- Mitglied seit
- 24 Feb 2018
- Beiträge
- 19
- Punkte für Reaktionen
- 0
- Punkte
- 1
Hallo,
ich brauche mal eure Unterstützung zu einem Thema, zu welchem ich - in dieser Konstellation - bisher nichts finden konnte:
Ausgangssituation
Ich habe in meinem lokalen Netzwerk einen Docker-Container aktiv, welchen ich nun auch per IPv6 anbinden will (war zuvor nur per IPv4 erreichbar). Die generelle Kommunikation via IPv6 in und aus dem Container funktioniert soweit, Details hierzu folgen weiter unten. Mein Problem ist aktuell, dass mein IPv6-Subnet aus dem Internet nicht erreichbar ist, und ich dieses nicht über die reguläre Freigabe (Internet > Freigaben) geöffnet bekomme.
Mein Setup sieht wie folgt aus:
Ich habe für das Subnet
IPv6-Netzwerk
Präfixlänge
Gateway
IPv6-Netzwerk
Präfixlänge
Gateway
Bis hierher funktioniert soweit alles. Ich kann den Container vom Raspberry Pi aus via IPv6 anpingen, andersherum ebenfalls. Auch von anderen Geräten im Heimnetz kann ich den Container anpingen, sowie auch andersherum. Das Anpingen von z.B. google.de funktioniert aus dem Container ebenfalls.
Nun möchte ich den Container auch aus dem Internet erreichen und habe hierzu probiert, diesen von meinem vServer aus anzupingen, allerdings bekomme ich hierauf keine Reaktion:
Das Anpingen des RPis im Docker-Netzwerk (
ip6tables habe ich auf dem Pi während der Tests komplett deaktiviert.
Ergriffene Maßnahmen
Während der folgenden Tests, hatte ich die statische Route auf die öffentliche Adresse des Pis aktiviert:
IPv6-Netzwerk
Präfixlänge
Gateway
Um dieses Problem zu beheben, habe ich nun versucht, die Freigaben der FritzBox entsprechend einzustellen. Dazu habe ich in erster Instanz die Option "PING6 freigeben." für den Raspberry Pi aktiviert.Nun funktioniert das Anpingen des Pis über die öffentliche Adresse (
Ping Pi öffentlich (
Ping Pi Docker Host (
Ping Container (
In Stufe 2 habe ich für den Pi zusätzlich die Option "Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen." aktiviert. Dies hat dazu geführt, dass der Pi weiterhin direkt erreichbar ist, aber nun sowohl die Adresse im Docker-Netzwerk, als auch der Container in einen Timeout laufen (wie bisher nur der Container selbst).
Ping Pi öffentlich (
Ping Pi Docker Host (
Ping Container (
Für Stufe 3 habe ich zusätzlich die Option "Dieses Gerät komplett für den Internetzugriff über IPv6 freigeben (Exposed Host)." aktiviert, aber dies hat an der Situation nichts verändert.
Ping Pi öffentlich (
Ping Pi Docker Host (
Ping Container (
Ich habe auch versucht, für den Container eine eigene Freigabe zu erzeugen, aber dort habe ich nur die Möglichkeit, den Interface Identifier der IPv6 einzutragen. Auch wenn mir nahezu klar war, dass dies erfolglos bleiben wird, habe ich dort dennoch die Adresse
Ping Pi öffentlich (
Ping Pi Docker Host (
Ping Container (
Leider bin ich langsam ratlos, was ich noch machen kann, damit das Subnet
Vielen Dank bereits vorab,
Julian
ich brauche mal eure Unterstützung zu einem Thema, zu welchem ich - in dieser Konstellation - bisher nichts finden konnte:
Ausgangssituation
Ich habe in meinem lokalen Netzwerk einen Docker-Container aktiv, welchen ich nun auch per IPv6 anbinden will (war zuvor nur per IPv4 erreichbar). Die generelle Kommunikation via IPv6 in und aus dem Container funktioniert soweit, Details hierzu folgen weiter unten. Mein Problem ist aktuell, dass mein IPv6-Subnet aus dem Internet nicht erreichbar ist, und ich dieses nicht über die reguläre Freigabe (Internet > Freigaben) geöffnet bekomme.
Mein Setup sieht wie folgt aus:
Öffentliches Präfix | 2a02:xxxx:xxxx:4100::/56 |
Öffentliche Adresse der FritzBox | 2a02:xxxx:x000:d:cd68:7dbb:6d18:xxxx |
Präfix des Heimnetzes | 2a02:xxxx:xxxx:4100::/64 |
ULA-Präfix im Heimnetz | fd99:xxxx:xxxx:xxxx::/64 |
Adresse des Raspberry Pis, auf dem der Docker-Container läuft ULA-Adresse | 2a02:xxxx:xxxx:4100:22e5:3f04:e2a7:5221 fd99:xxxx:xxxx:xxxx:e9c3:d1b9:79a9:3634 |
Präfix des Docker-Container-Netzwerks | 2a02:xxxx:xxxx:4102::/64 |
Adresse des Raspberry Pis (Host) im Docker-Container-Netzwerk | 2a02:xxxx:xxxx:4102::1 |
Adresse des Containers im Docker-Container-Netzwerk | 2a02:xxxx:xxxx:4102::1111 |
Ich habe für das Subnet
2a02:xxxx:xxxx:4102::/64
in der FritzBox 6591 (7.13) unter Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv6-Routen bereits die folgenden Routen angelegt (nur eine war gleichzeitig aktiv, nicht beide):IPv6-Netzwerk
2a02:xxxx:xxxx:4102::
Präfixlänge
64
Gateway
fd99:xxxx:xxxx:xxxx:e9c3:d1b9:79a9:3634
(ULA-Adresse des RPis)IPv6-Netzwerk
2a02:xxxx:xxxx:4102::
Präfixlänge
64
Gateway
2a02:xxxx:xxxx:4100:22e5:3f04:e2a7:5221
(Öffentliche Adresse des RPis)Bis hierher funktioniert soweit alles. Ich kann den Container vom Raspberry Pi aus via IPv6 anpingen, andersherum ebenfalls. Auch von anderen Geräten im Heimnetz kann ich den Container anpingen, sowie auch andersherum. Das Anpingen von z.B. google.de funktioniert aus dem Container ebenfalls.
Nun möchte ich den Container auch aus dem Internet erreichen und habe hierzu probiert, diesen von meinem vServer aus anzupingen, allerdings bekomme ich hierauf keine Reaktion:
Code:
root@vServer ~ # ping -6 -c 4 2a02:xxxx:xxxx:4102::1111
PING 2a02:xxxx:xxxx:4102::1111(2a02:xxxx:xxxx:4102::1111) 56 data bytes
^C
--- 2a02:xxxx:xxxx:4102::1111 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3056ms
Das Anpingen des RPis im Docker-Netzwerk (
2a02:xxxx:xxxx:4102::1
), sowie das direkte Anpingen des Pis (2a02:xxxx:xxxx:4100:22e5:3f04:e2a7:5221
) wurde (korrekterweise) von der FritzBox abgefangen:
Code:
root@debian-2gb-nbg1-dc3-3 ~ # ping -6 -c 4 2a02:xxxx:xxxx:4102::1
PING 2a02:xxxx:xxxx:4102::1(2a02:xxxx:xxxx:4102::1) 56 data bytes
From 2a02:xxxx:x000:d:cd68:7dbb:6d18:xxxx icmp_seq=1 Destination unreachable: Administratively prohibited
From 2a02:xxxx:x000:d:cd68:7dbb:6d18:xxxx icmp_seq=2 Destination unreachable: Administratively prohibited
From 2a02:xxxx:x000:d:cd68:7dbb:6d18:xxxx icmp_seq=3 Destination unreachable: Administratively prohibited
From 2a02:xxxx:x000:d:cd68:7dbb:6d18:xxxx icmp_seq=4 Destination unreachable: Administratively prohibited
--- 2a02:xxxx:xxxx:4102::1 ping statistics ---
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 3004ms
ip6tables habe ich auf dem Pi während der Tests komplett deaktiviert.
Ergriffene Maßnahmen
Während der folgenden Tests, hatte ich die statische Route auf die öffentliche Adresse des Pis aktiviert:
IPv6-Netzwerk
2a02:xxxx:xxxx:4102::
Präfixlänge
64
Gateway
2a02:xxxx:xxxx:4100:22e5:3f04:e2a7:5221
(Öffentliche Adresse des RPis)Um dieses Problem zu beheben, habe ich nun versucht, die Freigaben der FritzBox entsprechend einzustellen. Dazu habe ich in erster Instanz die Option "PING6 freigeben." für den Raspberry Pi aktiviert.Nun funktioniert das Anpingen des Pis über die öffentliche Adresse (
2a02:xxxx:xxxx:4100:22e5:3f04:e2a7:5221
), das Anpingen der Docker-Adresse (2a02:xxxx:xxxx:4102::1
) wird weiterhin geblockt (siehe oben) und das Anpingen des Containers selbst (2a02:xxxx:xxxx:4102::1111
) gibt ebenfalls keine Antwort.Ping Pi öffentlich (
2a02:xxxx:xxxx:4100:22e5:3f04:e2a7:5221
): ErfolgreichPing Pi Docker Host (
2a02:xxxx:xxxx:4102::1
): Administratively prohibitedPing Container (
2a02:xxxx:xxxx:4102::1111
): TimeoutIn Stufe 2 habe ich für den Pi zusätzlich die Option "Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen." aktiviert. Dies hat dazu geführt, dass der Pi weiterhin direkt erreichbar ist, aber nun sowohl die Adresse im Docker-Netzwerk, als auch der Container in einen Timeout laufen (wie bisher nur der Container selbst).
Ping Pi öffentlich (
2a02:xxxx:xxxx:4100:22e5:3f04:e2a7:5221
): ErfolgreichPing Pi Docker Host (
2a02:xxxx:xxxx:4102::1
): TimeoutPing Container (
2a02:xxxx:xxxx:4102::1111
): TimeoutFür Stufe 3 habe ich zusätzlich die Option "Dieses Gerät komplett für den Internetzugriff über IPv6 freigeben (Exposed Host)." aktiviert, aber dies hat an der Situation nichts verändert.
Ping Pi öffentlich (
2a02:xxxx:xxxx:4100:22e5:3f04:e2a7:5221
): ErfolgreichPing Pi Docker Host (
2a02:xxxx:xxxx:4102::1
): TimeoutPing Container (
2a02:xxxx:xxxx:4102::1111
): TimeoutIch habe auch versucht, für den Container eine eigene Freigabe zu erzeugen, aber dort habe ich nur die Möglichkeit, den Interface Identifier der IPv6 einzutragen. Auch wenn mir nahezu klar war, dass dies erfolglos bleiben wird, habe ich dort dennoch die Adresse
::0:0:0:1111
konfiguriert und alle 3 oben genannten Optionen aktiviert. Aber dies hatte keine Auswirkung auf die Erreichbarkeit.Ping Pi öffentlich (
2a02:xxxx:xxxx:4100:22e5:3f04:e2a7:5221
): ErfolgreichPing Pi Docker Host (
2a02:xxxx:xxxx:4102::1
): TimeoutPing Container (
2a02:xxxx:xxxx:4102::1111
): TimeoutLeider bin ich langsam ratlos, was ich noch machen kann, damit das Subnet
2a02:xxxx:xxxx:4102::/64
öffentlich erreichbar ist. Falls jemand hierzu irgendeine Idee haben sollte, würde ich mich freuen, wenn ihr mir diese mitteilen würdet Vielen Dank bereits vorab,
Julian