Mail mit IPv6 wegen CGNAT (war: Warum sind die IPv4 Adressen von Router und im Internet ungleich?)

  • Das nennt sich Carrier-grade NAT (CGN).


    In Kürze: Es gibt nicht mehr genug IPv4 Adressen für alle Nutzer. Deshalb nutzen viele Internetanbieter inzwischen NAT. Du bekommst eine Private IP auf deinen Router, und über einen NAT Router kommunizieren dann viele dieser privaten IPs mit derselben öffentlichen IP.

  • Ist:

    die private innerhalb des DG Netzes und

    die außerhalb des DG Netzes?


    Innerhalb des DG Netzes könnte der Router unter der 100.84.xxx.yyy erreicht werden? und

    unter der 94.32.xxx.yyy gibt es keinen Zugang zu meinem Router?

  • Danke für Eure Antworten. Sie decken sich mit meinen Überlegungen. Ich war aber etwas verunsichert durch den Artikel in c't 8/2021 S. 148 "Postnetzwerk".


    Hintergrund ist das in meinem Heim-Netzwerk auf einem RasPi Postfix mit Cyrus an einem Telekom Dual-Stack DSL-Zugang jahrelang problemlos gelaufen ist. Der Mailserver auf dem pi lief als Subdomain (pi.meineDomainBei1und1.de) mit cname-Record auf Fritzbox MyFRITZ DynDNS über meine 1&1 Webspace-Domain. Ausgehende Mails via 1&1 als Relay Host.


    Seit der Umstellung auf Deutsche Glasfaser mit IPv6 only kann der Postfix-pi jedoch keine E-Mail mehr empfangen. Senden geht noch. Da MyFRITZ DynDNS offenbar keine IPv6 routen kann, habe ich einen neuen DynDNS-Dienst auf https://desec.io/ als piXXX.dedyn.io angelegt.


    IPv6 ping auf mein Postfix-pi via zum Beispiel https://www.heise.de/netze/tools/ping/ auf:

    - 2a00:6020:xxx:591e funktioniert,

    - piXXX.dedyn.io funktioniert und auch auf

    - pi.meineDomainBei1und1.de funktioniert.


    Der Port 25 für SMTP am Fritzbox-Router am Anschluß der Deutschen Glasfaser ist offen.

    Ein Test via http://www.ipv6scanner.com auf pi.meineDomainBei1und1.de zeigt "25 smtp OPEN"


    Auch die telnet SMTP Beispiele aus dem Artikel in c't funktionieren im lokalen Netz und auch über das Internet. Eine via telnet-SMTP Test E-Mail an einen internen Empfänger (empfaenger@pi.meineDomainBei1und1.de) aus dem Internet kommt an.


    Jedoch kommen keine "normalen" E-Mails rein. Also, zum Beispiel keine Mail aus Thunderbird gesendet von sender@meineDomainBei1und1.de an empfaenger@pi.meineDomainBei1und1.de oder auch nicht von MeinKonto@gmx.de an empfaenger@pi.meineDomainBei1und1.de?


    Kann man einen eigenen E-Mail Server an einem IPv6 only Anschluß der Deutschen Glasfaser betreiben?

    Hat das hier im Forum jemand so oder so ähnlich am laufen und kann mir weiterhelfen?

  • Es war vorher nur ein CNAME-Record gesetzt und auch jetzt nur so. Einen MX-Record war vorher nicht auch auch jetzt nicht gesetzt.


    Eintrag in meiner 1&1 Webspace-Domain: "CNAME: piXXX.dedyn.io".


    Einen gleichzeitigen CNAME und MX Record lässt 1&1 nicht zu, nur das eine oder das andere. Den CNAME benötige ich aber aufgrund des DynDNS, da mein RasPi keine feste IPv6 bekommt.


    In dem Artikel in c't wird auch geschrieben, dass es keinen MX braucht:


    Wenn ich das richtig verstehe ist ein MX nicht notwendig in dem Fall?

  • MX (oder irgendein anderer Record) und CNAME zusammen ist nicht erlaubt. Das ist keine Eigenheit von 1&1. Den MX Record könntest du dann für piXXX.dedyn.io setzen, aber wenn der keinen MX hat, kommt der Fallback auf einen A/AAAA Record zum Einsatz. Hat die Domain denn nur den AAAA Record oder ist da auch ein A Record für die nicht erreichbare externe oder interne IPv4 Adresse?

  • ... Hat die Domain denn nur den AAAA Record oder ist da auch ein A Record für die nicht erreichbare externe oder interne IPv4 Adresse?

    Die DNS Records sind zur Zeit so definiert:


    Wenn ich einen neuen AAAA hinzufügen möchte, darf ich das nicht auf: piXXX.dedyn.io sondern nur auf eine IPv6.



    Aufgrund DynDNS wäre die IPv6 des pi 2a00:6020:xxx:591e nach einiger Zeit wieder hinfällig.

    Müsste ich diese jedesmal händisch anpassen?


    Übrigens, die Records auf piXXX.dedyn.io sehen so aus:

  • Du findest dieses Forum hier toll und möchtest es unterstützen? Großartig! Hier zeigen wir dir eine Möglichkeit, wie du uns supporten kannst. Es kostet dich keinen Cent mehr und das Forum bleibt hiermit weiter werbefrei.

    Amazon Link

    Nutze diesen Button um bei Amazon einzukaufen. Das kostet dich keinen Cent mehr, jedoch bekommen wir eine kleine Provision.
    Bei Amazon einkaufen und das GF unterstützen
    Mehr Infos gibt es in diesem Thread
  • Ein AAAA-record kann nur eine IPv6 Adresse enthalten, keinen Hostnamen. Ich meinte, ob die piXXX.dedyn.io auch einen A-record für eine nicht erreichbare Adresse hat, die vielleicht von einem DynDNS-Client da eingetragen worden ist. Im Screenshot ist klar zu sehen, dass das nicht der Fall ist. Das ist also auch nicht die Ursache.


    Du kannst versuchsweise einen MX-record für piXXX.dedyn.io anlegen, der als Wert auch "piXXX.dedyn.io." hat. Dieser MX-record wird "vermutet", wenn kein MX-record existiert. Insofern sollte das nicht nötig sein, aber vielleicht macht ein Mailserver da etwas anderes, wenn der MX nicht explizit existiert, und implementiert nur den Fallback auf A-records, nicht auch AAAA-records.


    Vielleicht wollen die Mailserver von UnitedInternet aber auch einfach nicht mit IPv6 Mailservern reden. Welche Fehlermeldung bekommst du, wenn du über GMX oder 1und1 versuchst, Emails an deinen Pi zu schicken?

  • ...Ich meinte, ob die piXXX.dedyn.io auch einen A-record für eine nicht erreichbare Adresse hat, die vielleicht von einem DynDNS-Client da eingetragen worden ist...

    In der DynDNS Admin Oberfläche kann ich keinen A-Record sehen. Der DynDNS Updater (ddclient) läuft direkt auf dem pi mit folgender Konfiguration:

    Ich gehe davon aus, dass nur der AAAA-Record gesetzt wird da: "usev6".

    Du kannst versuchsweise einen MX-record für piXXX.dedyn.io anlegen

    Habe ich gerade gemacht wie folgt:


    Kommt aber denoch keine E-Mail an.


    Welche Fehlermeldung bekommst du, wenn du über GMX oder 1und1 versuchst, Emails an deinen Pi zu schicken?

    Zunächst einmal keine. Die Mails warten Tage auf Zustellung. Irgendwann bekomme ich eine Rückmail, dass die Mail nicht zustellbar ist. Im Moment habe ich keine Rückmail vorliegen (Bisher habe ich mich immer geärgert und gelöscht). Sobald wieder eine zurückkommt, kann ich sie hier zeigen.

  • Kein subname (sonst gilt der record für pixxx.dedyn.io.pixxx.dedyn.io) und der Wert muss der FQDN (fully qualified domain name) des Mailservers sein, mit Punkt am Ende, also "piXXX.dedyn.io.". Um Zeit zu sparen, solltest du beim Experimentieren die Einträge mit einer niedrigeren TTL erstellen. Sonst musst du immer Stunden warten, um eine Änderung zu testen.

  • Eben gerade ist eine Rückmail zu einer Test-Mail von heute 12:15 Uhr eingegangen:

  • Hallo und frohe Ostern,


    ich habe heute nochmals ein wenig probiert.


    1.) zunächst ein E-Mail Test über https://network-tools.webwiz.net/mail-server-test.htm. Dieser hat offenbar funktioniert. Nachfolgend das Protokoll:


    2.) ich habe eine E-Mail Adresse bei einem Schweizer Mail Provider. Zur Anonymisierung sagen wir mal ich@mail.ch

    Diese Adresse ist in meinem Thunderbird als IMAP-Acount eingebunden. Über Thunderbird an meinem heimischen PC habe ich vom Absender ich@mail.ch eine Test-Email an empfaenger@pi.meineDomainBei1und1.de gesendet, also an meine Adresse auf meinem RasPi. Erstaunlicherweise hat es funktioniert. Die E-Mail ist angekommen!

    Die selbe Mail habe ich jeweils über die Antworten Funktion ein paar mal hin und her gesendet. Alle sind jeweils angekommen!


    3.) Nun habe ich gedacht wäre der Knoten geplatzt und habe versucht Test-Mails von diversen meiner Deutschen E-Mail Acounts bei gmx.de, web.de und 1und1.de (sender@meineDomainBei1und1.de) an empfaenger@pi.meineDomainBei1und1.de zu senden, also an meine Adresse auf meinem RasPi. Aber keine kommt an!


    Was läuft falsch?

    Können die Schweizer IPv6 und die Deutschen nicht?


    P.S. Frage an den Moderator der Forums: Wäre es sinnvoll das Thema des Beitrags zu ändern?

  • Mailserver sind sehr pingelig geworden. Es kann sein, dass es nicht an IPv6 liegt sondern daran, dass die Empfängerdomain ein Alias ist. Das kannst du testen, indem du den MX nicht in der DDNS Domain sondern statt des CNAME für pi.meineDomainBei1und1.de anlegst (also MX@pi.meineDomainBei1und1.de="piXXX.dedyn.io." und AAAA@piXXX.dedyn.io="IPv6 vom Pi"). Dann kannst du allerdings in der Zwischenzeit diese Subdomain nicht für andere Zwecke außer Mail verwenden, nur den DDNS-Namen direkt.


    Davon abgesehen halte ich es aber für verfrüht, Infrastruktur wie Mailserver heute schon IPv6-only betreiben zu wollen. Ich teste auch ab und zu, wie weit man ganz ohne IPv4 kommt. Das Ergebnis ist immer sehr ernüchternd. Gerade Mail eignet sich nicht zum Vorpreschen, weil du im Normalfall nicht mitbekommst, wenn dir jemand Mail schicken will und es nicht klappt. Man kann nicht ausprobieren, wie sich alle Mailserver verhalten, von denen man evtl. Mail bekommen will. Exotische Konfigurationen sollte man deshalb vermeiden. Wenn du das nur für interne Zwecke verwendest, hast du aber auch den Absender in deiner Kontrolle und kannst solche Experimente machen.


    Mich wundert das "unknown" bei dem Reverse DNS des MX Records.

    Den Reverse Eintrag müsste die Deutsche Glasfaser setzen. Da sehe ich keine Chance.

  • Du findest dieses Forum hier toll und möchtest es unterstützen? Großartig! Hier zeigen wir dir eine Möglichkeit, wie du uns supporten kannst. Es kostet dich keinen Cent mehr und das Forum bleibt hiermit weiter werbefrei.

    Amazon Link

    Nutze diesen Button um bei Amazon einzukaufen. Das kostet dich keinen Cent mehr, jedoch bekommen wir eine kleine Provision.
    Bei Amazon einkaufen und das GF unterstützen
    Mehr Infos gibt es in diesem Thread
  • alfalfa

    Hat den Titel des Themas von „Warum sind die IPv4 Adressen von Router und im Internet ungleich?“ zu „Mail mit IPv6 wegen CGNAT (war: Warum sind die IPv4 Adressen von Router und im Internet ungleich?)“ geändert.

Erstelle ein Benutzerkonto oder melde dich an um zu kommentieren

Du musst ein Benutzerkonto haben um einen Kommentar hinterlassen zu können

Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Geht einfach!
Neues Benutzerkonto erstellen
Anmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden