Pi per IPv6 von außen nicht erreichbar

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo zusammen,

    ok, lange Geschichte:

    Ich habe einen Anschluss bei UnityMedia und damit nur eine öffentliche IPv6: 2a02:8070:8800:[...]
    Mein lokales Präfix für IPv6 ist: 2a02:8070:888d:[...]:

    Der Pi hat folgende Interface-ID: ::174b:bb7:e3e1:d521

    Über einen Hoster habe ich einen Root-Server angemietet, der IPv4 und IPv6 kann. Von dort löst "ping6 ipv6.google.com" korrekt auf, und der Ping kommt zurück.
    Dann hab ich auch meine Fritzbox angepingt, funktioniert prima.

    Leider schlägt jetzt der nächste Schritt zum Pi fehl. Hier also, was ich schon probiert hab:

    • Apache auf dem Root Server aufgemacht, mit dem Pi darauf zugegriffen, im Access.log die IPv6 rauskopiert, Ping zurückgeschickt: Destination unreachable: Administratively prohibited, aber witzigerweise von der FritzBox. Also in der FritzBox nochmal nachgeschaut: ping6 ist erlaubt
    • Wenn ich das Präfix + die Interface ID eingebe, kommt auch ein Fehler von der FritzBox zurück, aber dieses Mal "Destination unreachable: Address unreachable"
    • Pi und FritzBox können sich über IPv6 anpingen
    • Ich habe auf dem Pi einen Apache laufen, der über Port 80 erreichbar ist. Auf der FritzBox ist Port 80 weitergeleitet auf den Pi. Im internen Netz kann ich über die lokale IPv6 des Pi mit wget die Webseite abziehen. Extern mit wget -6 https://[...]:80 komme ich aber nicht drauf:
    Code
    wget -6 http://[2a02:8070:888d:[...]:174b:bb7:e3e1:d521]:80
    --2017-09-16 19:28:29--  http://[2a02:8070:888d:[...]:174b:bb7:e3e1:d521]/
    Connecting to [2a02:8070:888d:[...]:174b:bb7:e3e1:d521]:80... failed: No route to host.

    Ich weiß jetzt leider nicht mehr weiter, oder in welches Log ich reinschauen könnte, um diesen Fehler zu debuggen :(

    Könnt ihr mir bitte weiterhelfen?

  • Zitat von "Tronn" pid='300090' dateline='1505583306'


    Der Pi hat folgende Interface-ID: ::174b:bb7:e3e1:d521


    Konfiguriere deinen PI so, dass dieser eine feste Interface-ID (mac-address-basierend) hat, wenn er border device sein soll.

    Zitat von "Tronn" pid='300090' dateline='1505583306'


    [*]Ich habe auf dem Pi einen Apache laufen, der über Port 80 erreichbar ist. Auf der FritzBox ist Port 80 weitergeleitet auf den Pi. Im internen Netz kann ich über die lokale IPv6 des Pi mit wget die Webseite abziehen. Extern mit wget -6 https://[...]:80 komme ich aber nicht drauf:

    Bei IPv6 gibt es keine Portweiterleitung, denn das Gerät steht mit seiner externen/globalen IPv6-Adresse (direkt) im Internet. Du musst in deiner FritzBox (Firewall) nur die IPv6-Freigabe, für deinen PI konfigurieren.

    Evtl. auch einen v6-ddns-Client auf deinem PI installieren/konfigurieren (... wenn Du einen v6-ddns-Provider hast).

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (16. September 2017 um 22:55)

  • Hallo und danke für deine Antwort!

    So wie ich die Oberfläche der FritzBox verstehe, ist diese Interface-ID fest vergeben, sobald einmal bei den Freigaben gesetzt.

    Du sagst, es gibt bei IPv6 keine Portweiterleitung. Das verstehe ich nicht, denn angehängter Screenshot ergäbe dann keinen Sinn. Man sieht eindeutig, dass ich eine Portweiterlung für ein IPv6-Gerät einrichten kann.

    Ich dachte auch, dass das überflüssig sei, da mit IPv6 alle Geräte im Internet hängen, aber um die Angriffsfläche zu verringern wäre es natürlich auch sinnvoll, die Geräte hinter einem Gateway zu verstecken, was die FritzBox meiner Ansicht nach gerade tut.

    Ansonsten sehe ich in meinem Setup keinen Fehler im Gegensatz zu deiner Beschreibung. Du sagst ja, ich soll die Freigabe für den Pi aktivieren, und das hab ich an der Stelle auch getan, Port 80 und Ping6 durchgelassen. Auch mal den Pi neu gestartet.

    Hast du sonst noch eine Idee, wie man das Problem weiter eingrenzen könnte und vielleicht nachvollziehen könnte, an welcher Stelle es scheitert?

  • Zitat von "Tronn" pid='300114' dateline='1505596792'


    So wie ich die Oberfläche der FritzBox verstehe, ist diese Interface-ID fest vergeben, sobald einmal bei den Freigaben gesetzt.

    Naja, das ist abhängig von der Konfiguration des PI. Z. B.:

    Code
    slaac private


    oder

    Code
    slaac hwaddr


    in der dhcpcd.conf (oder gleichwertig) des PI.

    Zitat von "Tronn" pid='300114' dateline='1505596792'


    Du sagst, es gibt bei IPv6 keine Portweiterleitung. Das verstehe ich nicht, denn angehängter Screenshot ergäbe dann keinen Sinn. Man sieht eindeutig, dass ich eine Portweiterlung für ein IPv6-Gerät einrichten kann.

    Das ist lediglich eine (rudimentäre) "IPv6-Firewall", die auch OK ist, auf der FritzBox.

    Zitat von "Tronn" pid='300114' dateline='1505596792'


    Hast du sonst noch eine Idee, wie man das Problem weiter eingrenzen könnte und vielleicht nachvollziehen könnte, an welcher Stelle es scheitert?

    Poste mal hier _temporär_ die externe IPv6-Adresse (die Du in der FB freigegeben hast), damit ich von meinem Anschluss einen v6-test-Ping auf deinen PI mache.

    EDIT:

    Zitat von "Tronn" pid='300114' dateline='1505596792'


    Pi und FritzBox können sich über IPv6 anpingen

    Wie machst Du von deiner FB6490-cable einen v6-Ping auf deinen PI?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (17. September 2017 um 11:55)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!