onkelbens
Goto Top

Zugriff auf Pii ohne public IPv4 bzw v6

Guten Abend.

Ich bin ein wenig am verzweifeln und verliere langsam die Lust.
Ich bin Pyür Kunde und möchte trotzdem via Handy auf meinen Pii zuhause zugreifen.
Die letzten Tage habe ich rausgefunden, dass Pyür keine öffentlichen IPs vergibt, und IPv6
auch nicht global funktioniert. Trotzdem möchte ich irgendwie auf den Pii mit WebCam/Fileserver
zugreifen.
Wenn ich das jetzt alles richtig verstanden habe, bleiben mir nur zwei Möglichkeiten.
Ich kann zwei Fritzboxen verbinden, https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/5_VPN-Verbind ...

oder via Tunnel zu einem Server außerhalb, via ssh/autossh?
Geht sowas dann auch mit wireshark? Habe ich noch andere Möglichkeiten?

Danke und schönen Rest Sonntag.

Content-ID: 2467751808

Url: https://administrator.de/forum/zugriff-auf-pii-ohne-public-ipv4-bzw-v6-2467751808.html

Ausgedruckt am: 23.12.2024 um 19:12 Uhr

117471
117471 11.04.2022 aktualisiert um 07:20:15 Uhr
Goto Top
Hallo,

deine Anbindung ist nicht für den Betrieb von Servern gedacht und Du möchtest einen Server anbinden…

Finde den Fehler.

Sicherlich kann man sich „irgendwie“ nach draussen frickeln. Stabil & performant geht aber anders.

Gruß,
Jörg

Übrigens: Tiefseetauchen mit dem Fahrrad geht auch nicht. Brauchst Du gar nicht erst fragen.
onkelbens
onkelbens 11.04.2022 um 08:23:43 Uhr
Goto Top
Das ist kein Betrieb eines kommerziellen Servers, sondern ein kleines Bastel-Home-Projekt.
Da sollen keine Massen an Daten fließen, sondern Funktionalität, die man 2022 erwarten können
sollte, gegeben werden.
Ich versteh deine Ansicht nicht, bisher hatte ich oft den Eindruck, dass Bastler, erst recht wenn ich
schwieriger wird, Spaß an sowas haben.

Kann mir jemand bitte einen etwas konstruktiveren Tipp geben?
BirdyB
BirdyB 11.04.2022 um 09:01:08 Uhr
Goto Top
Moin,
wenn du wenig basteln möchtest, dann schau hier: https://www.feste-ip.net/dslite-ipv6-portmapper/allgemeine-informationen ...

Wenn du mehr basteln möchtest, dann buche dir z.B. hier: https://www.ionos.de/server/vps
einen vServer für 2€/Monat und lass den RPi einen Tunnel dorthin aufbauen. Dann kannst du über den vServer auf den Pi zugreifen.

Wireshark ist ein Netzwerkanalysetool und hat mit dem Thema erstmal nichts zu tun.

Viele Grüße
goscho
goscho 11.04.2022 um 09:19:32 Uhr
Goto Top
Moin,
in solchen Fällen würde ich mich zuerst an meinen Anbieter wenden und versuchen, einen Tarif mit der Option einer öffentlichen IP zu bekommen, möglichst einer festen IPv4.

Ob das bei Pyür möglich ist, kann ich nicht sagen.
aqui
aqui 11.04.2022 aktualisiert um 09:22:37 Uhr
Goto Top
oder via Tunnel zu einem Server außerhalb, via ssh/autossh?
Das ist richtig ! Siehe dazu ein paar Forenthreads:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)
Pyür wird vermutlich einen DS-Lite Anschluss mit CGNAT verwenden weil sie keine IPv4 Kontingente mehr haben oder das nur für ihre Business Kunden verfügbar ist. Wie oben schon gesagt solltest du, wie oben schon gesagt, fragen ob du auf die Business Option umschalten kannst sofern möglich. Das wäre das Einfachste.
So oder so kannst du aber immer über IPv6 problemlos auf deinen Pi (wozu das 2te "i" ?) von remote zugreifen. IPv6 ist in so gut wie allen Netzen mittlerweile vorhanden ! Es braucht also in der Regel den Mehraufwand mit einem vServer/Jumphost nicht unbedingt.
Lochkartenstanzer
Lochkartenstanzer 11.04.2022 aktualisiert um 10:08:27 Uhr
Goto Top
Zitat von @onkelbens:

Ich bin Pyür Kunde ...

Mein Beileid.

... und möchte trotzdem via Handy auf meinen Pii zuhause zugreifen.

Entweder - oder, beides geht nicht. face-smile


Mal im Ernst. Normalerweise schaut man vorher, was man benötigt und wählt danach den Anbieter. Man kauft sich ja auch nicht einfach einen Panda-Pickup und fragt dann in einem Forum, wie man den in einen Muldenkipper umbauen kann. face-smile

Nachdem das Kind in den Brunnen gefallen ist, hast Du mehrere Optionen:

  • Damit leben.
  • Deine Provider bitten Dir einen echten Dual-Stack-Anschluß zu geben, ggf. mit genügend Kleingeld bewerfen, damit er Deiner Bitte nachkommt.
  • Dir einen vserver mieten und den als Gateway nutzen.
  • Dir einen VPN-Provider suchen, der das für Dich regelt.
  • Den Anbieter wechseln.

lks
Dani
Dani 11.04.2022 aktualisiert um 10:38:07 Uhr
Goto Top
Moin,
Dir einen vserver mieten und den als Gateway nutzen.
Der Option kann ich mich anschließend. Für den privaten Gebrauch habe ich das genauso gelöst. Ein vServer im Internet. So dass es für die Geräte zu Hause als auch unterwegs nutzbar ist. Falls jemand dein vServer findet, ist es erst einmal kein Beinbruch. Es setzt natürlich voraus, dass der Server nach gängigen Regeln gesichert ist.

Mal im Ernst. Normalerweise schaut man vorher, was man benötigt und wählt danach den Anbieter. Man kauft sich ja auch nicht einfach einen Panda-Pickup und fragt dann in einem Forum, wie man den in einen Muldenkipper umbauen kann. face-smile face-smile
YMMD. face-big-smile


Gruß,
Dani
Lochkartenstanzer
Lochkartenstanzer 11.04.2022 um 10:44:25 Uhr
Goto Top
Zitat von @Dani:

Mal im Ernst. Normalerweise schaut man vorher, was man benötigt und wählt danach den Anbieter. Man kauft sich ja auch nicht einfach einen Panda-Pickup und fragt dann in einem Forum, wie man den in einen Muldenkipper umbauen kann. face-smile face-smile
YMMD. face-big-smile

Immer wieder gerne.
DivideByZero
DivideByZero 11.04.2022 um 11:11:07 Uhr
Goto Top
Ebenfalls moin,

alternativ: falls Du im privaten Bereich mit Fritz!Boxen unterwegs bist (klingt ja so) und eine vertrauensvolle Fritz!Box an einem IPv4-Anschluss verwaltest, kannst Du auch von der eigenen Fritz!Box einen Tunnel zur anderen Fritz!Box aufbauen lassen und dann deren IPv4-Adresse für ein VPN nutzen, das dann über den Tunnel den Zugriff nach Hause ermöglicht.

Dabei ist nur zu beachten, dass die Fritz!Box mit DS-Lite oder CGN immer die Verbindung aufbaut, und nicht umgekehrt, es muss also eine One-Way-Verbindung eingerichtet werden. Das geht, indem man die VPN-Configfiles von Hand erzeugt und in die Fritz!Box importiert. Die Seite des Initiators = ohne öffentliche IPv4 muss dabei den Parameter keepalive_ip gesetzt haben. Da muss eine IP-Adresse aus dem Responder-Netz = Fritz!Box mit öffentlicher IPv4 rein.

Details und weiterführende Links bei www.ip-phone-forum.de/threads/vpn-zwischen-zwei-fritz-boxen-eine-mit-ds-lite.283359/.

Vorteil: spart den Jump Host (finanziell und zeitlich=Konfiguration und Absicherung).
Nachteil: Zugriff auf eine vertrauenswürdige 2. Fritz!Box muss da sein, denn die erhält ja dann Zugriff auf das eigene Netz (da kann aber der Zugriff auf den Raspi einschränkt werden, siehe AVM-Anleitung.

Viel Erfolg!

DivideByZero
148523
148523 11.04.2022 um 11:45:43 Uhr
Goto Top
Nachteil: Zugriff auf eine vertrauenswürdige 2. Fritz!Box muss da sein
Und genau DAS hat der TO ja nicht mit einem Handy im Mobilnetz. Ganz sicher aber hat er im Mobilnetz eine IPv6 IP auf dem Handy und kann damit dann problemlos den Zugang auf seinen Pi realisieren ! face-wink
1915348599
1915348599 11.04.2022 aktualisiert um 12:01:01 Uhr
Goto Top
Zitat von @148523:
Und genau DAS hat der TO ja nicht mit einem Handy im Mobilnetz. Ganz sicher aber hat er im Mobilnetz eine IPv6 IP auf dem Handy und kann damit dann problemlos den Zugang auf seinen Pi realisieren ! face-wink
Eben nicht, das Thema hatten wir hier gerade erst. Bei den meisten Privat- und auch vielen Geschäftskundentarifen wird eingehender Verkehr per auch per IPv6 gefiltert wenn man das nicht explizit beim Provider bucht/freischalten lässt, den Grund warum das so ist, habe ich hier aufgeführt:
Kein Zugriff auf FritzBox über IPv6 am DSLite-Anschluss
148523
148523 11.04.2022 aktualisiert um 12:18:45 Uhr
Goto Top
Eingehend auf dem xDSL Interface oder Mobilfunk ? Mobilfunk wäre ja noch verständlich aber "Voluminas" auf einem xDSL gibt es ja nicht. Der v6 Traffic würde ja eingehend nur am xDSL Port der FritzBox auftauchen. Zumindestens das sollten doch xDSL Provider mit v6 Dual Stack supporten ?! Bei der Telekom klappt das. Mal abgesehen davon das die v6 Präfixe dynamisch wechseln.
1915348599
1915348599 11.04.2022 aktualisiert um 12:49:52 Uhr
Goto Top
Zitat von @148523:

Eingehend auf dem xDSL Interface oder Mobilfunk ?
Mobilfunk natürlich, im Beitrag ging es auch um Mobilfunk, nur halt über einen LTE-Router.
In den USA macht T-Mobile sogar CGNAT mit IPv6, da ist ebenfalls eingehend nichts zu machen. Kommt aber wie gesagt auf den Vertrag und Provider an ob es geht oder nicht.
DivideByZero
DivideByZero 11.04.2022 um 12:59:38 Uhr
Goto Top
Zitat von @148523:
Nachteil: Zugriff auf eine vertrauenswürdige 2. Fritz!Box muss da sein
Und genau DAS hat der TO ja nicht mit einem Handy im Mobilnetz. Ganz sicher aber hat er im Mobilnetz eine IPv6 IP auf dem Handy und kann damit dann problemlos den Zugang auf seinen Pi realisieren ! face-wink

Wieso sollte das nicht funktionieren?

Das Szenario, das lauffähig ist, wäre beispielsweise:

Fritz!Box A = eigene Fritz!Box Heimnetz, dahinter der Raspberry, keine öffentliche IPv4
Fritz!Box B = Fritz!Box bei der Familie, öffentliche IPv4

Fritz!Box A ist Initiator eines VPN-Tunnels zu Fritz!Box B, Fritz!Box B nur Responder, baut also nie den Tunnel auf.
Auf Fritz!Box B ist nun ein Road Warrior VPN-Zugang eingerichtet.

Mobiluser richtet auf Handy VPN-Verbindung zu Fritz!Box B ein und greift von dort über den Tunnel auf Fritz!Box A und das dahinter liegende Netz zu. Funktioniert über die ganze Strecke mit IPv4 einwandfrei.

P.S.: Pyür ist ein Kabelnetzanbieter, es dürfte daher beim TO darum gehen, von unterwegs = Mobilfunk auf Heimnetz = Kabelinternet zuzugreifen. IPv6 eingehend gefiltert sollte daher kein Thema und IPv6 damit - selbstverständlich - eine Alternative sein.
148523
148523 11.04.2022 aktualisiert um 17:10:37 Uhr
Goto Top
Wieso sollte das nicht funktionieren?
Sorry, da hast du natürlich Recht. Das hatte ich missverstanden. Die 2te FB mit der v4 IP ist dann sowas wie der vServer. Das klappt so natürlich auch.
@1915348599
nur halt über einen LTE-Router.
Dann hast du in dem Punkt natürlich auch Recht. Der TO hatte das nur nicht erwähnt (oder ich hatte das übersehen). Er sagte ja nur das er einen Pyür Account hat und auf den heimischen RasPi zugreifen will. Da war nicht so ganz klar wie der RasPi am Pyür Netz hängt ob Mobilfunk, xDSL oder Kabel TV.
148523
148523 18.04.2022 um 09:38:13 Uhr
Goto Top
Zeit das der TO seinen Thread als erledigt schliesst !
Wie kann ich einen Beitrag als gelöst markieren?