Zugriff auf Pii ohne public IPv4 bzw v6
Guten Abend.
Ich bin ein wenig am verzweifeln und verliere langsam die Lust.
Ich bin Pyür Kunde und möchte trotzdem via Handy auf meinen Pii zuhause zugreifen.
Die letzten Tage habe ich rausgefunden, dass Pyür keine öffentlichen IPs vergibt, und IPv6
auch nicht global funktioniert. Trotzdem möchte ich irgendwie auf den Pii mit WebCam/Fileserver
zugreifen.
Wenn ich das jetzt alles richtig verstanden habe, bleiben mir nur zwei Möglichkeiten.
Ich kann zwei Fritzboxen verbinden, https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/5_VPN-Verbind ...
oder via Tunnel zu einem Server außerhalb, via ssh/autossh?
Geht sowas dann auch mit wireshark? Habe ich noch andere Möglichkeiten?
Danke und schönen Rest Sonntag.
Ich bin ein wenig am verzweifeln und verliere langsam die Lust.
Ich bin Pyür Kunde und möchte trotzdem via Handy auf meinen Pii zuhause zugreifen.
Die letzten Tage habe ich rausgefunden, dass Pyür keine öffentlichen IPs vergibt, und IPv6
auch nicht global funktioniert. Trotzdem möchte ich irgendwie auf den Pii mit WebCam/Fileserver
zugreifen.
Wenn ich das jetzt alles richtig verstanden habe, bleiben mir nur zwei Möglichkeiten.
Ich kann zwei Fritzboxen verbinden, https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/5_VPN-Verbind ...
oder via Tunnel zu einem Server außerhalb, via ssh/autossh?
Geht sowas dann auch mit wireshark? Habe ich noch andere Möglichkeiten?
Danke und schönen Rest Sonntag.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2467751808
Url: https://administrator.de/forum/zugriff-auf-pii-ohne-public-ipv4-bzw-v6-2467751808.html
Ausgedruckt am: 23.12.2024 um 19:12 Uhr
16 Kommentare
Neuester Kommentar
Hallo,
deine Anbindung ist nicht für den Betrieb von Servern gedacht und Du möchtest einen Server anbinden…
Finde den Fehler.
Sicherlich kann man sich „irgendwie“ nach draussen frickeln. Stabil & performant geht aber anders.
Gruß,
Jörg
Übrigens: Tiefseetauchen mit dem Fahrrad geht auch nicht. Brauchst Du gar nicht erst fragen.
deine Anbindung ist nicht für den Betrieb von Servern gedacht und Du möchtest einen Server anbinden…
Finde den Fehler.
Sicherlich kann man sich „irgendwie“ nach draussen frickeln. Stabil & performant geht aber anders.
Gruß,
Jörg
Übrigens: Tiefseetauchen mit dem Fahrrad geht auch nicht. Brauchst Du gar nicht erst fragen.
Moin,
wenn du wenig basteln möchtest, dann schau hier: https://www.feste-ip.net/dslite-ipv6-portmapper/allgemeine-informationen ...
Wenn du mehr basteln möchtest, dann buche dir z.B. hier: https://www.ionos.de/server/vps
einen vServer für 2€/Monat und lass den RPi einen Tunnel dorthin aufbauen. Dann kannst du über den vServer auf den Pi zugreifen.
Wireshark ist ein Netzwerkanalysetool und hat mit dem Thema erstmal nichts zu tun.
Viele Grüße
wenn du wenig basteln möchtest, dann schau hier: https://www.feste-ip.net/dslite-ipv6-portmapper/allgemeine-informationen ...
Wenn du mehr basteln möchtest, dann buche dir z.B. hier: https://www.ionos.de/server/vps
einen vServer für 2€/Monat und lass den RPi einen Tunnel dorthin aufbauen. Dann kannst du über den vServer auf den Pi zugreifen.
Wireshark ist ein Netzwerkanalysetool und hat mit dem Thema erstmal nichts zu tun.
Viele Grüße
oder via Tunnel zu einem Server außerhalb, via ssh/autossh?
Das ist richtig ! Siehe dazu ein paar Forenthreads:IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)
Pyür wird vermutlich einen DS-Lite Anschluss mit CGNAT verwenden weil sie keine IPv4 Kontingente mehr haben oder das nur für ihre Business Kunden verfügbar ist. Wie oben schon gesagt solltest du, wie oben schon gesagt, fragen ob du auf die Business Option umschalten kannst sofern möglich. Das wäre das Einfachste.
So oder so kannst du aber immer über IPv6 problemlos auf deinen Pi (wozu das 2te "i" ?) von remote zugreifen. IPv6 ist in so gut wie allen Netzen mittlerweile vorhanden ! Es braucht also in der Regel den Mehraufwand mit einem vServer/Jumphost nicht unbedingt.
Mein Beileid.
... und möchte trotzdem via Handy auf meinen Pii zuhause zugreifen.
Entweder - oder, beides geht nicht.
Mal im Ernst. Normalerweise schaut man vorher, was man benötigt und wählt danach den Anbieter. Man kauft sich ja auch nicht einfach einen Panda-Pickup und fragt dann in einem Forum, wie man den in einen Muldenkipper umbauen kann.
Nachdem das Kind in den Brunnen gefallen ist, hast Du mehrere Optionen:
- Damit leben.
- Deine Provider bitten Dir einen echten Dual-Stack-Anschluß zu geben, ggf. mit genügend Kleingeld bewerfen, damit er Deiner Bitte nachkommt.
- Dir einen vserver mieten und den als Gateway nutzen.
- Dir einen VPN-Provider suchen, der das für Dich regelt.
- Den Anbieter wechseln.
lks
Moin,
Gruß,
Dani
Dir einen vserver mieten und den als Gateway nutzen.
Der Option kann ich mich anschließend. Für den privaten Gebrauch habe ich das genauso gelöst. Ein vServer im Internet. So dass es für die Geräte zu Hause als auch unterwegs nutzbar ist. Falls jemand dein vServer findet, ist es erst einmal kein Beinbruch. Es setzt natürlich voraus, dass der Server nach gängigen Regeln gesichert ist. Mal im Ernst. Normalerweise schaut man vorher, was man benötigt und wählt danach den Anbieter. Man kauft sich ja auch nicht einfach einen Panda-Pickup und fragt dann in einem Forum, wie man den in einen Muldenkipper umbauen kann. face-smile
YMMD. Gruß,
Dani
Zitat von @Dani:
Mal im Ernst. Normalerweise schaut man vorher, was man benötigt und wählt danach den Anbieter. Man kauft sich ja auch nicht einfach einen Panda-Pickup und fragt dann in einem Forum, wie man den in einen Muldenkipper umbauen kann. face-smile
YMMD. Immer wieder gerne.
Ebenfalls moin,
alternativ: falls Du im privaten Bereich mit Fritz!Boxen unterwegs bist (klingt ja so) und eine vertrauensvolle Fritz!Box an einem IPv4-Anschluss verwaltest, kannst Du auch von der eigenen Fritz!Box einen Tunnel zur anderen Fritz!Box aufbauen lassen und dann deren IPv4-Adresse für ein VPN nutzen, das dann über den Tunnel den Zugriff nach Hause ermöglicht.
Dabei ist nur zu beachten, dass die Fritz!Box mit DS-Lite oder CGN immer die Verbindung aufbaut, und nicht umgekehrt, es muss also eine One-Way-Verbindung eingerichtet werden. Das geht, indem man die VPN-Configfiles von Hand erzeugt und in die Fritz!Box importiert. Die Seite des Initiators = ohne öffentliche IPv4 muss dabei den Parameter keepalive_ip gesetzt haben. Da muss eine IP-Adresse aus dem Responder-Netz = Fritz!Box mit öffentlicher IPv4 rein.
Details und weiterführende Links bei www.ip-phone-forum.de/threads/vpn-zwischen-zwei-fritz-boxen-eine-mit-ds-lite.283359/.
Vorteil: spart den Jump Host (finanziell und zeitlich=Konfiguration und Absicherung).
Nachteil: Zugriff auf eine vertrauenswürdige 2. Fritz!Box muss da sein, denn die erhält ja dann Zugriff auf das eigene Netz (da kann aber der Zugriff auf den Raspi einschränkt werden, siehe AVM-Anleitung.
Viel Erfolg!
DivideByZero
alternativ: falls Du im privaten Bereich mit Fritz!Boxen unterwegs bist (klingt ja so) und eine vertrauensvolle Fritz!Box an einem IPv4-Anschluss verwaltest, kannst Du auch von der eigenen Fritz!Box einen Tunnel zur anderen Fritz!Box aufbauen lassen und dann deren IPv4-Adresse für ein VPN nutzen, das dann über den Tunnel den Zugriff nach Hause ermöglicht.
Dabei ist nur zu beachten, dass die Fritz!Box mit DS-Lite oder CGN immer die Verbindung aufbaut, und nicht umgekehrt, es muss also eine One-Way-Verbindung eingerichtet werden. Das geht, indem man die VPN-Configfiles von Hand erzeugt und in die Fritz!Box importiert. Die Seite des Initiators = ohne öffentliche IPv4 muss dabei den Parameter keepalive_ip gesetzt haben. Da muss eine IP-Adresse aus dem Responder-Netz = Fritz!Box mit öffentlicher IPv4 rein.
Details und weiterführende Links bei www.ip-phone-forum.de/threads/vpn-zwischen-zwei-fritz-boxen-eine-mit-ds-lite.283359/.
Vorteil: spart den Jump Host (finanziell und zeitlich=Konfiguration und Absicherung).
Nachteil: Zugriff auf eine vertrauenswürdige 2. Fritz!Box muss da sein, denn die erhält ja dann Zugriff auf das eigene Netz (da kann aber der Zugriff auf den Raspi einschränkt werden, siehe AVM-Anleitung.
Viel Erfolg!
DivideByZero
Nachteil: Zugriff auf eine vertrauenswürdige 2. Fritz!Box muss da sein
Und genau DAS hat der TO ja nicht mit einem Handy im Mobilnetz. Ganz sicher aber hat er im Mobilnetz eine IPv6 IP auf dem Handy und kann damit dann problemlos den Zugang auf seinen Pi realisieren ! Zitat von @148523:
Und genau DAS hat der TO ja nicht mit einem Handy im Mobilnetz. Ganz sicher aber hat er im Mobilnetz eine IPv6 IP auf dem Handy und kann damit dann problemlos den Zugang auf seinen Pi realisieren !
Eben nicht, das Thema hatten wir hier gerade erst. Bei den meisten Privat- und auch vielen Geschäftskundentarifen wird eingehender Verkehr per auch per IPv6 gefiltert wenn man das nicht explizit beim Provider bucht/freischalten lässt, den Grund warum das so ist, habe ich hier aufgeführt:Und genau DAS hat der TO ja nicht mit einem Handy im Mobilnetz. Ganz sicher aber hat er im Mobilnetz eine IPv6 IP auf dem Handy und kann damit dann problemlos den Zugang auf seinen Pi realisieren !
Kein Zugriff auf FritzBox über IPv6 am DSLite-Anschluss
Eingehend auf dem xDSL Interface oder Mobilfunk ? Mobilfunk wäre ja noch verständlich aber "Voluminas" auf einem xDSL gibt es ja nicht. Der v6 Traffic würde ja eingehend nur am xDSL Port der FritzBox auftauchen. Zumindestens das sollten doch xDSL Provider mit v6 Dual Stack supporten ?! Bei der Telekom klappt das. Mal abgesehen davon das die v6 Präfixe dynamisch wechseln.
Zitat von @148523:
Eingehend auf dem xDSL Interface oder Mobilfunk ?
Mobilfunk natürlich, im Beitrag ging es auch um Mobilfunk, nur halt über einen LTE-Router.Eingehend auf dem xDSL Interface oder Mobilfunk ?
In den USA macht T-Mobile sogar CGNAT mit IPv6, da ist ebenfalls eingehend nichts zu machen. Kommt aber wie gesagt auf den Vertrag und Provider an ob es geht oder nicht.
Zitat von @148523:
Nachteil: Zugriff auf eine vertrauenswürdige 2. Fritz!Box muss da sein
Und genau DAS hat der TO ja nicht mit einem Handy im Mobilnetz. Ganz sicher aber hat er im Mobilnetz eine IPv6 IP auf dem Handy und kann damit dann problemlos den Zugang auf seinen Pi realisieren ! Wieso sollte das nicht funktionieren?
Das Szenario, das lauffähig ist, wäre beispielsweise:
Fritz!Box A = eigene Fritz!Box Heimnetz, dahinter der Raspberry, keine öffentliche IPv4
Fritz!Box B = Fritz!Box bei der Familie, öffentliche IPv4
Fritz!Box A ist Initiator eines VPN-Tunnels zu Fritz!Box B, Fritz!Box B nur Responder, baut also nie den Tunnel auf.
Auf Fritz!Box B ist nun ein Road Warrior VPN-Zugang eingerichtet.
Mobiluser richtet auf Handy VPN-Verbindung zu Fritz!Box B ein und greift von dort über den Tunnel auf Fritz!Box A und das dahinter liegende Netz zu. Funktioniert über die ganze Strecke mit IPv4 einwandfrei.
P.S.: Pyür ist ein Kabelnetzanbieter, es dürfte daher beim TO darum gehen, von unterwegs = Mobilfunk auf Heimnetz = Kabelinternet zuzugreifen. IPv6 eingehend gefiltert sollte daher kein Thema und IPv6 damit - selbstverständlich - eine Alternative sein.
Wieso sollte das nicht funktionieren?
Sorry, da hast du natürlich Recht. Das hatte ich missverstanden. Die 2te FB mit der v4 IP ist dann sowas wie der vServer. Das klappt so natürlich auch.@1915348599
nur halt über einen LTE-Router.
Dann hast du in dem Punkt natürlich auch Recht. Der TO hatte das nur nicht erwähnt (oder ich hatte das übersehen). Er sagte ja nur das er einen Pyür Account hat und auf den heimischen RasPi zugreifen will. Da war nicht so ganz klar wie der RasPi am Pyür Netz hängt ob Mobilfunk, xDSL oder Kabel TV.
Zeit das der TO seinen Thread als erledigt schliesst !
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?