Heimnetzwerkzugriff (UDMP-Pro + Deutsche Glasfaser)

Es gibt 37 Antworten in diesem Thema, welches 10.678 mal aufgerufen wurde. Der letzte Beitrag () ist von lycra.

    Hallo liebe Community,


    nun habe ich mich auch einmal hier angemeldet und freue mich Teil der Community zu sein. Ich hoffe, dass ich in Zukunft auch selber unterstützen kann und ich euch nicht nur mit Fragen nerve... :smiling_face:


    Ich stehe aktuell vor einer kleinen persönlichen Herausforderung, die ich irgendwie nicht gelöst bekomme. :grinning_face_with_smiling_eyes:


    In unserem Neubau kam es zu einem Wechsel von der Telekom (DSL) zur Deutschen Glasfaser. Wechsel verlief Problem, allerdings kann ich von außen nun nicht mehr auf mein NAS und die dort laufenden Docker Container zugreifen. Also kurz gegoogelt und das Problem gefunden. So wie ich das verstanden habe, vergibt die Deutsche Glasfaser keine ipv4 Adressen mehr sondern ipv6 Adressen. Somit ist ein Zugriff von außen nicht mehr so eben möglich. (Korrigiert mich, wenn ich ggf. was falsch verstanden habe.)

    Nun stellt sich die Frage, wie ich das nun am besten und saubersten gelöst bekomme... :confused_face:


    Auf meinem Synology NAS war vorher ein DDNS von Synology eingerichet, sprich ich konnte problemlos über die DDNS Adresse auf die jeweiligen Docker Container von Außen zugreifen.


    Ich habe mich etwas durch das Forum gewühlt und finde immer wieder verschiedene Lösungswege und Möglichkeiten:

    • OpenVPN
    • Feste-IP.net
    • Portmapper
    • Eigener VServer

    Vieles habe ich aus dem Wiki Beitrag (Externer Zugriff über IPv6 - ubiquiti - Deutsches Fan Forum (ubiquiti-networks-forum.de))


    Nun wäre die Frage, welcher Lösungsweg wäre am besten bzw. kann man empfehlen? Dann würde ich mich langsam einmal da ran trauen...


    Das wäre Thema Nr 1 gewesen...

    Ein ggf. kleineres Thema ist "ipv6". Nach meinem Verständnis läuft die Deutsche Glasfaser ja über Ipv6. Soweit habe ich eigentlich auch alles auf der UDM-Pro eingerichtet im Punkto "ipv6". Diverse ipv6 Testseiten sagen mir allerdings, dass ich keine ipv6 Adresse habe. Wie kann das sein? bzw. wie kann ich am besten prüfen, ob meine Einstellungen korrekt auf der UDM-Pro sind? Oder ist das sogar normal?

    Verzeiht die ganzen Fragen! Ihr habe alle was gut bei mir! :grinning_face_with_smiling_eyes:


    Zu meinem Aufbau:


    1. Deutsche Glasfaser Modem
    2. UDM-Pro
    3. USW-24
    4. UAP-AC-Pro

    Fritzbox oder so ist nicht im Einsatz.


    Vielen Dank und Viele Grüße

    Christian

    Zitat von chris92

    Ein ggf. kleineres Thema ist "ipv6". Nach meinem Verständnis läuft die Deutsche Glasfaser ja über Ipv6. Soweit habe ich eigentlich auch alles auf der UDM-Pro eingerichtet im Punkto "ipv6". Diverse ipv6 Testseiten sagen mir allerdings, dass ich keine ipv6 Adresse habe. Wie kann das sein? bzw. wie kann ich am besten prüfen, ob meine Einstellungen korrekt auf der UDM-Pro sind? Oder ist das sogar normal?

    Die tests zeigen bei mir auch komischerweise an das ich keine ipv6 habe?!...



    Kommst ud denn über dieses quickconnet auf deine Synology drauf?
    Das klappt bei mir?!

    Zitat von lycra

    Die tests zeigen bei mir auch komischerweise an das ich keine ipv6 habe?!...



    Kommst ud denn über dieses quickconnet auf deine Synology drauf?
    Das klappt bei mir?!

    Gute Frage, QuickConnect habe ich NOCH NIE genutzt... :grinning_squinting_face:
    Ist das nicht dafür da, um auf die Synology Applicationen von außen zu kommen? Ich persönlich nutze viele Docker Container z.B. Bitwarden weißt du ob ich Quick Connect nutzen dann um darauf zuzugreifen?

    Ich habe einen ersten Lösungsweg gefunden... Kostet allerdings 9,95€ im Monat, schaue mir parallel alternativen an.


    Nun zum Lösungsweg... :smiling_face:


    Ich nutze den Synology DDNS (xxx.synology.me). Ist alles auf dem Synology NAS konfiguriert. Es gibt einen Anbieter, der für den oben genannten Preis, eine ipv4 IP auf Basis meiner WAN IP von der Deutschen Glasfaser ausstellt. Sobald diese da ist, ist lediglich eine Anpassung in dem Synology notwendig. Und zwar wird die externe Ipv4 IP in den DDNS Einstellungen angepasst.


    (Beispiel im Screenshot)


    Im Anschluss ist das Synology sowie alle Docker Applicationen wie gewohnt erreichbar. Das ist eine tempräre Lösung für mich. 9,95€ würde ich mir natürlich gerne sparen bzw. wenn möglich reduzieren... :smiling_face: Aber es läuft.


    Ich habe den Namen des Anbieters einmal weggelassen, findet man schnell durch Googeln. Wusste nicht ob "Werbung" bzw das nennen von anderen Anbieter erlaubt ist. Sonst gerne eine PN schreiben. :smiling_face:

    Zitat von chris92

    Diverse ipv6 Testseiten sagen mir allerdings, dass ich keine ipv6 Adresse habe

    Das ist korrekt, solche Anfragen werden von der UDMPro herausgefiltert, z.b. auch ein PING oder Traceroute.

    Falls du einen Server ausserhalb Deines Netzwerkes hast, kannst du mit einem

    Code
    traceroute6 [IPv6 des Endgerätes im Netzwerk z.b. Server]

    den Weg verfolgen -> Er bleibt aber an der IPv6 Deines WAN Portes hängen und wird nichtmal zur BR0 durchgelassen


    Mit dem Befehl

    Code
    nmap -6 -sT [IPv6 des Endgerätes im Netzwerk z.b. Server]

    Kannst du allerdings auch von außen die Ports deines Endgerätes scannen.



    Zitat von chris92

    welcher Lösungsweg wäre am besten bzw. kann man empfehlen? Dann würde ich mich langsam einmal da ran trauen...

    Ich hab das in meinem Blog ja schon angemerkt, es hängt davon ab was du willst.

    Nur selber vom Handy aus von außerhalb drauf zugreifen? Dann brauchst evtl. Garnichts wenn Dein Mobilfunkbetreiber IPv6 hat.

    Wenn du "Alles" haben willst, empfehle ich den VServer von Ionos mit eigener IP4 und installiertem 6Tunnel, der kostet 1€ im Monat und ist damit fast günstiger wie Feste-IP

    Danke 1

    Hi uboot21,


    ich dank dir vielmals für die Unterstützung und den ausführlichen Beitrag. Mit den Commands werde ich mal etwas rumspielen um da ein besseres Verständnis zu bekommen.


    Dein Lösungsvorschlag mit dem VServer werde ich auch verfolgen. Ich hätte schon gerne "alles" und für einen Euro im Monat ist das vollkommen ok. Die Feste-IP dient eher als "Zwischenlösung" bis ich den VServer ans laufen bekommen habe. Ich werde mich da an deinen Blog Beitrag orientieren. Bei Fragen würde ich mich ggf. hier im Thread melden.

    Dank dir nochmal!

    Ich habe übrigens auch eine Synology, habe auch ein Blog mal angefangen mit den Funktionen und Setups für die NAS.

    https://web.andrejansen.de/13-synology-nicht-nur-ein-nas/

    Leider komme ich bei vielen Blog Einträgen einfach nicht hinterher und habe noch viele ToDo´s offen, aber dort habe ich auch die Einstellung des

    VPN Servers für die Synology aufgelistet.


    Generell kann man mit der Synology viel anfangen, auch ein Reverse Proxy Server ist gerade für IPv6 prädestiniert und empfehlenswert, auch mit Umleitung HTTP auf HTTPS usw.

    https://web.andrejansen.de/14-…nur-ein-port-viele-ziele/

    (auch hier nicht ganz fertig, aber über Synology super gelöst, auch mit SSL Zertifikaten zu Subdomains)

    Danke 1
    Zitat von chris92

    sprich ich konnte problemlos über die DDNS Adresse auf die jeweiligen Docker Container von Außen zugreifen.

    Noch was, es sammelt sich.

    Auch das würde mit der Synology gehen.

    Mit der Applikation "DDNS Updater 2" in der Synology bist du auch in der Lage einen Dyndns Provider zu synchronisieren der IPv6 kann.

    Das kann die UDMPro nämlich nicht mit DYNDNS, die kann nur IP4.


    Aber: Du bist mit der dynamischen DNS aus dem Internet nur erreichbar wenn du aus einem IPv6 Netzwerk die Seite aufrufst, das ist nicht überall gegeben.

    Ausserdem hast du bei DG eine feste IPv6 und benötigst keinen DYNDNS.

    Danke 1

    So viele hilfreiche Links, Tipps und Tricks. Dank dir! Deinen Blog schau ich mir einmal an! Sieht aber super aus! :smiling_face:


    Ich habe direkt die erste Frage zu Tunnel9... VM läuft, ist auch alles nach deiner Anleitung installiert.


    In dem tunnel Skript ist folgender Command:
    6tunnel 80 2dfc:0000:0001:0000:0217:cbff:fe8c:0000 80


    In dem Fall dann die IPv6 Adresse des Synology, richtig? Im Anschluss dann die Ports für IPv6 Internet IN in der UDM-Pro freigeben und dann sollte ich dementsprechend das Synology für die IP des Server erreichen. Ist das richtig? Firewall von der Linux VM habe ich aus Testzwecken erstmal disabled...


    Viele Grüße!

    Zitat von chris92

    In dem Fall dann die IPv6 Adresse des Synology, richtig?

    Ja, genau. Es wird direkt das Endgerät eingegeben. Sie wie in deinem Beispiel

    Wichtig:

    Firewall des Ionos Servers: Hier müssen alle Ports bei rein frei gegeben werden die du brauchst. Kann man die abschalten? Würde ich nicht machen, in deinem Fall muss port 80 zusätzlich rein.

    Firewall Synology: Diese würde ich komplett ausschalten, dafür hast du nun die Unifi.

    Zitat von chris92

    Im Anschluss dann die Ports für IPv6 Internet IN in der UDM-Pro freigeben

    Also frei geben musst du nichts, bei IPv6 ist alles offen!

    Später wenn es läuft musst du auf jeden Fall Port und Ziel erst in der Firewall bei WANv6 IN frei geben und dann mit einer letzten Regel jeglichen anderen Zugriff sperren.

    Danke 1

    Halli Hallo!

    Das Wochenende ist vorbei, leider läuft es weiterhin nicht.. :grinning_squinting_face:

    Ich würde sagen, dass ich VM seitig soweit alles "richtig" Konfiguriert habe. tunnel6 läuft ich erreiche jedoch nichts...

    Also habe ich nochmal von vorne angefangen bei der UDM-Pro. Mein Gefühl ist, dass da noch nicht alles rund läuft. Intern kriege ich 2001:xx:xx::xx Adressen zugewiesen, diese kann ich auch intern pingen. z.B. von meinem Rechner kriege ich über ipv6 problemlos das NAS auf die 2001:xx:xx::xx Adresse angepingt.


    Die 2001:xx:xx::xx des NAS habe ich auch ins Script auf der VM gepackt. Sehe auch, dass Tunnel6 das Script sauber laufen lässt.


    Kann es sein, dass ich irgendwo auf der UDM-Pro einen Fehler habe? Direkt von der UDM-Pro kriege ich z.B. google.com mit "ping6 google.com" angepingt. Von meinen Clients allerdings nicht, z.B. mein Rechner oder das Synology.

    Auf der UDM-Pro habe ich aktuell "Prefix Delegation" für mein LAN konfiguriert. Die WAN Prefix Delegation Size ist "56". Aber dieses Settings scheinen ja zu laufen.


    Freue mich auf Ideen.. :frowning_face:

    Einmal editiert, zuletzt von chris92 ()

    1. Firewall in der udmpro ausgeschaltet bei wanv6 und lanv6?

    2. Firewall auf Synology ausgeschaltet?

    3. welche Ports sind getunnelt? Auch der Port 80? Läuft der Webserver auf der Synology bzw ist die test Webseite intern zu erreichen?

    4. hast du die getunnelten Ports im ionos Server Setup bei der Firewall in die frei für Eingang Liste hinzugefügt?

    5. ipv6ra im Netzwerk aktiviert und auf high? DNS Control auf Auto?

    Danke 1
    Zitat von uboot21

    1. Firewall in der udmpro ausgeschaltet bei wanv6 und lanv6?

    2. Firewall auf Synology ausgeschaltet?

    3. welche Ports sind getunnelt? Auch der Port 80? Läuft der Webserver auf der Synology bzw ist die test Webseite intern zu erreichen?

    4. hast du die getunnelten Ports im ionos Server Setup bei der Firewall in die frei für Eingang Liste hinzugefügt?

    5. ipv6ra im Netzwerk aktiviert und auf high? DNS Control auf Auto?

    Zu 1: Habe testweise für "WANV6 und "LAN v6 IN" mal eine Any/Any allow gestetzt.

    Zu 2: Auf der Synology ist die FW deaktiviert.

    Zu 3: Im Tunnel6 sind 80,443 und noch zwei weitere eingetragen. Intern über die ipv4 Adresse ist das Ziel problemlos erreichbar.

    Zu 4: Hab die FW Konfig im IONOS Portal auch dementsprechend mit den geweiligen Ports angepasst.

    Zu 5: IpV6 RA ist aktiv und DNS Control steht auf "Auto".


    Die Fehlermeldung im Browser lautet auch "The connection was reset." (Fehlermeldung Chrome). Klingt als für die Source die Anfrage nicht sauber verarbeiten. Nun ist die Frage, welche...


    Von der VM kriege ich die Destination auch überhaupt nicht über die öffentliche ipv6 Adresse erreicht. telnet, nmap etc. laufen nicht. Kriege immer eine Fehlermeldung. Bei nmap z.B. "E: Unable to locate package 2001:XXX:X::XX"

    2 Mal editiert, zuletzt von chris92 ()

    Zitat von chris92

    2001:XXX:X::XX

    Wenn du von solch einer Adresse sprichst muss ich noch einmal nachfragen:

    im Tunnel ist die IPv6 eingetragen, welche du in der Synology unter zb Eth0 / Netzwerk1 in der Oberfläche siehst

    -> Achtung für später, änderst du die Konfiguration deines Netzwerkes zb Port aggregation, dann bekommst du zwangsläufig neue IPv6

    Weil die Adresse in der Synology sollte keine mit mehreren Doppelpunkten sein, das zeigt immer an das du ein Gerät hats, welches Präfixe weiter verteilt, das hast du in der Synology hoffentlich nicht eingestellt? IPv6-Setup muss auf Auto stehen in der Synology, nicht auf DHCPv6-PD oder so.

    Danke 1

    Es scheint, als hätte sich irgendwas geändert. Die 2001:XXX.X::XX sehe ich gar nicht mehr. Aktuell sieht es auf der Oberfläche sowie via SSH auf der Synology wie folgt aus:



    Mich irritiert der Scope: Link. Das ist ja eigentlich nur ene Interne ipv6, oder?! Sieht aus als hätte ich gar keine öffentliche mehr. Dann ist das mit dem Zugriff natürlich "schwer".

    Die Adressen, welche mit fe80: anfangen sind keine öffentlichen IPv6 Adressen, das sind lokale welche vom Gerät erzeugt werden unter welchen du keinen Zugang hast.


    Wenn du dort keine siehst, brauchst du auch keinen Zugriff von aussen versuchen.

    Kontrolliere in der UDM Pro die Einstellungen unter WAN und unter dem Netzwerk wo deine Synology sich befindet.

    Die IPv6 die dort vergeben wurden kontrollierst du per ssh auf der UDM Pro mit

    Code
    ipsec statusall

    und

    Code
    ip neighbour


    PS: An deinem Gerät ist der Scope /64, zwei Zeichen werden von der UDM Pro für die VLAN benötigt, das erhöht dein /56 auf /64

    Danke 1

    Das die Adresse nun wohl eine fe80: ist, ist mir auch gerade erst aufgefallen. Wie du schon sagst, macht es das dann natürlich unmöglich von außen darauf zuzugreifen.


    Die WAN Einstellungen sehen soweit eigentlich "gut" aus, daran hatte ich auch nichts mehr geändert.


    Die Ipv6 Netzwerkkonfiguration von dem Netzwerk, indem das NAS steht sieht wie folgt aus:


    Stand vorher eigentlich auf "Static" hat sich aus unerklärlichen Gründen geändert, sollte aber eigentlich dennoch passen.


    "ip neigbours" sieht wie folgt aus, in der Ansicht nur die Synology relevanten Einträge:

    Zusatz:

    Wenn ich die IPv6 Konfig des Netzwerkes auf "Static" setze, sieht es durchaus besser aus:


    Synology:



    UDM-Pro Terminal:


    Intern kriege ich das Synology auch über die 2001:XX:X::XXX Adresse erreicht.

    2 Mal editiert, zuletzt von chris92 ()

    OK, folgendes, das sieht ja jetzt besser aus, da war wohl ein Wurm in der Leitung.


    Was du dort bei IP neighbours siehst, ist das die korrekte Adresse zu der Synology? Bei Dir steht Stale, da müsste Reachable stehen? Stale heisst so viel wie ist noch im Puffer, aber momentan kein Kontakt.


    Hast du diese Adresse nun auch im 6Tunnel genau so drin stehen?

    Was sagen Traceroute6 und Nmap vom VServer Ionos aus mit der IPv6 von der Synology?


    P.S.: Die internen Private adressen IP4 und IPv6 (Fe80) brauchst du nicht unbedingt schwärzen, da kann keiner was mit anfangen, es sei denn er ist bereits in deinem Haus. Die korrekte IPv6 solltest du allerdings nie angeben (wie du ja auch schon machst)

    Danke 1

    Guten Morgen,


    neuer Tag, neues Glück... oder wie sagt man?! :smiling_face:


    Ich habe die Synology und die UDM-Pro einmal durchgestartet. Im Anschluss bin ich dann erst auf die Synology via Browser und SSH und habe die Ipv6 Adressen einmal abgeglichen. Diese sind gleich geblieben. 2001:XXX:X::XX


    Im Anschluss bin ich dann auf die UDM-Pro via SSH. Zuerst habe ich dann "ipsec statusall" genutzt (keine Ausgabe) und dann "ip neighbour".


    Anschicht nun wie folgt:


    Die 2001:XXX:X::XX steht nach einem boot KURZ auf "Reachable" ändert sich dann aber auf STALE.


    IONOS Config habe ich nochmal geprüft hier einmal ein Auszug:


    traceroute6 und nmap vom IONOS auf das Synology klappt nicht. Hier die Ausgaben:


    Ich habe mir die ipv6 nochmal angeschaut. Du sagtest ja, dass die "::" in der ipv6 eigentlich untypisch sind. Der gesamte ipv6 Aufbau kommt allerdings von der UDM-Pro, siehe Screenshot. Kann es sein, dass die LAN ipv6 Konfig einfach falsch ist?


    Der Command "traceroute6" funktioniert z.B. gar nicht, weil der Aufbau der ipv6 für das Tool schlichtweg "falsch" ist.