7690 und IPV6 - Externer/Globaler Zugriff auf interne Server

  • ja, das schon recht alte fon kann das. hab ich gecheckt.
  • let's debug checkt ob die Vorraussetzungen für ein Let's Encrypt Zertifikat erfüllt sind. (Glaub DNS Auflösung, ob Port 443 und 80 richtig gehandled werden)
  • ja. letztlich 443
  • nee, portscanner im dem sinne hab ich noch nicht bemüht. aber das ist eine gute idee.
  • über ipv6 kommt/kam schlicht "... kann nicht geladen werden"
  • nein
Aber während ich hier tippte und dies das probiert habe... funktioniert es auf ein mal.

Das einzige, was ich verändert habe ist, ich habe die Porfreigabe wiederholt und alles gelassen wie bisher. Allerdings habe ich die Option "Enable PING6" für ipv6 erlaubt. Also entweder war das das missing link, oder es waren noch irgendwo alte DNS caches am werk.

Aber eine dringende Frage bleibt:
Muss ich sicherheitstechnisch weitere Vorkehrungen treffen, jetzt wo das setup dual stack ist?
Ich fühle mich da etwas unsicher. Evtl kann ich meine Podman-netze auch mit ipv6 ausstatten und dann die ip von caddy anstatt die des servers angeben?
 
Ah, ja. Solange der Server / proxy praktisch identisch sind bist ja so gut wie fertig. Also wenn dort auf 80/443 nur der Caddy lauscht.
Ipv4 vom Router + Portweiterleitung (80/443)
Ipv6 vom Server + Portfreigabe (80/443)

Das erste ist halt NAT wie bisher, das andere dann nur noch eine Firewallfreigabe.

Wieso haben server und caddy verschiedene IP? Also was ist das genaue setup auf dem Server?

Je nachdem wie die lets encrypt Zertifikate von Caddy geholt werden (http-01 oder dns-01) brauchst auch port 80 nicht.

Die Podman container müssen ja nur lokal auf dem Server vom proxy erreichbar sein. Die brauchen auch keine "neuen" IPs.
Nur der proxy muss halt auf die Docker Netze Zugriff haben wo auch die Container laufen.
 
Jobbie schrieb:
Allerdings habe ich die Option "Enable PING6" für ipv6 erlaubt. Also entweder war das das missing link, oder es waren noch irgendwo alte DNS caches am werk.
Zum Vergrößern anklicken....
Es "gehört" sich eigentlich, dass man Ping6 bei einem "Server zulässt", aber ich denke der ausschlaggebende Grund wird vermutlich sein, dass noch nicht alle DNS-Caches das "Umbiegen" des CNAMEs auf den neuen A/AAAA Record verarbeitet hatten.
 
Hey, vielen Dank.
Fusion schrieb:
Wieso haben server und caddy verschiedene IP? Also was ist das genaue setup auf dem Server?
Zum Vergrößern anklicken....
Das weiss ich nicht. Bisher hat caddy keine ipv6. Aber ich weiss, dass man die podman nets damit ausstatten kann. Aber sind das dann nicht einfach lokale subnets? Da bin ich wie gesagt noch nicht vorgedrungen. Mir rauch noch etwas der Kopf...
Fusion schrieb:
Je nachdem wie die lets encrypt Zertifikate von Caddy geholt werden (http-01 oder dns-01) brauchst auch port 80 nicht.
Zum Vergrößern anklicken....
Das stimmt.
Fusion schrieb:
Die Podman container müssen ja nur lokal auf dem Server vom proxy erreichbar sein. Die brauchen auch keine "neuen" IPs.
Nur der proxy muss halt auf die Docker Netze Zugriff haben wo auch die Container laufen.
Zum Vergrößern anklicken....
Ja, das würde ich auch so iwi machen wollen. Derzeit existiert ein poxy net, da sind caddy, nextcloud und collabora drin. Allerdings hat nur Caddy die beiden ports offen. Meine Datenbanken sind in einem anderen net und somit separat und für caddy gar nicht sichtbar (so mein plan :-D).
 
Habe noch eine Frage, if I may:
Was genau macht die Fritzbox eigentlich bei MyFritz! Freigabe im Falle von ipv6? Also, da ja kein NATing stattfindet, wird dann einfach die komplette ipv6 exposed? Oder fungiert die Fritz dann quasi als Firewall und lässt auch da nur die beiden Ports durch?
 
Die IPv6 wird natürlich öffentlich (so wie die IPv4 vom Router seither auch). Host ID (zweiter Teil) vom Client und die Netz ID (erster Teil), die kennt sie ja.
Sie ist dann nur noch Firewall für die Ports.
 
Genau, sie NATet nicht.. sie ROUTET. Der Server hat ja nun mal eine "echte, öffentliche" IPv6. Das heißt die FritzBox kann einfach routen. Zusätzlich dient sie halt weiterhin als Firewall. Sie routet also nur die Paket, die für den "freigegebenen" Port sind. Alle andere Paket verwirft die FritzBox.

Das kannst Du auch "gute sehen", wenn Du von einem Gerät aus dem Internet einen traceroute4 oder einen traceroute6 machst. Der traceroute vom IPv4 "endet" bei der FritzBox, weil durch das NAT ist Dein Server "versteckt". Bei traceroute von IPv6 ist Deine FritzBox nur ein Router/Firewall auf dem Weg zum Server, also blos ein weiterer Hop.
 
Ja, genau. Das hatte ich unklar formuliert. Danke nochmal. So hatte ich das auch eigenlich formulieren wollen. Aber ja, also auch bei exposed ipv6 (geht ja gar nicht anders) lässt sie nur die beiden Ports durch. Dann fühl ich mich halbwegs geschützt, da die FW auf meinem Server auch nur diese beiden Ports nach aussen zulässt. Doppelt hält besser. Ich hab noch ein paar andere ports auf, für ssh und netzlaufwerke, aber nur ipv4 lokal.

Edit: Ihr seid super. Besten Dank für die tollen Infos!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
7.971
Beiträge
78.378
Mitglieder
8.658
Neuestes Mitglied
hermann.reimer

Teilen

Zurück
Oben