Website mit IPv6 hinter DG Router SagemCom F@st 5366se

    • Offizieller Beitrag
    Zitat von Waishon

    Das Webinterface hat ja auch noch die Möglichkeit, als Aktion "Von Lokaler Adresse erlauben", "Von der Remote-Adresse erlauben" und "Von beiden Seiten erlauben" auszuwählen. Welche Folge hat diese Auswahl für den JSON-Request? Ändert sich nur der "Order" Parameter oder werden vielleicht auch die Interfaces vertauscht? Oder hat das Einfluss darauf, auf welcher Seite man den * einsetzen kann. ohne die Eingabeverifizierung abzuschalten? Wenn da nicht die Interfaces wären, würde ich sagen, mit dem * als lokaler Adresse, der Server-Adresse als Remote-Adresse und "Von Lokaler Adresse erlauben" könnte es gehen. Wäre allerdings von der Bezeichnung lokal und remote her völlig unsinnig.

    Also ich komme so langsam nicht mehr mit. Gibts eine zusammenfassung für die nicht technisch versierten?

    Ich brauch nur ab und an einen offenen Port 80. Hat der Router nun einen Softwarefehler? Ich werf das Ding bald gegen die Wand wo es hängt.

    Folgende E-Mail der DG von gestern:

    Mit Punkt #14 wird auf den Beitrag Nr. 14 hier in diesem Thread verwiesen.

    Aufgrund des Hinweises oben: "Allerdings würde ich Ihnen zu einem AVM Modell raten, da wir die Erfahrung gemacht haben, dass diese Geräte für Ihre zwecke besser geeignet sind." habe ich mir heute eine AVM FritzBox 7590 für 159,99 bei Saturn geholt. Saturn geht auf den zur Zeit günstigen Mediamarkt Preis ein. Ich habe mich nun auch lange genug mit dem Sagemcom Router beschäftigt und werde ihn "....bald gegen die Wand wo es hängt."

    Heute über nacht auf Morgen wird die Umstellung der DG auf "Kundenrouter" sein. Ich bin gespannt.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    • Offizieller Beitrag

    Nach dem derzeitigen Erkenntnisstand ist ein Trick nötig, um einen Port eines lokalen Servers so in der Firewall zu öffnen, dass er aus dem ganzen Internet und nicht nur für eine bestimmte Adresse im Internet erreichbar ist. Den Trick und wie man ihn anwendet hat Waishon in den Kommentaren #14 und #21 beschrieben. Eingetragen wird dann als "Lokale IP-Adresse" die IPv6 Adresse des lokalen Servers. Die Adresse muss mit 2a00:6020:... anfangen und sollte auf dem Server möglichst statisch vergeben sein (keine Privacy Extensions). Der freizuschaltende Port wird als lokaler Port angeben. Als "Remote IP-Adresse" gibt man "*" an und als "Remote Port" die 0 (das geht ohne den Trick nicht). Als Aktion wählt man "Von beiden Seiten erlauben". Der Router vertauscht später den lokalen Port und den remote Port, aber die Regel funktioniert nach den Erfahrungen von Bracew trotzdem.

    Also ich habe das jetzt nach alfalfa's erklärung durchgeführt und bekomme immernoch ein FILTERED.

    Das kann doch nicht so schwer sein?!

    Edit: Ok, hat doch funktioniert. Hatte nur vergessen dass auch was auf Port 80 laufen muss. Also Apache gestartet und aus Orange wurde Grün für OPEN

    Einmal editiert, zuletzt von keenbock (7. Januar 2021 um 17:41)

    Hallo zusammen,

    ich möchte allen Beteiligten meinen Dank sowie meine Hochachtung aussprechen!

    Ohne die von Euch gewonnenen Erkenntnisse und Lösungen wäre ich bis heute noch nicht "von außen" erreichbar!

    DANKE DANKE DANKE !!! :)

    + Viele Grüße

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von Bracew

    ...habe ich mir heute eine AVM FritzBox 7590 ... geholt.

    Heute über nacht auf Morgen wird die Umstellung der DG auf "Kundenrouter" sein. Ich bin gespannt.

    Die Umstellung auf den 7590 und auf "Kundenrouter" hat gut funktioniert. Die Erreichbarkeit von außen war dadurch leichter herzustellen.

    Leider jedoch nur per IPv6, welches nicht alle Mobilfunknetze und schon gar die meisten WLAN-Hotspots nicht können.

    Gelitten hat dadurch auch mit privates VPN und mein privater Mail-Server. Beide sind nicht mehr von außen zu erreichen. Kein Zugriff von aussen auf meine Daten, mein Smart-Home und meine Webcam im internen Netz. Kein eingehender Mailverkehr mehr. Schade, dass Deutsche Glasfaser keine öffentliche IPv4 (auch nicht gegen erschwingliche Zuzahlung) ermöglicht.

    Generell halte ich wenig davon, einen Mail-Server zu Hause hinter einer dynamischen Endkundenadresse zu betreiben. Die meisten "offiziellen" Mail Anbieter reden dann eh nicht mit dir, egal ob über IPv4 oder IPv6.

    Im Zweifel findet man eine Möglichkeit, an eine öffentliche IPv4 Adresse zu kommen, die Wege sind ja hier im Forum beschrieben. Ein paar Euro im Monat kostet es natürlich. Und die IPv6 Nutzung im Mobilfunk wird ja auch permanent besser.

    Zitat von frank_m

    ... Die meisten "offiziellen" Mail Anbieter reden dann eh nicht mit dir, egal ob über IPv4 oder IPv6.

    Naja, solange ich noch mit dyn. IPv4 versorgt wurde, haben die "offiziellen" Mail Anbieter mit meinem Mail-Server zu Hause kommuniziert. Es hat aus meiner Sicht jedenfalls wunderbar funktioniert.

    Zitat von frank_m

    ...Im Zweifel findet man eine Möglichkeit, ... Ein paar Euro im Monat kostet es natürlich.

    Fand ich mit IPv4 einfacher und es hat nicht noch ein paar Euro im Monat zusätzlich obendrauf gekostet.

    Ich finde die reine IPv6 Anbindung hier durch Deutsche Glasfaser heute noch nicht zeitgemäß. Raus geht, rein nur bedingt.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von Bracew

    Naja, solange ich noch mit dyn. IPv4 versorgt wurde, haben die "offiziellen" Mail Anbieter mit meinem Mail-Server zu Hause kommuniziert.

    Das kann ich kaum glauben. Die IP-Bereiche, die Internetprovider für die privaten Endkunden benutzen, sind überlicherweise auf einer Blacklist. Reverse-DNS liefert widersprüchliche Angaben, und SPF kann man nicht benutzen. Such mal nach "SMTP 550 Dynamic IP" bei Google. Spätestens im SPAM Filter des Empfängers ist es vorbei.

    Zitat von Bracew

    Ich finde die reine IPv6 Anbindung hier durch Deutsche Glasfaser heute noch nicht zeitgemäß.

    Das einzige, was nicht zeitgemäß ist, ist die fehlende IPv6 Adresse an vielen Internetzugängen. Trete den Leuten auf die Füße oder wechsle den Anbieter, dann ist Ruhe. Dass Jahre nach Ende des IPv4 Adresspools immer noch nicht alle auf IPv6 umgestiegen sind, ist ein echter Skandal.

    Zitat von frank_m

    Das kann ich kaum glauben.

    War aber trotzdem so!

    Einen Skandal finde ich, dass Jahre nach Ende des IPv4 noch immer "nur" IPv4 Geräte verkauft werden und es keine durchgehenden Übergänge bzw. funktionierenden Lösungen gibt.

    Ich werden jedenfalls ggf. mit den Füßen abstimmen und so bald als möglich den Provider im Glasfaser-Netz zu einem Dual-Stack Anbieter wechseln.

    • Offizieller Beitrag
    Zitat von frank_m

    Die IP-Bereiche, die Internetprovider für die privaten Endkunden benutzen, sind überlicherweise auf einer Blacklist. Reverse-DNS liefert widersprüchliche Angaben, und SPF kann man nicht benutzen.

    Das ist alles richtig, aber Mail annehmen, wofür man ja eine öffentlich erreichbare Adresse braucht, ist unkritisch. Nur wenn man selbst Mail unauthentifiziert bei Providern einliefern will, kommt man mit einer "Verbraucher"-IP-Adresse nicht weit und der Einsatz eines Smarthosts ist zu empfehlen.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Danke euch, vor allem an Waishon

    Da ich den Router vor 3 Jahren gekauft habe, bin ich gerade am überlegen den zurück zu schicken... Ist ja wohl "kaputt" ;)

    Edit: vor 3 Jahren bestellt, aber Anschluss und Router erst seit November 20 ...

    lg,

    Sven

    Moin,

    nachdem die DG nicht mehr mit meinem Router reden möchte (oder umgekehrt, der Support ist aktiv), versuche ich als Workaround einen DG Basic Router (nicht kundeneigen, sondern von DG provisioniert) zu verwenden (Sagecom) - IPv4 soweit OK.

    Für IPv6 hat der DG-Router eine Firewall parametrierbar, die ich versucht habe, mit den in den vorangegangenen Post vorgestellten Hilfmitteln ($.util.isValidIpv6 = function(str) { return true; }) für beliebige Adressen zu öffnen:

    (f55f) ist eine Ubuntu Box auf dem LAN Port des Routers, IPv6 Ports beide "0", soll sein 'any port' ...? OK ?.

    Nach Einrichten der Regeln dann Ping Test nach draussen und von draussen zur Box, mit seltsamen Ergebnissen:

    draussen (init7) --> ubuntu:

    traceroute to 2a00:6020:4609:9200:dea6:32ff:fe39:f55f (2a00:6020:4609:9200:dea6:32ff:fe39:f55f), 30 hops max, 80 byte packets

    1 r3win7.core.init7.net (2001:1620:2777:1a::1) [AS13030] 0.981 ms 1.192 ms 1.455 ms

    2 2a00:5641:109::2 (2a00:5641:109::2) [AS13030] 0.947 ms 1.224 ms 1.532 ms

    3 r2win9.core.init7.net (2a00:5641:109::1) [AS13030] 0.902 ms 1.171 ms 1.481 ms

    4 r1win12.core.init7.net (2a00:5641:137::1) [AS13030] 1.065 ms 1.368 ms 1.677 ms

    5 r1zrh6.core.init7.net (2a00:5641:137::2) [AS13030] 1.424 ms 1.764 ms 2.095 ms

    6 r1glb1.core.init7.net (2001:1620:2::32a) [AS13030] 1.393 ms 1.704 ms 1.397 ms

    7 2a00:5641:12d::4 (2a00:5641:12d::4) [AS13030] 1.903 ms 2.273 ms 2.559 ms

    8 2a00:5641:12e::2 (2a00:5641:12e::2) [AS13030] 18.465 ms 18.762 ms 19.069 ms

    9 2a00:5641:12e::7 (2a00:5641:12e::7) [AS13030] 6.996 ms 7.223 ms 7.543 ms

    10 * * *

    11 ffm-bb1-v6.ip.twelve99.net (2001:2034:1:6b::1) [AS1299] 10.642 ms 10.611 ms 10.587 ms

    12 ddf-b2-v6.ip.twelve99.net (2001:2034:0:21::1) [AS1299] 12.003 ms 10.418 ms 10.526 ms

    13 * * *

    14 2a00:6020:0:b::2 (2a00:6020:0:b::2) [AS60294] 10.952 ms 10.934 ms 10.905 ms

    15 2a00:6020:ffff:ffff::21 (2a00:6020:ffff:ffff::21) [AS60294] 19.685 ms 19.650 ms 19.602 ms

    16 * * *

    17 * * *

    18 * * *


    von drinnen --> draussen:

    root@ubuntu:~# ping -6 2001:4860:4860::8888

    PING 2001:4860:4860::8888(2001:4860:4860::8888) 56 data bytes

    64 bytes from 2001:4860:4860::8888: icmp_seq=1 ttl=119 time=10.6 ms

    64 bytes from 2001:4860:4860::8888: icmp_seq=2 ttl=119 time=8.81 ms

    64 bytes from 2001:4860:4860::8888: icmp_seq=3 ttl=119 time=10.8 ms

    64 bytes from 2001:4860:4860::8888: icmp_seq=4 ttl=119 time=9.77 ms

    64 bytes from 2001:4860:4860::8888: icmp_seq=5 ttl=119 time=7.70 ms

    From 2a00:6020:4609:9200:eebe:ddff:fe29:e09b icmp_seq=6 Destination unreachable: Address unreachable

    From 2a00:6020:4609:9200:eebe:ddff:fe29:e09b icmp_seq=7 Destination unreachable: Address unreachable

    From 2a00:6020:4609:9200:eebe:ddff:fe29:e09b icmp_seq=8 Destination unreachable: Address unreachable

    From 2a00:6020:4609:9200:eebe:ddff:fe29:e09b icmp_seq=9 Destination unreachable: Address unreachable

    From 2a00:6020:4609:9200:eebe:ddff:fe29:e09b icmp_seq=10 Destination unreachable: Address unreachable

    From 2a00:6020:4609:9200:eebe:ddff:fe29:e09b icmp_seq=11 Destination unreachable: Address unreachable

    From 2a00:6020:4609:9200:eebe:ddff:fe29:e09b icmp_seq=12 Destination unreachable: Address unreachable

    aha, nochmal von drinnen --> draussen:

    root@ubuntu:~# tracert6 2001:4860:4860::8888

    traceroute to 2001:4860:4860::8888 (2001:4860:4860::8888) from 2a00:6020:4609:9200:dea6:32ff:fe39:f55f, 30 hops max, 60 bytes packets

    1 2a00:6020:4609:9200:eebe:ddff:fe29:e09b (2a00:6020:4609:9200:eebe:ddff:fe29:e09b) 0.381 ms 0.237 ms 0.245 ms

    2 2a00:6020:4609:9200:eebe:ddff:fe29:e09b (2a00:6020:4609:9200:eebe:ddff:fe29:e09b) 3006.596 ms !H 3005.630 ms !H 3006.172 ms !H

    (e09b) ist das LAN des DG Routers

    Genauso gab es zu Zeiten für Minutenbruchteile eine Antwort für das tracert von draussen --> drinnen, dann fail für längeren Zeit, so wie oben.

    Wie passt das alles zusammen ..... ???

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    merci frank,

    ping = icmp = keine ports (die trägt dieses teil selber ein).

    es sieht ja wohl so aus denke ich, als ob das dg netz den dg router nach ablauf kurzer zeit nicht mehr versorgt.

    ps: ja, ich habe bewusst keine fb bestellt ...

    vg donald


    foldende ergebnisse nach de-aktivierung der fw regeln:

    und ein dejavue:

    root@ubuntu:~# ping -6 2001:4860:4860::8888

    PING 2001:4860:4860::8888(2001:4860:4860::8888) 56 data bytes

    64 bytes from 2001:4860:4860::8888: icmp_seq=1 ttl=119 time=11.3 ms

    64 bytes from 2001:4860:4860::8888: icmp_seq=2 ttl=119 time=9.53 ms

    64 bytes from 2001:4860:4860::8888: icmp_seq=3 ttl=119 time=7.73 ms

    64 bytes from 2001:4860:4860::8888: icmp_seq=4 ttl=119 time=9.83 ms

    64 bytes from 2001:4860:4860::8888: icmp_seq=5 ttl=119 time=7.76 ms

    64 bytes from 2001:4860:4860::8888: icmp_seq=6 ttl=119 time=9.70 ms

    From 2a00:6020:4609:9200:eebe:ddff:fe29:e09b icmp_seq=7 Destination unreachable: Address unreachable

    From 2a00:6020:4609:9200:eebe:ddff:fe29:e09b icmp_seq=8 Destination unreachable: Address unreachable

    From 2a00:6020:4609:9200:eebe:ddff:fe29:e09b icmp_seq=9 Destination unreachable: Address unreachable

    From 2a00:6020:4609:9200:eebe:ddff:fe29:e09b icmp_seq=10 Destination unreachable: Address unreachable

    From 2a00:6020:4609:9200:eebe:ddff:fe29:e09b icmp_seq=11 Destination unreachable: Address unreachable

    From 2a00:6020:4609:9200:eebe:ddff:fe29:e09b icmp_seq=12 Destination unreachable: Address unreachable

    From 2a00:6020:4609:9200:eebe:ddff:fe29:e09b icmp_seq=13 Destination unreachable: Address unreachable

    From 2a00:6020:4609:9200:eebe:ddff:fe29:e09b icmp_seq=14 Destination unreachable: Address unreachable

    From 2a00:6020:4609:9200:eebe:ddff:fe29:e09b icmp_seq=15 Destination unreachable: Address unreachable


    traceroute to 2a00:6020:4609:9200:dea6:32ff:fe39:f55f (2a00:6020:4609:9200:dea6:32ff:fe39:f55f), 30 hops max, 80 byte packets

    1 r3win7.core.init7.net (2001:1620:2777:1a::1) [AS13030] 1.039 ms 1.374 ms 1.651 ms

    2 2a00:5641:109::2 (2a00:5641:109::2) [AS13030] 1.137 ms 1.552 ms 1.744 ms

    3 r2win9.core.init7.net (2a00:5641:109::1) [AS13030] 0.910 ms 1.210 ms 1.621 ms

    4 r1win12.core.init7.net (2a00:5641:137::1) [AS13030] 1.095 ms 1.334 ms 1.799 ms

    5 r1zrh6.core.init7.net (2a00:5641:137::2) [AS13030] 1.498 ms 1.756 ms 2.048 ms

    6 r1glb1.core.init7.net (2001:1620:2::32a) [AS13030] 1.379 ms 3.279 ms 3.531 ms

    7 2a00:5641:12d::4 (2a00:5641:12d::4) [AS13030] 1.992 ms 2.356 ms 2.630 ms

    8 2a00:5641:12e::2 (2a00:5641:12e::2) [AS13030] 1.672 ms 1.951 ms 2.158 ms

    9 2a00:5641:12e::7 (2a00:5641:12e::7) [AS13030] 7.320 ms 7.676 ms 7.967 ms

    10 * * *

    11 ffm-bb1-v6.ip.twelve99.net (2001:2034:1:6b::1) [AS1299] 10.700 ms 10.668 ms 10.647 ms

    12 ddf-b2-v6.ip.twelve99.net (2001:2034:0:21::1) [AS1299] 10.479 ms 11.871 ms 10.499 ms

    13 * * *

    14 2a00:6020:0:b::2 (2a00:6020:0:b::2) [AS60294] 10.795 ms 2a00:6020:0:a::2 (2a00:6020:0:a::2) [AS60294] 10.765 ms 10.725 ms

    15 2a00:6020:ffff:ffff::21 (2a00:6020:ffff:ffff::21) [AS60294] 19.015 ms 18.989 ms 18.917 ms

    16 * * *

    17 * * *

    18 * * *

    besonders beeindruckend, dass sich nicht mal ihr eigener DNS Server ping'en lässt:

    root@ubuntu:~# tracert6 2a00:6020:100::1

    traceroute to 2a00:6020:100::1 (2a00:6020:100::1) from 2a00:6020:4609:9200:dea6:32ff:fe39:f55f, 30 hops max, 60 bytes packets

    1 2a00:6020:4609:9200:eebe:ddff:fe29:e09b (2a00:6020:4609:9200:eebe:ddff:fe29:e09b) 0.254 ms 0.142 ms 0.248 ms

    2 2a00:6020:4609:9200:eebe:ddff:fe29:e09b (2a00:6020:4609:9200:eebe:ddff:fe29:e09b) 3005.638 ms !H 3005.623 ms !H 3005.597 ms !H

    Zitat von Taxan4711

    es sieht ja wohl so aus denke ich, als ob das dg netz den dg router nach ablauf kurzer zeit nicht mehr versorgt.

    Danach sieht das für mich überhaupt nicht aus. Ich würde sagen, dass die connection tracking Tabelle Zeit ihre Gültigkeit verliert. Das erklärt die temporären Einflüsse, die du siehst, am besten. Da ihr durch Manipulation Einträge erzeugt habt, die die GUI eigentlich nicht zulassen will, kam mir der Verdacht, dass es daran liegen könnte. Deshalb der Versuch ohne Regeln.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Warum macht ihr eigentlich diese Klimmzüge mit der Eingabe auf der Konsole, um ein "*" eingeben zu können? Gebt doch einfach eine gültige IPv6 Adresse ein, um das Ziel zu beschreiben. Ggf. kommt die Firewall damit besser zurecht, wenn sie auf Regeln stößt, die auch ihren Vorgaben entsprechen.