Apache2 / Nextcloud von außen nicht erreichbar (Connect Box, ipv6, DynDNS)

  • Hallo Helfergemeinde,


    ich bin seit Tagen am verzweifeln und auch diverse Google-Suchen und das Forum hier hat keinen Erfolg gebracht. Ich bin kein Experte und immer auf Tutorials angewiesen. Jetzt komme ich nicht gar nicht mehr weiter.


    Ich habe auf meine Raspi einen Apache2 Webserver inkl. PHP7 und MySQL installiert. Darauf läuft auch schon die Nextcloud. Im Heimnetz kann ich auf den Server und die Cloud mit 192.168.0

    .50, also ipv4 zugreifen. Als DynDNS-Anbieter habe ich spdns.de. Problem jetzt wie so oft, der Server ist von außen nicht erreichbar. Auch mit der Unterstützung dieser Anleitung klappt es nicht: https://invisibletower.de/2018…router-ipv6/#comment-6129


    Die Ports 80 und 443 habe ich in der Connect Box geöffnet und auf die ipv6 des Raspi weitergeleitet / freigegeben (öffentliche, nicht die fe80...). (Siehe Anleitung)

    Bei spsdns.de ist ein AAAA-Record für die ipv6-Adresse der Connect Box hinterlegt. Da kommt ein Ping durch. Wenn ich die öffentliche ipv6 des Raspi eingebe, kommt kein Ping durch. Beides getestet vom Handy ohne WLAN, also außerhalb des Heimnetz. Liegt es vielleicht daran, daß das Mobilfunknetz kein ipv6 kann? Ihr seht ich sehe den Wald vor lauter Bäumen nicht.


    Könnt ihr mir hier Hinweise geben? Gerne poste ich hier Euch Ausgaben des Raspis, um das Problem weiter einzugrenzen. Alleine bin ich aufgeschmissen.


    Besten Dank im Voraus.

  • Die Ports 80 und 443 habe ich in der Connect Box geöffnet und auf die ipv6 des Raspi weitergeleitet / freigegeben (öffentliche, nicht die fe80...). (Siehe Anleitung)

    Bei spsdns.de ist ein AAAA-Record für die ipv6-Adresse der Connect Box hinterlegt. Da kommt ein Ping durch. Wenn ich die öffentliche ipv6 des Raspi eingebe, kommt kein Ping durch. Beides getestet vom Handy ohne WLAN, also außerhalb des Heimnetz. Liegt es vielleicht daran, daß das Mobilfunknetz kein ipv6 kann?

    Wenn die Telekom dein Mobilfunkprovider ist, solltest Du mit deinem handy auch IPv6 haben/können.


    BTW: Du brauchst einen v6-ddns-Client auf deinem PI, denn nicht die CB muss per IPv6 erreichbar sein, sondern dein PI.


    EDIT:


    Aber Du kannst den v6-Ping und einen v3-Portscan (auf die TCP-Ports 80 und 443) auch mit einem Web-Tool machen, wenn dein handy kein IPv6 kann. Z. B. mit: https://centralops.net/co/Ping.aspx


    http://www.ipv6tech.ch/?tcpportscan


    EDIT 2:


    Zum Testen wird der v6-ddns-Client noch nicht benötigt. Wichtig ist nur die richtige v6-Freigabe der externen IPv6-Adresse (bzw. deren Interface-ID) des PI, in der bzw. mit der CB.


    Auf deinem PI kannst Du mit tcpdump (oder gleichwertig) und dem richtigen Filter schauen, ob die v6-Datenpakete, auf deinem PI auch ankommen.


    EDIT 3:


    Die relevante externe IPv6-Adresse deines PI, die aus dem Internet gesehen wird, kannst Du auf deinem PI mit z. B.:

    Code
    1. dig -6 aaaa +short myip.opendns.com @2620:0:ccc::2

    oder mit:

    Code
    1. curl -B6 -A MickeyMouse http://checkip6.spdyn.de

    (oder gleichwertig) feststellen.

  • Hallo,


    zu Edit:

    Ich habe den Portscan mit dem 2. Tool durchgeführt.

    Das Ergebnis, wenn ich die ipv6 der CB nehme ist --> Ports closed

    Das Ergebnis, wenn ich die ipv6 des Raspi nehme ist --> Port 80 open


    zu Edit 2:

    Mit diser Information kann ich leider nichts anfangen. Wenn ich tcpdump in die bash eingebe, kommt eine Fehlermeldung.


    zu Edit 3:

    Code 2 wirft bei mir das Ergibnis, mit der ich unter Edit die Ports gescannt habe. Die ipv6 hatte ich ja bereits lt. Anleitung eingerichtet.


    Hilft Dir das weiter, um mir weiterzuhelfen?

    Ich weiß noch immer nicht was zu tun ist.


    Besten Dank im Voraus.






  • Das Ergebnis, wenn ich die ipv6 des Raspi nehme ist --> Port 80 open




    OK, das ist das wichtigste. Jetzt stellst sich die Frage, wer kann von wo per IPv6 auf die Ports 80 und 443 zugreifen?


    Bei welchem Provider hast Du deinen Mobilfunkvertrag? Oder hast Du noch einen 2. Internetanschluss mit DS oder mit DS-lite? Oder hast Du Freunde, die per IPv6 zugreifen sollen?


    Wenn ja, dann musst Du auf deinem PI noch einen v6-fähigen ddns-Client installieren und konfigurieren. Z. B. ddclient:

    Code
    1. apt-cache show ddclient
  • Zitat

    Bei welchem Provider hast Du deinen Mobilfunkvertrag? Oder hast Du noch einen 2. Internetanschluss mit DS oder mit DS-lite? Oder hast Du Freunde, die per IPv6 zugreifen sollen?

    --> Ich habe 1 x AldiTalk (also Telefonica) und 2 x Vodafone im Angebot. Alle drei mit test-ipv6.com getestet und überall das Ergebnis erhalten, daß ich nur ipv4 habe. Konkrete Anwort also, nein offensichlich möchte ich dann nur per ipv4 zugreifen.


    Habe mich dann heute etwas mehr in die Theorie (zu ipv4 und ipv6) eingelesen und dachte dann ich hätte es verstanden. Habe ja DS Lite, also nur ipv6 und nicht beides gleichzeitig (DS). Sondern eben nur das "light". Wenn ich von zu Hause aus den Test mit test-ipv6.com mache, habe ich sowohl eine ipv4 als auch ipv6 Adresse. Dann war ich wieder verwirrt, da DS light ja bedeutet ich sollte nur ipv6 haben. Und selbst, wenn ich die Theorie verstünde, hilft mir das noch nicht in der Umsetzung. Hier sind meine Fähigkeiten deutlich begrenzt.


    Deinen Client habe ich wohl bereits installiert. apt-cache show ddclient liefert:



    Eine feste ipv6 Adresse für den Raspi hatte ich ja bereits eingerichtet mit dieser Anleitung.

    Zitat

    Dazu editieren wir $ sudo nano /etc/dhcpcd.conf, suchen die Zeile

    Code
    1. # Generate Stable Private IPv6 Addresses instead of hardware based ones
    2. slaac private

    und kommentieren die slaac private Einstellung aus:

    Code
    1. # Generate Stable Private IPv6 Addresses instead of hardware based ones
    2. #slaac private

    Nach einem Neustart sollte die IPv6-Adresse ($ ip -6 addr show dev wlan0) die MAC-Adresse des WLAN-Adapters ($ ip link show dev wlan0) enthalten (mit der oben beschriebenen Verwurstelung). Ersterer Befehl zeigt zwei Adressen an. Diejenige, die mit fe80: startet ist die lokale Adresse, wie früher 192.168.x.x.

  • Hallo,


    nachdem ich mich die Tage noch weiter damit beschäftigt habe, aber noch immer keine Lösung gefunden:


    Wäre feste-ip.net eine Alternative? Ich habe gelesen, so kann ich per ipv4-Geräte auf ipv6 im Heimnetz zugreifen. Allerding funktioniert wohl eine Zertifikatserstellung mit certbot nicht. Also der nächste tote Pfad, den ich dann gar nicht erst begehen möchte.


    Hat mir sonst noch jemand Hinweise?

  • Das Problem ist, daß ich bei fester ipv6 Adresse das Raspi, einem DynDNS-Eintrag, der auf diese feste Adresse zeigt mit subdomain.spdns.de, noch immer nicht auf meinen Server vom Handy aus komme.


    Feste-ip.net wäre eine Alternative, dann kann ich aber keine SSL-Zertifikate mit certbot generieren. Und ich schicke ja dann auch noch alles über die Server von Feste-ip.net, oder? Also jedes Bild, das ich auf meine Nextcloud lade, läuft über deren Server, richtig?

  • Das Problem ist, daß ich bei fester ipv6 Adresse das Raspi, einem DynDNS-Eintrag, der auf diese feste Adresse zeigt mit subdomain.spdns.de, noch immer nicht auf meinen Server vom Handy aus komme.

    Ok, aber das ist ja ein bekanntes Problem, denn dein Mobilfunkprovider ermöglicht kein Dual Stack für deinen Mobilfunkanschluss (d. h. Du hast damit kein IPv6). Evtl. den Mobilfunkprovider wechseln.

  • Gibt es auch noch andere Beispiele?

    feste-ip.net hatten wir ja bereits angesprochen mit den von mir vermuteten Nachteilen bzgl. der Schleife über deren Server.


    Würde eine eigene Domain inkl. DNS-Einstellungen, MX-Records, etc. (wie gesagt, ich kenne mich prinzipiell gar nicht aus und lese mich gerade intensiv ein) helfen? Gibt es hier die Möglichkeit das Portmapping wie von feste-ip.net angeboten ebenfalls abzubilden?


    Sonstige Alternativen?