Webserver (Nextcloud) über ipv6 von "außen" nicht erreichbar (FritzBox, ds-lite)

  • Hallo Leute,


    ich habe mit auf meinem Raspberry NexcloudPI installiert und auch soweit über "nextcloudpi.local" eingerichtet.


    Angeschlossen ist der PI an einem LAN-Port meiner FirtzBox Cable (6490).

    Ich bin bei Vodafone und habe DS-Lite... somit wollte ich die Freigabe vía ipv6 lösen.


    Mein Raspberry hat eine globale ipv6-Adresse und ich kann auch vom Raspberry mittels "ping6 google.com" anpingen und bekomme Antwort.

    Freigaben (Port 80 und 443) im Router habe ich angelegt - für ipv4 UND ipv6 bzw auch schon rein nur für ipv6.


    Wenn ich aus meinem Heimnetz raus die ipv6 im Browser eingebe "[xxxx:xxxx:xxxx:xxxx:xxxx:xxxx]" komme ich auf die Seite "nicht vertrauenswürdige Verbindung" der Nextcloud. Soweit so gut.


    Ich habe dann bei freeDNS einen Account angelegt und dort erstmal die ipv6 von Hand eingetragen, bzw dann auch den Update-Clienten (erfolgreich) im NextcloudPI entsprechend eingerichtet.

    Versuche ich nun über die freeDNS-Adresse auf die Nextcloud zu verbinden, kommt "die seite ist nicht verfügbar".


    Laut "ipv6-test.com/validate.php" ist der Webserver auch nicht erreichbar und letsencrypt bingt ebenfalls eine Fehlermeldung, dass nicht verbunden werden kann.


    In der Firewall (UFW) habe ich die Ports 80 und 443 über die Weboberfläche freigegeben, und auch UFW zum Testen schon gänzlich deaktiviert, leider mit dem selben Ergebnis.


    Ich bin mir nicht sicher, ob ich jetzt alles Relevante geschrieben habe, also falls noch weitere Infos benötigt werden, bitte fragen.

    Hat jemand eine Idee, was ich weiter versuchen kann, oder wo hier angesetzt werden muss?


    Vielen Dank schon mal,

    Chris

  • Freigaben (Port 80 und 443) im Router habe ich angelegt - für ipv4 UND ipv6 bzw auch schon rein nur für ipv6.


    In der Firewall (UFW) habe ich die Ports 80 und 443 über die Weboberfläche freigegeben, und auch UFW zum Testen schon gänzlich deaktiviert, leider mit dem selben Ergebnis.

    Wenn Du DS-lite hast, warum hast Du dann auch IPv4 weitergeleitet? Bei IPv6 brauchst Du eine Portfreigabe. Das ist was anderes als eine Portweiterleitung. In der aktuellem Firmware der FritzBox hat AVM, das m. E. sehr schlecht gelöst.


    Teste trotzdem mit tcpdump (oder gleichwertig) auf deinem PI, ob ein v6-Portscan aus dem _Internet_, auf deinem PI nicht ankommt.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Hey,

    ich benutze zwar nicht die fertige Lösung "NextcloudPi" sondern habe Nextcloud extra auf dem Raspberry installiert

    Versuche ich nun über die freeDNS-Adresse auf die Nextcloud zu verbinden, kommt "die seite ist nicht verfügbar".

    Schau mal ob du im Nextcloudverzeichnis eine "config.php" Datei findest. Dort gibt es, zu mindest bei mir folgenden Eintrag:

    Code
     'trusted_domains' =>
      array (
        0 => 'localhost',
        1 => '192.168.X.XXX',
        2 => 'DeineDdns.ddns.net',

    Solltest du natürlich mit deinen Angaben anpassen. Dann kannst du im Heimnetzwerk über "DeineDdns.ddns.net/Nextcloud" (oder je nach dem was du einträgst) deine Cloud abrufen.


    Ob das bei NextcloudPi so funktioniert kann ich natürlich nicht sagen.

    Falls du dich für die normale Nextcloud-Installation entscheidest gibt es hier eine super Anleitung und die Chance auf Hilfe ist auch höher, da mann dann einfach weiß was sich hinter der Installation verbiergt.


    Grüße Dennis

    🎵🎸Die Nordsee schlägt dir ins Gesicht, trotzdem hast du verloren, du bist nicht weit gekommen, du läufst weiter nach vorn 🎵🎸

  • Hallo,


    erstmal vielen Dank für die schnellen Antworten!



    Wenn Du DS-lite hast, warum hast Du dann auch IPv4 weitergeleitet? Bei IPv6 brauchst Du eine Portfreigabe. Das ist was anderes als eine Portweiterleitung. In der aktuellem Firmware der FritzBox hat AVM, das m. E. sehr schlecht gelöst.


    Teste trotzdem mit tcpdump (oder gleichwertig) auf deinem PI, ob ein v6-Portscan aus dem _Internet_, auf deinem PI nicht ankommt.


    Stimmt, ipv4 macht keinen Sinn und habe jetzt nur für ipv6 die Ports freigegeben.


    tcpdump spuckt nix aus, bei einem Versuch von "außen" zuzugreifen.

    Lediglich wenn ichs über die ipv6 aus dem Heimnetz raus versuche.


    Ich habe sicherheitshalber mal eine andere Seite versucht:

    "https://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-port-scanner.php"


    mit folgendem Ergebnis:


    Code
    Checked port 80 on Host/IP xxxx:xxxx:xxxx...
    
     The checked port (80, service http) is offline/unreachable
    
    Reason: Permission denied (13)
    Portscan ran for 0.0287 seconds




    Ja, habe die config.php gefunden und geöffnet, bei trusted domains stand meine Adresse nicht mit dabei und diese habe die jetzt nachgetragen und ja, über das Heimnetzwerk funktioniert das jetzt.


    Leider habe ich trotzdem nach wie vor das Problem, dass ich von außen aus dem Internet nicht auf meine Cloud zugreifen kann.


    Ein weiterer Test über "ipv6-test-com" bringt:


    Code
        web server is unreachable : Permission denied


    Hatte auch schon eine "normale Installation" über Raspbian gemacht und hatte da die gleichen Probleme, danach bin ich erstmal wieder zu nextcloudpi zurück... :-/



    Noch irgendwelche Ideen, wonach ich noch gucken kann?


    Danke und viele Grüße,

    Chris

  • tcpdump spuckt nix aus, bei einem Versuch von "außen" zuzugreifen.

    Wie hast Du tcpdump auf deinem PI gestartet?


    Hast Du deinen PI so konfiguriert, dass die externe/globale IPv6-Adresse deines PI, eine statische Interface-ID (basierend auf der MAC-Adresse) hat? Wenn ja, wie hast Du die Portfreigabe in der v4-Firewall deiner FritzBox konfiguriert?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Also,



    tcpdump hab ich folgendermaßen gestartet.


    Code
    sudo tcpdump -nnSX port 80


    und dann auch natürlich per http (ohne s) versucht zuzugreifen.

    Hast Du deinen PI so konfiguriert, dass die externe/globale IPv6-Adresse deines PI, eine statische Interface-ID (basierend auf der MAC-Adresse) hat? Wenn ja, wie hast Du die Portfreigabe in der v4-Firewall deiner FritzBox konfiguriert?


    Sorry, damit bin ich überfragt und ehrlich gesagt, glaube ich "nein" ;)


    Ich habe die IP vom pi über ifconfig ausgelesen und die stimmt mit einer, die die Fritzbox für den Raspberry angibt überein.


    Für die Portfreigabe in der FritzBox hab ich den Pi aus der Liste ausgewählt (hier steht dann nach der Auswahl auch eine Interface-ID und die MAC-Adresse).


    Dann die Ports ausgewählt (80 und 443) und für ipv6 freigeben.



    Hast du vielleicht nen Link, wo gezeigt wird, wie ich den PI so einrichten kann, wie du sagst?

  • tcpdump hab ich folgendermaßen gestartet.


    Code
    sudo tcpdump -nnSX port 80


    und dann auch natürlich per http (ohne s) versucht zuzugreifen.

    Du musst es aus dem Internet mit einem geeigneten v6-Portscan-Tool machen. Das kann auch ein v6-fähiges Web-Tool sein.

    Versuch mal mit:

    Code
    sudo tcpdump -c 30 -vvveni <Interface> port 80 or port 443

    (Interface anpassen und ohne spitze Klammern). tcpdump vor dem Test starten.


    EDIT:


    Siehe in der manpage für dhcpcd.conf:

    Quote
    Code
    slaac [hwaddr | private]             
    
    Selects the interface identifier used for SLAAC generated IPv6 addresses.  If             private is used, an RFC 7217 address is generated.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Edited once, last by rpi444 ().

  • Erstmal danke für deine Mühe.



    habe jetzt in der dhcpcd.conf den Eintrag "slaac hwaddr" hinzugefügt. Da stand dazu noch gar nichts drin vorher.


    Meine IP hat sich nach einem Reboot auch geändert und ich hab jetzt weitere IPv6-Einträge in der Fritzbox, und auch der Zusatz "selbst." bei Eigenschaften des Geräts.


    Es sieht trotzdem weiterhin so aus:


    Du musst es aus dem Internet mit einem geeigneten v6-Portscan-Tool machen. Das kann auch ein v6-fähiges Web-Tool sein.

    Versuch mal mit:

    Code
    sudo tcpdump -c 30 -vvveni <Interface> port 80 or port 443

    (Interface anpassen und ohne spitze Klammern). tcpdump vor dem Test starten.




    Online Port Scanner IPv6:


    Code
    The checked port (80, service http) is offline/unreachable
    
    Reason: Permission denied (13)
    Portscan ran for 0.036 seconds



    und tcpdump:


    Code
    tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
    ^C
    0 packets captured
    0 packets received by filter
    0 packets dropped by kernel
  • habe jetzt in der dhcpcd.conf den Eintrag "slaac hwaddr" hinzugefügt. Da stand dazu noch gar nichts drin vorher.


    Meine IP hat sich nach einem Reboot auch geändert und ich hab jetzt weitere IPv6-Einträge in der Fritzbox, und auch der Zusatz "selbst." bei Eigenschaften des Geräts

    Es geht jetzt darum, ob es eine richtige/geeignete v6-Portfreigabe in deiner FritzBox gibt, die auf der statischen Interface-ID der globalen/externen IPv6-Adresse deines PI, basiert?


    EDIT:


    Das online-Web-Tool das Du benutzt ist nicht geeignet.


    Versuch mal mit:

    http://www.ipv6tech.ch/?tcpportscan


    http://www.ipv6scanner.com/cgi-bin/main.py

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Ok.


    Die einzige Möglichkeit in der Fritzbox eine Portfreigabe zu machen ist die, wie ich sie bisher gemacht habe.

    Habe dazu auch nochmal eben nachgelesen.


    Es gibt den Punkt "Freigaben" und hier kann ich dann entweder die IPv4 des Gerätes im Netzwerk selbst eingeben, oder - da es angeschlossen und erkannt wird - den Pi aus einer Drop-Down-Liste auswählen und er holt sich die entsprechenden Daten:


    Die Fritzbox erkennt dann die MAC und eine Interface ID.

    Die ID könnte ich selbst nochmal ändern.


    Hier mal die Bilder dazu:



            



    Ist das das, was du meinst?

  • Ist das das, was du meinst?

    Das weiß ich nicht, denn ich habe eine FritzBox mit einer _nicht_ aktuellen Firmware und dort ist die v6-Portfreigabe viel einfacher und verständlicher, im vergleich zu deinem Screenshot.


    Hast Du den v6-Portscan auch mit den anderen online-eb-Tools gemacht?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Ja, mit den beiden, die du angegeben hast und auch noch anderen.


    bei denen von dir schreibt er "fitered", was nach meinem Verständnis bedeutet, dass irgendwo was dazwischen ist, was die Anfrage abfängt wie z.b. eine Firewall. Die Firewall vom Raspberry (UFW) ist aus.


    Die von der Fritzbox durch die Portfreigaben ja eigentlich auch, würd ich sagen....


    Zitat IPv6Tech: Sendet der Zielrechner keine Antwort innerhalb einer gewissen Zeit, so ist der Port gefiltert (FILTERED).

    Edited once, last by Sorath ().

  • Zitat IPv6Tech: Sendet der Zielrechner keine Antwort innerhalb einer gewissen Zeit, so ist der Port gefiltert (FILTERED).

    Ja, aber genau deshalb ist auf dem PI der tcpdump gestartet, so kann man eine v6-Portfreigabe in der FritzBox auch ohne lauschenden TCP6-Port auf dem PI, erkennen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • was die Anfrage abfängt wie z.b. eine Firewall.


    the port is blocked by firewall or other network obstacl

    Aktiviere mal "Firewall für deligierte IP-V6 Präfixe dieses Gerätes öffnen". ( Bild Freigaben.jpg)

  • Habs mehrfach versucht, leider immer noch dasselbe Szenario:


    Code
     sudo tcpdump -c 30 -vvveni eth0 port 80
    tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
    ^C
    0 packets captured
    0 packets received by filter
    0 packets dropped by kernel


    Hab jetzt auch in der Fritzbox "exposed Host" für den Pi gemacht, also einfach alles freigegeben, was geht. Natürlich nur zum testen....



    Edited once, last by Sorath ().

  • Code
     sudo tcpdump -c 30 -vvveni eth0 port 80
    tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes


    Hab jetzt auch in der Fritzbox "exposed Host" für den Pi gemacht, also einfach alles freigegeben, was geht.

    Versuch mal mit:

    Code
    sudo tcpdump -c 30 -vvveni eth0 ip6 and port 80

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Versuch mal mit:

    Code
    sudo tcpdump -c 30 -vvveni eth0 ip6 and port 80

    Auch wieder das gleiche:



    filtered und bei tcpdump:


    0 packets captured

    0 packets received by filter

    0 packets dropped by kernel


    :conf: