socat - TCP6:AdresseB:2000,sourceport=2000

    Bei einer funktionierenden Verbindung kann man etwas eintippen und mit der Eingabetaste abschließen und es wird dann auf der jeweils anderen Seite angezeigt.

    Wenn das nicht funktioniert, würde ich die Regel umgekehrt mit local AdresseB und remote AdresseA anlegen, wieder mit TCP Port 2000 auf beiden Seiten und erneut testen. Wenn eine der beiden Richtungen funktioniert, kann man sehen, welche Seite mit remote bzw. local gemeint ist. Dann kann man gezielt versuchen, die externe Seite der Regel durch * und Port 0 allgemeiner zu machen.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Hallo alfalfa,

    danke für Deinen Hinweis mit socat. Da kann ich jedoch nicht weiter mithelfen. Mein Netzwerkwissen ist beschränkt, ich habe keine socat-Kenntnisse und ich habe keinen "VPS im Internet".

    Hallo alfalfa,

    ich habe doch versucht Deinen Ansatz mit socat nachzuvollziehen, aber ohne "VPS im Internet" sondern über 2 Router von Zuhause.

    Dazu habe ich die beiden Router (Sagemcom und Fritzbox) wieder getrennt und die Fritzbox am Telekom DSL Anschluß sowie den Sagemcom am Glasfaser Anschluß jeweils als eigenes Heimnetz betrieben. Ich hatte also 2 getrennte Netze an getrennten Anschlüssen.

    Die Fritzbox hat eine IPv6 seitens der Telekom und der Sagemcom eine IPv6 seitens der DG bekommen.

    An jede Box habe ich einen Debian PC mit installiertem socat angeschlossen.

    Überspitzt gesagt hat der FB-PC den "VPS im Internet" und der SC-PC den "Servers im LAN" gespielt.

    Ich habe zum Beispiel auf dem FB-PC "socat TCP6-LISTEN:2000 -" eingegeben und
    auf dem SC-PC "sudo socat - TCP6:[2003:d5:xxxx:xxxx:xxxx:xxxx:xxxx:ed5a]:2000,sourceport=2000"

    Aber, was ich auch ausprobiert habe, es ist keine Verbindung zustande gekommen, was sehr wahrscheinlich an meinem beschränkten Netzwerkwissen liegt.

    • Offizieller Beitrag

    Der erste socat-Befehlt mit "TCP6-LISTEN:" ist der "Server", der auf eine Verbindung wartet. Der socat-Befehl mit "TCP6:" ist der Client, der eine Verbindung zum Server aufbaut. Du hast also die entgegengesetzte Richtung getestet und hättest den Port in der Fritzbox freigeben müssen, damit das funktioniert.

    Für den korrekten Test müsste der Server ("socat TCP6-LISTEN:2000 -") am DG-Anschluss laufen und der Client vom Telekom-Anschluss aus die Adresse des Servers ansprechen, die entsprechend auch im Sagem-Router freigegeben sein muss. Der Server muss an einem DG-Anschluss eine Adresse haben, die mit 2a00:6020:... anfängt.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Gut. Beide Debian-PC laufen wieder an den beiden Routern mit getrennten Netzen:

    SC-PC ifconfig:

    wieistmeinip.de sagt: 2a00:6020:xxxx:xxxx:zzzz:zzzz:zzzz:c989

    FB-PC ifconfig:

    wieistmeineip.de sagt: 2003:d5:xxxx:xxxx:zzzz:zzzz:zzzz:c2e


    Regel auf SC-Router:

    1.)

    Auf SC-PC horcht: "sudo socat TCP6-LISTEN:2000 -

    Auf FB-PC sendet: "sudo socat - TCP6:[2a00:6020:xxxx:xxxx:zzzz:zzzz:zzzz:c989]:2000,sourceport=2000
    --> Die Verbindung funktioniert! Die Buchstaben des einen kommen auf dem anderen an, jeweils nach ENTER-Taste.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    • Offizieller Beitrag

    Wenn du jetzt noch den Remote Port auf 0 setzt und es dann immer noch funktioniert, solltest du die richtige Konfiguration gefunden haben. Dann müsste jeder IPv6-taugliche Computer im Internet deinen socat-Server auf Port 2000 ansprechen können, auch ohne auf den Source-Port 2000 eingeschränkt zu sein. Diese Einschränkung loszuwerden ist wichtig, weil man den Sourceport des Client praktisch nie bestimmen kann. Deswegen erst der Test mit socat: Das kann den Sourceport festlegen. Wenn du dann noch ",sourceport=2000" beim Client weglässt, verhält sich socat wie die meisten anderen Clientprogramme und die Verbindung kommt von einem zufälligen Port.

    Die erste Regel in deiner Firewall müsste dann auch einen Webserver auf "Lokale IP-Adresse" und Port 80 erreichbar machen.

    ok, am DG SageCom Router habe ich folgendes eingestellt:

    Mein FB-PC kann mit meinem SC-PC auch mit dieser Regel (Test1) eine socat-Verbindung aufnehmen.

    Mein FB-PC kann mit meinem RasPi hinter dem SagemCom Router über die Test-Raspi Regel Verbindung aufnehmen.

    Zitat von alfalfa

    Die erste Regel in deiner Firewall müsste dann auch einen Webserver auf "Lokale IP-Adresse" und Port 80 erreichbar machen.

    Stimmt, wenn ich auf dem FB-PC in der Adresszeile des Firefox-Browsers [2a00:6020:xxxx:xxxx:xxxx:xxxx:xxxx:591e] eingebe, sehe ich meine Internet Seite auf meinem RasPi hinter dem SagemCom Router.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    • Offizieller Beitrag

    Na das sieht ja gut aus. Dann ist der Router vielleicht doch nicht so hoffnungslos. Wenn auf dem Raspi ein Webserver läuft, der (u.a.) an die 2a00:6020:...:591e Adresse gebunden ist, dann müsste der FB-PC die Webseite über http://[2a00:6020:...:591e]/ aufrufen können. Ob da ein Webserver auf dieser Adresse lauscht, sieht man mit sudo netstat -plnt (p für program, l für listening, n für numeric, t für tcp). Da sollte eine Zeile mit :::80 oder der bestimmten IPv6-Adresse:80 und dem Namen des Webservers am Ende sein.

    (Da war ich zu langsam. Ich lasse das trotzdem stehen, falls jemand anders mal ein ähnliches Problem hat und prüfen muss, ob der Webserver wirklich läuft und richtig konfiguriert ist.)

    Auf dem RasPi kommt:

    Code
    sudo netstat -plnt
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    

tcp6       0      0 :::80                   :::*                    LISTEN      2623/apache2

    nebst einigen weiteren Zeilen.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Wenn ich das also richtig verstehe, ist meine obige Regel "Http-0" aus dem Beitrag 32 das Muster für mögliche Portweiterleitungen von jedweden Computer im Internet auf meinen RasPi zum angegebenen Port im Intranet hinter dem SagemCom Router. Nach diesem Muster könnte ich auch Mail bzw. VPN Ports öffnen und nutzen.

    Um einen Port so einstellen zu können muss man den Javascript-Eingriff aus Beitrag #14 mit dem * für die Remote-IP-Adresse nutzen, und dies geht nur nach dem Kniff (Javascript-Modifikation):

    Zitat

    Code

    1. $.util.isValidIpv6 = function(str) { return true; }
    Zitat von Waishon

    Du musst dafür die Javascript-Konsole des Browsers öffnen. Zum öffnen der Dev-Tools im Firefox oder Chrome F12 drücken (alternativ Rechtsklick -> Untersuchen) und auf den Reiter "Console" klicken. Dort kannst du den Befehl von oben einfach eingeben. Dann einfach das Formular ausfüllen und die Validierung sollte nicht mehr meckern.

    nutzen.

    In sofern hat der Router meines Erachtens ein Fehler in der Software.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Zur Dokumentation hier noch die Informationen zum Versionsstand meines Deutsche Glasfaser Basic Router SagemCom F@st 5366se:

    Nun werde ich meine getrennten Netze mal wieder zusammenführen und im laufe der Woche weitere Versuche zur Portfreigabe machen.

    Im Fall des Fehlerfalls oder wenn ich Fragen hätte, würde ich mich wieder melden.

    Ich danke allen Beteiligten für Ihr Engagement und Ihre Beiträge!

    Hallo,

    heute habe ich den Glasfaser Router auf der "IPv6 Firewall"-Seite geöffnet und alle Angaben aus Beitrag #32 waren gedreht bzw. vertauscht, also alle Eingaben aus der "Lokaler Port"-Spalte standen in der "Remote-Port"-Spalte und umgedreht.

    Ich habe den Testaufbau (Beide Router im Heimnetz trennen) nochmals hergestellt und neu getestet. Auf dem DG Router SagemCom F@st 5366se habe ich die Einträge von gestern auf der "IPv6 Firewall"-Seite (Beitrag #32) gelöscht und neue Einträge erstellt. Zwischendurch den Router neu gestartet.

    Den socat Test habe ich durchgeführt und er hat funktioniert. Meine lokale Internet Seite auf dem RasPi ist von außen erreichbar.

    Aber sobald ich wieder auf dem SagemCom Router die "IPv6 Firewall"-Seite öffne sind die Angabe in den Spalten "Lokaler Port" und "Remote-Port"wieder vertauscht:

    Trotzdem funktioniert socat und HTTP(s) Zugriff!