Hallo zusammen, ich dachte mir ich probiers einfach mal hier.
Nachdem ich mir ja einen raspberry zugelegt und dort meine ersten node Red flows erstellt habe, wollte ich meinem neuen Begleiter ein paar mehr Aufgaben übertragen unter anderem auch für unterwegs (Zugriff mit dem Handy etc.)
Die erste Frage die sich mir stellte war, wie komme ich überhaupt von extern (Internet) auf meinen raspi drauf? Und bevor ich mir Gedanken machen wollte zu lokalem NAT und Portfreigaben und was nicht sonst noch alles dachte ich… IPv6!!! Na klar, damit sollte ich doch problemlos drauf zugreifen können. Mal schnell in den Router geschaut, wie lautet eigentlich meine IPv6 Adresse? Gefunden… Kurzer test übers Web und auf die IPv6 Adresse meiner Fritz Box connecten und siehe da… es geht. Schnell nachschauen, wie denn die IPv6 vom raspi ist und siehe da…nichts geht. Im Router bekomme ich 3 Adressen angezeigt. 2 davon kürzer, als meine IPv6 von der Fritz Box. Die Dritte scheint die zu sein die ich suche, da sie genau so lang ist und das gleiche prefix hat. Auf meinen raspi komme ich trotzdem nicht. Muss ich irgendwas beachte, wenn ich auf meinen raspi zugreifen möchte über das Internet??
soweit ich das überblicke, wird dein Problem sein, dass du “draußen” meist irgendeine IPv4 hast. Und dein Serviceprovider dir zuhause einen netten IPv6-dslite Tunnel spendiert hat.
In der Regel beinhaltet ein Router für “Otto-Normal-Verbraucher” auch eine Firewall. Wenn Du von außen auf die IP-Adresse Deines Routers zugreifst (egal ob IPv4 oder IPv6) dann gehen die Anfragen zunächst an den Router, der sie abblockt, wenn Du nicht explizit ein Port-Forewarding z.B. zu Deinem Raspi für einen bestimmten Port oder einen Portbereicht eingestellt hast. Wenn Du jetzt nicht den Zugang zu Deinem Raspi (ssh oder www) für das ganze Internet freigeben willst, kann ich nur dazu raten, Dich lieber per VPN mit Deinem Endgerät von außerhalb in Dein Heimnetz einzuwählen und dann wie zuhause auf Deinen Raspi zuzugreifen.
Per VPN geht bei nem DSlite auch nicht. Siehe Berichte oben.
Ich hab das gleiche Problem mit dem DSlite, was mich gerade noch vom “Nextcloud” Installer abhält. Aber um das zu nutzen so wie @JayJayX das doch gerne für alle hätte, brauchst wohl diesen IPv6 Port Mapper.
Zumindest so lange, wie IPv4 Adressen verwendet werden (also immer)…
Nein ich hab kein dslite. Ich hab zwar auch kein native IPv6 sondern nur getunnelt (6RD) aber das sollte ja erstmal nicht das Problem sein.
Mein Problem fängt damit an, dass ich nicht weiß, welches die “richtige” IPv6 für meinen raspi ist? In meinem Router hab ich 3 Stück
Auf dem raspi selber mit ifconfig reduziert es sich auf 2… Eine ist als scopeid 0x0 global gekennzeichnet und eine als scopeid 0x20 link.
Die letztere ist auch die kürzere Adresse der beiden. Kann die überhaupt richtig sein? Haben IPv6 Adressen nicht immer 8 Blöcke zu je 4 Zeichen?
Im Router hab ich testweise den raspi als “exposed host” eingetragen um zu schauen ob es überhaupt geht (Dieses Gerät komplett für den Internetzugriff über IPv6 freigeben (Exposed Host).
Achtung: Ein komplett freigegebenes Gerät ist ungeschützt im Internet sichtbar und erreichbar. Für dieses Gerät ist der Firewall-Schutz Ihrer FRITZ!Box deaktiviert.)
Ich komme aber trotzdem nicht mit der global IPv6 auf den raspi drauf, weder per ssh noch über Web. Darum war meine Frage, ob ich noch etwas aufm raspi einstellen muss damit es geht?
*EDIT *
okay also nach weiterem lesen brauche ich die global, die wird für den “internet Verkehr” benötigt. Der link local ist für netzwerkinterne Zwecke zu nutzen. Komme auf die global aber nicht drauf
Wenn du auf deinen pi zugreifen möchtest benötigst du die öffentliche ipv6. Diese wird je nach Konfiguration meist direkt vom ISP vergeben und setzt sich aus 2 Teilen zusammen. Der erste Teil ist für alle deine Geräte im Netzwerk gleich. Der zweite Teil, die letzten 4 Blöcke, sind dann für jedes Gerät einzigartig. Dieser zweite Teil wird auch interface ID genannt.
Mit einem einfachen “ifconfig” zeigt der pi dir seine ip-adressen. Außerdem solltest du in der fritzbox die ip-adressen finden können, die deinem pi zugewiesen wurden. Die lokalen Adressen sind irrelevant. Meist beginnen diese mit “fe” oder “fd”.
Es kann durchaus sein, dass du mehr als eine ipv6-adresse hast. Das Stichwort ist “Privacy Extension”. An dieser Stelle wird es etwas undurchsichtig, denn wenn man in der fritzbox eine Portfreigabe einrichtet wird häufig nicht die korrekte Interface ID genutzt. Wieso weshalb warum, gute Frage. Manchmal ist es sogar eine der lokalen ip-adresse.
Wenn du also eine Portfreigabe einrichtest achte darauf, dass die richtige ID genutzt wird bzw. trage diese manuell ein.
Außerdem kann es helfen die Nutzung der Privacy Extension zu unterbinden, weil sonst unter Umständen bei einem Neustart eine neue Portfreigabe für die neue Interface ID nötig ist. Wie das funktioniert ist abhängig vom OS des pi.
Deine Freigaben bzw. die grundsätzliche Erreichbarkeit kannst du sehr gut hier testen:
Okay ich Habs jetzt. Ich hab in der sshd config die Listen Adress aktiviert, war vorher aus, allerdings sowohl für IPv4 als auch IPv6… Frage mich wieso ich vorher drauf gekommen bin lokal. Ich musste bei meiner fritzbox noch das IPv6 interface anpassen, aus irgendeinem Grund wmhat die Fritz Box standardmäßig nicht das globale genommen sondern einen lokalen link. Muss mich Dan. Bei Zeiten mal mit dem privacy extensions auseinandersetzen.
Auf das node Red dashboard komme ich aber immer noch nicht. Weiß zufällig jemand, ob ich das auch irgendwo einstellen kann? Über die lokale IPv4 geht es
Ich habe das auch mal versucht (habe FritzBox 7490 als Router). habe es nur direkt über die Portfreigabe hinbekommen. Das benutze ich aber nicht, da hier einem ungeschützten Zugang Tür und Tor geöffnet wird. Also besser Finger weg. Da ich auf iobroker umgestiegen bin, nutze ich dafür den Adapter Link VPN. Aber auch hier muss man sich klar sein, dass man einen gewissen Teil seiner Privatsphäre preis gibt.
Naja ich denke man kann mit relativ einfachen Mitteln sein Netzwerk schützen. Node Red in einen docker packen und entsprechend absichern (https://nodered.org/docs/user-guide/runtime/securing-node-red). Generell natürlich sichere Passwörter verwenden. Hinzu kommt das wenn ich über IPv6 aufs dashboard zugreife und auch nur IPv6 Verbindungen von außen zulasse, das ganze heute denke ich noch ziemlich unbedenklich ist. Die halbe Welt hat von IPv6 noch nichts gehört. Alternativ hatte ich überlegt das ganze einfach über VPN zu machen, die Fritz Box hat ja alles dafür
VPN über die FritzBox habe ich nicht hin bekommen. Habe mich dann aber auch nicht intensiv genug damit beschäftigt. Sonst wäre das wohl der beste und einfachste Weg.
VPN über Fritz Box hab ich laufen (hab die 7590) und das funktioniert problemlos, sowohl über die MyFRITZ app als auch über eine manuell eingerichtete VPN Verbindung im Handy
Sofern dein Handy-Provider der Rosane ist, kannst auch ein VPN Tunnel via IPv6 aufbauen. Die haben im Gegensatz zu den anderen Providern und HotSpot-Betreibern ebenfalls DS-Lite. Mit MyFritz ne Portfreigabe auf ein OpenVPN Gateway und tata Funktioniert einwandfrei. Persöhnlich würde ich ein OpenVPN der Fritten-Lösung vorziehen (letztere kann eh kein IPv6).
Vielleicht hilft es dir ja, falls es über die MyFritz App nicht geht:
Deine FritzBox mit dem MyFritz Service verbinden (www.myfritz.net)
Anschließend einen Benutzer zur Fritz Box hinzufügen für die spätere Anmeldung über VPN
Ich danke Dir, genau so habe ich es ja gemacht. Hat nur nicht gefunzt. Habe es dann nur nicht intensiv weiter verfolgt, da ich von unterwegs ja eh nichts machen will.
