Ubuntu-Server weder aus dem Heimnetz noch von außerhalb erreichbar

IPv64.net - Services
,
1

Nach jahrelangem Betrieb einer Nextcloud auf einem Raspi wechsele ich auf einen Mini-PC. Ubuntu installiert und Nextcloud (C.Rieger). Was ich auch versuche, der Server ist nicht erreichbar (SSH funktioniert)

Ausgangslage: Fritzbox 7690, aktuelle Firmware, Deutsche Glasfaser mit IPv4-Adresse sowie IPv6-Aresse und IPv6-Präfix (bisher alle konstant), Arbeitsgerät Mac

Fritzbox-Einstellungen: IPv6 Unterstützung aktiv, Native IPv4-Anbindung, DHCPv6 Rapid Commit

Erweitere Netzwerkeinstellungen: Router Advertisement in LAN aktiv, Unique local Adress immer zuweisen, FB stellt Standard-Internetzugang, DNSv6-Server für das Heimnetz aktivieren, DNS-Server Präfix (IA_PD) und IPv6-Adresse (IA-NA) zuweisen.

4 Portfreigaben für den Server über MyFritz-Freigaben eingerichtet (80, 443) mit MyFritz-Adressen (Fritzbox hat einen 4000er TCP-Port)

IPv64.net: IPv64 Adresse für Server eingerichtet: ignore IPv4, IPv6 Präfix gesichert

DynDNS Anmeldedaten in Fritzbox eingetragen, IPv6-Status erfolgreich angemeldet. Aber Ereignismeldung: DynDNS-Fehler: Die DynDNS-Aktualisierung war erfolgreich, anschließend trat jedoch ein Fehler bei der DNS-Auflösung auf

IPv64 Update-Record trägt immer die von DG erhaltene IPv6-Adresse ein, nicht die Serveradresse. Open Domain in IPv64 öffnet die Fritzbox.

Deshalb Created Record mit Präfix und Server-IP. Open Domain öffnet ebenfalls die Fritzbox und nicht den Server!

Die MyFritz-Adresse für den Server kann keine Verbindung zum Server aufbauen.

DNS-Rebind-Schutz enthält die IPv64-Adresse, die MyFritz-Adresse des Servers , die IPv6 des Servers (in eckigen Klammern) und den Servernamen.

Aus dem Internet heraus wird kein Server gefunden, egal welche Adresse ich eingebe (ipv64, MyFritz oder IPv6 des Servers)

Ich habe bereits den ONT getrennt, die Fritzbox auf Werkseinstellungen zurückgesetzt, einen 2. Mini-PC versucht - es ändert sich nichts.

Ach ja: Ping (von SSH-Server aus) auf die ipv64-Adresse geht (vermutlich auf die FB)

Ping über ipv64.net auf die ipv64-Server-Adresse geht sowohl aus dem Heimnetz, als auch aus dem Internet heraus (aber die Verbindung führt nur im Heimnetz auf die FritzBox)

Die hervorgehoben Adressen sind die des Servers. Mit der 4. Adresse kann ich nichts anfangen.

root@ncmini:/home/ur# /sbin/ifconfig

eno1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500

    inet 1***92.168.178.45***  netmask 255.255.255.0  broadcast 192.168.178.255

    inet6 ***2a00:6020:4900:2e00:6a1d:efff:fe5d:711c***  prefixlen 64  scopeid 0x0<global>

    inet6 fe80::6a1d:efff:fe5d:711c  prefixlen 64  scopeid 0x20<link>

    inet6 fd33:1f64:a923:0:6a1d:efff:fe5d:711c  prefixlen 64  scopeid 0x0<global>

    ether 68:1d:ef:5d:71:1c  txqueuelen 1000  (Ethernet)

    RX packets 841553  bytes 869518409 (869.5 MB)

    RX errors 0  dropped 100095  overruns 0  frame 0

    TX packets 290867  bytes 32285784 (32.2 MB)

    TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536

    inet 127.0.0.1  netmask 255.0.0.0

    inet6 ::1  prefixlen 128  scopeid 0x10<host>

    loop  txqueuelen 1000  (Local Loopback)

    RX packets 37945  bytes 13051080 (13.0 MB)

    RX errors 0  dropped 0  overruns 0  frame 0

    TX packets 37945  bytes 13051080 (13.0 MB)

    TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Wo liegt mein Fehler? Hoffentlich kann mir geholfen werden.

2

Das zu wissen sind aber die Grundlagen von IPv6

  1. Adresse = IPv4
  2. Adresse = IPv6-GUA (Global Unique IPv6 Adresse)
  3. Adresse = IPv6-LLA (Link-Local IPv6 Unicast Adresse)
  4. Adresse = IPv6-ULA (Unique-Local IPv6 Adresse)

Die Vergabe von ULA’s kannst du in der Fritteuse deaktivieren, wenn du GUA’s bekommst. Um mit den ULA’s global kommunizieren zu können benötigt man NAT66. Haste vermutlich nicht konfiguriert.

  • Zeigt denn die Freigabe in der Fritte auf die GUA des Servers?
  • Welche Update URL verwendest du in der Fritteuse?
3

Zunächst einmal danke für die Nachricht.

Die Vergabe von ULA‘s habe ich deaktiviert.

Die Freigabe in der Fritzbox gilt für die GUA des Servers. Und als Update URL habe ich die zweite für die Fritzbox gewählt (IPv6-Präfix). Habe aber auch die erste ausprobiert. Ohne Erfolg.

Die Fritzbox aktualisiert immer auf die erste IPv6-Adresse.

image
image1668×1390 236 KB

Wenn ich diese lösche, wird die zweite Adresse (Serveradresse) nach gewisser Zeit auf die erste geändert. Wie schon mitgeteilt, öffnen beide im Heimnetz die Fritzbox. Von Außerhalb passiert nichts (endloses Laden).

image
image1668×704 114 KB

Hoffentlich helfen diese Informationen weiter. Ich muss doch zumindest aus dem Heimnetz auf den Server kommen.

4

Wenig überraschend, denn du hast gleich mehrere Denk-/Konfigurationsfehler eingebaut.

  1. du weist einer Domain unterschiedliche Ipv6-Adresen zu. WOW! Das ist als wenn du auf einen Briefumschlag zwei Adressen schreibst, einmal die des Hauses irgendwo im Ruhrgebiet und dann noch die der Ferienwohnung auf der Nordseeinsel. Wie soll die Post da wissen wo sie den zustellen soll!? Soll gelost werden?
  2. Du beklagst, dass du aus dem Heimnetz nicht auf den Server kommen kanst. Mit falscher IP-Adresse kann das sowieso nicht klappen und mit richtiger mit den Default-EInstellungen der Fritteuse auch nicht. Denn der DNS-Rebind-Schutz der Fritteuse blockiert Zugriffe aus dem Heimnetz auf Webseiten, die in lokale IP-Adressen auflösen (Sicherheitsfunktion). Dafür braucht es einer Ausnahmeregel für den Server.
  3. Unter IPv6-Prefix (DynDNS Prefix) wurde ein Prefix aktualisiert. Nur der des WAN-Interfaces und nicht der des LAN’s. Also der für dein Ansinnen falsche IPv6-Prefix. Da hab ich mich geirrt. Siehe weiter unten.

2eaa0cd9972772bceecd4247b4d3cbdac365fe34
2eaa0cd9972772bceecd4247b4d3cbdac365fe341668×434 167 KB

Die Fritteuse kennt einer Übersicht der vergebenen IPv6-Präfixe. Sieht so aus:

Verwendete IPv6 Präfixe
Verwendete IPv6 Präfixe700×258 30.1 KB

Wo genau zu finden ist abhängig von der Version des Fitten-OS. Musst mal suchen

Zeige zudem (mit anonymisierten Key) hier die von dir verwendete Update-URL als Vorformatierter Text (wichtig) denn sonst fehlt die Hälfte der URL.

5

Das fettgedruckte Prefix ist nicht das des WANs, das des WANs steht obendrüber im 1. Record.

@urausch Du musst die Fritte nur das Prefix aktualisieren lassen und den Host der Nextcloud mithilfe des Interface-Identifiers angeben… Und wie Eagle schon richtig sagt, zwei verschiedene IPs auf die gleiche Domain knallt…

6

In @urausch Bildschrimfoto der Fritte (Verbindungsdetails) ist der vom ISP zugewiesene /56er Präfix sichtbar. Der wurde auch an ipv64 übermittelt. Benötigt wird aber doch der /64 des LAN’s der Fritte.

7

Der Prefix ist aber als /64 sichtbar in IPv64 und nicht als /56, und wenn das LAN wie defaultmäßig den ersten /64 bekommen hat, stimmt das…

8

ja, kann sein, aber dann ist das was die Fritte da unter VerbindungsdetailsInternet, IPv6 als /56 anzeigt in Wahrheit kein /56erPräfix sondern bereits der aus dem vom ISP zugewiesenen /56er-Präfix abgeleitete /64-Präfix des LAN’s.

Wäre dann wieder so eine Fritteusen-typische Vereinfachung der Darstellung und Konfiguration für Otto-Normal-User die aber eigentlich nicht wirklich korrekt ist

Nachtrag: und ja @m-electronics du hast schon deswegen recht, weil das was da als /56er dargestellt wird 8 Bit zu lang ist für einen /56er-Präfix. Der wäre korrekt: 2a00:6020:4900:2e:. Es bleiben dann eben noch 8 Bit für Subnet-Präfixe übrig. Da hab ich nicht genau genug hingesehen / nachgedacht.

9

Ne, das was unter Internet-Details angezeigt wird, ist der Prefix, den die FB vom Provider bekommt…
Und davon der erste /64 ist der, der dem LAN zugewiesen wird…

10

@urausch für dich ist das folgende Off-Toppic. Kannste ignorieren.

@m-electronics ich will jetzt mit dir keine Korinthenkacker-Diskussion anfangen, aber die ersten 56 Bit einer Ipv6-Adresse sind: 2001:aaaa:bbbb:cc:: Die Fritteuse stellt unter VerbindungsdetailsInternet, IPv6 aber 2001:aaaa:bbbb:cc00:: dar, was dann einer Länge von 64 Bit entspricht.

Die 8 Bit, die die Differenz zwischen 64 Bit und 56 Bit sind, sind dann der Subnetz-Präfix (hexadezimal also von 0 bis ff). Die Fritte fügt den Subnetz-Präfix also unter VerbindungsdetailsInternet, IPv6 bereits hinzu, schreibt aber dennoch /56 dahinter.

11

Ne, 2001:aaaa:bbbb:cc::/56 würde auch heißen, dass vorne dran 2 Nullen fehlen. Also wäre das dann 2001:aaaa:bbbb:00cc::/56 was schon ein Subnetz im 2001:aaaa:bbbb:0000::/56 wäre…

12

Ja, das stimmt mit den Nullen. Aber nicht alle Router hängen fürs Heinnetz (LAN) dann einfach so und ungefragt die Nullen hinten dran um ein /64-er Präfix fürs LAN zu bilden.

pfsense und OPNsense machen da nichts automatisch und ungefragt. Da muss man dann schon selbst bei den LAN-Interfaces unter Track IPv6 InterfaceIPv6 Prefix ID einen Wert vorgeben und der muss nicht Null sein und natürlich braucht jedes LAN-Interface da einen anderen Wert. Sonst knallt es auch.

13

Ja, das weiß ich…
Aber die Fritteuse macht es so, meines Wissens nach

14

Und außerdem hinkt dein Beispiel leider etwas. Denn nur bei einem /64er Präfix ist 2001:aaaa:bbbb:cc:: = 2001:aaaa:bbbb:cc00::, nicht aber bei einem /56er Präfix. Denn in die 56 Bit, die der lang ist, passen die angehängten zwei Nullen gar nicht mehr rein. Siehe dazu gern auch mal:
IPv6-Adressen → die Abbildung: IPv6-Adresse im Detail

15

image
image1023×1139 88.4 KB

Danke für eure interessanten Beiträge und Versuche, mir zu helfen. Etwas verwirrend ist es schon für mich, weil ich die von der DG übergebenen Adressen ja nicht beeinflussen kann. Und in die zugebender Maßen chaotische Situation bin ich reingeschlittert, weil alle Versuche nicht erfolgreich waren. Verschlimmbessert nennt man das wohl.

Unter Netzwerkverbindungen der Geräte gibt mir die FB ja die IPv6-GUA des Servers an (die mit dem fettgedrucktem Präfix). Damit komme ich mit dem Browser weder aus dem Heimnetz noch von außen auf den Server (ohne ivp64).

Auch mit dem WAN-Präfix (..1000:48) vor der Server-lP klappt es nicht. Da stimmt doch schon irgendwas nicht?? Müsste nicht eine der beiden Alternativen zum Server gelangen?

Übrigens IPv6 Prefix autodetct auf der ipv64-Seite gibt den fett gedruckten Prefix aus (mit /64).

Bitte gebt nicht auf!

16

Also deine Update URL ist richtig.

Der primäre Fehler von dir ist, dass du deiner Domain (urausch.ipv64.de) zwei unterschiedliche IPv6-Adressen gibst. Das muss einfach schief gehen.

Eine Domain kann nicht zeitgleich auf zwei unterschiedliche IPv6-Adressen verweisen. Eine davon muss zwangsläufig verworfen werden.

Was kannst du tun? Entweder

  • nur den IPv6-Präfix aktualisieren oder
  • dem Eintrag für Server mit der Nextcloud bei ipv64 einen Domain-Präfix verpassen, also z.B. nextcloud.urausch.ipv64.de und dann noch das Häkchen bei den Wildcards entfernen
17

Das ist mir schon klar - und geändert. Aber egal, welche Adresse ich eingebe (Präfix des Heimnetzes oder WAN vor dem Server-IP-Adressteil) es funktioniert nicht.

Muss es nicht über den Browser klappen?

18

Was genau ist dir schon klar - und geändert?

Konkret gefragt: zeig bitte noch mal dieses Bild mit den aktuell von dir vorgenommenen Änderungen. Denn genau dort, in den dort von dir vorgenommenen Einstellungen, liegt der Hauptfehler.

20

Auch hier sag bitte genau was über den Browser klappen sollte. Die Nextcloud per IPv6-Adresse erreichen? Wird auch nur bedingt klappen. Bei Firefox gibt’s dann eine Warnmeldung

Seien Sie vorsichtig. Irgendetwas stimmt hier nicht.
Firefox hat ein möglicherweise schwerwiegendes Sicherheitsproblem auf [2001:9e8:aaaa:bbbb:cccc:ff:fe98:dddd] entdeckt

21

image
image1668×897 148 KB

Den IPv6-Präfix (Save …) setzt ipv64 bei einem Update ein, egal, welchen ich vorher reingeschrieben habe (z.B. WAN-Präfix).