Confluencer
Active member
Nachdem ich sicherlich nicht der Einzige bin, den das Thema IPv6 Portfreigabe beschäftigt, wollte ich hier mal das gesammelte Wissen niederschreiben.
Die theoretischen Grundlagen habe ich vor langer Ewigkeit mal mit @blurrrr durchdiskutiert und dann vor einigen Monaten problemlos umgesetzt.
Jeder von uns kennt Portfreigaben mit IPv4, dass Buchstäblich ein Portforwarding umsetz. Man kann einen WAN-Port auf eine beliebige interne IP und Ziel-Port mappen.
Bei IPv6 ist die Portfreigabe kein Portforwarding mehr, sondern eine Freischaltung der Firewall für ein Zielgerät und den Ziel-Port am Zielgerät - andere Ports sind aus dem Internet nach wie vor nicht erreichbar.
Welche Konsequenzen hat das?
- die Möglichkeit einen WAN-Port auf einen anderen Port beim Zielgerät zu mappen fällt weg.
- das Zielgerät wird direkt aus dem Internet angesprochen - wobei hierbei nur auf die Ports zugegriffen werden kann, die in der "Portfreigabe" freigeschaltet wurden.
- die IPv6 Adresse der Fritzbox spielt für den Zugriff auf das Zielgerät keine Rolle.
- der Dyndns-Client zur Aktualisierung der IPv6-Adresse muss auf dem Zielgerät laufen (siehe Punkt drüber)
- wenn man einen Dual-Stack hat, dann muss der A-Record für die IPv4 Adresse im DNS nach wie vor auf die Fritzbox WAN-IP auflösen, der AAAA-Record für die IPv6 aber auf die Adresse des Zielgeräts.
So nutze ich die Portfreigaben mit IPv6 und IPv4:
Ich habe bei mir für die IPv6 Adresse meiner OPNsense eine Portfreigabe für die Ports 80 und 443 eingetragen. Als Dyndns-Client verwende ich "Cloudflare (v6) und lasse den AAAA-Record bei Änderung der WAN-IP (sprich die ivp6 die über die Fritzbox freigegeben wurde) aktualisieren. Auf Port 80 und 443 habe ich HA-Proxy laufen, das als Reverse-Proxy die Verbindungen basierend auf Domainnamen/SNI an die Dienste im Backend weiterleitet.
Der IPv4 Record wird von der Fritzbox mit seiner WAN-IP aktualisiert. Die Portfreigabe bei IPv4 leitet ebenfalls auf die OPNsense und Port 80 und 443 weiter.
Bei DS-Lite könnt ihr den vorherigen Satz natürlich ignorieren, da die IPv4 Portfreigaben dann bei euch effektiv wirkungslos sind.
Die theoretischen Grundlagen habe ich vor langer Ewigkeit mal mit @blurrrr durchdiskutiert und dann vor einigen Monaten problemlos umgesetzt.
Jeder von uns kennt Portfreigaben mit IPv4, dass Buchstäblich ein Portforwarding umsetz. Man kann einen WAN-Port auf eine beliebige interne IP und Ziel-Port mappen.
Bei IPv6 ist die Portfreigabe kein Portforwarding mehr, sondern eine Freischaltung der Firewall für ein Zielgerät und den Ziel-Port am Zielgerät - andere Ports sind aus dem Internet nach wie vor nicht erreichbar.
Welche Konsequenzen hat das?
- die Möglichkeit einen WAN-Port auf einen anderen Port beim Zielgerät zu mappen fällt weg.
- das Zielgerät wird direkt aus dem Internet angesprochen - wobei hierbei nur auf die Ports zugegriffen werden kann, die in der "Portfreigabe" freigeschaltet wurden.
- die IPv6 Adresse der Fritzbox spielt für den Zugriff auf das Zielgerät keine Rolle.
- der Dyndns-Client zur Aktualisierung der IPv6-Adresse muss auf dem Zielgerät laufen (siehe Punkt drüber)
- wenn man einen Dual-Stack hat, dann muss der A-Record für die IPv4 Adresse im DNS nach wie vor auf die Fritzbox WAN-IP auflösen, der AAAA-Record für die IPv6 aber auf die Adresse des Zielgeräts.
So nutze ich die Portfreigaben mit IPv6 und IPv4:
Ich habe bei mir für die IPv6 Adresse meiner OPNsense eine Portfreigabe für die Ports 80 und 443 eingetragen. Als Dyndns-Client verwende ich "Cloudflare (v6) und lasse den AAAA-Record bei Änderung der WAN-IP (sprich die ivp6 die über die Fritzbox freigegeben wurde) aktualisieren. Auf Port 80 und 443 habe ich HA-Proxy laufen, das als Reverse-Proxy die Verbindungen basierend auf Domainnamen/SNI an die Dienste im Backend weiterleitet.
Der IPv4 Record wird von der Fritzbox mit seiner WAN-IP aktualisiert. Die Portfreigabe bei IPv4 leitet ebenfalls auf die OPNsense und Port 80 und 443 weiter.
Bei DS-Lite könnt ihr den vorherigen Satz natürlich ignorieren, da die IPv4 Portfreigaben dann bei euch effektiv wirkungslos sind.
Zuletzt bearbeitet: