Fritzbox-Webinterface 24/7 im Web erreichbar - warum?

[Gekko]

Das ist eben auch der oft gesehene Fehler: eine Vermischung von v4 mit v6 Konzepten.

Ich glaube nicht, dass das unbedingt eine Vermischung ist und das an den Usern liegt. Es ist einfach so, dass die Geräte sogar im Jahr 2024 so unbeschreiblich tief in der Vergangenheit stecken, weil sämtliche Bedienkonzepte und Backend-GUIs keinen einzigen Zentimeter für IPv6 angepasst wurden. Ich halte IPv6 für einen tollen Schritt in die richtige Richtung.

Aber wenn damit das Login meines Routers öffentlich im Netz steht und ich absolut überhaupt nichts dagegen tun kann, dann hat das weder etwas mit meinem Verständnis für IPv6 vs IPv4 zu tun, sondern ist eine Riesengefahr und Unsicherheit. Diese Unsicherheit liest man seit rund 3 Jahren überall in den Foren, weil der Unterschied zwischen Theorie und heute noch vorfindbarer, veralteter (Router-) Praxis gar nicht klaffender sein kann. Selbst wenn man heute eine neue FritzBox kauft, enthält die ein paar IPv6-Spurenelemente und 99% IPv4. Da ist es auch kein Wunder, dass User völlig verunsichert sind, weil ihnen damit quasi die falschen Tools zur Verfügung stehen. Was mich betrifft:

• Die Fritzbox hat eine Firewall.
• Ich möchte, dass diese Firewall alle meine Geräte schützt.
• Ich möchte kein FritzBox-Login im Internet
• Ich möchte einfach einen Server ins Netz stellen.
• Ich möchte, dass sich DynDNS-Einträge nach Neuverbindung erfolgreich updaten.
• Ich möchte dafür keine IPv6-Update-Scripte selbst schreiben und damit ungeheure Angriffsmöglichkeiten schaffen, die mir beim Schreiben gar nicht klar sind.
• Ich möchte die Kontrolle darüber haben, welches Gerät in meinem Netzwerk von draußen erreichbar ist.

Nichts, absolut garnichts davon hat damit zu tun, dass ich IPv4 mit IPv6 vermische. Es hat einzig und allein damit zu tun, dass ein Hersteller wie AVM absolut ÜBERHAUPT nichts tut, um das Bedienkonzept seiner FritzBoxen auf das kommende IPv6 anzupassen. Absolut ÜBERHAUPT! NICHTS! Die Technik ist an vielen Stellen derart viel weiter, da wird einem schwindelig! Ich vergebe in Linux meinen Docker-Containern eigene IP-Adressen via IPvLAN und MACvLAN: beides Konzepte, die eine FritzBox im Jahr 2024 noch nicht einmal verarbeiten kann! Stellt euch das mal vor: Ihr habt einen Docker-Container mit einer bestimmten IP am Laufen, der erfragt bei der FritzBox eine gültige IP, erhält diese, benutzt diese und die Fritzbox meint anschließend: das Gerät ist mir unbekannt und ich zeig es auch nirgendwo an. Wenn man es manuell zufügen möchte, sagt sie "Gerät schon vorhanden". Das alles ist Qualität a la AVM im Jahr 2024.

Ich finde, es wird zu schnell der User verantwortlich gemacht. Ich lese jeden Tag teilweise zynische, hochtoxische Beiträge von Experten, die jedem unsicheren User das größtmögliche Fass Arroganz über den Kopf gießen, das sie haben ("Wenn Du Dich nur ein BISSCHEN mit IPv6 beschäftigt hättest..." und sowas). Aber dass sich AVM in Sachen IPv6 genauso verhält wie unsere Automobilindustrie in Sachen E-Mobilität, das scheint echt keiner anzuklagen.

So. Musste raus.

 

[Gekko]

- mit der aktuellen gültigen v6 des Servers mal den Zugriff versuchen NACHDEM du die Freigabe neu an der Fritzbox eingerichtet hast.

• Genau deshalb ja mein voriges Posting. Denn was genau meinst Du mit "Freigabe"? Ich sehe in der FritzBox nur Freigaben für IPv4-Ports, die wir bei IPv6 ja nicht brauchen.
• Warum ist das Login der Box erreichbar, obwohl ich es nicht möchte? Greift hier keine Firewall? Kann ich per IPv6 also jede Firewall umgehen, wenn ich die öffentliche Adresse eines Geräts kenne? Weil genau das passiert hier bei mir.

 

[the other]

Moinsen,
von wo rufst du denn die IPv6 der Fritzbox auf, dass dir ein login gezeigt wird? Vermutlich aus dem eigenen LAN (in dem deine Fritz und der Client, von dem zu zugreifst, stehen).
Hast du das mal zB richtig von außen (zB per Eingabe im Smartphone Browser mit Mobilfunk, nicht WLAN) versucht?

Mache ich das vom PC (im LAN), dann komme ich auch auf die loginseite der Fritzbox unter ihrer GUA.
Mache ich das aber übers Smartphone aus dem Mobilfunk...dann kommt eben auch die Zeitüberschreitung.
Nur weil unter v6 theoretisch alle Geräte erreichbar sind, bedeutet das ja nicht, dass hier nicht auch eine Firewall alles sperrt.

Richte nun aber natürlich irgendwo in der Fritzbox ein, dass aus dem Internet erreichbar sein soll...dann ja, dann komme ich auch dahin.
Ich glaube also immer noch, dass du da etwas falsch verstanden und konfiguriert hast.

Anders:
mein 2. Router hat eine IPv6, ist damit theoretisch auch von außen übers Internet erreichbar. Da ich hier aber nix freigebe...ist er es (v6 hin oder her) eben NICHT.
Meine NAS haben auch v6 Adressen (globale, lokale, und v4). Da aber auch hier keine Freigabe angelegt > nicht von außen erreichbar.

Ich gebe dir Recht, dass v6 oft noch nicht oder eher unglücklich implementiert ist, auch bei einigen Providern.
Trotzdem: meist sitzt das Problem VOR dem Bildschirm, gerade v6 ist da auch GÄNZLICH anders als v4. Deshalb meine Aussage.
Ich wiederhole mich also: nimm erstmal alles wieder raus an Freigaben.
Schau ob die Fritzbox Loginmaske von EXTERN (nicht aus dem eigenen LAN) wirklich erreichbar ist (hier ist es meine eben nicht)
Leg dann die Freigabe für die IPv6 des Servers erneut an inklusive benötigter Ports.
Schau, ob der Server selber da ggf. den Zugriff blockiert.

 

[Barungar]

Ich habe bereits vor 16 Posts den entscheidenden Hinweis gegeben. Der von mir verlinkte Thread enthält alle (theoretischen) Informationen, die es braucht um Deine "Herausforderung" zu lösen.

Falls Du Schwierigkeiten bei der Transferleistung von der (theoretischen) Lösung aus dem Thread zur praktischen Umsetzung bei Dir hast - habe ich Dir sogar meine direkte Hilfe angeboten.

Ich habe mehr als einmal nach Screenshots gefragt. Von Dir lese ich stattdessen nur sinnfreies Geflame über IPv6 und AVM. AVM ist nicht perfekt, aber ich finde für den Homebereich haben sie eine sehr gekonnte IPv6 Umsetzung geliefert. Sicher kann von man "professionellen" Router mehr erwarten. Aber AVM ist primär ein Endnutzer-Anbieter.

Ich kann nur sagen bzw. raten... weniger flamen und mehr umsetzen.

 

[the other]

Moinsen,
zu deinem "Rant":

Aber wenn damit das Login meines Routers öffentlich im Netz steht und ich absolut überhaupt nichts dagegen tun kann, dann hat das weder etwas mit meinem Verständnis für IPv6 vs IPv4 zu tun, sondern ist eine Riesengefahr und Unsicherheit.

Steht sie nur bei unsachgemäßer Einrichtung...

Selbst wenn man heute eine neue FritzBox kauft, enthält die ein paar IPv6-Spurenelemente und 99% IPv4.

Liegt auch daran, dass es meist 99 % nicht die Bohne interessiert...

Ich möchte, dass diese Firewall alle meine Geräte schützt.

tut sie im out-of-the-box Zustand

Ich möchte kein FritzBox-Login im Internet

Ich auch nicht, habe ich auch nicht.

Ich möchte die Kontrolle darüber haben, welches Gerät in meinem Netzwerk von draußen erreichbar ist.

Ich auch, habe ich auch.

• Ich möchte, dass sich DynDNS-Einträge nach Neuverbindung erfolgreich updaten.
• Ich möchte dafür keine IPv6-Update-Scripte selbst schreiben und damit ungeheure Angriffsmöglichkeiten schaffen, die mir beim Schreiben gar nicht klar sind.

Kommt etwas auf den DynDNS Anbieter an. Geht hier problemlos, auch ohne script. Trotzdem muss die Syntax manchmal angefasst werden.

Nichts, absolut garnichts davon hat damit zu tun, dass ich IPv4 mit IPv6 vermische.

Hast du doch aber irgendwie getan, oder? Ich meine, die v4 Freigabeeinträge hast du doch vermutlich angelegt? Obwohl diese unter dslite nix bringen, oder?

Klar: auch bei AVM gibt es Verbesserungspotential. Dass die aber rein gar nix bzgl v6 anbieten, hm, sehe ich anders (Luft nach oben ist IMMER). Dass die GUI der Fritzbox (egal ob v4 oder 6) beim korrekten Anzeigen der Clients im LAN nicht immer akkurat ist...bekannt, liegt auch eher weniger an v6.
Von daher bin ich auch hier ein weiteres Mal bei @Barungar:

Falls Du Schwierigkeiten bei der Transferleistung von der (theoretischen) Lösung aus dem Thread zur praktischen Umsetzung bei Dir hast - habe ich Dir sogar meine direkte Hilfe angeboten.

Ich habe mehr als einmal nach Screenshots gefragt. Von Dir lese ich stattdessen nur sinnfreies Geflame über IPv6 und AVM. AVM ist nicht perfekt, aber ich finde für den Homebereich haben sie eine sehr gekonnte IPv6 Umsetzung geliefert. Sicher kann von man "professionellen" Router mehr erwarten. Aber AVM ist primär ein Endnutzer-Anbieter.

Ich kann nur sagen bzw. raten... weniger flamen und mehr umsetzen.

So, bin am See.

 

[Gekko]

Ich habe bereits vor 16 Posts den entscheidenden Hinweis gegeben. Der von mir verlinkte Thread enthält alle (theoretischen) Informationen, die es braucht um Deine "Herausforderung" zu lösen.

Falls Du Schwierigkeiten bei der Transferleistung von der (theoretischen) Lösung aus dem Thread zur praktischen Umsetzung bei Dir hast - habe ich Dir sogar meine direkte Hilfe angeboten.

Ich bin Dir auch wirklich dankbar dafür und habe den Thread natürlich gelesen, als Du den Link gepostet hattest. Ich möchte nicht, dass Du etwas von dem, was ich grad schrieb irgendwie auf Dich beziehst - ich finde es wirklich unglaublich, wie schnell Du helfen möchtest und danke Dir herzlich dafür. Bitte sag mir genau, was für einen Screenshot Du brauchst.

Ich habe mehr als einmal nach Screenshots gefragt. Von Dir lese ich stattdessen nur sinnfreies Geflame über IPv6 und AVM. AVM ist nicht perfekt, aber ich finde für den Homebereich haben sie eine sehr gekonnte IPv6 Umsetzung geliefert. Sicher kann von man "professionellen" Router mehr erwarten. Aber AVM ist primär ein Endnutzer-Anbieter.

Ich hatte bereits zwei Screenshots geschickt und beim zweiten gefragt, ob das der Screenshot ist, den the other und Du haben wollt oder etwas anderes meint.

Ich möchte kein FritzBox-Login im Internet

Ich auch nicht, habe ich auch nicht.

Das ist der Grund, warum ich hier die initiale Frage gestellt habe. So schön ich das auch finde, dass bei Dir alles läuft: eine Erklärung dafür steht noch aus, warum Du das Webinterface effektiv abschalten kannst und ich nicht.

Steht sie nur bei unsachgemäßer Einrichtung...

Bitte sei doch so lieb und erkläre mir, an welcher Stelle ich die FritzBox unsachgemäß eingerichtet habe. Nichts anderes möchte ich wissen.

Hast du doch aber irgendwie getan, oder? Ich meine, die v4 Freigabeeinträge hast du doch vermutlich angelegt? Obwohl diese unter dslite nix bringen, oder?

Ich habe das getan, nicht weil ich denke, dass Ports freigegeben werden müssen, sondern weil ich den Server nicht von draußen erreiche. Ich finde in der FritzBox keine Möglichkeit, die Firewall für ein Gerät auszuschalten, also denke ich, dass das bei den Freigaben unsichtbar implementiert ist - was eben auch nur eine Vermutung ist, denn eine Firewall wird nirgendwo in den Optionen des Backends erwähnt. Es ist die einzige Möglichkeit, die die FritzBox mir also mit Blick auf die Firewall lässt und das hat nichts damit zu tun, dass ich IPv4-Praxis mit IPv6 vermische.

So, bin am See.

Taaaaausend Dank für Deine Hilfe und ganz viel Spaß!

 

[blurrrr]

Man kann nun sicherlich rumsuchen wo was und wieso, aber meinste nicht, es wäre einfacher, wenn Du das Ding einfach komplett zurücksetzt? Danach das (sicherlich vorhandene!) Backup wieder einspielen und schauen, ob das Verhalten noch besteht. Falls ja, nochmal zurücksetzen und halt händisch durchkonfigurieren, bis alles so ist, wie es ursprünglich gewünscht war.

 

[Barungar]

Ich hatte bereits zwei Screenshots geschickt und beim zweiten gefragt, ob das der Screenshot ist, den the other und Du haben wollt oder etwas anderes meint.

Ich dachte ich hätte das jedes mal deutlich gemacht. Ich hätte gerne gesehen, was kommt, wenn Du Deinen Linux-Server (von außen) aufrufen möchtest. Es kommt ja offensichtlich nicht die erwartete Maske vom Linux Server.

 

[the other]

Moinsen,
mach das Ding erstmal platt und starte neu, wie ja schon mehrfach vorgeschlagen.
Dann:
- willst du die Fritzbox erreichbar machen von außen? Nein. Hab ich so verstanden bisher. Also nicht irgendwo diese Funktion aktivieren...zum Testen: wie bereits vorgeschlagen von AUßEN (nicht am PC im eigenen (w)LAN!) zB per Mobilfunknetz am Handy prüfen, ob du die Fritzbox unter ihrer IPv6 auch wirklich nicht erreichen kannst (sollte auch ein timeout werden bzw "Server nicht erreichbar" Meldung)...

Dann: schau nach ob du eine IPv6 Adresse für die Fritzbox bekommst. Schau auch nach, ob du ein /56er Präfix für GUA v6 bekommst. Dann schau nach, ob die Geräte / das Gerät sich eine eigene GUA v6 bauen (am client mit zb

ip a

). Wenn dem so ist, top. 1. Schritt fertig. Falls nicht: prüf die Einstellungen der Fritzbox, hier vor allem ob die Präfix Delegation (PD) aktiv ist. Das schien aber bisher bei dir zu funktionieren...

Nun: schau, ob in der Fritzbox dein Gerät angezeigt wird. Jetzt die Portfreigabe für das Gerät einrichten.Dann ruhig mal testen via Browser (wieder: übers Mobilfunknetz, du willst ja "von außen" testen). Hierzu im Browser eingeben:
https://[Die:IPv6:Adresse:des:Servers...]:MIT-PORTANGABE
Das sollte dann schonmal funktionieren...sonst Fehler.

Als nächstes benötigt bei v6 eben der client hinter der Fritzbox (hier dein server) eine Möglichkeit, einen dynDNS für SEINE IPv6 laufen zu haben, unter linux etwa mit ddclient. Diesen passend (und nach Vorgaben des dynDNS Anbieters > nachschauen, ist bei allen etwas anders) einrichten.
Danach schauen (bei deiner dynDNS Anbieterseite, dein Konto), ob hier alles im grünen Bereich ist, die Synchronisation also klappt. wenn ja, top. Wenn nein, neu, da Fehler.

Jetzt endlich mal versuchen (genau: wieder via Mobilfunknetz), ob du den Server von außen auch unter seiner eben eingerichteten dynDNS erreichen kannst.

Intern: du kannst im eigenen Heimnetz dann entweder nur v6 nutzen (da bieten sich dann ggf ULA v6 Adressen an, die die Fritzbox ebenfalls ermöglich, da ist AVM eben nicht so in der Steinzeit, wie du behauptest). Oder nutzt eben intern ganz langweilig weiterhin IPv4. Oder beides.

Grob so sollte es laufen. Hier tut es das.
Für den Zugriff von extern muss nix bzgl v4 Freigabe o.ä. eingestellt werden, da da auch nie etwas ankommen wird (weil eben hinter dem NAT deines Internetanbieters verborgen).

Works as designed.

 

[Gekko]

Man kann nun sicherlich rumsuchen wo was und wieso, aber meinste nicht, es wäre einfacher, wenn Du das Ding einfach komplett zurücksetzt? Danach das (sicherlich vorhandene!) Backup wieder einspielen und schauen, ob das Verhalten noch besteht. Falls ja, nochmal zurücksetzen und halt händisch durchkonfigurieren, bis alles so ist, wie es ursprünglich gewünscht war.

• Ich habe die FritzBox jetzt auf die Werkseinstellungen zurückgesetzt.
• Ich habe alle Änderungen händisch vorgenommen, keine exportierte Sicherungsdatei draufgespielt, sondern Schritt-für-Schritt alles neu gemacht.
• Der Server in meinem Netzwerk hat nun zwei Freigaben bekommen 80/443
• Rufe ich aus dem Netzwerk heraus die DynDNS-Seite auf, erhalte ich das FritzBox-Login.
• Rufe ich die Seite außerhalb des Netzwerks auf, erhalte ich die Browser-Fehlermeldung "Seite wurde nicht gefunden".

Ich dachte ich hätte das jedes mal deutlich gemacht. Ich hätte gerne gesehen, was kommt, wenn Du Deinen Linux-Server (von außen) aufrufen möchtest. Es kommt ja offensichtlich nicht die erwartete Maske vom Linux Server.

• Ich hab die Box nochmal zurückgesetzt und alles händisch neu konfiguriert.
• Als Screenshot die neue Freigabe des Servers in der FritzBox. Die IPv6-Subnetz-Adresse des Geräts ist zwar nicht zu sehen, aber korrekt.
• Das Login-Fenster erscheint nur bei Aufruf der DynDNS-Seite innerhalb des Netzwerks. Ein Test außerhalb des Netzwerks ergab auch ein paar Minuten VOR Zurücksetzen zu den Werkseinstellungen der Box, dass das Login der Box von draußen unerreichbar ist. Damit bin ich eine Sorge los, aber eine andere bleibt nach wie vor:
• Rufe ich den Server von draußen auf, erscheint folgendes im Browser (Screenshot):

 

[Gekko]

Halt, das war der falsche Screenshot!
Versuche ich den Server von außen zu erreichen ist DAS der aktuelle Screenshot:

 

[blurrrr]

Sag mal, bist Du Dir sicher, dass da auch korrekt aufgelöst wird? Bei Ansprache des FQDN (gewünschte DynDNS-Adresse für den "Server") sollte eigentlich die IP vom Server ausgeworfen werden. Wo wir dann grade dabei sind - den Rebind-Schutz der Fritzbox solltest du dann auch ausschalten bzw. eben eine Ausnahme für den FQDN eintragen.

Rufe ich aus dem Netzwerk heraus die DynDNS-Seite auf, erhalte ich das FritzBox-Login.

Also das sieht für mich sehr schwer danach aus, als würde der DynDNS-Record auf die Fritzbox zeigen und nicht auf den Server.

 

[Barungar]

• Das Login-Fenster erscheint nur bei Aufruf der DynDNS-Seite innerhalb des Netzwerks. Ein Test außerhalb des Netzwerks ergab auch ein paar Minuten VOR Zurücksetzen zu den Werkseinstellungen der Box, dass das Login der Box von draußen unerreichbar ist. Damit bin ich eine Sorge los, aber eine andere bleibt nach wie vor:
• Rufe ich den Server von draußen auf, erscheint folgendes im Browser (Screenshot):

Das ist alles perfekt erklärbar und geht aus dem von mir verlinkten Thread auch eindeutig hervor.

Dein DynDNS zeigt auf die FritzBox und nicht auf Dein NAS.
Wenn Du Dich also in Deinem LAN befindest und die DynDNS-Adresse eingibst kommt natürlich das Login-Fenster ... weil die DynDNS auf die FritzBox zeigt und die Box nach innen ihre Web-Ports bereitstellt.
Wenn Du Dich außerhalb Deines LANs befindest kommt, natürlich ein Seitenladefehler, weil Deine FritzBox nach außen eben nicht ihre Web-Ports bereitstellt.

Wie der verlinkte Thread erklärt, gibt es bei IPv6 keine "perversen" Portweiterleitungen, sondern nur "gute" Portfreischaltungen.
Du musst also den DynDNS auf die IPv6 Deines Linux-Servern zeigen lassen und nicht auf Deine FritzBox; dann klappt es auch mit den von Dir eingerichteten Portfreigaben.

Alternative kannst Du es versuchen, in dem Du um Browser (von außen) einfach mal die IPv6 Deines Linux-Servers und nicht den (falschen) DNS-Namen eingibst. Dabei müsstest Du auf dem Gerät außerhalb Deines Netzes z.B. sowas eingeben https://[2001:db8:a6:843:1212:8bbe:130:369]/ (hier musst Du natürlich die korrekte IPv6 eingeben)!

 

[Gekko]

Moinsen,
mach das Ding erstmal platt und starte neu, wie ja schon mehrfach vorgeschlagen.

erledigt

Dann: schau nach ob du eine IPv6 Adresse für die Fritzbox bekommst. Schau auch nach, ob du ein /56er Präfix für GUA v6 bekommst. Dann schau nach, ob die Geräte / das Gerät sich eine eigene GUA v6 bauen (am client mit zb

ip a

). Wenn dem so ist, top. 1. Schritt fertig. Falls nicht: prüf die Einstellungen der Fritzbox, hier vor allem ob die Präfix Delegation (PD) aktiv ist. Das schien aber bisher bei dir zu funktionieren...

Nun: schau, ob in der Fritzbox dein Gerät angezeigt wird. Jetzt die Portfreigabe für das Gerät einrichten.Dann ruhig mal testen via Browser (wieder: übers Mobilfunknetz, du willst ja "von außen" testen). Hierzu im Browser eingeben:
https://[Die:IPv6:Adresse:des:Servers...]:MIT-PORTANGABE
Das sollte dann schonmal funktionieren...sonst Fehler.

Etappensieg.
Nach Werkseinstellung-Rücksetzung an Fritzbox führt http://[Präfix+ipv6-Geräte-ID]:80 endlich zum Ziel.
Und das sowohl intern als auch extern!
Konfettiwerf
Das war definitiv vor der Zurücksetzung nicht so!
Muchos Gracias für Deine Beharrlichkeit!
(Übrigens war und ist die Präfix-Delegation nicht aktiv!)

Als nächstes benötigt bei v6 eben der client hinter der Fritzbox (hier dein server) eine Möglichkeit, einen dynDNS für SEINE IPv6 laufen zu haben, unter linux etwa mit ddclient. Diesen passend (und nach Vorgaben des dynDNS Anbieters > nachschauen, ist bei allen etwas anders) einrichten.
Danach schauen (bei deiner dynDNS Anbieterseite, dein Konto), ob hier alles im grünen Bereich ist, die Synchronisation also klappt. wenn ja, top. Wenn nein, neu, da Fehler.

Hast Du da eine Idee, wohin man sich dafür im Netz wenden könnte? Ich habe zwar ein Dutzend vage Ideen, wie man sowas realisieren kann, aber es steht und fällt ja alles mit der FritzBox - bekommt sie eine neue IPv6, muss ein Script ackern. Theoretisch könnte man bei der Box mit der Nomenklatur

EigeneServerAdresse/ip-uebergabe.php&token=ipv6prefix=<ip6lanprefix>&ipv6geraeteid=<ip6addr>

im Reiter DYNDNS eine Übergabe der Parameter an den Server selber bauen, aber uffff....

• Das heisst ja, dass der Server dauerhaft lauschen (PHP und Webserver nur dafür!) und bei Zusendung eine automatisiertes Update der Daten an einen DynDNS-Anbieter senden muss.

Kennst Du da eine Anlaufstelle für sowas? Ich könnte das zwar, aber das würde ewig dauern, bis ich das fachgerecht zum Laufen krieg, bin eigentlich kein Programmierer...ist aber sicher nicht schwer mit PHP. Vielleicht denk ich da aber auch zu kompliziert.

Edit:
Außerdem habe ich immer noch extrem Bammel vor einer spontanen Neuvergabe der IPv6-Subnetzadresse der Geräte. Würde die sich nicht auch hin und wieder ändern, wäre eigentlich alles kein Problem...so bleibt (zumindes bei mir) eine echte Unsicherheit.

Jetzt endlich mal versuchen (genau: wieder via Mobilfunknetz), ob du den Server von außen auch unter seiner eben eingerichteten dynDNS erreichen kannst.

Intern: du kannst im eigenen Heimnetz dann entweder nur v6 nutzen (da bieten sich dann ggf ULA v6 Adressen an, die die Fritzbox ebenfalls ermöglich, da ist AVM eben nicht so in der Steinzeit, wie du behauptest). Oder nutzt eben intern ganz langweilig weiterhin IPv4. Oder beides.

Konstruktiver Vorschlag für AVM: Was das Leben mit IPv6 definitiv erheblich erleichtern würde, wäre, dass der DYNDNS-Reiter unter Freigaben nicht nur für die Box selbst existiert, sondern für jedes einzelne Gerät, das freigegeben werden soll.

Erstmal vielen, vielen Dank soweit an alle! Warum auch immer das vorher nicht geklappt hat, es klappt jetzt und das ist nur euch zu verdanken!

 

[the other]

Moinsen,

Also das sieht für mich sehr schwer danach aus, als würde der DynDNS-Record auf die Fritzbox zeigen und nicht auf den Server.

und

Dein DynDNS zeigt auf die FritzBox und nicht auf Dein NAS.

...
Genau. Eben das versuche ich ja auch schon seit Post #2 zu verklickern...

Hört sich auf den ersten Blick (äh, also...) fast an, als wenn du per IPv6 unterwegs bist und die DynDNS für den Server auf der Fritzbox eingerichtet hast...

da steht dann nämlich, was ich hier auch schon einige Male schrieb...der DynDNS Eintrag muss am zu erreichenden Gerät eingerichtet sein.
In dem Link steht u.a.:
"In Bezug auf das DynDNS muss man entweder den kompletten DynDNS-Anteil von der FritzBox weg auf das "Server"-System verlagern, oder aber zumindest wenigstens den IPv6-Teil. Im Fall von IPv6 macht die FritzBox nämlich keine Portweiterleitung, wie bei IPv4, sondern eine Portfreischaltung. Das heißt, die FritzBox lässt im Fall von IPv6 den konfigurierten Port für die öffentliche IPv6 des "Servers" zu und nicht, wie noch bei IPv4, für ihre eigene, öffentliche IPv4."

Das ist eben auch der oft gesehene Fehler: eine Vermischung von v4 mit v6 Konzepten.

und wo zeigt (unter v6) der dynDNS Eintrag hin? Auf die IP der Fritzbox? Oder auf die des zu erreichenden Servers?
Unter v6 sind die dynDNS Einträge je auf den Endgeräten einzurichten. Das ist EINER der Unterschiede zu v4.

usw.

Aber es ist auch wirklich heiß heute...
Und vermutlich war die Login Maske auch von Anfang an nicht extern erreichbar, sondern aus dem eigenen Netz...aber hoffentlich kommen wir der Lösung jetzt langsam näher.

 

[blurrrr]

Das heisst ja, dass der Server dauerhaft lauschen und bei Zusendung eine automatisiertes Update der Daten an einen DynDNS-Anbieter senden muss.

Nimm doch einfach das MyFritz-Ding, sofern ich da nicht völlig falsch liege, sollte da irgendwas in die Richtung auch funktionieren (zumindestens meine ich, dass da mal sowas war)... wäre dann halt irgendwas in Richtung "gerätename.myfritzadresse". Alternativ lässte einfach ddclient oder dergleichen auf dem Server laufen, geht halt auch. Mit einer eigenen Domain (Subdomain) welche dann als CNAME auf den DDNS-FQDN zeigt, kann es dann auch "hübsch" aussehen.

 

[the other]

Moinsen,
stimmt: mein Fehler! Die präfix delegation benötigst du nicht, hast ja keinen dahintersitzenden Router...

Schön, dass http jetzt klappt. Aber https sollte es schon sein, da dein Gerät von außen erreichbar sein soll. Das würde ich selber zwar nicht unbedingt machen, ist aber ne gänzlich andere Diskussion.

Hast Du da eine Idee, wohin man sich dafür im Netz wenden könnte?

Äh, am besten wohl an deinen DynDNS Anbieter...der erklärt in der Regel, wie die Update Syntax aussehen sollte (Achtung: meist unterschiedlich für v4 und v6!). In dessen Anleitung / FAQs sollte was zu finden sein.
Damit und den anderen Angaben dann den ddclient füttern, der direkt auf dem NAS/Server liegt. Oder eben wie von @blurrrr beschrieben anders.

• Das heisst ja, dass der Server dauerhaft lauschen und bei Zusendung eine automatisiertes Update der Daten an einen DynDNS-Anbieter senden muss.

Kennst Du da eine Anlaufstelle für sowas? Ich könnte das zwar, aber das würde ewig dauern, bis ich das fachgerecht zum Laufen krieg, bin eigentlich kein Programmierer.

Ja, ungefähr das heißt es. Und ich bin auch kein Programmierer. Nicht mal ITler.
Zum dauerhaften Lauschen...Muss es ja auch:
überleg doch mal selber...deine IPv6 (bzw das Präfix) ändert sich bei normalen Anschlüssen alle x Zeiteinheiten. Also wäre ggf. dein Server unter der heutigen IPv6 in 7 Tagen nicht erreichbar, da er ein neues Präfix bekommen hat von deinem Internetanbieter. Kannste nix gegen machen außer teurere Business Anschlüsse buchen mit FESTER IP...
Deswegen DynDNS, damit du auch in 1 Jahr den Server unter seiner DynDNS erreichen kannst.
Dazu muss nun aber der DynDNS Anbieter wissen, dass sich die IP geändert hat und wie die neue lautet. Deswegen eben die Angaben im DynDNS client. Das was du als script bezeichnest, vermute ich.
Erlaubst du das nicht oder der Abgleich funktioniert nicht, dann wird dein Gerät eben irgendwann NICHT mehr die neue IP dem DynDNS Anbieter mitteilen, dann kommst du auch nicht mehr durch Eingabe der Adresse an den Server.
Mal sehr knapp dargestellt...
Soweit Logo?

 

[Gekko]

Nimm doch einfach das MyFritz-Ding, sofern ich da nicht völlig falsch liege, sollte da irgendwas in die Richtung auch funktionieren (zumindestens meine ich, dass da mal sowas war)... wäre dann halt irgendwas in Richtung "gerätename.myfritzadresse". Alternativ lässte einfach ddclient oder dergleichen auf dem Server laufen, geht halt auch. Mit einer eigenen Domain (Subdomain) welche dann als CNAME auf den DDNS-FQDN zeigt, kann es dann auch "hübsch" aussehen.

Das ist es ja, was ich mit dem CODE-Teil meiner Antwort grade meinte. Dort kann man das URL-Feld mit einem eigenen Server ausfüllen, die Parameter

(Präfix / Geräte-ID <--- Logik
<ip6lanprefix> / <ip6addr> <--- FritzBox-interne Variablen, die genau diese Info enthalten. <ip6addr> ist die IPv6-Geräte-ID der Fritzbox selbst, mit Sicherheit existieren auch andere Geräte in eigenen Variablen, ihre IDs tauchen ja auch unter den Heimnetz-Angaben auf)

werden von der Box intern genauso genannt und verarbeitet und könnten genau so als Token im URL-Feld an den eigenen Server übergeben werden:

 

[blurrrr]

Also wenn es Dir nur um diese eine Kiste geht, würde ich da vermutlich einfach direkt einen DynDNS-Client drauf laufen lassen.