Website mit IPv6 hinter DG Router SagemCom F@st 5366se
-
-
Übrigens ist xxxx:...:591e die IPv6 Adresse des RasPi (ifconfig) und
ich habe jedes mal den Sagemcom Router neu gestartet.
Den Router Neustart, weil ich eine feste IPv4 Adresse im Router neu an ein anderes Geräte vergeben wollte und dies nur nach einem Neustart funktionierte.
-
- Offizieller Beitrag
Dass man mit der Javascript-Manipulation auch auf der anderen Seite einen * eintragen kann, heißt im Prinzip noch nicht, dass das auch in die Tabellen der Firewall übernommen wird, selbst wenn das Webinterface die Regeln dann so anzeigt.
Ich würde mit zwei exakten Adressen testen und die Regeln nacheinander in beide Richtungen anlegen, also z.B. wenn die IPv6 Adresse eines VPS im Internet AdresseA ist und AdresseB die öffentliche IPv6 Adresse des Servers im LAN ist, dann würde ich eine Regel erst mit local AdresseA und remote AdresseB anlegen, jeweils TCP Port 2000, und dann mit socat testen.
Auf dem Server im LAN:
Auf dem VPS im Internet:
Bei einer funktionierenden Verbindung kann man etwas eintippen und mit der Eingabetaste abschließen und es wird dann auf der jeweils anderen Seite angezeigt.
Wenn das nicht funktioniert, würde ich die Regel umgekehrt mit local AdresseB und remote AdresseA anlegen, wieder mit TCP Port 2000 auf beiden Seiten und erneut testen. Wenn eine der beiden Richtungen funktioniert, kann man sehen, welche Seite mit remote bzw. local gemeint ist. Dann kann man gezielt versuchen, die externe Seite der Regel durch * und Port 0 allgemeiner zu machen.
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
Hallo alfalfa,
danke für Deinen Hinweis mit socat. Da kann ich jedoch nicht weiter mithelfen. Mein Netzwerkwissen ist beschränkt, ich habe keine socat-Kenntnisse und ich habe keinen "VPS im Internet".
-
Hallo alfalfa,
ich habe doch versucht Deinen Ansatz mit socat nachzuvollziehen, aber ohne "VPS im Internet" sondern über 2 Router von Zuhause.
Dazu habe ich die beiden Router (Sagemcom und Fritzbox) wieder getrennt und die Fritzbox am Telekom DSL Anschluß sowie den Sagemcom am Glasfaser Anschluß jeweils als eigenes Heimnetz betrieben. Ich hatte also 2 getrennte Netze an getrennten Anschlüssen.
Die Fritzbox hat eine IPv6 seitens der Telekom und der Sagemcom eine IPv6 seitens der DG bekommen.
An jede Box habe ich einen Debian PC mit installiertem socat angeschlossen.
Überspitzt gesagt hat der FB-PC den "VPS im Internet" und der SC-PC den "Servers im LAN" gespielt.
Ich habe zum Beispiel auf dem FB-PC "socat TCP6-LISTEN:2000 -" eingegeben und
auf dem SC-PC "sudo socat - TCP6:[2003:d5:xxxx:xxxx:xxxx:xxxx:xxxx:ed5a]:2000,sourceport=2000"Aber, was ich auch ausprobiert habe, es ist keine Verbindung zustande gekommen, was sehr wahrscheinlich an meinem beschränkten Netzwerkwissen liegt.
-
- Offizieller Beitrag
Der erste socat-Befehlt mit "TCP6-LISTEN:" ist der "Server", der auf eine Verbindung wartet. Der socat-Befehl mit "TCP6:" ist der Client, der eine Verbindung zum Server aufbaut. Du hast also die entgegengesetzte Richtung getestet und hättest den Port in der Fritzbox freigeben müssen, damit das funktioniert.
Für den korrekten Test müsste der Server ("socat TCP6-LISTEN:2000 -") am DG-Anschluss laufen und der Client vom Telekom-Anschluss aus die Adresse des Servers ansprechen, die entsprechend auch im Sagem-Router freigegeben sein muss. Der Server muss an einem DG-Anschluss eine Adresse haben, die mit 2a00:6020:... anfängt.
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
Gut. Beide Debian-PC laufen wieder an den beiden Routern mit getrennten Netzen:
SC-PC ifconfig:
Code
Alles anzeigeneth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.0.111 netmask 255.255.255.0 broadcast 192.168.0.255 inet6 fdaa:bbcc:ddee:0:yyyy:yyyy:yyyy:657b prefixlen 64 scopeid 0x0<global> inet6 fe80::be5f:xxxx:xxxx:657b prefixlen 64 scopeid 0x20<link> inet6 2a00:6020:xxxx:xxxx:yyyy:yyyy:yyyy:657b prefixlen 64 scopeid 0x0<global> inet6 2a00:6020:xxxx:xxxx:zzzz:zzzz:zzzz:c989 prefixlen 64 scopeid 0x0<global> inet6 fdaa:bbcc:ddee:0:zzzz:zzzz:zzzz:c989 prefixlen 64 scopeid 0x0<global> ether bc:5f:f4:ea:65:7b txqueuelen 1000 (Ethernet) RX packets 505 bytes 296099 (289.1 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 504 bytes 62872 (61.3 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 device interrupt 17 lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 inet 127.0.0.1 netmask 255.0.0.0 inet6 ::1 prefixlen 128 scopeid 0x10<host> loop txqueuelen 1000 (Lokale Schleife) RX packets 48 bytes 3468 (3.3 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 48 bytes 3468 (3.3 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
wieistmeinip.de sagt: 2a00:6020:xxxx:xxxx:zzzz:zzzz:zzzz:c989
FB-PC ifconfig:
Code
Alles anzeigeneth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.0.8 netmask 255.255.255.0 broadcast 192.168.0.255 inet6 fe80::yyyy:yyyy:yyyy:ed5a prefixlen 64 scopeid 0x20<link> inet6 2003:d5:xxxx:xxxx:yyyy:yyyy:yyyy:ed5a prefixlen 64 scopeid 0x0<global> inet6 2003:d5:xxxx:xxxx:zzzz:zzzz:zzzz:c2e prefixlen 64 scopeid 0x0<global> ether 00:13:77:f6:ed:5a txqueuelen 1000 (Ethernet) RX packets 829 bytes 197192 (192.5 KiB) RX errors 0 dropped 1 overruns 0 frame 0 TX packets 155 bytes 19251 (18.7 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 device interrupt 18 lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 inet 127.0.0.1 netmask 255.0.0.0 inet6 ::1 prefixlen 128 scopeid 0x10<host> loop txqueuelen 1 (Lokale Schleife) RX packets 12 bytes 552 (552.0 B) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 12 bytes 552 (552.0 B) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 wlan0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.0.2 netmask 255.255.255.0 broadcast 192.168.0.255 inet6 fe80::224:2cff:fe33:524b prefixlen 64 scopeid 0x20<link> inet6 2003:d5:xxxx:xxxx:wwww:wwww:wwww:524b prefixlen 64 scopeid 0x0<global> ether 00:24:2c:33:52:4b txqueuelen 1000 (Ethernet) RX packets 590 bytes 61928 (60.4 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 78 bytes 13979 (13.6 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
wieistmeineip.de sagt: 2003:d5:xxxx:xxxx:zzzz:zzzz:zzzz:c2e
Regel auf SC-Router:1.)
Auf SC-PC horcht: "sudo socat TCP6-LISTEN:2000 -
Auf FB-PC sendet: "sudo socat - TCP6:[2a00:6020:xxxx:xxxx:zzzz:zzzz:zzzz:c989]:2000,sourceport=2000
--> Die Verbindung funktioniert! Die Buchstaben des einen kommen auf dem anderen an, jeweils nach ENTER-Taste. -
-
Wie kann ich nun weiter vorgehen?
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
- Offizieller Beitrag
Wenn du jetzt noch den Remote Port auf 0 setzt und es dann immer noch funktioniert, solltest du die richtige Konfiguration gefunden haben. Dann müsste jeder IPv6-taugliche Computer im Internet deinen socat-Server auf Port 2000 ansprechen können, auch ohne auf den Source-Port 2000 eingeschränkt zu sein. Diese Einschränkung loszuwerden ist wichtig, weil man den Sourceport des Client praktisch nie bestimmen kann. Deswegen erst der Test mit socat: Das kann den Sourceport festlegen. Wenn du dann noch ",sourceport=2000" beim Client weglässt, verhält sich socat wie die meisten anderen Clientprogramme und die Verbindung kommt von einem zufälligen Port.
Die erste Regel in deiner Firewall müsste dann auch einen Webserver auf "Lokale IP-Adresse" und Port 80 erreichbar machen.
-
-
Die erste Regel in deiner Firewall müsste dann auch einen Webserver auf "Lokale IP-Adresse" und Port 80 erreichbar machen.
Stimmt, wenn ich auf dem FB-PC in der Adresszeile des Firefox-Browsers [2a00:6020:xxxx:xxxx:xxxx:xxxx:xxxx:591e] eingebe, sehe ich meine Internet Seite auf meinem RasPi hinter dem SagemCom Router.
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
-
- Offizieller Beitrag
Na das sieht ja gut aus. Dann ist der Router vielleicht doch nicht so hoffnungslos. Wenn auf dem Raspi ein Webserver läuft, der (u.a.) an die 2a00:6020:...:591e Adresse gebunden ist, dann müsste der FB-PC die Webseite über http://[2a00:6020:...:591e]/ aufrufen können. Ob da ein Webserver auf dieser Adresse lauscht, sieht man mit sudo netstat -plnt (p für program, l für listening, n für numeric, t für tcp). Da sollte eine Zeile mit :::80 oder der bestimmten IPv6-Adresse:80 und dem Namen des Webservers am Ende sein.
(Da war ich zu langsam. Ich lasse das trotzdem stehen, falls jemand anders mal ein ähnliches Problem hat und prüfen muss, ob der Webserver wirklich läuft und richtig konfiguriert ist.)
-
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
- Offizieller Beitrag
Da ich den Router nicht vor mir habe, muss ich noch nachhaken: Lässt sich die Firewall-Regel, so wie sie da steht, also mit dem * für die Remote-IP-Adresse, ganz normal eingeben oder muss man dafür den Router mit dem Javascript-Eingriff austricksen?
-
Wenn ich das also richtig verstehe, ist meine obige Regel "Http-0" aus dem Beitrag 32 das Muster für mögliche Portweiterleitungen von jedweden Computer im Internet auf meinen RasPi zum angegebenen Port im Intranet hinter dem SagemCom Router. Nach diesem Muster könnte ich auch Mail bzw. VPN Ports öffnen und nutzen.
Um einen Port so einstellen zu können muss man den Javascript-Eingriff aus Beitrag #14 mit dem * für die Remote-IP-Adresse nutzen, und dies geht nur nach dem Kniff (Javascript-Modifikation):
ZitatCode
- $.util.isValidIpv6 = function(str) { return true; }
Du musst dafür die Javascript-Konsole des Browsers öffnen. Zum öffnen der Dev-Tools im Firefox oder Chrome F12 drücken (alternativ Rechtsklick -> Untersuchen) und auf den Reiter "Console" klicken. Dort kannst du den Befehl von oben einfach eingeben. Dann einfach das Formular ausfüllen und die Validierung sollte nicht mehr meckern.
nutzen.
In sofern hat der Router meines Erachtens ein Fehler in der Software.
-
- Offizieller Beitrag
Die "Aktion" (Kommentar #7) könnte noch einen Einfluss auf die Bedeutung von lokal und remote haben, aber das würde meinem Sprachverständnis widersprechen. Ich denke auch, dass das ein Bug ist.
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
Zur Dokumentation hier noch die Informationen zum Versionsstand meines Deutsche Glasfaser Basic Router SagemCom F@st 5366se:
Nun werde ich meine getrennten Netze mal wieder zusammenführen und im laufe der Woche weitere Versuche zur Portfreigabe machen.
Im Fall des Fehlerfalls oder wenn ich Fragen hätte, würde ich mich wieder melden.
Ich danke allen Beteiligten für Ihr Engagement und Ihre Beiträge!
-
Hallo,
heute habe ich den Glasfaser Router auf der "IPv6 Firewall"-Seite geöffnet und alle Angaben aus Beitrag #32 waren gedreht bzw. vertauscht, also alle Eingaben aus der "Lokaler Port"-Spalte standen in der "Remote-Port"-Spalte und umgedreht.
Ich habe den Testaufbau (Beide Router im Heimnetz trennen) nochmals hergestellt und neu getestet. Auf dem DG Router SagemCom F@st 5366se habe ich die Einträge von gestern auf der "IPv6 Firewall"-Seite (Beitrag #32) gelöscht und neue Einträge erstellt. Zwischendurch den Router neu gestartet.
Den socat Test habe ich durchgeführt und er hat funktioniert. Meine lokale Internet Seite auf dem RasPi ist von außen erreichbar.
Aber sobald ich wieder auf dem SagemCom Router die "IPv6 Firewall"-Seite öffne sind die Angabe in den Spalten "Lokaler Port" und "Remote-Port"wieder vertauscht:
Trotzdem funktioniert socat und HTTP(s) Zugriff!
-