Jump to content

Magenta Community

  • 0

IPv6 Port Forwarding funktioniert nicht


flotschie
 Share

Question

Mein Freund hat ein Gerät per WIFI mit seinem Router (Internet Fiber Box) verbunden.

Das Gerät hat eine interne IPv4 Adresse 192.168.0.xxx und eine IPv6 Adresse.

Im Router habe ich für das Gerät einen Port Forward auf 44158 eingestellt (Inbound & Outbound).

Dieser Port Forward war nur für IPv6 möglich, eine Option für IPv4 gab es nicht.

 

Das Gerät war für eine Zeit übers Internet erreichbar. Dann auf einmal nicht mehr.

 

Was wir versucht haben: 

Gerät Neustart

Router Neustart

upnp deaktivieren

Router Firewall deaktivieren

 

Nichts hat geholfen.

 

WhatsimyIp zeigt dass der Router sowohl eine IPv4 als auch eine IPv6 Adresse hat.
http://www.ipv6scanner.com/cgi-bin/main.py zeigt dass der port 44158 FILTERED ist, für die Ipv4 als auch die Ipv6 Adresse.

 

Ein Anruf bei der Hotline war nicht sehr befriedigend, es wurde gesagt der Router kann nur Ipv6 und wir sollen auf IPv4 umstellen.

 

Da stellen sich mir mehrere Fragen

 

1) Warum hat es dann schon funktioniert?

 

2) Warum gibt dann überhaupt eine IPv6 Port Forward Option in dem Router wenn IPv6 port forwarding nicht funktioniert?

 

3) Wenn der Router doch eine öffentliche IPv4 Adresse hat, warum schafft der Router nicht die Übersetzung von einem incoming 44158 call auf die Ipv6 Adresse?

 

 

 

 

Edited by flotschie
Rechtschreibfehler
Link to comment
Share on other sites

6 answers to this question

Recommended Posts

  • 2

Ich stehe aktuell vor demselben Problem, dass Port Forwarding mit iPv6 nicht funktioniert (Connect Box bei mir). Ich wäre daher auch sehr interessiert an einer Antwort.

In anderen Foren findet man größtenteils als Lösung, die Box wegen Dual Stack Lite auf iPv4 umstellen zu lassen, aber es scheint ja auch ohne zu gehen, wie man hier sieht: 

 

Link to comment
Share on other sites

  • 1

Die Connect-Box CH7465LG-LC hat im IPv6 / IPv4 DualStack-Lite Modus keine öffentliche IP-Adresse, sondern IPv4 wird über CGN (Carrier Grade NAT) realisiert. Im DS-Lite Modus ist somit auch kein IPv4 Port-Forwarding möglich. Eine solche Möglichkeit steht nur zur Verfügung wenn man sich das Modem vom Support auf reinen IPv4 (ohne IPv6)  Betriebsmodus umkonfigurieren lässt. 

 

Für IPv6 benötigt man kein Port-Forwarding, sondern die in der Connect-Box konfigurierbare IPv6 Firewall muss einfach passend konfiguriert sein, dann ist das Endgerät aus dem Internet direkt über IPv6 erreichbar. Um einen Server oder ein Service über IPv6 aus dem Heimnetz verfügbar zu machen muss man dem betreffenden Gerät also nur eine fixe IPv6-Adresse aus der /64-Range konfigurieren und in der Connect-Box Firmware die IPv6-Firewall für die betreffende Ziel-IP-Adresse des Geräte freischalten.

 

Ich kann bestätigen, dass das über IPv6 im DS-Lite-Modus problemlos funktioniert, mein Home-Server ist aus dem Internet so über SSH per IPv6 erreichbar.

Edited by gunnar
Link to comment
Share on other sites

  • 0
Am 21.5.2021 um 10:09 schrieb gunnar:

Für IPv6 benötigt man kein Port-Forwarding, sondern die in der Connect-Box konfigurierbare IPv6 Firewall muss einfach passend konfiguriert sein, dann ist das Endgerät aus dem Internet direkt über IPv6 erreichbar. Um einen Server oder ein Service über IPv6 aus dem Heimnetz verfügbar zu machen muss man dem betreffenden Gerät also nur eine fixe IPv6-Adresse aus der /64-Range konfigurieren und in der Connect-Box Firmware die IPv6-Firewall für die betreffende Ziel-IP-Adresse des Geräte freischalten.

 

Hallo Gunnar, 
ich habe hier auch das gleiche Problem. Kannst du ggf. noch mal schreiben was du mit "fixe IPv6 Adresse aus der /64 Range" meinst?
Ich habe hier eine Synology und würde gern FTP laufen lassen, bekomme aber keine externe Verbindung. Intern geht es. In der Synology habe ich eine DDNS von Synology mit IPv4 u. IPv6 Adresse, im Router unter den Filterregeln (Port Forwarding gibt es da nicht), habe ich versucht Port 20-22 freizuschalten. Laut Port Scanner ist 21 u. 22 offen, bei 20 steht dort das er closed ist. 

Wäre um Hilfe dankbar. 

Link to comment
Share on other sites

  • 0
vor 1 Stunde schrieb Magisthan:

habe ich eine DDNS von Synology mit IPv4 u. IPv6 Adresse

Laut Port Scanner ist 21 u. 22 offen, bei 20 steht dort das er closed ist. 

 

Ein DynDNS mit IPv4 ist im DS-Lite-Mode nicht möglich, du hast keine öffentliche IPv4 die hierfür nutzbar ist, das was nach außen hin sichtbar ist, ist die IPv4 des CGN.

 

Ein DynDNS mit IPv6 ist freilich möglich, wenn Deine DynDNS-Lösung das unterstützt alles fein, dann musst du auch keine "fixe IPv6" konfigurieren sondern kannst Dir diese auch dynamisch zuweisen lassen, der DynDNS-Client sorgt dann für die Updates im DNS.

 

Was Dein "Portscanner" bezwecken soll weiß ich jetzt nicht genau, ich versuche mal ein paar Gedanken dazu zu ordnen:

1. Wenn Du hier ernsthaft vor hast Klartext-FTP über Internet verfügbar zu machen, so ist es vielleicht besser Du lässt die Finger davon - oder willst Du wirklich Klartext-FTP im Jahr 2022 verwenden? Glaube nicht.

2. Selbst wenn du aktives Klartext-FTP verwendest, warum denkst du auf Port 20 sollte etwas nicht "closed" sein? Port-20 ist der Data-Port, den öffnet bei aktivem FTP nicht Dein Server sondern der Client. Insofern wird der auf Deinem NAS niemals "listening / open" sein. Vielleicht möchtest Du Dir in Erinnerung rufen wie FTP funktioniert, siehe z.B. die Skizze hier.

Edited by gunnar
Link to comment
Share on other sites

  • 0

@Gunnar

 

zunächst mal Danke das du geantwortet hast, in der Community hat bislang noch keiner auf meine Anfrage an anderer Stelle geantwortet.

 

Zu deinem geschriebenen.

Mit dem Portscanner war lediglich eine Darstellung dessen was der Scanner anzeigt, nicht das es für mich nicht nachvollziehbar wäre. Das der Port 20 closed sein sollte ist mir durchaus bewusst. 

 

Soweit scheint der FTP ja auch ansprechbar zu sein, lediglich hier scheitert es:
Status: Resolving address of xxxxxxxxxxxxxxxxxxx
Status: Connecting to [xxxx.xxxx.xxxx.xxxx.xxxx.xxxx.xxxx.xxxx]:xxxx
Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.
Status: Server does not support non-ASCII characters.
Status: Logged in
Status: Retrieving directory listing...
[09:48]
und bricht dann ab, 
Command: PWD
Response: 257 "/" is current directory.
Command: TYPE I
Response: 200 Type set to I.
Command: EPSV
Response: 229 Entering Extended Passive Mode (|||55552|)
Command: MLSD
Error: Connection timed out after 20 seconds of inactivity
Error: Failed to retrieve directory listing

 

Deshalb war meine Vermutung das IPv6 grundsätzlich funktioniert, aber anscheint liegt der Fehler irgendwo, wo ich ihn nicht sehe. Ich habe zum testen FTP genommen weil ich eben extern keinen Zugriff bekommen habe, nicht das ich vor hätte es später zu nutzen. Das FTP veraltet und mit Sicherheitslücken behaftete ist, ist schon klar.

Link to comment
Share on other sites

  • 0

Dein erster FTP-Abbruch ist einer Firewall die dem CLIENT vorgeschaltet sein dürfte geschuldet.

Im Passiven Modus freilich musst du auch die hierfür vorgesehenen dynamischen Port-Ranges in der Firewall des Modems freigeben - da reicht dann 21/tcp noch nicht aus.

 

Noch ein Nachtrag: Da man in der IPv6-Firewall des Modems ja vermutlich nicht "alles für jeden" freischalten möchte wäre die Nutzung einer statischen IP für Deinen "Server" dennoch ratsam. Wie gesagt, einfach am Endgerät die zuvor dynamisch bezogene (oder eine beliebige andere aus der gleichen /64er Range) statisch konfigurieren.

 

Edited by gunnar
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share