Umstellung von IPV4 auf IPV6

[abgespacet]

Habe jetzt nochmal meine Fritzbox, meinen Linux Laptop und meine NAS verglichen:

Fritzbox --> IPv6-Adresse: 2a00:1f:dc00:b900::1/64 IPv6-Präfix: 2a00:1f:dc00:b900::/56
Linux Laptop --> inet6 2a00:1f:dc00:b901:bdac:13ec:6a94:7492
NAS --> inet6 addr: 2a00:1f:dc00:b901:9209:d0ff:fe25:91ab/64

Wie kann das sein?

Die haben doch unterschiedliche Prefixe.

 

[the other]

Moinsen,
das kann sehr wohl sein...
Du bekommst ein /56er Subnetz vom ISP, hieraus kannst du jede Menge /64er Netze machen. Dabei erhält die Fritzbox zunächst das /56er mit der dc00, spaltet dann ein Subnetz ab für LAN mit zB dc00 und eines für Gast LAN mit dc01. Es wird ein Subnetzmarker gesetzt, der ein Subnetz angibt. Könnte die Fritzbox mehr, würde es auch dc002 usw geben, du kannst aber eben via fritzbox auch delegieren.
Das zeigt dir die Fritzbox aber auch an, was da für ein Präfix in deren Netzen genutzt wird unter Heimnetz > Netzwerk> Netzwerkeinstellungen > weitere Einstellungen > IPv6 da dann die Auflistung

 

[abgespacet]

Bei mir gibt es laut Fritzbox nur ein Prefix:

 

[abgespacet]

Ich denke Du hast andere Einstellungen als ich in der Fritzbox. Welche Option ist bei Dir oben aktiv? Weist Du DNS-Server und IPv6-Präfix zu.

 

[the other]

Moinsen,
ja, aber ich habe hinter der Fritzbox auch einen anderen Router, der mit dem delegierten /57er Netz arbeitet und das eigentliche LAN verwaltet.
Wenn du also kein Gast Netz aktiv hast, dann auch da keine Angabe.
Da du kein delegiertes Subnetz hast, auch da kein Eintrag.
Du solltest aber die Einstellungen auch so vornehmen, wie du es haben willst. Und wenn ich dich richtig verstanden habe, willst du ja das Präfix nicht delegieren, sondern den Geräten im Fritzbox LAN eine IPv6 verpassen, oder?
Nun kannst du es so belassen, dann macht die Fritzbox vermutlich automatisch ein /64 mit 01 auf (denn 00 ist ja durch WAN schon vergeben). Die Geräte bauen sich dann ihren Host Anteil der Adresse selber aus der MAC, oder du vergibst die Adressen per DHCP (der unterste Radiobutton).
Hast du nach den Einstellungen und Aktivierungen mal einen Neustart der Box gemacht?

 

[abgespacet]

Dann scheint an der Fritzbox soweit alles ok zu sein. Meine Dynv6 Einstellung dürfte dann ja auch nur den AAAA Record für meine Fritzbox enthalten zu müssen?!

Auf meinem Synology NAS habe ich QuickConnect nochmal deaktiviert und nur DDNS aktiviert mit den folgenden Einstellungen:




Leider sieht ein nslookup nicht so gut aus:

markus@feld-touch:~$ nslookup -query=AAAA die4elemente.myds.me
Server:        192.168.178.1
Address:    192.168.178.1#53

Non-authoritative answer:
*** Can't find die4elemente.myds.me: No answer

markus@feld-touch:~$ nslookup die4elemente.myds.me
Server:        192.168.178.1
Address:    192.168.178.1#53

Non-authoritative answer:
Name:    die4elemente.myds.me
Address: 92.72.46.246

D.h. das er mit IPV6 Probleme hat. Eventuell ist dies eine Problem bei Synology?

 

[Fusion]

Die Lösung war Ausnahme für den DNS Rebind Schutz der Fritzbox?

 

[abgespacet]

Leider ist das Thema umfangreicher. Habe im Synology Forum von einem erfahrenen Moderator Hilfestellung bekommen. Meine Dual-Stack Lite Verbindung lässt grundsätzlich keine direkten IPv4 Verbindungen zu einem Server hinter der Fritzbox zu. Also ist IPv6 ein Muss.

Das Problem sind die unterschiedlichen Dienste die sich den Port http/https (80/433) am Anfang einer Kommunikation teilen. Dafür habe ich mir jetzt einen Reverse-Proxy auf dem NAS eingerichtet. D.h. dieser Server leitet abhängig von dem angeforderten Domänen-Namen die Anfragen zu den richtigen Diesnten weiter sprich eine Port-Weiterleitung.

Z.b.:
file.meinHeimNetz.de(Port 443) ---> file.localhost(Port 10000)
note.meinHeimNetz.de(Port 443) --> note.localhost(Port 4500)

Das mit dem DNS Rebind Schutz muss ich mir hier auch nochmal anschauen.

 

[Fusion]

Wenn die Dienste alle auf einer Maschine laufen hat diese auch dieselbe IPv6. Eine benutzerdefinierte Domain bei den Anwendungen würde dann reichen, dass alle auf 443 auf Anfrage für sich lauschen.
Die weitere Portumleitung ist nur nötig, wenn man den Dienst lokal unbedingt nicht direkt auf 443 lauschen lassen will.

 

[abgespacet]

Ah ok, dann könnte ich mir die Portumleitung für die Web-Dienste sparen. Wie sieht es bei der Firewall auf der Fritzbox aus? Dort habe ich ja auch spezielle Ports für die Web-Dienste freigeschaltet?

Als Beispiel habe ich für den Web-Dienst "file"
auf der Synology NAS jeweils einen speziellen Port definiert für HTTP und HTTPS, sowie ich diesen auch in der Synology-/Fritzbox-Firewall freigeschaltet habe. Aber Du meinst es ist überflüssig?

 

[the other]

Moinsen,
Wenn das via reverse proxy geht (und funktioniert), dann kannst du dir die einzelnen Portfreigaben sparen, wie @Fusion ja bereits meinte.
Es reicht dann eine auf den Reverse proxy.
Oder analog vpn...kannst alle Portweiterleitungen (eher Portfreigaben) sparen, wenn VPN auf der Fritzbox, oder eben nur eine für den dahinter liegenden VPNServer.
Das gilt für die "firewall" der fritzbox ebenso wie für die Synology eigene.
Davon ab, ich würde da dann vermutlich immer auf https gehen, besonders ohne VPN oder Proxy, http nach außen ist so semi schlau, weil gänzlich unverschlüsselt.

 

[abgespacet]

Für SSH benötige ich es dann aber? Also die Port-Umleitungen.

Wie sieht es mit CalDAV aus?

Ich wollte meine Kalenderdaten und Kontaktdaten ebenfalls auf meinem NAS zentralisieren. Natürlich mit funktionierendem Backup.

 

[blurrrr]

Ich wollte meine Kalenderdaten und Kontaktdaten ebenfalls auf meinem NAS zentralisieren.

Kannste auch machen, hat Synology ja entsprechende Apps für:

https://www.heimnetz.de/anleitungen...logy-kalender-app-calendar-caldav-einrichten/
+
https://www.heimnetz.de/anleitungen...sbuch-server-als-ersatz-fuer-google-kontakte/

Kannst Du dann auch im Synology-Reverse-Proxy einrichten und darüber ansprechen.

 

[abgespacet]

Die Namensauflösung scheint zu klappen, aber irgendwie komme ich von ausserhalb meines Netzwerkes nicht in meinen NAS rein.

Also den DNS-Rebind-Schutz muss ich wohl noch anpassen, d.h. jeden Web-Dienst mit voller FQDN dort eintragen?

 

[abgespacet]

Den Ping habe ich hinbekommen mit einer weiteren Firewall-Regel für ICMP Protokolle.

 

[Fusion]

DNS Rebind Schutz hat nur mit der internen Erreichbarkeit zu tun.
Das Feld schluckt auch Wildcard Einträge ala *.domain.tld

Bei extern tippe ich eher auf externe Namensauflösung oder Firewall/Freigaben.

 

[abgespacet]

Habe es jetzt hinbekommen. Bei DS Lite muss grundsätzlich auf QuickConnect für die Synology Web-Dienste und parallel dazu auf DDNS+IPV6+Portweiterleitung auf dem Router für z.b. Dienste wie SSH gebaut werden.

 

[blurrrr]

parallel dazu

Das gilt nur für bestimmte Dienste, welche über Quickconnect nicht abgedeckt werden. Mehr Infos zu Quickconnect gibt es z.B. im Synology QuickConnect White Paper. Dienste wie SSH "kann" man nach aussen freigeben, aber wozu die Angriffsfläche unnötig erhöhen? Wenn man da nur selbst dran muss, kann man das auch via VPN machen - man muss ja auch nicht "ständig" an Dienste wie SSH. Bei Webdiensten, welche auch für externe Personen zugänglich sein sollen, wäre es natürlich schon netter, wenn die Apps dann auch direkt von extern erreichbar wären.

 

[abgespacet]

Bin mir nicht sicher, wie einfach es ist eine vertrauenswürdige VPN APP + VPN Server aufzubauen, die mit QuickConnect oder DDNS+IPV6+Portweiterleitung arbeitet.

Würde mich aber in der Zukunft interessieren. Zudem wird VPN auf Android-Handy's mittlerweile gerne für andere Sachen genutzt z.b. Firewall. Und zu Hause nutze ich standardmäßig auch schon VPN.

Und VPN über VPN geht glaube ich nicht.

Aber wie dem auch sei, die meisten VPN's arbeiten noch mit IPV4.

 

[blurrrr]

Bin mir nicht sicher, wie einfach es ist eine vertrauenswürdige VPN APP + VPN Server aufzubauen, die mit QuickConnect oder DDNS+IPV6+Portweiterleitung arbeitet.

Garnicht, weil VPN nicht über Quickconnect funktioniert.

Zudem wird VPN auf Android-Handy's mittlerweile gerne für andere Sachen genutzt z.b. Firewall.

Sorry, aber keine Ahnung was Du damit meinst

Und VPN über VPN geht glaube ich nicht.

Geht eine Menge mehr als Du meinst, aber ist halt auch nicht ganz trivial und kommt auch auf die Endpunkte an

Aber wie dem auch sei, die meisten VPN's arbeiten noch mit IPV4.

"Jain"... ausser Du sprichst ggf. von VPN-Cloudanbietern zwecks Anonymisierung, etc. dann liegt das aber an den Anbietern. IPv6 ist bei den meisten schon längst angekommen, nur manche hinken da noch ein bisschen hinterher, AVM anscheinend auch. Das wird sich im Laufe der Zeit aber mit Sicherheit auch noch ändern und davon ab, fährt man ja eh meist Dualstack-Konstrukte und kein IPv6-only im Heimnetzwerk, finde ich von daher auch nur halb so wild