marfra
Goto Top

IPv4 - IPv6 Self-Hosted Portmapper Fritz-Box 7590 Problem Deutsche Glasfaser

Liebe Kolleginnen und Kollegen,

ich habe Neuland betreten und benötige dringend einen Schups in die richtige Richtung da ich leider nicht mehr weiter komme.

Was ist das Problem:

Mein Chef betreibt bei sich Zuhause eine Sicherheitsanlage inkl. Toröffner über die er mit seinem IPhone zugreift bzw. zugegriffen hat. Jetzt ist er von der DTelekom zu DGlasfaser gewechselt und steht vor einem IPv6 Problem. Also er kann nicht mehr von seinem IPhone von außen auf sein Netz- bzw. die Geräte darin zugreifen.

Mich freut es auf der einen Seite da ich bis jetzt nur ganz kurz mit IPv6 Berührung hatte und da es, meiner Meinung nach, wichtig ist auch die Technik zu verstehen habe ich mich dem Problem angenommen. Komme aber jetzt an meine Grenzen und könnte euer Know-How oder Denkanreize gebrauchen.

Wie stelle ich mir die Lösung vor:

Ich habe mir verschiedenste Lösungsansätze angeschaut und würde es gern machen wie der Kollege im Video.

https://www.youtube.com/watch?v=ttEHsjjvRS4&t=3s

1. Ich habe mir einen Ubunut Server organisiert wie im Video angesprochen.
1.1 6Tunnel installiert und die IPv6 Adressen hinterlegt siehe Bild1
bild1_6tunnel
1.2 Firewall deaktiviert auf Ubuntu (bei Ionos läuft eine HW-Firewall dort habe ich die Ports freigegeben) siehe Bild2
bild2_portshwfirewall

2. FritzBox Einstellungen getätigt
2.1. Freigaben der Geräte und deren Ports siehe Bild3
bild3_portfreigabe_fritzbox


Somit sollte doch eigentlich alles Safe sein, laut dem Video. Naja wie das aber meistens in der IT so ist, ist es dass nicht.

Ich finde meinen Fehler nicht bzw. nehme ich an dass die FB einfach von außen nicht erreichbar ist. Laut meinem Chef ist vor der Fritzbox kein weiteres Gerät. Was mich aber stutzig macht ist diese Einstellung in der FB (siehe Bild4
bild4_anschlussfb
). Er sagte die FB wurde von einem Techniker von DGF eingestellt und angeschlossen. Da ich dass ganze über Fernwartung versuche einzustellen habe ich mich auch nicht getraut dass jetzt zum testen einfach umzustellen. Ich stelle auch ein Bild der IPv6 (Bild5
bild5_ipv6
) online, vielleicht fällt euch da ja etwas auf.

Ich habe am Ubuntu Server die Ports gescannt und diese sind definitv offen. Wie ich die Ports der FB abfragen kann. Ich weis es nicht. Ich habe es über NMap probiert und dort über die IPv6 der Fritzbox versucht aber ich bekomme einen Fehler.

Ich hoffe Ihr habt noch ein paar Ideen wie ich das Problem in den Griff bekomme und freue mich auf eure Antworten.
Bis dahin werde ich mal weiter probieren. Sollte ich bis dahin alleine auf die Lösung gekommen sein (was ich aber nicht glaube) werde ich diese natürlich online stellen falls jemand das selbe Problem haben sollte.

Ich bedanke mich schon einmal im voraus und wünsche euch einen schönen Tag.

Grüße Marcel

Content-ID: 1976281154

Url: https://administrator.de/forum/ipv4-ipv6-self-hosted-portmapper-fritz-box-7590-problem-deutsche-glasfaser-1976281154.html

Ausgedruckt am: 19.12.2024 um 22:12 Uhr

kpunkt
kpunkt 22.02.2022 um 08:37:43 Uhr
Goto Top
Da hängt die Fritzbox wohl hinter einem Glasfaser-Modem. Wahrscheinlich ist da eben nicht im Haus, sondern irgendwo auf der Straße im MFG oder so.

Schau mal hier unter Punkt 4, was im Heimnetz noch einzustellen ist.
https://www.deutsche-glasfaser.de/fileadmin/content/pdf/downloads/anleit ...
aqui
aqui 22.02.2022 um 09:43:26 Uhr
Goto Top
Es wäre sehr hilfreich für alle wenn du die FAQs einmal lesen würdest um den "+" Button bei eingebetteten Bildern einmal sinnvoll zu nutzen das diese auch wirklich in dem Kontext erscheinen wo sie hinsollen, anstatt völlig zusammenhangslos am Ende des Threads so das keiner mehr sieht wie diese Bilder gemeint sind. face-sad
Das kann man übrigens IMMER auch nachträglich noch über den "Bearbeiten" Knopf korrigieren. Genau wie peinliche Tippfehler.
MarFra
MarFra 22.02.2022 um 10:22:25 Uhr
Goto Top
Zitat von @aqui:

Es wäre sehr hilfreich für alle wenn du die FAQs einmal lesen würdest um den "+" Button bei eingebetteten Bildern einmal sinnvoll zu nutzen das diese auch wirklich in dem Kontext erscheinen wo sie hinsollen, anstatt völlig zusammenhangslos am Ende des Threads so das keiner mehr sieht wie diese Bilder gemeint sind. face-sad
Das kann man übrigens IMMER auch nachträglich noch über den "Bearbeiten" Knopf korrigieren. Genau wie peinliche Tippfehler.

Danke für den Tip. Ist erledigt.

Hast du nun vielleicht auch einen Lösungansatz für mein Problem oder bist du nur der "Aufpasser"?
aqui
aqui 22.02.2022 aktualisiert um 10:58:45 Uhr
Goto Top
Theoretisch reicht es ja den v6 Zugang auf die Anlage freizugeben. Ob die Anlage v6 fähig ist hast du aber leider nicht beantwortet im Thread. face-sad
Sicherheitstechnisch ist sowas natürlich ein Alptraum, ganz besonders bei der o.a. Anwendung. Da führt eigentlich an einem VPN keinerlei Weg vorbei wenn der Cheffe weiterhin ruhig schlafen will ohne das ihn eines Nachts schwarz vermummte Gestalten im Bett überraschen. Völlig unverständlich ist warum sich der Cheffe nicht VORHER mal schlau macht wenn er einen bindenden Vertrag mit DS-Lite unterschreibt was die Konsequenzen sind. Als Normalo und ganz besonders als Manager sollte man solche simplen Dinge des Lebens doch eigentlich wissen...aber egal.
Sollte sie v6 können würde auch ein simples v6 VPN das Problem einfach lösen.

Alternativ also VPN mit einem Jumphost wenn die Anlage rein nur v4 kann. Wäre ja auch sicherheitstechnisch ebenfalls eine sinnvolle Lösung:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)
MarFra
MarFra 22.02.2022 um 11:55:43 Uhr
Goto Top
Vielen Dank für deine Antwort. Ich versuche mal ein bisschen Licht ins dunkle zu bringen.

Zitat von @aqui:

Theoretisch reicht es ja den v6 Zugang auf die Anlage freizugeben. Ob die Anlage v6 fähig ist hast du aber leider nicht beantwortet im Thread. face-sad

Die Anlage ist nicht v6 geeignet. Daher versuche ich über das Präfix der FritzBox zu gehen. Ich bekomme aber die FritzBox nicht angepingt obwohl Ping6 aktiviert ist. Ich finde den blocker nicht.

Sicherheitstechnisch ist sowas natürlich ein Alptraum, ganz besonders bei der o.a. Anwendung. Da führt eigentlich an einem VPN keinerlei Weg vorbei wenn der Cheffe weiterhin ruhig schlafen will ohne das ihn eines Nachts schwarz vermummte Gestalten im Bett überraschen.

VPN möchte er nicht. Da er dieses aktivieren müsste bevor er auf die Steuerung zugreifen kann + die Fritzbox lässt VPN über v6 nicht zu (so habe ich dass zumindest gelesen).


Völlig unverständlich ist warum sich der Cheffe nicht VORHER mal schlau macht wenn er einen bindenden Vertrag mit DS-Lite unterschreibt was die Konsequenzen sind. Als Normalo und ganz besonders als Manager sollte man solche simplen Dinge des Lebens doch eigentlich wissen...aber egal.

Was soll ich dazu sagen?! Als ich ihn genau das selbe gefragt habe sagte er, dass ihm dass nicht klar war und es ihm auch niemand gesagt hätte dass er danach keine IPv4 mehr habe. Auf nachfrage sagte man ihm "Steht doch in den AGBs!" und dass, wenn er IPv4 benötige DGF ihm 11,99€ im Monat dafür abnehmen würde.

Sollte sie v6 können würde auch ein simples v6 VPN das Problem einfach lösen.

Kann diese aber leider nicht!


Alternativ also VPN mit einem Jumphost wenn die Anlage rein nur v4 kann. Wäre ja auch sicherheitstechnisch ebenfalls eine sinnvolle Lösung:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)

Ich werde mir die Links auf jeden Fall einmal genau anschauen. Denke aber dass VPN für ihn "zuviel" ist. Das Problem ist auch wirklich dass ich ja nichtmal bis zur FritzBox komme. Ich würde gern erstmal die Verbindung herstellen und schauen ob es überhaupt funktioniert und mich dann direkt um die Sicherheitsrelevanten punkte kümmern.

Kann es sein das GFD durch ein davor gesetztes Modem o.ä. das blockiert? Wenn ja, wie kann ich dass den Einstellen?

Sehe da leider keine andere Möglichkeit für mich. face-sad

Vielen Dank für deinen Einsatz!

Grüße Marcel
kpunkt
kpunkt 22.02.2022 um 11:59:35 Uhr
Goto Top
Wenn die da was blockieren (also kein echtes Modem) dann hast du keine Chance.
Ganz ehrlich, der soll die 12 Euro im Monat zahlen. Alles andere will er ja nicht.