Diese Website verwendet Cookies, um Dein Surferlebnis zu verbessern. Durch die weitere Nutzung der Website stimmst Du der Verwendung von Cookies zu.   Erfahre mehr.
Zustimmen
A-S

Statische IPv6 Adressen bei dynamischem Prefix

Hallo zusammen,


ich habe einen Home-Server (Debian-Linux), den ich über eine Freigabe in der FritzBox via IPv6 von außen erreichbar gemacht habe. Für die Firewall-Regel benötige ich eine feste bzw. eine bekannte IP-Adresse. Daher habe ich im Server eine statische IP-Adresse vergeben. 


Das Setup lief einige Zeit ohne Probleme, jetzt hat sich allerdings mein IPv6 Präfix geändert und die statische IP-Adresse passt natürlich nicht mehr.


Folgende Lösungsansätze habe ich bisher gefunden:


1. DHCPv6 verwenden. Das hätte allerdings zur folge, dass die anderen Geräte im Heimnetz Privacy Extensions nicht mehr verwenden können, oder sehe ich das falsch?


2. Privacy Extensions deaktivieren und die auf der Mac-Adresse basierende IPv6 Adresse verwenden. Das wird allerdings nicht von allen Geräten unterstützt. Außerdem scheint mein Server standardmäßig eingehende Verbindungen von Extern über diese Adresse zu blockieren.


Die schönste Lösung wäre natürlich eine statische Host-Adresse zu vergeben, und das Präfix über RA abzufragen, aber das scheint noch nicht vorgesehen zu sein.


Gibt es für IPv6  Firewall Regeln bei dynamischen Präfix eine schöne Lösung bzw. sowas wie ein Best practice?


Speichern Abbrechen
Konnte dir geholfen werden?
  • Ja
Dieser Beitrag wurde geschlossen.
Es ist nicht möglich, Kommentare zu schreiben. Du kannst aber jederzeit eine Frage stellen.
Frage stellen
6 Kommentare
2018-06-05T10:55:37Z
  • Dienstag, 05.06.2018 um 12:55 Uhr

Hallo A-S,


eigentlich ist das ganz einfach: Die privacy extensions werden nur auf deinem Server ausgeschaltet. 


In der Fritz!Box wird dann die Firewall-Regel für das (eine) Interface angelegt.


Was aber immer sein kann ist, dass der Fritz!Box ein neues Präfix zugeordnet wird. Das kannst du aber über einen Dyndns-Dienst abfangen (der IPv6 unterstützt). Damit das dann auch richtig funktioniert wird der Dyndns-Updater direkt auf dem Server installiert.


Die interne (fe80) Adresse bleibt aber immer die selbe.


Andreas

2018-06-05T12:31:44Z
  • Dienstag, 05.06.2018 um 14:31 Uhr
myfritz in der Fritz!Box unterstützt doch IPv6?
2018-06-05T13:42:04Z
  • Dienstag, 05.06.2018 um 15:42 Uhr
Hallo Ilja,

ja MyFritz! unterstützt IPv6.

Es gibt aber auch andere DynDNS Anbieter und Updater, die (primär) nur mit IPv4 arbeiten.

Andreas
2018-06-05T14:10:09Z
  • Dienstag, 05.06.2018 um 16:10 Uhr
Bei klassischem IPv6-DDNS muss der Dienst auf dem Gerät laufen, das freigegeben ist oder man muss sich selbst was basteln.
Ich kenne jedenfalls keinen IPv6-DDNS-Dienst (außer Myfritz), der sinnvoll auf der Fritzbox eingesetzt werden kann, wenn es um ein anderes Gerät geht.
Der Nachteil von Myfritz ist halt der, dass man ein Passwort braucht, das man nicht unbedingt anderen zur Verfügung stellen will.

Bei SPDNS.DE stehen in den FaQs Beispiele drinn, wie man das auf Clients zum laufen bringt.
2018-06-05T14:40:05Z
  • Dienstag, 05.06.2018 um 16:40 Uhr

Danke für euren Input!


Ich bin ein Stück weiter gekommen. Bei einem Server habe ich die Privacy Extensions jetzt komplett deaktiviert. Das Problem war, dass zwar keine Temp-Adressen genutzt wurden, aber dass Privacy Stable Adressing aktiviert war. Der Server ist jetzt über MyFritz problemlos erreichbar.


Auf meinem anderen Server würde ich allerdings gerne Temp-Adressen aktiviert lassen, da ich diesen auch ausgehend als Proxy nutze. 


Der Server hat 3 IPv6 Adressen:

1. fe80::<Mac Adresse> (Link lokal)

2. <prefix>::<Mac Adresse>

3. <prefix>::<Temp Adresse>


Ich kann den Server über die 1. und 3. Adresse erreichen. Allerdings nicht über die 2. (Die Firewall von Server B habe ich zum Test komplett deaktiviert)


Sollte der Server nicht auch über die 2. Adresse erreichbar sein? Oder ist es einfach nicht vorgesehen, falls PE aktiviert ist?

2018-06-05T14:53:11Z
  • Dienstag, 05.06.2018 um 16:53 Uhr

Hallo A-S,


bei mir war es so, dass mein Server unter der Adresse Typ 2 (von deinem Beispiel) nicht erreichbar war, wenn die privacy extensins aktiv sind.

Diese Adresse steht zwar auch in der Liste der IP-Adressen zu diesem Netzwerkgerät in der Fritz!Box, ist aber nicht mehr gültig.

Oder auch einfach: Das geht nicht, da ja die privacy Extension aktiv sind, damit eben nicht das Interface erkannt wird.


Die Fritz!Box ist schon so intelligent, dass die Freigabe in der Firewall für das jeweilige Interface eingerichtet wird, auch wenn die PE aktiv sind. Jedoch ändert sich dann jeweils die komplette IP-Adresse und das muss der DynDNS Dienst/ Updater erstmal hinbekommen, wenn man auf dieses Geräte von Außen wieder zugreifen möchte.


Andreas