Webserver per IPv6 erreichen bei dynamischen Präfix

    Moin

    Ich habe meine Fritzbox durch ein Cloudgateway ultra ersetzt. Soweit läuft auch alles aber da ich gerne rumspiele und wissen will wie es geht komme ich nun mit einem Punkt nicht weiter. Ich habe einen Nginx Revers Proxy laufen ua. für Homeassistant. Über IPv4 ist der natürlich zu erreichen, einfach eine Portfreigabe angelegt und gut. Über IPv6 kann die Unifi Firewall das natürlich nicht so wirklich (zumindest über das Webif) weil sich irgendwann der IPv6 Präfix ändert und die Firewall Regel nicht mehr gilt.

    Nun soll das ja irgendwie über die SSH console funktionieren eine Firewall Regel ohne Präfix zu definieren, gefunden habe ich dazu was, das war aber immer für das USG und bislang hat das auch nicht funktioniert.

    Das wird nix. Können die Unifis einfach noch nicht ... IPv6 ist da ein rotes Tuch. USG Tutorials kann man getrost vergessen, da dort ein anderes System drunter liegt und z.B. diese gateway.json Dinge nie auf UDM und Co. liefen.

    Per ssh irgendwas an den Firewalleinstellungen zu konfigurieren, bringt auch nichts. Da wird sehr schnell das händisch konfigurierte Zeug überschrieben mit Defaults oder Werten, welche in der GUI gesetzt sind.Das einzige was ginge ist wohl den Port generell für IPv6 zu öffnen, was allerdings überhaupt keine Option darstellt.

    Moin

    Gut dann lassen wir das mit IPv6 vorerst. Da mein Glasfaseranbieter auf Wunsch ja auch öffentliche IPv4 anbietet, die ich natürlich habe brauche ich das nicht wirklich mit der Freigabe über ipv6. Die Fritzbox konnte das, aber bis auf einmal zum Testen habe ich das dort auch nie benutzt. Sicherheitstechnisch vielleicht auch besser nur über eine IP erreibar zu sein als über zwei.

    Moin

    Also die Fähnchenlösung über SSH funktioniert, mal sehen wie lange. Ich habe folgendes gemacht

    ip6tables -I UBIOS_WAN_IN_USER 3 -d ::1234:abcd:0011:1234/::ffff:ffff:ffff:ffff -p tcp -m multiport --dport 80 -j RETURN damit ist der Nginx auch per IPv6 erreichbar, das sollte theoretisch auch einen Präfix wechsel überleben, sofern das UGC die Firewall Regel dann nicht überschreibt.

    so geht es zumindest und ich habe mein wissen und Spieltrieb befriedigt das hinzubekommen, brauchen tun ich das nun nicht wirklich da ich IPv4 habe.

    Quote from turrican944

    ip6tables -I UBIOS_WAN_IN_USER 3 -d ::1234:abcd:0011:1234/::ffff:ffff:ffff:ffff -p tcp -m multiport --dport 80 -j RETURN

    Da wird es überschrieben...is nur ne frage der zeit, Beim Präfix Wechsel auch den Provider oder beim manuellen spielen mit dem FW Reglen.

    Besser währe es wahrscheinlich sie direkt in die Forward chain einzubauen, da wird sie jedenfalls

    bisher nicht von UNIFI überschrieben. (weil unifi nur "UBIOS*" anfasst)

    als so was wie:

    ip6tables -I FORWARD 1 -d ::1234:abcd:0011:1234/::ffff:ffff:ffff:ffff -p tcp -m multiport --dport 80 -j RETURN

    Ich habe das jetzt mal auf FORWARD geändert, läuft auch. Die besser Lösung wäre wohl sich ein Skript zu bauen, das den Präfix ermittelt und dann die IP Adresse des Gerät daraus zusammen baut und einträgt. Muss ich mich mal wenn ich Zeit und Lust habe mit beschäftigen, da ich ja von meinem Glasfaser Provider auch einen großzügigen /48 Präfix bekomme sind das ja nur die ersten 3 Blöcke die sich ändern können.
    Aber eigentlich sollte die Unifi Heinis das mal einbauen, wie machen die Amis das denn wenn sie CGNat haben oder bekommen die Amis alle Statische IPv6 Präfixe ?

    Muss ich mal meinen Provider fragen ob ich einen Statischen Präfix bekommen kann, da es ein lokaler ist vielleicht spielt der ja mit. Meine gebuchte IPv4 hat sich jedenfalls seit dem ich Glasfaser habe (3 Jahre) noch nie geändert.

    Quote from turrican944

    wie machen die Amis das denn wenn sie CGNat haben oder bekommen die Amis alle Statische IPv6 Präfixe ?

    Nö auch wenn sie im Verhältnis öfters Statische Präfixe haben ist das da genau das gleiche wie hier auch.

    Statisch gib es mit mehr Geld oder als Business Anschluss. Der eine oder andere macht es auch so, tendenziell eher

    die kleineren oder wie auch hier bei den Kabel Leuten die den gleichen Präfix auch mal nach einem Modem Reboot

    raushauen weil sie da andere Techniken / Optionen haben und nur alle Jubel Monate einen Wechsel forcieren.

    Quote from turrican944

    Aber eigentlich sollte die Unifi Heinis das mal einbauen, wie machen die Amis das denn wenn sie CGNat haben oder bekommen die Amis alle Statische IPv6 Präfixe ?

    Muss ich mal meinen Provider fragen ob ich einen Statischen Präfix bekommen kann, da es ein lokaler ist vielleicht spielt der ja mit. Meine gebuchte IPv4 hat sich jedenfalls seit dem ich Glasfaser habe (3 Jahre) noch nie geändert.

    Ich hab manchmal die Vermutung, nur die deutschen Provider sind so dämlich, dynamische Prefixe zu vergeben, wobei gerade IPv6 dazu gedacht ist, jedem Maulwurfhügel ne IP zu geben - es gibt genug.

    Warum bekommen Provider wie z.b. Vodafone Kabel es nicht gebacken, das man ordentlich umzusetzen und den Kunden statische IPv6-Adressen und Prefixe zu geben - ich hab aufgegeben, das verstehen zu wollen.

    Mittlerweile hat sich das bei Vodafone stabilisiert, der Prefix ändert sich nur, wenn mal die Fritzbox bei mir neu gestartet wird oder es Wartungsarbeiten nachts gab, es gab aber auch eine Zeit, da änderte der sich täglich - das haben die wenigstens mal hinbekommen.

    Peterfido Genau alles Geldschneiderei. Eigentlich schade das man nicht so wie IPv4 einen privaten Pool hatt, das nicht auch auf seinem Modem oder UDM und Co hatt.

    Verstehe auch sowieso nicht warum sowas nirgendswo inplementiert wurde, das mann zu Hause halt Private IPv6 Adressen verteilen kann.

    Aber dann verdienen die ja nix mehr lol.....

    Bei Vodafone Kabel gibt es ja die Business Verträge wo drinn steht mann kann eine IPv6 Adresse buchen, und dazu gehört ein Präfix. Das ist ein /62 er Präfix.

    Nicht gerade doll.

    Mann hat es nicht leicht, aber leicht hat es einen..

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.
    Quote from Naichbindas

    Verstehe auch sowieso nicht warum sowas nirgendswo inplementiert wurde, das mann zu Hause halt Private IPv6 Adressen verteilen kann.

    Aber dann verdienen die ja nix mehr lol.....

    Bei Vodafone Kabel gibt es ja die Business Verträge wo drinn steht mann kann eine IPv6 Adresse buchen, und dazu gehört ein Präfix. Das ist ein /62 er Präfix.

    Nicht gerade doll

    Es gibt private IPv6 Adressen das ist kein Problem. ULA nennt sich das aber dann müsste man wieder mit NAT arbeiten, was natürlich auch bei IPv6 möglich ist, aber dann hebelt man sich alle vorteile vom IPv6 wieder aus. Der vorteil von IPv6 ist ja grade das jedes Gerät eine öffentliche IPv6 hat und man nur noch eine Firewall dazwischen hat.

    turrican944 Ja ich weiss aber die Anhängigkeit und nur gegen Entgelt. Du bist denen dann halt ausgeliefert, und ich finde auch das die wenn dann IPv6 Präfixe zur Verfügung stellen müssten nicht "könnten" und dann kostenlos. Öffentliche IPv6 Adressen ja aber die privaten halt nicht.

    Mann hat es nicht leicht, aber leicht hat es einen..

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login