[Gelöst] Yallo Home Cable Box

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
M

MaagoFleesa

Neuer User
Mitglied seit
14 Mrz 2017
Beiträge
65
Punkte für Reaktionen
1
Punkte
8
Hallo Forum,

ich weiss nicht wohin ich die Frage stellen soll, deshalb mal hier rein:

Ich möchte ein Port Forwarding machen aus dem Internet auf eine Linux Maschine in meinem lokalen Netz (SSH).
Ich besitze einen Cable Router bei einem schweizer Anbieter Yallo. Dort kann ich unter dem Punkt "IP und Port Filter" ein Port Forward einrichten. Allerdings funktioniert das wohl nicht. Schalte ich die Firewall ab komme ich drauf, also funktioniert meine Linux Kiste hinter dem Router korrekt.

Die eingetragene IPv6 Adresse entspricht exakt der Adresse, die ich mittels "ip a" auf der Linux Maschine gelistet bekomme. Warum funktioniert das dann nicht?
portfilter1.png
 
IPv6 funktioniert anders:
Da gibt es keine Portweiterleitungen, es gibt nur eine Firewall, die Verbindungsversuche auf bestimmte IPv6-Adressen und bestimmte Ports freigibt oder unterbindet.
Jedes(!) IPv6-Gerät hat seine eigene Adresse im Internet und kann jeden Port nutzen. D.h. Du hast x Webserver, die alle per http (Port 80) oder https (Port 443) von außen auf ihrem Original-Port erreichbar sind. Ports umbiegen oder weiterleiten, wie bei IPv4 erforderlich, ist zum Glück Geschichte.
 
Wobei das wohl nicht das Problem des TO ist, mit deaktivierter IPv6-Firewall auf dem verwendeten Router scheint es ja angeblich zu funktionieren und außerdem:
MaagoFleesa schrieb:
Die eingetragene IPv6 Adresse entspricht exakt der Adresse, die ich mittels "ip a" auf der Linux Maschine gelistet bekomme.
Zum Vergrößern anklicken....

@MaagoFleesa
Das einzige was da eben "aufstößt" ist, dass du (fälschlicherweise) den Begriff "Port-Forwarding" verwendest (das gibt es i.V.m. NAT). Dieser Begriff wird jedoch auch laut deinem Screenhsot vom WebUI deines Router offenbar nicht verwendet. Portfreigabe wäre schon passender/richtiger. Aber letztlich fehlen mir die Kenntnisse zum betreffenden Router/Gateway um da im speziellen weiterhelfen zu können.
 
Wenn die FW aktiv ist, mit der Freigabe der vermuteten IPv6-Adresse und dem dortigen Port 22, dann dringt nichts von außen zu dem Linux-Gerät durch, bei deaktivierter FW hingegen kommt alles an. Dann liegt nahe, dass die eingetragene IP-Adresse nicht stimmt.
Evtl mal diese IPv6-Adresse auf einer Website checken, ob diese ext. IPv6-Adresse des Gerätes nicht doch eine andere ist.
 
Die im Inet zu sehende IP Adresse stimmt:

[root@conn ~]# wget -6 -O - -q icanhazip.com
2a02:aa12:747e:fb80:21c:42ff:feff:d7fa

In der Firewall eingetragen:
port1.png
Ich kann mir jetzt nur noch vorstellen dass der Filter in der Firewall einfach nicht funktioniert.
 
Als Alternativen könnte ich die Firewall öffnen und dahinter eine Fritzbox als Firewall schalten wenn die sowas könnte ...
 
Was soll denn bitte die Angabe von /0 hinter der IP-Adresse bedeuten und wo kommt die her bzw. wie sieht der Dialog zur Eingabe dieser Werte aus? Als Netzwerkmaske für die Adresse ist das jedenfalls totaler Blödsinn.
 
Ja das versteh ich auch nicht. Die /0 schreibt der ganz alleine ..
port2.png
 
https://portforward.com/arris/tg3492lg-yl/ könnte helfen, falls es das richtige Modell ist.

Auch wäre es sehr hilfreich, wenn Du einfach mal beschreiben könntest, WIE GENAU Du feststellst, ob diese Weiterleitung nun funktioniert oder nicht. Zwar steht oben irgendwo, daß es bei ausgeschalteter Filterung auf dem Router alles funktionieren würde, aber es gibt zwei Screenshots mit widersprüchlichen IPv6-Adressen (die zweite sieht zumindest mal wie eine EUI-64-Adresse aus, was man von der ersten (in #1) so nicht behaupten kann) und es wäre bei IPv6 - abhängig von der konkreten Konfiguration für die Netzwerk-Schnittstellen - auch vollkommen normal, wenn ein einzelnes Interface MEHRERE IPv6-Adressen (auch mehrere aus dem verwendeten öffentlichen Präfix) verwendet.

Auch bei wechselnden IPv6-Adressen (falls die Privacy Extensions aktiviert sind) sollte es aber (mind.) eine statische IPv6-Adresse geben, an die dann die Serverdienste zu binden wären (ListenAddress in der Konfiguration des OpenSSH-Servers) ... und je nachdem, wann und mit welcher "freigegebenen" IPv6-Adresse Du das getestet hast, daß bei abgeschalteter Filterung im Router alles funktioniert (ich gehe mal fest davon aus, daß Du dann den Versuch, auf den SSH-Server zuzugreifen, auch mit expliziter Angabe der IPv6-Adresse ausführst und nicht mit irgendwelchen DNS-Auflösungen, zumindest nicht, ohne diese penibel geprüft zu haben und zwar in unmittelbarem zeitlichen Zusammenhang mit den anderen Tests), könntest Du u.U. auch bloß falsch testen bzw. ältere Ergebnisse als "gegeben" annehmen, die aber mittlerweile nicht mehr stimmen.

Irgendwelche Internet-Dienste, die einem die eigene IPv6-Adresse anzeigen, sind jedenfalls - falls man nicht auch die passenden Einstellungen für die eigene Netzwerk-Konfiguration verwendet - gfA und man sollte sich nur dann auf sie verlassen (s. das wget weiter oben), wenn man zuvor die Zusammenhänge (a) verstanden und (b) die eigene Konfiguration genau geprüft hat (https://tldp.org/HOWTO/Linux+IPv6-HOWTO/ch03s03.html).

EDIT: Bei genauerer Betrachtung der Einstellungen ist für eingehende Verbindungen auch die Angabe des "Quellports" als Wert zwischen 22 und 22 sehr, sehr merkwürdig - ein SSH-Client würde ja nie (solange das niemand mit root-Rechten ist, der ihn aufruft und selbst dann dürfte auf der Maschine, von der die Verbindung kommt, kein eigener SSH-Server installiert sein, weil der dann den Port blockiert) den Port 22 als Ausgangspunkt für seinen Verbindungsversuch verwenden - der "Quellport" läßt sich schlicht nicht voraussagen bei eingehenden SSH-Verbindungen.
 
Zuletzt bearbeitet:
Hier kommt meine Basis:

Linux VM in meinem lokalen Netzwerk, das eine IPv6 Adresse vom Router via DHCPv6 bekommt (deshalb wechselnde Adresse).
ipa.png

Dann habe ich im Router diese IPv6 Adress wie im Bild zuvor in die Port Freigabe eingetragen.

Anschliessend bin ich auf meinen Server bei einem Hoster und versuche via SSH direkt auf die IP Adresse zu verbinden:
ssh.png

Und dort bekomme ich keine Antwort bzw kann mich nicht verbinden.

Schalte ich nun die Firewall ab kann ich mich sofort zu meiner lokalen VM verbinden mit gleicher Adresse.
login.png
 
Siehe mein Nachtrag in #9 - Deine SSH-Verbindung zum Server kommt garantiert NICHT vom Port 22.
 
Da steht aber auch "connecting TO" und das ist der ZIELPORT - der ist selbstverständlich 22, denn das ist der von der IANA zugewiesene Port für SSH.

Auch wenn es unklug ist, den ins Internet freizugeben - denn der wird nur zu gerne dann von Angreifern attackiert/penetriert. Stattdessen verwendet man (üblicherweise) irgendeinen anderen Port und damit man den dann nicht ständig bei Verbindungsaufnahme auch noch mit angeben muß, verwendet man eine lokale Konfigurationsdatei auf dem Host, von dem aus der Client gestartet wird, in der man diesen Port passend "vorkonfiguriert" ... siehe https://manpages.debian.org/unstable/manpages-de/ssh_config.5.de.html#Port

Versuche einfach mal, den Quellport bei der Freigabe auszulassen ... das sollte helfen, wenn das GUI das zulassen sollte.
 
Aha .. ich hab jetzt mal diese Config eingetragen. Das funktioniert. Leider kann ich dann kein Protokoll TCP definieren, weil das Quell- und Zielport als Eingabe benötigt.
portall.png

Sowas geht auch:
geht.png
 
Offenbar muß man bei dieser Firmware das "FILTER" in der Beschreibung ernst nehmen ... am Ende ist das wohl nichts weiter, als ein Eintragen einer Filter-Regel per iptables oder nftables und da es bei IPv6 kein NAT an dieser Stelle gibt, ist eben der "Quellport" auch tatsächlich der von der Gegenstelle für die Verbindung ausgewählte Port, den man bei eingehenden Verbindungen üblicherweise eben NICHT voraussagen kann (außer bei speziellen Diensten, wo Absender und Ziel identische Portnummern verwenden). Wenn auch die Angabe "alle" möglich ist (auch wenn 1 bis 65535 dann schon sehr umständlich ist und nicht jeder weiß, was der max. Wert wäre, der in zwei Byte gespeichert werden kann), dann ist das ja auch kein größeres Problem mehr.
 
genau. Auf jeden Fall vielen Dank für eure Hilfe. Damit kann ich aber leben und arbeiten.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 729 (Mitglieder: 20, Gäste: 709)

Neueste Beiträge

Statistik des Forums

Themen
244,880
Beiträge
2,220,045
Mitglieder
371,605
Neuestes Mitglied
michaelwarwel
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück