Zum Inhalt springen

Magenta Community

  • Ankündigungen

    • Phishing per E-Mail/SMS/MMS   
      05/23/22

      Betrüger versuchen weiter, per Phishing an Zugangsdaten für Bankkonten oder Verträge zu gelangen, diesmal per E-Mail. Und weiter gilt: weder Magenta noch irgendein Bankinstitut senden dir E-Mails, MMS oder SMS mit einem Link darin, mit dem du Sicherheitsupdates bestätigen oder deine sensiblen Zugangsdaten eingeben sollst (siehe Screenshot).  

      Weiterlesen...

IPv6 Port Forwarding funktioniert nicht

Mein Freund hat ein Gerät per WIFI mit seinem Router (Internet Fiber Box) verbunden.

Das Gerät hat eine interne IPv4 Adresse 192.168.0.xxx und eine IPv6 Adresse.

Im Router habe ich für das Gerät einen Port Forward auf 44158 eingestellt (Inbound & Outbound).

Dieser Port Forward war nur für IPv6 möglich, eine Option für IPv4 gab es nicht.

 

Das Gerät war für eine Zeit übers Internet erreichbar. Dann auf einmal nicht mehr.

 

Was wir versucht haben: 

Gerät Neustart

Router Neustart

upnp deaktivieren

Router Firewall deaktivieren

 

Nichts hat geholfen.

 

WhatsimyIp zeigt dass der Router sowohl eine IPv4 als auch eine IPv6 Adresse hat.
http://www.ipv6scanner.com/cgi-bin/main.py zeigt dass der port 44158 FILTERED ist, für die Ipv4 als auch die Ipv6 Adresse.

 

Ein Anruf bei der Hotline war nicht sehr befriedigend, es wurde gesagt der Router kann nur Ipv6 und wir sollen auf IPv4 umstellen.

 

Da stellen sich mir mehrere Fragen

 

1) Warum hat es dann schon funktioniert?

 

2) Warum gibt dann überhaupt eine IPv6 Port Forward Option in dem Router wenn IPv6 port forwarding nicht funktioniert?

 

3) Wenn der Router doch eine öffentliche IPv4 Adresse hat, warum schafft der Router nicht die Übersetzung von einem incoming 44158 call auf die Ipv6 Adresse?

 

 

 

 

Bearbeitet von flotschie
Rechtschreibfehler

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

6 Antworten auf diese Frage

Recommended Posts

Ich stehe aktuell vor demselben Problem, dass Port Forwarding mit iPv6 nicht funktioniert (Connect Box bei mir). Ich wäre daher auch sehr interessiert an einer Antwort.

In anderen Foren findet man größtenteils als Lösung, die Box wegen Dual Stack Lite auf iPv4 umstellen zu lassen, aber es scheint ja auch ohne zu gehen, wie man hier sieht: 

 

2

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Die Connect-Box CH7465LG-LC hat im IPv6 / IPv4 DualStack-Lite Modus keine öffentliche IP-Adresse, sondern IPv4 wird über CGN (Carrier Grade NAT) realisiert. Im DS-Lite Modus ist somit auch kein IPv4 Port-Forwarding möglich. Eine solche Möglichkeit steht nur zur Verfügung wenn man sich das Modem vom Support auf reinen IPv4 (ohne IPv6)  Betriebsmodus umkonfigurieren lässt. 

 

Für IPv6 benötigt man kein Port-Forwarding, sondern die in der Connect-Box konfigurierbare IPv6 Firewall muss einfach passend konfiguriert sein, dann ist das Endgerät aus dem Internet direkt über IPv6 erreichbar. Um einen Server oder ein Service über IPv6 aus dem Heimnetz verfügbar zu machen muss man dem betreffenden Gerät also nur eine fixe IPv6-Adresse aus der /64-Range konfigurieren und in der Connect-Box Firmware die IPv6-Firewall für die betreffende Ziel-IP-Adresse des Geräte freischalten.

 

Ich kann bestätigen, dass das über IPv6 im DS-Lite-Modus problemlos funktioniert, mein Home-Server ist aus dem Internet so über SSH per IPv6 erreichbar.

Bearbeitet von gunnar
0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Am 21.5.2021 um 10:09 schrieb gunnar:

Für IPv6 benötigt man kein Port-Forwarding, sondern die in der Connect-Box konfigurierbare IPv6 Firewall muss einfach passend konfiguriert sein, dann ist das Endgerät aus dem Internet direkt über IPv6 erreichbar. Um einen Server oder ein Service über IPv6 aus dem Heimnetz verfügbar zu machen muss man dem betreffenden Gerät also nur eine fixe IPv6-Adresse aus der /64-Range konfigurieren und in der Connect-Box Firmware die IPv6-Firewall für die betreffende Ziel-IP-Adresse des Geräte freischalten.

 

Hallo Gunnar, 
ich habe hier auch das gleiche Problem. Kannst du ggf. noch mal schreiben was du mit "fixe IPv6 Adresse aus der /64 Range" meinst?
Ich habe hier eine Synology und würde gern FTP laufen lassen, bekomme aber keine externe Verbindung. Intern geht es. In der Synology habe ich eine DDNS von Synology mit IPv4 u. IPv6 Adresse, im Router unter den Filterregeln (Port Forwarding gibt es da nicht), habe ich versucht Port 20-22 freizuschalten. Laut Port Scanner ist 21 u. 22 offen, bei 20 steht dort das er closed ist. 

Wäre um Hilfe dankbar. 

0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 1 Stunde schrieb Magisthan:

habe ich eine DDNS von Synology mit IPv4 u. IPv6 Adresse

Laut Port Scanner ist 21 u. 22 offen, bei 20 steht dort das er closed ist. 

 

Ein DynDNS mit IPv4 ist im DS-Lite-Mode nicht möglich, du hast keine öffentliche IPv4 die hierfür nutzbar ist, das was nach außen hin sichtbar ist, ist die IPv4 des CGN.

 

Ein DynDNS mit IPv6 ist freilich möglich, wenn Deine DynDNS-Lösung das unterstützt alles fein, dann musst du auch keine "fixe IPv6" konfigurieren sondern kannst Dir diese auch dynamisch zuweisen lassen, der DynDNS-Client sorgt dann für die Updates im DNS.

 

Was Dein "Portscanner" bezwecken soll weiß ich jetzt nicht genau, ich versuche mal ein paar Gedanken dazu zu ordnen:

1. Wenn Du hier ernsthaft vor hast Klartext-FTP über Internet verfügbar zu machen, so ist es vielleicht besser Du lässt die Finger davon - oder willst Du wirklich Klartext-FTP im Jahr 2022 verwenden? Glaube nicht.

2. Selbst wenn du aktives Klartext-FTP verwendest, warum denkst du auf Port 20 sollte etwas nicht "closed" sein? Port-20 ist der Data-Port, den öffnet bei aktivem FTP nicht Dein Server sondern der Client. Insofern wird der auf Deinem NAS niemals "listening / open" sein. Vielleicht möchtest Du Dir in Erinnerung rufen wie FTP funktioniert, siehe z.B. die Skizze hier.

Bearbeitet von gunnar
0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@Gunnar

 

zunächst mal Danke das du geantwortet hast, in der Community hat bislang noch keiner auf meine Anfrage an anderer Stelle geantwortet.

 

Zu deinem geschriebenen.

Mit dem Portscanner war lediglich eine Darstellung dessen was der Scanner anzeigt, nicht das es für mich nicht nachvollziehbar wäre. Das der Port 20 closed sein sollte ist mir durchaus bewusst. 

 

Soweit scheint der FTP ja auch ansprechbar zu sein, lediglich hier scheitert es:
Status: Resolving address of xxxxxxxxxxxxxxxxxxx
Status: Connecting to [xxxx.xxxx.xxxx.xxxx.xxxx.xxxx.xxxx.xxxx]:xxxx
Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.
Status: Server does not support non-ASCII characters.
Status: Logged in
Status: Retrieving directory listing...
[09:48]
und bricht dann ab, 
Command: PWD
Response: 257 "/" is current directory.
Command: TYPE I
Response: 200 Type set to I.
Command: EPSV
Response: 229 Entering Extended Passive Mode (|||55552|)
Command: MLSD
Error: Connection timed out after 20 seconds of inactivity
Error: Failed to retrieve directory listing

 

Deshalb war meine Vermutung das IPv6 grundsätzlich funktioniert, aber anscheint liegt der Fehler irgendwo, wo ich ihn nicht sehe. Ich habe zum testen FTP genommen weil ich eben extern keinen Zugriff bekommen habe, nicht das ich vor hätte es später zu nutzen. Das FTP veraltet und mit Sicherheitslücken behaftete ist, ist schon klar.

0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Dein erster FTP-Abbruch ist einer Firewall die dem CLIENT vorgeschaltet sein dürfte geschuldet.

Im Passiven Modus freilich musst du auch die hierfür vorgesehenen dynamischen Port-Ranges in der Firewall des Modems freigeben - da reicht dann 21/tcp noch nicht aus.

 

Noch ein Nachtrag: Da man in der IPv6-Firewall des Modems ja vermutlich nicht "alles für jeden" freischalten möchte wäre die Nutzung einer statischen IP für Deinen "Server" dennoch ratsam. Wie gesagt, einfach am Endgerät die zuvor dynamisch bezogene (oder eine beliebige andere aus der gleichen /64er Range) statisch konfigurieren.

 

Bearbeitet von gunnar
0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden


×

Magenta Webmail Login

Bitte wählen Sie aus, in welches Webmail Sie sich einloggen möchten.