Hallo zusammen,
ich benötige mal euren Support. Obwohl ich mir hier in anderen Themen schon einiges zusammengesucht habe, verzweifle ich so langsam mit meiner bisherigen Konfiguration und hoffe, ihr könnt mir etwas Licht ins Dunkle bringen…
Systeme im Einsatz:
- Unifi Dream Machine
- Synology NAS mit Container Manager (Docker)
- DDNS bei Synology (soll abgelöst werden) mit IPv64
- Reverse Proxy von Synology
ISP ist die Telekom mit Dual-Stack, leider kommt demnächst die Deutsche Glasfaser mit IPv6 (und IPv4 CGNAT).
Ich habe bisher versucht, so viel wie möglich mit Bordmitteln zu lösen, damit ich es auch einfach konfigurieren kann…
Ich möchte einige Container auf der Synology (Docker Host oder per eigener IP über Macvlan) online verfügbar haben… Mit meiner bisherigen Konfiguration per IPv4 über DDNS (Synology.me) und Reverse Proxy ist dies aktuell auch möglich. Die aktuelle DDNS zeigt auf mein NAS, welches über DDNS Dienst die IP Adresse IPv4 aktuell hält, sodass ich über die Domain jederzeit auf mein NAS gelange. Ein Port-Forwarding in der Unifi sorgt dafür, dass der Port an die IPv4 der Synology weitergeleitet wird, wo der Reverse Proxy dann anhand eines Domain Prefix in einzelne Container weiterleitet.
Beispiel:
dienst1.mein-nas.synology.me:34567 zeigt auf meinen Medienserver
dienst2.mein-nas.synology.me:34567 zeigt auf meinen Passwortmanager
und so weiter…
Im Reverse Proxy ist somit die Domain dienst1.mein-nas.synology.me über Port 34567 definiert und zeigt intern auf meine IPv4 Adresse 192.168.1.100 auf Port 8096. Die Domain dienst2.mein-nas.synology.me über Port 34567 definiert und zeigt intern auf meine IPv4 Adresse 192.168.1.100 auf Port 3333…
Nun möchte ich dies von IPv64 ablösen, wäre es IPv4 only, würde ich dies auch recht einfach selbst bewältigen können. Da aber IPv4 ein anderes Konstrukt hat, als IPv6, habe ich einige Fragen, was nun wo für IPv6 zu erledigen ist.
Dies habe ich auch schon hinbekommen, allerdings immer nur, wenn ich die aktuelle IPv6 Adresse in der IPv64 Domain als AAAA hinterlege und die Firewall entsprechend öffne…
Nun habe ich mir einige Videos (unteranderem die von Dennis) angesehen, wo ich den Prefix dynamisch halten kann… allerdings stellen sich mir einige Fragen:
- Kann bzw sollte ich weiterhin per IPv4 und IPv6 auf meinen Router zeigen und dann per Reverse Proxy weiter arbeiten oder geht dies nicht mehr?
- Auf welchem Gerät lasse ich die Services idealerweise laufen, damit sich die DDNS Adresse anpasst (in Abhängigkeit zur ersten Frage)?
- Muss ich immer die vollständige Adresse eingeben, oder kann ich den Prefix per „&ipv6prefix=auto“ verwenden und dann nur eine ::16 mit Subdomain eintragen? oder werden diese Adresszuweisungen nicht funktionieren?
- Wie kann ich in der Zonen-basierten Firewall von Unifi nur den hinteren Teil einer IP Adresse eintragen, da sich der Präfix ja ändern kann?
- Müsste ich für IPv4 weiterhin den Router und Reverse Proxy verwenden, für IPv6 allerdings dann jedes Gerät freigeben?
- Wie funktioniert das ganze, wenn ich nicht Port 80 oder 443 verwende, sondern andere nicht offensichtliche Ports? Und kann ich per IPv64 Domain dann vllt den Port automatisch ergänzen, der zum Reverse Proxy führt, ohne ihn hinter die Domain eintragen zu müssen?
Vielleicht noch einige Infos:
In der Unifi DM habe ich folgendes konfiguriert:
WAN: IPv6 Connection ist SLAAC (mit DHCPv6 bekomme ich keine IPv6 Adresse) und Prefix Delegation Size ist 56
Mein VLAN, in welchem die Geräte sind (NAS oder auch MACVLAN mit dediziertem Bereich), ist folgendermaßen konfiguriert: DHCPv6
DHCP Range Startet bei ::10 und stoppt bei ::99, Router Advertisement ist aktiv, DNS Server auf Auto, Allow SLAAC ist ebenso aktiv
Mein NAS hat aktuell zwei IPv6 Adressen laut Unifi: (Prefix abgeändert)
2003:e4:5678:1234::14
2003:e4:5678:1234:211:55ee:fee0:55b
und natürlich die Link Local…
Mein Router, also die Unifi DM hat ein anderes Prefix:
2003:e4:5690:6789:2b7f:f15d:660b:bdf1
Deswegen ergeben sich die Fragen, ob ich nun den Router per Script an IPv64 weitergebe, damit die Adresse aktuell gehalten wird und dann per Reverse Proxy weiterarbeiten kann, oder aber ob ich die Synology dazu bewegen muss, eine IPv6 Adresse an IPv64 zu melden inklusive Prefix Änderung…
So, das erst einmal in Kürze, ich hoffe, mein Problem ist verständlich… ansonsten sagt mir gerne, was ihr an Infos braucht, dann reiche ich das gerne nach… Schon jetzt einmal vielen Dank für eure Tipps und Hilfen.
Beste Grüße