Fritzbox 7490, mehrere IPv6, dyndns, Raspberrys

[MagicBird]

Hallo Forum,

mit meinen Speedport Smart 4 lief alles super, biss ich auf die Idee gekommen 2 Pi's mit SSl zu versehen.
Also laß ich, das der Speedport dieses nicht könne und legte mir eine FB zu.

fb entsprechend komplett eingerichtet, strato dyndns alles top läuft.

mir ist beim weiteren einrichten der fb auf https 443 aufgefallen das der eine Pi eine andere IPv6 angezeigt hat als fb diese erkannte.
habe ich entsprechend geändert.

nachdem ich von PI1 die ipv6 direkt bei strato eintrug konnte ich diesen auch erreichen
PI2 ist weiterhin off, nur durch dyndns, IPort

Warum meldet FB eine andere IPv6 an strato oder es meldet die richtige aber warum lässt mich fb nicht durch.



PI 1 webpi
inet6 fe80::804:8d93:3351:7936/64 scope link

PI 2 evb
inet6 fe80::6c72:e246:c95d:880d/64 scope link

Hat jemand da mehr Ahnung als ich von dem Thema.

vielen dank

 

[Barungar]

Da hätte Dir unter anderem die Forensuche geholfen...
Ich sag einfach mal so DynDNS geht mit IPv6 anders als mit IPv4.

https://forum.heimnetz.de/threads/t...webserver-etc-bei-ipv6-mit-der-fritzbox.2186/

Du musst auf jeder der beiden PI's einen eigenen DynDNS-Client installieren. Da der DynDNS-Client auf der FritzBox ausschließlich die IPv4- und IPv6-Adresse der FritzBox anmeldet. Das reicht bei IPv4 ja noch, weil da alle Deine Geräte die gleiche (öffentliche) IPv4 haben. Aber bei IPv6 hat jedes Gerät eine eigene (öffentliche) IPv6 und die muss jedes Gerät für sich selbst anmelden.

In Deinem Szenario brauchst Du drei Hostnamen (DynDNS), wenn Du alles erreichen willst. Die FritzBox braucht einen (DynDNS)-Namen, der 1. PI braucht einen und der 2. PI braucht einen. Dabei wäre bei allen drei DynDNS-Namen der A-Record der gleiche (weil gleiche IPv4), aber die AAAA-Records wären unterschiedliche (weil unterschiedliche IPv6).

 

[MagicBird]

Wow eine echt super Erklärung.
Dann wäre die Portfreigabe überflüssig? da ich die IP vom PI übertrage?

OK auf die Box kann ich super verzichten.
und dann habe ich folgende dyndns
zuhause.unserefamilie.com
evb.unserefamilie.com





Nun muß ich aber herausbekommen, wie ich auf dem evb pi certbot zum laufen bekomme.

Lars

 

[Barungar]

@MagicBird Du solltest das besser anonymisieren!
Beide FQDNs sind sauber, mit den obenstehenden (besser zu anonymisierenden Daten), per DNS abfragbar.
Die obere FQDN hat auch einen http (Port 80) aktiv und liefert eine Minimal-Seite, allerdings nur per IPv4. Auf IPv6 ist der Port 80 zu.
Die zweite FQDN hat auch einen http (Port 80 aktiv), liefert einen http 301 zur https, die dann allerdings nicht bedient wird. Port 443 ist zu - sowohl IPv4 alsauch IPv6.

 

[blurrrr]

Dann wäre die Portfreigabe überflüssig? da ich die IP vom PI übertrage?

Nö, da muss der Firewall des Routers ja noch gesagt werden, dass entsprechende Pakete (via Port XY) auch zu der IP vom PI dürfen

 

[MagicBird]

Ich muß entschuldigen aber Total Bahnhof.

das thema port 80 muß der auf beide ipv* aktiv sein?
Ja den zweiten kann ich auch nicht erreichen.

 

[blurrrr]

Bei IPv4 nimmt der "Router" das Paket auf dem Port (Portfreigabe) entgegen, verändert es und schickt es weiter zum eigentlichen Zielhost. Bei IPv6 leitet der Router einfach nur weiter (ohne Veränderung), dennoch muss man dem Router sagen (da sich Dein IPv6-Netz ja "hinter" dem Router befindet), dass entsprechende Pakete zum Zielhost auch durchgelassen werden (ansonsten würde ja einfach "alles" durchgelassen und das wäre dann nicht sonderlich sicher).

 

[Barungar]

Hier schau mal, das muss in der FritzBox so aussehen:

Ideal gibt man die Dienste für IPv4 und IPv6 frei. Hier in dem Fall ist es einmal mein BitTorrent-Host und mein Mail-Server.
Beide sind sowohl über IPv4 als auch IPv6 erreichbar. Der BitTorrent jeweils als TCP & UDP (2 x 2) = 4 Freigaben und der Mail-Server auch zwei Freigaben.

Nur Achtung... den Port 443 bei IPv4 kannst Du nur einmal freigeben, da Du ja nur eine IPv4 hast. Im IPv6 kannst Du dutzende Freigaben für Port 443 machen und demnach auch dutzende https-Server betreiben, weil ja jeder eine eigene IPv6 hat.

 

[MagicBird]

Ja ich denke mal so habe ich es inzwischen auch.

nun muß ich nur herausbekommen warum der evb keine weiterleitung von 80 auf 443 macht

 

[Barungar]

Der "evb" ist über IPv6 nicht erreichbar. Weder auf Port 80 noch auf Port 443.
Über IPv4 ist Port 443 auch nicht erreichbar. Port 80 auf IPv4 antwortet und versucht eine http 301 (Umleitung) auf https.
Was aber wegen der beiden Fehler vorher... kein Port 443 auf IPv4 & IPv6 nix bringt.

 

[Barungar]

Ich habe mir eben nochmal Deine IPv6-Adressen angeschaut, auf dem immer noch nicht anonymisierten Screenshot.
Das sind aber keine EUI-64 Formate, bist Du Dir sicher, dass das stabile InterfaceIDs sind?!

Haben der Pi1 und Pi2 wirklich ::5013:972a:4f8d:b016 und ::6b13:428d:7d5e:72b0 als stabile InterfaceIDs? Das sieht für mich eher nach temporären Interfaces aus, so wie sie z.B. aus Privacy Extensions herauspurzeln.

Alle traceroute6-Versuche auf diese beiden IPv6 enden an Deinem Router, also dem Gerät mit der InterfaceID ::cece:1eff:fexx:xxxx (was übrigens eine ordentliche EUI-64 ist)! Und auch zum Nummernkreis der AVM gehört, die roten x in der EUI-64 Deines Routers dienen der Anonymisierung.

 

[MagicBird]

Mh, verstehe zwar nicht genau aber nun funktioniert es



aber der web pi funktioniert obwohl ja das 443 auf https läuft. muß ich nun certbot ausführen und danach das 443 in ipv4 wieder rausnehmen?

komisch auch der PI hatte zwei eth0 adressen. obwohl ich gerne die 91er ip gerne hätte. ordnung und so.

danke

 

[Barungar]

Jopp, der "evb" klappt nun per http (Port 80) auf IPv4 und IPv6, leitet jeweils mit http 301 auf https um.
Und auf Port 443 (https) antwortet der "evb" nun auch per IPv4 und IPv6.

 

[MagicBird]

womit testest du die Verbindung?

 

[MagicBird]

wenn ich https verwende bei webpi kommt nichts

 

[Barungar]

womit testest du die Verbindung?

curl

muß ich nun certbot ausführen und danach das 443 in ipv4 wieder rausnehmen?

Das kann ich Dir nur beantworten, wenn ich auch weiß was DU willst.
So lange Du der FQDN IPv4 & IPv6 zuordnest, solltest Du auch auf beiden Protokollen http & https anbieten.
Wenn Du nur IPv6 willst, dann lösch den A-Record auf der FQDN und dann kannst Du die IPv4-Portweiterleitungen rausnehmen.

Du solltest nur keine "Ruine" produzieren. Damit meine ich A publizieren und dann kein Port 80/443 auf IPv4 bedienen; oder AAAA publizieren und dann auf Port 80/443 bei IPv6 nicht liefern.

 

[Barungar]

wenn ich https verwende bei webpi kommt nichts

Das ist der "zuhause" oder? Da ist auch Port 80 und Port 443 "tod".
Wenn ich die diversen Screenshot so vergleiche, bin ich mir nicht sicher, ob bei "zuhause" die korrekte IPv6 im AAAA steht.

 

[MagicBird]

Ich hatte eben die A Record entfernt danach war der zuhause (webpi) offline komplett, habe aber A Record eingetragen weil ich plötzlich nicht mehr auf openhab zugreifen konnte.

OK also lasse ich das ganze, ziehe das bisschen daten auf den webpi und gut ist.

 

[MagicBird]

gut, habe das nun komplett geändert, den evb hab ich auf mein strato gezogen und abgeschaltet aber den zuhause der läuft so wie gewollt.

vielen dank für die hilfe