Bereiche
News
Rewind
Tipps & Berichte
Forum
Galerie
Journals
Events
Umfragen
Themenwoche
Kleinanzeigen
Interaktiv
Anmelden
Registrierung
Zu allen empfangenen Nachrichten
Suche...
Zur erweiterten Suche
Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum
>
Netzwerke
>
Nach Umstellung auf Glasfaser Problem mit der IP-Adresse
Nach Umstellung auf Glasfaser Problem mit der IP-Adresse
Chuby
17.03.21
19:52
Folgendes Problem: Vor ca. 2 Wochen wurde unser Mehrfamilienhaus von VDSL auf Glasfaser umgestellt. Umgestellt bedeutet, dass der Glasfaseranschluss ins Haus gelegt wurde. Für jeden Nutzer gibt es dort ein "Modem". Ab diesem Modem geht es dann hausintern mit Kupfer bzw. CAT7 Netzwerkabeln weiter. In meinem Fall bis zu meiner Fritz!box 7590. Soweit, so gut...
Seit dieser Umstellung funktioniert meine DynDNS (Oracle) nicht mehr. Ich habe dann mal auf verschiedenen Internetseiten gleichzeitig meine aktuelle IP abgefragt bzw. auch meinen DynDNS angepingt. Alle 3 IP-Abfragen sowie das anpingen meiner DynDNS zeigen mir jeweils eine andere IP !!?? Allen angezeigten IP´s sind bis auf die letzten Ziffern identisch. Die Fritz!box wiederum zeigt eine völlig andere IP an. Bei meinem Provider läuft zwar ein Supportticket zu diesem Problem, eine Lösung aber gibt es bislang nicht.
Ich hoffe nun das hier ein Netzwerkspezialist ist, der mir dieses Problem erklären kann und vielleicht sogar eine Lösung dafür parat hat.
(Neustart Fritz!box, neu verbinden etc. habe ich natürlich schon ohne Erfolg probiert)
Danke und Gruß Chuby
Hilfreich?
0
Kommentare
M@rtin
17.03.21
20:02
Du hast sehr wahrscheinlich keine öffentliche IPv4 (Muster xxx.xxx.xxx.xxx), sondern nur eine IPv6 (Muster xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx). Die IPv4, die du siehst, ist eine nur im Netz der Providers lokale Adresse. Du sitzt also quasi hinter einen Router (Gateway) des Providers über einen IPv6 Tunnel zum Gateway, der dir die IPv4 Adresse mit hunderten anderer Kunden teilt, weil es keine IPv4-Adressen mehr gibt. Das ganze nennt sich DS Lite oder Dual Stack Lite.
Um von Außen zugreifen zu können, musst die IPv6 aufrufen, bzw. über den DynDNS-Dienst die IPv6-Adresse eintragen. Die Sache hat allerdings den Haken, dass man nicht (oder nur schwer) aus einem IPv4-Netz in ein IPv6-Netz zugreifen kann. Wer also z.B. aus dem O2-Mobilfunknetz (mit IPv4 only) auf eine IP6-Netz zugreifen will, geht das nicht. Nur T-Mobil hat das Netz schon auf IPv6 Dual Stack umgestellt, und Vodafone größtenteils.
Hilfreich?
+7
Konni
17.03.21
20:03
Ich vermute mal dein neuer ISP nutzt DSLite, d.h. das NAT was bisher dein alter Router bei VDSL machte, läuft nun beim ISP (die machen das weil die IPv4 Adressen mittlerweile praktisch aufgebraucht sind).
Du kannst in diesem Fall auch kein Forwarding mehr machen !!!, wenn du in dein lokales Netz willst, geht das nur noch über IPv6
Ne nach ISP kannst du evtl. für einen Aufpreis eine reale IPv4 buchen, alternativ solltest du dir einen Dyndns Dienst suchen der IPv6 kann.
Hilfreich?
+4
PythagorasTraining
17.03.21
20:08
Welchen Provider hast du?
Ich habe bei meinem Provider (Vodafone) nach höflichen Bitten eine IPv4 bekommen.
Übrigens stand in meiner FritzBox auch DS Lite. (Weiß nicht mehr an welcher Stelle)
„a² + b² = c² ist nicht der Satz des Pythagoras!“
Hilfreich?
+1
M@rtin
17.03.21
20:14
PythagorasTraining
Welchen Provider hast du?
Ich habe bei meinem Provider (Vodafone) nach höflichen Bitten eine IPv4 bekommen.
Übrigens stand in meiner FritzBox auch DS Lite. (Weiß nicht mehr an welcher Stelle)
Ich vermute ja mal, dass es sich um einen der vielen neuen Provider (wie z.B. Deutsche Glasfaser, Novanetz usw.) handelt. Die aber haben schlicht und ergreifend keine IPv4. Es gibt weltweit nur noch vereinzelt IPv4-Adressen zu kaufen, aber auch nur dann, wenn es Inhaber gibt, die diese Adressen zurückgeben.
Ich verstehe auch nicht, wieso man an der alten Technik festhält. IPv6 ist Standard seit mehr als 20 Jahren. Eigentlich sollte die Umstellung längst vollzogen sein.
Hilfreich?
+1
Chuby
17.03.21
20:20
M@rtin - Konni
Hier noch ein paar ergänzende Infos die eure Vermutungen vielleicht unterstützen könnten:
Der Provider gibt für die Fritz!box folgende Einstellung(en) vor:
Internet-Zugangsdaten-IPv6 Unterstützung => IPv6-Unterstützung=> aktiv, IPv6-Anbindung=> Native IPV4-Anbindung verwenden, Verbindungseinstellunge=> DHCPv6 Rapid Commit verwenden.
- Bei meinem ersten telefonischen Kontakt zu diesem Problem wollte man mir eine feste IP für 10.-€/Monat verkaufen.
- Auf mein erstes Supportticket hin erhielt ich folgende Antwort: "...wir haben die IP-Adresse entsperren lassen und nun sollte ihr DynDNS Service wieder Funktionieren."
Nach dieser "Entsperrung" funktionierte die DynDNS immer noch nicht und die Abfrage meiner IP-Adresse zeigte wieder 4 unterschiedliche IP´s mit einer völlig anderen IP in der Fritz!box.
Bestätigen diese Info´s eure Vermutung ?
Danke und Gruß Chuby
Hilfreich?
+1
Chuby
17.03.21
20:26
Wir sind seit mehr als 6 Jahren bei der Muenet - www.muenet-glasfaser.de.
2015 haben die bei uns im Ort mit VDSL angefangen und seit diesem Zeitpunkt verwende ich ohne Problem meine DynDNS. Wir sind mit der Muenet eigentlich sehr zufrieden. 6 Jahre lang keine Probleme.
Jetzt nach der Umstellung auf Glasfaser eigentlich zum ersten mal ein technisches Problem => eben meine IP-Adresse.
DAnke und Gruß Chuby
Hilfreich?
0
M@rtin
17.03.21
20:28
Ich hänge am Kabel mit gleichem "Problem". Da sieht das in der Kabel-Fritte so aus:
Hilfreich?
0
Chuby
17.03.21
20:48
Sieht bei mir so aus....also kein DS-Lite
Kannst Du mir mit diesen Infos einen Tip geben wo das Problem liegen könnte?
Danke und Gruß Chuby
Hilfreich?
0
M@rtin
17.03.21
20:56
Was sagt denn das Glasfaser-Modem?
Hilfreich?
0
marm
17.03.21
20:57
Wie ermitteln Oracle den DynDNS? Sprich, wo ruft Oracle die IP ab?
Kannst du die IPv4 von einem Gerät außerhalb deines Netzes aufrufen?
Kannst Du die IP-Adresse von deiner DynDNS-Adresse abrufen, z.B. hiermit http://www.ping.comlex.de (zufällig aus Google rausgesuchter Service). Stimmt die so ermittelte IP mit deiner IPv4 oder IPv6 überein?
Hilfreich?
0
Chuby
17.03.21
20:58
Ich vermute Du meinst die kleine Box im Keller ? Darauf habe ich keinen Zugriff, könnte höchstens den Stecker der Stromversorgung ziehen; was ich allerdings noch nicht gemacht habe...
Hilfreich?
0
Chuby
17.03.21
21:06
marm
- www.ping.complex.de zeigt für meine DynDNS eine IP mit der Endnummer xxx.xxx.72.10
- mein eigner ping aus dem Terminal zeigt für meine DynDNS xxx.xxx.72.11
- Oracle zeigt wiederum die xxx.xxx.72.5
- meine Fritzbox zeigt eine völlig andere IP an yyy.yyy.yyy.yyy
Hilfreich?
0
Chuby
17.03.21
21:10
Wie Oracle die IP ermittelt weiß ich nicht. Wenn ich mich in meinen Oracle Account einlogge bekomme ich meine aktuelle IP (so wie Oracle sie "sieht") nur angezeigt und kann sie mit einem Klick meiner DynDNS zuordnen. Unter VDSL klappte dies ohne Problem jahrelang. Jetzt geht das nicht mehr.
Hilfreich?
0
marm
17.03.21
21:10
Ich denke, das Beste ist, du richtest die eine DynDNS mit IPv6 ein. Mit IPv4 funktioniert das bei dir offenbar nicht mehr. Die DynDNS zeigt jedenfalls nicht auf deine richtige IP.
Zum Beispiel mit diesem Service: https://dynv6.com/
Wenn du die Oracle-IP aufrufst, landest du dann zufällig bei deinem Provider?Geb hier mal die IP ein: https://ip-info.org/de/
Hilfreich?
0
Chuby
17.03.21
21:32
marm...
Ja, die Oracle IP und die anderen IPv4 Adressen zeigen alle auf ip-info.org meinen Provider Muenet an.
Und was bedeutet das ? Kann ich überhaupt noch mit einer Lösung seitens meines Providers rechnen ? (..oder darf ich jetzt ggf. 10.-€/Monat für eine feste IPv4 bezahlen?)
Bei Dynv6 habe ich bereits einen Account und auch eine IPv6 DynDNS Adresse. Allerdings habe ich diese bislang nie benutzt, da ich mich an eine komplette Umstellung nicht rangetraut habe.
Ich habe jetzt gerade mal schnell nachgeschaut und die IPv6 anzeigen lassen. Dynv6 und die "https://www.wieistmeineip.de/ipv6-test" zeigen eine identische IPv6 Adresse an. Diese ist jedoch nicht identisch mit den IPv6-Adressen die meine Fritz!box anzeigt...
Hilfreich?
0
marm
17.03.21
21:36
Ok, wenn die IP nicht oft wechselt und du es nur für dich brauchst, dann kaufe dir irgendwo eine Domain und lasse diese Domain auf deine IPv6-Adresse zeigen, die Du manuell einträgst. Ist vielleicht das einfachste. Wenn Du per Festnetz zugreifst wird es funktionieren, aber (angeblich) nicht in allen Mobilnetzen.
Alternative ist 10 Euro zahlen oder es hier probieren: https://www.feste-ip.net (Portmapper) oder Dynv6 ans Laufen bekommen.
PS Der Provider wird dir nicht helfen.
Hilfreich?
+1
Chuby
17.03.21
21:49
marm
Vielen Dank für Deine schnelle Hilfe und den guten Rat. Ich werde mich jetzt mal mit Dynv6 beschäftigen.
Danke auch an M@rtin, Konni und PythagorsTraining !
Grß und schönen Abend noch, Chuby
Hilfreich?
+2
M@rtin
17.03.21
22:15
Nur noch ein Hinweis, wenn es sich um DS-Lite handelt: die IPv4-Adresse, die du siehst du, ist die öffentliche Adresse, die du mit vielen anderen Nutzern des Providers teilst. Hinter dem Gateway hast du nur eine IPv6-Adresse. Du kommst also per IPv4 nicht auf deinen Router, weil Port Forwarding auf dem Provider-Gateway nicht möglich ist. Was ich sagen will: was die Fritte zeigt, sind nicht zwingend die IP-Adressen, mit denen du online bist.
Aber, im Vertrag müsste der Provider darauf Hinweisen. So ist das bei Unitymedia/Vodafone schon geraumer Zeit. Da sehe ich das im Kundencenter.
Hilfreich?
+2
Peter Eckel
18.03.21
12:39
Wir hatten es ja in einem anderen Thread hier
schon davon: Dual Stack lite ist eine ganz ranzige Misttechnologie, mit der die Provider sich über den Umstand hinweghelfen, daß IPv4 eigentlich tot ist.
Das Problem ist nicht nur, daß man mit diesem Workaround nicht mehr von außen über IPv4 erreichbar ist. Beispielsweise IPsec-VPNs lassen sich darüber auch nicht aufbauen, und das kann gerade wenn man im Home Office sitzt (macht ja doch inzwischen der eine oder andere) wirklich eine Katastrophe sein.
Da es immer noch Provider gibt (hallo Vodafone!), die von IPv6 offenbar noch nichts gehört haben, und Firmen (hallo HP, Microsoft, Apple ...!) die gar nicht über IPv6 erreichbar sind, bleibt einem zudem auch gar nichts anderes übrig, als den schon zunehmend nach Leichnam müffelnden IPv4-Mist weiter mitzuschleppen.
Die neueste Stufe - das betrifft dann wohl schon die ersten - ist jetzt, daß sich die Provider "richtigen" IPv4-Support auch noch bezahlen lassen. Im Extremfall sind das dann die gleichen Provider (Unitymedia/Vodafone), die bei der Heimanbindung für globale (nicht DS-Lite) IPv4-Adressen kassieren und im Mobilfunk andererseits kein IPv6 anbieten ... wer also vom Vodafone-Mobilnetz aus seinen Unitymedia-Anschluß daheim erreichen will, hat gar keine andere Wahl als zu bezahlen.
Bei der Telekom ist es dann umgekehrt: Die haben seit etlichen Jahren IPv6 im Mobilnetz (was übrigens vollkommen schmerzfrei und ohne großes Trara eingeführt wurde), dafür aber seit LTE nur noch DS-Lite. Juckt mich nicht so, ich habe das meiste eh schon lange auf IPv6 migriert, aber für viele ist das eben auch wieder blöd.
Diese Art von Problemen werden wir erst los, wenn IPv4 endlich abgeschaltet wird. Also vermutlich nie, leider.
„Ceterum censeo librum facierum esse delendum.“
Hilfreich?
+2
sahnehering
18.03.21
13:12
Die IPv4 Adresse auf deinem Screenshot beginnt mit 100.64. Dieser ist zu mehrfachen Nutzung freigegeben, also ähnlich 192.168. Siehe https://de.wikipedia.org/wiki/Private_IP-Adresse
D.h. das kann keine öffentliche Adresse sein, da sie nicht eindeutig ist.
„Kein Backup, kein Mitleid“
Hilfreich?
+1
Weia
18.03.21
18:27
Chuby
- Bei meinem ersten telefonischen Kontakt zu diesem Problem wollte man mir eine feste IP für 10.-€/Monat verkaufen.
Das ist ja auch die einzige solide Lösung und nicht so ein Provisorium wie DynDNS aus den Anfangstagen des Internet-Anschlusses zuhause.
Wenn Dir eine feste IP wichtig ist, sind dann die 10€/Monat echt zu viel? DynDNS war eine Quelle laufenden Ärgers bei mir, daher habe ich am ersten Tag, wo das ging, eine feste IP-Adresse gebucht; seitdem ist Ruhe. Mir sind meine Nerven das wert.
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
Hilfreich?
0
M@rtin
18.03.21
19:31
Peter Eckel
Das Dilemma mit DS-Lite trifft uns deshalb so hart, weil sowohl Provider und vor allem Firmen, die Nutzung von IPv6 seit mehr als 20 Jahren total verschlafen haben. DSL-Lite war und ist der letzte Schritt im Übergang von IPv4 (only) auf IPv6 (only). Im ersten Schritt, also so etwa vor 20 Jahren, sollte auf Dual Stack, also dem nebeneinander von IPv6 und IPv4 umgestellt werden. Der nächste Schritte, vielleicht so vor 10 Jahren, wäre Dual Stack Lite dann gewesen. Hier hat dann der Kunde schon IPv6 only, und nur die wenigen Server der ewig Gestrigen, die nur über IPv4 erreichbar erreichbar gewesen wären, wären über den IPv6-Tunnel auf das Provider-Gateway, wären dann erreicht worden.
Ich verstehe nicht, wieso man das so verschlafen konnte, weil man schon von Anbeginn des WWWs wusste, dass die IP-Adressen sehr, sehr endlich sind, wenn man max. 4 x 8 Bits auflöst. Vielleicht war es auch den Admins bequemer, mit nur 4 Bytes (Zahlen zwischen 0 und 255) zu jonglieren, als mit 8 x 16 Bits, weil die dargestellten Zahlen nun im Hexadezimal-System dargestellt werden müssen.
Wäre die Umstellungen schon soweit fortgeschritten, wären diese Diskussionen völlig überflüssig!
Hilfreich?
+1
sahnehering
18.03.21
21:00
„Kein Backup, kein Mitleid“
Hilfreich?
+2
Weia
18.03.21
21:10
sahnehering
🤣🤣🤣🤣🤣
„“I don’t care” is such an easy lie. (The Warning, “Satisfied”)“
Hilfreich?
0
breaker
18.03.21
21:15
M@rtin
Nur noch ein Hinweis, wenn es sich um DS-Lite handelt: die IPv4-Adresse, die du siehst du, ist die öffentliche Adresse, die du mit vielen anderen Nutzern des Providers teilst. Hinter dem Gateway hast du nur eine IPv6-Adresse. Du kommst also per IPv4 nicht auf deinen Router, weil Port Forwarding auf dem Provider-Gateway nicht möglich ist. Was ich sagen will: was die Fritte zeigt, sind nicht zwingend die IP-Adressen, mit denen du online bist.
Aber, im Vertrag müsste der Provider darauf Hinweisen. So ist das bei Unitymedia/Vodafone schon geraumer Zeit. Da sehe ich das im Kundencenter.
Du bist "Ex-Unitymedia" Kunde, oder? Vermute ich zumindest, wenn ich mir deinen Tarifnamen anschaue.
Bin auch bei Vodafone, allerdings "Ex-Kabel Deutschland" Kunde und habe dort den 1.000 MBit/s Tarif. Im Kundenbereich gibt es jedenfalls für Ex-KDG Kunden (der unterscheidet sich ja offenbar immer noch von dem für Ex-UM Kunden, da die Netze technisch ja wohl noch immer getrennt sind) die Option, das Vodafone Modem in den Bridge Modus zu schalten. Das geht damit einher, dass man eine IPv4 Adresse erhält… VPN etc alles kein Problem hier.
Hilfreich?
+2
Peter Eckel
18.03.21
22:04
Weia
Wenn Dir eine feste IP wichtig ist, sind dann die 10€/Monat echt zu viel? DynDNS war eine Quelle laufenden Ärgers bei mir, daher habe ich am ersten Tag, wo das ging, eine feste IP-Adresse gebucht; seitdem ist Ruhe. Mir sind meine Nerven das wert.
Ging mir ähnlich. Deswegen betreibe ich inzwischen meinen eigenen dynamischen DNS-Service für die diversen DSL-Anschlüsse im Freundes- und Familienkreis.
„Ceterum censeo librum facierum esse delendum.“
Hilfreich?
+1
sgmelin
19.03.21
07:39
Adressen aus dem 100.64er Bereich sind spezielle shared IP Bereiche reserviert. Dieser Bereich ist auch nicht routbar.
Hilfreich?
0
Chuby
21.03.21
16:25
Also...
Ich habe mir jetzt eine Dynv6 DDNS-Adresse besorgt. Damit konnte ich dann wieder von aussen auf mein NAS zugreifen. Kalendersynchronisation und Heizungssteuerung funktionieren wieder.
Leider musste ich dann feststellen, dass mein NAS-Zertifikat (Let´s Encrypt) nicht mehr aktualisiert werden konnte. Fehlermeldung: "Es konnte keine Verbindung zum LetsEncrypt Server hergestellt werden....."; obwohl die Ports 80 und 443 (wie immer) in der Fritz!Box und auf meinem NAS offen sind. Habe mir also ein SSL Zertifikat gekauft und auf dem NAS installiert. Soweit, so gut...
Das einzigen Problem die ich nicht lösen konnte sind Folgende:
1)Mein VPN (über Fritz!Box) funktioniert nur noch intern über WLAN. Von aussen kommt keine Verbindung mehr zustande.
2)Auf meinem MacBook benutze ich im WLAN zu Hause den VPN von NordVPN. Schalte ich also NordVPN ein kann ich zwar immer noch surfen, komme aber mit meiner Dynv6-Addresse nicht mehr auf mein NAS. Dies geht dann nur noch über die interne Netzwerk-IP meines NAS.
Beide Probleme hatte ich vor der Umstellung -von IPv4 auf IPv6- meines Providers nicht. Hat hierür jemad eine Erklärung bzw. eine Lösung ?
Danke und Gruß Chuby
Hilfreich?
0
Peter Eckel
21.03.21
16:44
Chuby
Leider musste ich dann feststellen, dass mein NAS-Zertifikat (Let´s Encrypt) nicht mehr aktualisiert werden konnte. Fehlermeldung: "Es konnte keine Verbindung zum LetsEncrypt Server hergestellt werden....."; obwohl die Ports 80 und 443 (wie immer) in der Fritz!Box und auf meinem NAS offen sind. Habe mir also ein SSL Zertifikat gekauft und auf dem NAS installiert. Soweit, so gut...
Klingt seltsam. Let's Encrypt unterstützt definitiv IPv6 (sonst würde es bei mir gar nicht funktionieren). Was für einen Client benutzt Du dafür?
Chuby
Das einzigen Problem die ich nicht lösen konnte sind Folgende:
1)Mein VPN (über Fritz!Box) funktioniert nur noch intern über WLAN. Von aussen kommt keine Verbindung mehr zustande.
Da wäre interessant herauszufinden, ob das FritzBox-VPN IPv6 unterstützt. Wenn ja, ist die nächste Frage die nach dem Client - was hast Du auf Client-Seite für eine Anbindung?
Chuby
2)Auf meinem MacBook benutze ich im WLAN zu Hause den VPN von NordVPN. Schalte ich also NordVPN ein kann ich zwar immer noch surfen, komme aber mit meiner Dynv6-Addresse nicht mehr auf mein NAS. Dies geht dann nur noch über die interne Netzwerk-IP meines NAS.
Gleiche Frage: Unterstützt NordVPN IPv6?
Was ist die Motivation dahinter, im internen WLAN ein VPN zu verwenden?
„Ceterum censeo librum facierum esse delendum.“
Hilfreich?
0
Chuby
21.03.21
18:35
Klingt seltsam. Let's Encrypt unterstützt definitiv IPv6 (sonst würde es bei mir gar nicht funktionieren). Was für einen Client benutzt Du dafür?
Ich habe ein Synology NAS (920+) und benutze innerhalb der DSM die Zertifikatsverwaltung. Dort konnte ich bislang immer mein Zertifikat erneuern bzw. natürlich auch ein neues Zertifikat anfordern. Beides geht im Moment nicht mehr obwohl die hierfür erforderlichen Ports offen (NAS) bzw. auch von der Fritz!box weitergeleitet werden.
Da wäre interessant herauszufinden, ob das FritzBox-VPN IPv6 unterstützt. Wenn ja, ist die nächste Frage die nach dem Client - was hast Du auf Client-Seite für eine Anbindung?
Client-Seite? Ich benutze von unterwegs mein iPhone 11 um in meinem Homenetzwerk arbeiten zu können. z.B. um auf einzelne Verzeichnisse meines NAS zugreifen zu können.
Gleiche Frage: Unterstützt NordVPN IPv6?
Was ist die Motivation dahinter, im internen WLAN ein VPN zu verwenden?
Ob NordVPN IPv6 unterstützt habe ich einfach unterstellt; werde aber jetzt mal recherchieren ob das stimmt.
NordVPN im internen WLAN? Da habe ich mich vielleicht falsch ausgedrückt. Den NordVPN benutzen wir immer nur wenn wir im Internet surfen.
Ergänzend zu meinen vorherigen Ausführungen muss ich mich jetzt leider korrigieren...
Mit meinem DDNS-Namen bei Dynv6.net (meineadresse.dynv6.net) funktioniert z.B. der Zugriff auf mein NAS nur im internen WLAN. Von aussen - habe es gerade noch einmal mit meinem iPhone getestet - komme ich mit meineadresse.dynv6.net nur auf meine Fritz!Box. Auf mein NAS mit "meineaddresse.dynv6.net +Portfreigabe" in der Fritz!Box komme ich nicht. Mit eingeschaltetem NordVPN ist es dasselbe Verhalten. Fritz!Box ja, NAS nein.
Hast Du dafür eine Erklärung oder einen Lösungsansatz?
Danke und GrußChuby
Hilfreich?
0
Peter Eckel
21.03.21
21:56
Chuby
Ich habe ein Synology NAS (920+) und benutze innerhalb der DSM die Zertifikatsverwaltung. Dort konnte ich bislang immer mein Zertifikat erneuern bzw. natürlich auch ein neues Zertifikat anfordern. Beides geht im Moment nicht mehr obwohl die hierfür erforderlichen Ports offen (NAS) bzw. auch von der Fritz!box weitergeleitet werden.
Da bin ich momentan überfragt, wie der Client auf der Synology aussieht. In der Praxis funktioniert Let's Encrypt so, daß der Client (also in dem Fall eine Software auf Deinem NAS) den privaten Schlüssel und einen CSR erstellt und diesen an den ACME-Server bei Let's Encrypt schickt. Der prüft dann die Identität Deines Servers, indem er auf eine bekannte URL bei Dir zugreift und dort eine spezielle Datei zu finden versucht, an deren Existenz er erkennt, daß Du wirklich auf dem Domainnamen erreichbar bist, für den Du das Zertifikat angefordert hast.
Das kann jetzt auf zwei Ebenen schiefgehen: Dein Server kann den ACME-Server nicht erreichen (worauf die Fehlermeldung hindeutet, was aber eigentlich nicht sein kann, wenn Du Zugriffe über Port 443 nach außen zuläßt), oder der Kontrollzugriff des ACME-Servers zurück auf Deinen Server funktioniert nicht. Letzteres ist häufiger.
Kannst Du mal schauen, ob Deine IPv6-Adresse richtig aufgelöst wird, wenn Du einen externen DNS-Server nach Deinem Domainnamen fragst ('dig mein.domain.name AAAA'), und ob "deine" 100.x.x.x-Adresse nicht aufgelöst wird (das darf sie nämlich nicht - 'dig mein.domain.name A')?
Und dann muß Deine URL, auf der die Datei für die ACME-Verifikation liegt, auch über IPv6 erreichbar sein (v4 geht ja aus den bekannten Gründen nicht).
Chuby
Client-Seite? Ich benutze von unterwegs mein iPhone 11 um in meinem Homenetzwerk arbeiten zu können. z.B. um auf einzelne Verzeichnisse meines NAS zugreifen zu können.
Welcher Provider? Mit Vodafone hast Du in Sachen IPv6 ja leider schlechte Karten, bei den diversen anderen Providern weiß ich es nicht. Telekom geht.
Chuby
NordVPN im internen WLAN? Da habe ich mich vielleicht falsch ausgedrückt. Den NordVPN benutzen wir immer nur wenn wir im Internet surfen.
Das ist der Sinn meiner Frage: Warum surfst Du aus Deinem Heimnetz über ein VPN? Traust Du dem VPN-Provider mehr als Deinem Internet-Provider?
Chuby
Mit meinem DDNS-Namen bei Dynv6.net (meineadresse.dynv6.net) funktioniert z.B. der Zugriff auf mein NAS nur im internen WLAN. Von aussen - habe es gerade noch einmal mit meinem iPhone getestet - komme ich mit meineadresse.dynv6.net nur auf meine Fritz!Box. Auf mein NAS mit "meineaddresse.dynv6.net +Portfreigabe" in der Fritz!Box komme ich nicht. Mit eingeschaltetem NordVPN ist es dasselbe Verhalten. Fritz!Box ja, NAS nein.
Hast Du dafür eine Erklärung oder einen Lösungsansatz?
Das würde darauf hindeuten, daß Du den Port für Dein NAS nicht für den Zugriff aus dem Internet freigeschaltet hast (was dann gleich auch das Nichtfunktionieren von Let's Encrypt erklärt).
Ich habe mir gerade mal angeschaut, wie die IPv6-Freigabe auf der Fritzbox aussieht, und ich glaube zu wissen, was da schiefläuft.
Bei der Freigabe über IPv4 arbeitest Du mit NAT und PAT, Du nutzt also die externe IPv4-Adresse Deiner Fritzbox nach außen und leitest bestimmte Ports auf der Fritzbox an nachgeordnete IPv4-Geräte weiter. Wenn Du also auf die IPv4-Adresse Deiner Fritzbox und Port 443 zugreifst, leitet diese den Zugriff direkt an Port 443 auf Deinem NAS weiter.
So funktioniert es bei IPv6 nicht, da die Fritzbox (zumindest die 7540, auf die ich gerade zugegriffen habe) kein NATv6 macht, was auch gut so ist. Stattdessen kannst Du Geräte hinter Deiner Fritzbox mit ihrer nativen IPv6-Adresse im Internet sichtbar machen.
Wenn z.B. Deine Fritzbox die IPv6-Adresse 2a00:1234:4567:9abc:0001:0002:0003:0004 bekommen hat, ist Dein Prefix "2a00:1234:4567:9abc". Die Geräte hinter der Fritzbox haben dann alle das gleiche Prefix, aber andere Knotenadressen (z.B. für das NAS "2a00:1234:4567:9abc:1111:2222:3333:4444"). Der Fritzbox kannst Du unter "Internet/Freigaben/Portfreigaben" sagen, daß sie dieses Gerät nun von außen sichtbar machen soll, damit steht dann Dein NAS mit seiner IPv6-Adresse im Internet (mit allen damit verbundenen Risiken, also Vorsicht!).
Jetzt bleibt noch das DynDNS-Problem: Du mußt natürlich noch dafür sorgen, daß die IPv6-Adresse Deines NAS
und nicht die Deines Routers
als AAAA für Deinen Domainnamen aufgelöst wird. Das erreichst Du dann am einfachsten dadurch, daß Du den DynDNS-Client nicht auf der Fritzbox, sondern auf dem NAS konfigurierst - sonst steht da die IPv6-Adresse Deiner Fritzbox und das NAS ist nicht erreichbar.
So, und nun stellt sich die Frage, ob Du das wirklich willst. Ich würde eher dazu raten, das VPN der Fritzbox zu nutzen (über IPv6) und dann darüber auf Dein NAS zuzugreifen.
„Ceterum censeo librum facierum esse delendum.“
Hilfreich?
0
Chuby
22.03.21
10:35
=> Peter Eckel
Zunächst einmal vielen vielen Dank für Die Mühe die Du Dir machst um mir zu helfen !!
Was Du Dir so aus dem Ärmel schüttelst muss ich erst einmal "verdauen"; zeigt mir aber auch, dass ich mich damit beschäftigen muss um das Alles zu verstehen was Du schreibst.
Temporär habe ich mir jetzt eine feste IPv4 besorgt (monatlich kündbar) damit erst einmal wieder alles funktioniert wie vor der Umstellung von IPv4 auf IPv6.
Eine Frage möchte ich aber noch stellen:
Meine FritzBox zeigt folgenden IPv6-Prefix an: xxxx.xxxx.xxxx.bc00 an. Frage ich meine aktuelle IP-Addresse im Internet ab wird mir aber xxxx.xxxx.xxxx.bc01 angezeigt. Warum dieser Unterschied ?
Danke noch einmal und Gruß Chuby
Hilfreich?
0
Peter Eckel
22.03.21
10:49
Chuby
Eine Frage möchte ich aber noch stellen:
Meine FritzBox zeigt folgenden IPv6-Prefix an: xxxx.xxxx.xxxx.bc00 an. Frage ich meine aktuelle IP-Addresse im Internet ab wird mir aber xxxx.xxxx.xxxx.bc01 angezeigt. Warum dieser Unterschied ?
Wie ich oben ja geschrieben habe: Mit IPv6 hast Du nicht eine einzelne Adresse im Internet, hinter der sich dann per NAT Dein ganzes Netz versteckt, sondern gleich (mindestens!) ein ganzes /64-Prefix. Das ist ein komplettes Subnetz mit ca. 18446744073709551616 Adressen (zum Vergleich: Das ganze IPv4-Internet hat 4294967296 Adressen).
Damit hat bei IPv6 jedes Gerät, das Du im Netz hast, eine bzw. mehrere (da sind auch noch ein paar interessante Mechanismen im Spiel, z.B. privacy extensions, SLAAC etc. - tut aber erst mal nichts zur Sache) Adressen, ist also im IPv6-Netz adressierbar.
Welche IP Dir nun von den gängigen IP-Checkern zurückgegben wird hängt davon ab, von wo aus Du fragst: Du bekommst nicht die IPv6-Adresse Deines Anschlusses (also in dem Fall Deiner Fritzbox) zurück wie bei IPv4 mit NAT, sondern die des Geräts hinter dem Router, von dem aus Du fragst.
Das ist dann ja auch genau der Grund, warum Du bei DynDNS mit v6 die Adresse Deines Routers bekommst - Du hast vermutich den DynDNS-Cient auf Deinem Router benutzt, und der hat dann eben
seine
IPv6-Adresse dort eingetragen. Das ist aber nicht die des NAS.
„Ceterum censeo librum facierum esse delendum.“
Hilfreich?
0
Cracymike
22.03.21
11:17
Ich will ja nicht stänkern oder so, aber du verwendest zum Surfen Nord VPN und gibst nach außen direkt dein NAS mit Port 80 und 443 frei. Von Paranoia getrieben und gleichzeitig die Einladung zum Daten klau spitze.
Wenn dann VPN zu Fritz und zugriff auf das NAS nur über VPN. Die Dinger haben im Internet nichts zu suchen auch wenn die Hersteller das so schön einfach unterstützen. Da macht das auch keinen Unterschied ob du ein SSL Zertifikat hast oder nicht,
Letztens erst wieder gelesen, versehentlich beim Port einstellen die Konfiguration über UPNP erlaubt da willst du den kleinen Finger freigeben und das NAS Frist die ganze Hand.
Gruß Mike
Hilfreich?
+1
MikeMuc
22.03.21
13:43
Die FRITZ!Boxen können kein VPN mit IPv6. Leider.
Dazu braucht es einen internen OpenVPN Server oder eine Alternative, die VPN mit v6 kann. Ggf. kann den NAS helfen. Ob es allerdings eine gute Idee ist, alle Dienst auf dem NAS laufen zu lassen, sollte man hinterfragen. Zum Einen hast du vom Thema Netzwerk anscheinend nich so viel Ahnung..., zum Anderen reicht ein Fehler bei der Konfiguration oder den Sytembestandteilen des NAS und dein Netzwerk ist offen wie ein Scheunentor! Dazu die Geschichte mit NordVPN dem du anscheinend mehr vertraust als deinem Provider. NordVPN kann ja alles, was bei denen den Tunnel verläßt, schön gebündelt anschauen
Kann also prinzipiell alles, was dein Provider auch könnte, wenn er wollte
Hilfreich?
+1
Chuby
22.03.21
16:21
=>Cracymike
Danke Dir für Deinen Hinweis. Betrachte ich überhaupt nicht als stänkern sondern als Hilfe für jemanden wie mich, mit einem bescheidenen Halbwissen. Deshalb bin ich ja eigentlich auch hier im Forum unterwegs.
Die Ports 80 und 443 hatte ich aber tatsächlich immer nur kurz, für die Erneuerung des Let´s Encrypt Zertifikates freigegeben; danach gleich wieder dichtgemacht.
Trotzdem, hatte eine Reihe von Ports für das NAS freigegeben (Kalender, Notes, File Explorer usw.) Habe Deinen Beitrag zum Anlass genommen um (bis auf den Port für unsere gemeinsamen Kalender) alle anderen auch dicht zu machen.
Danke also und Gruß Chuby
Hilfreich?
0
Chuby
22.03.21
16:42
=>MikeMuc
Vom Netzwerk habe ich tatsächlich nur wenig Ahnung wie Du richtig bemerkt hast...
Da ich jetzt erst einmal eine fest IPv4 Addresse habe, klappt auch der FritzVPN wieder. Den werde ich dann jetzt benutzen um von aussen auf mein NAS zuzugreifen wenn nötig.
Frage: Würde denn z.B. ein Wireguard-Server (in einer Debian-VM auf unserem NAS aufgesetzt) verhindern das unser Provider (wenn er denn wollte...) unsere Aktivitäten im Internet nachverfolgen könnte? Oder reicht da auch nur die Nutzung von FritzVPN ?
Danke und Gruß Chuby
Hilfreich?
0
Cracymike
22.03.21
17:12
Hallo Chubby,
deine Schilderungen weis auch darauf hin das du auf deinen NAS mit Aktivem VPN immer über die Server von Nord VPN zugegriffen hast. Alles etwas Unglücklich, wie ich ja auch schon geschrieben hab und MikeMuc auch sind solche Betreiber immer mit Vorsicht zu genießen. Wenn du jetzt den Tor Browser benutzen würdest hättest du wesentlich mehr Sicherheit so ist es halt so das nicht dein Provider, der in DE beheimatet ist und sich an die Lokalen Gesetze halten muss, einfach ein Anderer deinen Traffic mitliest und bedenke "Internet ist genauso geduldig wie Papier." Da kannst du auch alles drauf schreiben ob du dich daran hältst ist ein anderes Thema.
Der Ansatz über Fritz VPN ist schon mal was gutes aber ein Fritz VPN ist dafür nicht zuständig deinen Endpunkt zu Verschleiern wenn du hinter der Box sitzt. Allerdings kannst du natürlich wenn du mit deinem Rechner in einem Kaffee sitzt eine Verbindung zu deiner Fritz aufmachen dann wird der Traffic verschlüsselt über deine Fritz ins Netz geroutet und der Kaffee Betreiber kann auch nicht mitlesen. Das nutze ich zum Beispiel um GeoBlocks zu umgehen, so kann ich aus diversen Ländern auf mein Netflix u.s.w zugreifen.
Du kannst aber je nach Fritzbox, Funktion ist recht neu daher noch nicht auf allen verfügbar, auch über DNS over TLS verschlüsseln dabei werden nicht mehr die DNS Server der Povieder verwendet sondern DSN Server die verschlüsselt auflösen und die Antworten zurückgeben.
Hilfreich?
0
Peter Eckel
22.03.21
17:31
Chuby
Vom Netzwerk habe ich tatsächlich nur wenig Ahnung wie Du richtig bemerkt hast...
[...]
Frage: Würde denn z.B. ein Wireguard-Server (in einer Debian-VM auf unserem NAS aufgesetzt) verhindern das unser Provider (wenn er denn wollte...) unsere Aktivitäten im Internet nachverfolgen könnte? Oder reicht da auch nur die Nutzung von FritzVPN ?
Ganz ehrlich: Ein VPN verschleiert erst mal gar nichts, zumal wenn Du es nicht unter der eigenen Kontrolle hast. Das kannst Du genausogut sein lassen. Deswegen ja meine Frage, warum Du das machst. Das Fritzbox-VPN kann helfen, wenn Du unterwegs bist und der Netzanbindung Deines jeweiligen Aufenthaltsortes nicht traust - dann baust Du ein VPN nach Hause auf, von da aus bist Du aber wieder über Deinen Provider mit dessen Beobachtungsmöglichkeiten unterwegs.
Wenn Du wirklich verschleiern willst, dann nutze für Web-Anwendungen den Tor Browser und ansonsten einen Proxy-Server, der Deine Netzwerkzugriffe über das Tor-Netz weiterleitet. Das hat auch Nachteile (zum einen kostet es z.B. Performance und zum anderen gibt es auch Webseiten, die Dich, wenn Du per Tor ankommst, mit zusäztlichen Captchas nerven oder gleich ganz die Arbeit verweigern), und je nach Anwendung ist es auch nicht unbedingt eine vollständige Verschleierung Deiner Netzaktivitäten (z.B. wenn Du Dich irgendwo einloggst, oder wenn Du JavaScript aktiviert hast).
NordVPN etc. bringen da wirklich nicht viel.
„Ceterum censeo librum facierum esse delendum.“
Hilfreich?
0
Chuby
22.03.21
17:43
Hallo Cracymike,
gut zu wissen. VPN habe ich jetzt gerade auf meiner FB7590 eingerichtet. Läuft und nutze ich dann wenn ich unterwegs bin.
DNS over TLS hatte ich schon vor einiger Zeit eingerichtet und als DNS-Server die "dns.digitale-gesellschaft.ch" sowie den "dot.ffmuc.net" eingetragen. Hoffe mal das wenigstens das richtig war bzw. ist. Frag jetzt bitte nicht warum ich dann noch NORD VPN aus meinem eigenen WLAN benutzt habe. Wahrscheinlich doch irgendeine Art von Paranoia
Habe in diesem Thread viel gelernt.
Danke und Gruß Chuby
Hilfreich?
0
Kommentieren
Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.
Erste Benchmarks: M4 Pro schneller als ein M2 U...
Vor 10 Jahren: Das iPhone 6 und "Bendgate"
Mac mini M4: Reparaturhandbuch bestätigt austau...
Neuer Mac: Vorbereitung für den Umzug vom alten...
Verwarnung an Apple: Verbotenes Geoblocking in ...
Apples Eskalationskurs und Gebühren-Wirrwarr
iMac M4 angekündigt
Vor 10 Jahren: 3 Milliarden für Beats