[Problem] Fritz!Box IPv6 Portfreigabe für Pi funktioniert nicht

[raspiby]

Hallo,

ich habe einen neuen Anschluss und damit auch einen neuen Router und wollte nun meinen Pi über den Standard SSH-Port 22 erreichbar machen,
dies hatte ich auch zuvor bei meinem anderen Anschluss gemacht.
War auch ein IPv6-Anschluss und sogar mit einem wenig konfigurierbaren Unitymediarouter, habe also gedacht, dass das mit der Fritz!Box jetzt einfach sein sollte.

Habe also bei Freigaben meinen Pi ausgewählt und bei den Ports 22 bis 22 eingetragen und abgespeichert.
Dann kurz in der Fritz!Box die Ipv6-Adresse nachgeschaut und festgestellt, dass es mehr als eine gibt..
Hatte schon ein schlechtes Gefühl und als ich dann mit beiden einen IPv6-Portscan auf 22 durchgeführt habe, bestätigte sich
dieses Gefühl, der Port war "filtered".
Bin nun relativ ratlos, weil ich eigentlich nicht weiß, was hier nicht stimmen kann.

Für eure Hilfe wäre ich euch sehr dankbar!

MfG

Rapiby

 

[HabNeFritzbox]

Der Pi bezieht automatisch die IP?
Brauchst in der FB nur Gerät auswählen, und dann IPv4 und IPv6, kannst mit einer Eingabemaske machen für beide Protokolle.

Den Test hast auch mit der IPv6 IP vom RasPi gemacht und nicht mit der von der FB oder so?

Die IPv6 Freigabe bezieht sich nur auf letzten 4 Teile, hast jedoch alles geschwärzt, die ersten 4 sind für Freigabe egal. Und mehrere IPs normal, intern, extern usw.

 

[raspiby]

Ob der Pi automatisch die IP bezieht weiß ich leider nicht..

Brauchst in der FB nur Gerät auswählen, und dann IPv4 und IPv6, kannst mit einer Eingabemaske machen für beide Protokolle.

Das habe ich eigentlich auch so gemacht, deswegen bin ich ja auch verwundert, dass es nicht funktioniert.

Den Test habe ich mit allen IPs gemacht, die mir bei Bild 4 angezeigt wurden und da kam bei allen ein "filtered" raus.

Und okay gut zu wissen, dachte nur bei sowas kann man nie vorsichtig genug sein

 

[HabNeFritzbox]

Was sagt denn die Sicherheit in FB?
Ist dort Port offen?

Und Thema Sicherheit, wie kommt man auf Idee SSH auf 22 freizugeben? Am besten noch mit erlaubten root.

 

[raspiby]

Muss ich den Port zusätzlich nochmal irgendwo freigeben? Habe nämlich bisher nur Änderungen an dem Tab "Portfreigabe" vorgenommen.

Und das hatte ich tatsächlich mal ändern wollen, doch hatte dann einen Artikel gefunden, wo stand, dass das garkeine so gute Idee ist. Will hier jetzt aber keine falschen Informationen verbreiten, vielleicht erinnere ich mich auch falsch.

Edit:

Habe auch gerade festgestellt, dass wenn ich beim Pi "ifconfig" eingebe und mir dort die IPv6-Adresse anschaue, ist die eine andere als die, die in der Fritz!Box angezeigt wird.
Doch auch unter der ist der Port leider auf "filtered"..

 

[sf3978]

... dort die IPv6-Adresse anschaue, ist die eine andere als die, die in der Fritz!Box angezeigt wird.
Doch auch unter der ist der Port leider auf "filtered"..

Du solltest in deiner FritzBox die andere externe IPv6-Adresse des PI (die Du z. Zt. in deiner FritzBox noch nicht siehst) freigeben.
Besser Du konfigurierst deinen PI so, dass dieser nur eine einzige _externe_ IPv6-Adresse hat (d. h. mit einer festen Interface-ID die auf der MAC-Adresse des Interfaces basiert).

 

[HabNeFritzbox]

Eine feste IP hat man eben nicht extern, da immer neues Präfix hast.

Und SSH auf Standardport ist Risiko, besser sogar nur per VPN erreichbar.

 

[raspiby]

Du solltest in deiner FritzBox die andere externe IPv6-Adresse des PI (die Du z. Zt. in deiner FritzBox noch nicht siehst) freigeben.

So hätte ich es tatsächlich gerne gemacht, weil ich das zuvor bei dem Unitymediarouter genau so gemacht habe.
Allerdings habe ich bei der Fritz!Box ja gar nicht die Möglichkeit eine extra Adresse anzugeben, die wählt sie ja selber aus.
Oder übersehe ich da was?

 

[Peter_Lehmann]

Und Thema Sicherheit, wie kommt man auf Idee SSH auf 22 freizugeben?

Ich weiß, dass das ein uraltes Streitthema ist und dass dort die Meinungen weit auseinander gehen. Trotzdem hier (noch einmal) meine Meinung:

• Es gibt eine offizielle Liste der IANA, welche die standardisierten Ports beschreibt. Warum sollten diese nicht benutzt werden?
• Ja, es gibt immer noch Leute, die der Meinung sind, dass man sich durch "Verbiegen" der Ports vor Angreifern verstecken kann. Wer das glaubt, der glaubt auch, dass Zitronenfalter Zitronen falten! Wie lange dauert es wohl, mit geeigneten (und schnellen!) Tools auf der Konsole alle geöffneten Ports anzeigen zu lassen? Selbst ein relativ langsames Tool wie "Fing" auf dem Smartphone braucht dazu keine 2-3 Minuten. Auch der hinter den ("verbogenen") Ports lauschende Dienst ist anhand deutlicher Merkmale sehr schnell zu ermitteln. Und dann erfolgen automatisiert die Anmeldeversuche mit einer langen Liste gängiger Benutzernamen und wenn dann ein Benutzername akzeptiert wird und nach einem Passwort gefragt wird auch gleich noch mit PW aus einer noch längeren Liste. Das dauert natürlich u.U. einige Stunden - da fallen die paar Minuten zur Ermittlung des Ports überhaupt nicht auf.
• Sicherheit bei ssh kann man nur durch die Anwendung kryptologischer Maßnahmen erreichen! Also: Authentisierung mit Benutzername und PW verbieten. Nur PubkeyAuthentication zulassen, einen möglichst langen (2-4K) Schlüssel generieren und diesen nach Möglichkeit noch mit einem PW sichern. Weiterhin kann man die Anzahl der Fehlversuche begrenzen (bei PubkeyAuthentication reichen 1-2 Versuche!) bis der sshd die Verbindung trennt. Auch die Anzahl der gleichzeitigen ssh-Verbindungen kann man auf das nötige reduzieren.
• Wer sich nicht die Logs durch die Scriptkiddies mit ihren Tools vollmüllen lassen will, der kann auch noch ein Tool wie fail2ban installieren. Dieses erhöht zwar nur indirekt die Sicherheit (weil es eben die IP blockt und der Angriff länger dauert), aber zumindest kann man damit den Angreifer schon ärgern.
• Und noch einen Hinweis: Einen qualifizierten Angriff kann man als Laie kaum erkennen. Höchstens, wenn es zu spät ist. Qualifizierte Angreifer (bspw. "gute" und "böse" Geheimdienste ...) hacken nicht stundenlang auf einer IP herum. Aber die Wahrscheinlichkeit als ONU Ziel eines qualifizierten Angreifers zu werden ist auch IMHO äußerst gering. Und für das übliche "Rauschen des Internets" reichen die von mir erwähnten (unvollständigen) Hinweise völlig aus. Auf jeden Fall sind sie besser und sinnvoller als "Verstecken spielen".

MfG Peter

Edit: Ein Zugang in das eigene Netzwerk per VPN ist natürlich immer die beste Lösung.

 

[sf3978]

Eine feste IP hat man eben nicht extern, da immer neues Präfix hast.

Ich habe ja auch nicht feste IP geschrieben, sondern feste Interface-ID für die externe IPv6-Adresse. Und das geht, denn ich habe auch so eine Konstellation.

Und SSH auf Standardport ist Risiko, besser sogar nur per VPN erreichbar.

Ein Risiko ist das nicht, evtl. nur ein Ärgernis bzw. eine Unannehmlichkeit. Denn wenn ich den Zugang zu diesem ssh-Port, mit z. B. zwei (2) verschiedenen pubkeys und jeden dieser Schlüssel mit seiner eigenen passphrase absichere kann gar nichts passieren:

AuthenticationMethods publickey,publickey

Allerdings habe ich bei der Fritz!Box ja gar nicht die Möglichkeit eine extra Adresse anzugeben, die wählt sie ja selber aus.
Oder übersehe ich da was?

Ja, Du übersiehst etwas. Es geht nicht um eine extra Adresse in der FB, sondern um die Konfiguration einer festen Interface-ID für die externe IPv6-Adresse deines PI. Diese Konfiguration machst Du nur auf deinem PI und nicht in der FritzBox. In der FritzBox kannst Du dann die v6-Freigabe für die feste Interface-ID deines PI, machen.

EDIT:

Wenn Du den dhcpcd auf deinem PI verwendest, dann kannst Du das in seiner config, mit z. B.:

slaac [hwaddr | private]

             Selects the interface identifier used for SLAAC generated IPv6 addresses.  If
             private is used, an RFC 7217 address is generated.

machen. Mit systemd-networkd sollte es aber auch möglich sein.

 

[raspiby]

Ja, Du übersiehst etwas. Es geht nicht um eine extra Adresse in der FB, sondern um die Konfiguration einer festen Interface-ID für die externe IPv6-Adresse deines PI. Diese Konfiguration machst Du nur auf deinem PI und nicht in der FritzBox. In der FritzBox kannst Du dann die v6-Freigabe für die feste Interface-ID deines PI, machen.

Kannst du mir das netterweise nochmal genauer eklären? Also habe schon ein bisschen mit dem slaac Befehl was gemacht, aber das hat nichts geholfen. Ich glaube ich bräuchte da eine genauere Anleitung, sorry!

 

[sf3978]

Also habe schon ein bisschen mit dem slaac Befehl was gemacht, aber das hat nichts geholfen.

Welchen dhcp-Client benutzt Du auf deinem PI? Wo und was genau hast Du mit "slaac" gemacht?
Hast Du deine FritzBox für IPv6 auch richtig konfiguriert?

 

[raspiby]

Auf meinem Pi habe ich bezüglich DHCP selber nie etwas eingerichtet. Die dhcpcd.conf-Datei ist bei mir auch komplett leer, also halt nur ausgeklammerter (#) Text.
Ich habe mit dem Befehl "slaac hwaddr" einfach nur die privacy extensions ausgeschaltet, doch das hat nicht an meinem Problem geändert.
Die Fritz!Box kam was den DS-Lite Anschluss angeht schon "vorkonfiguriert" von meinem Provider, die hatten einen Techniker geschickt.
Ansonsten habe ich bezüglich IPv6 selber keine Änderungen oder Einstellungen vorgenommen.

 

[sf3978]

Ich habe mit dem Befehl "slaac hwaddr" einfach nur die privacy extensions ausgeschaltet, doch das hat nicht an meinem Problem geändert.

Hast Du die Zeile:

slaac hwaddr

in der "/etc/dhcpcd.conf"-Datei wirksam eingetragen?

Die Fritz!Box kam was den DS-Lite Anschluss angeht schon "vorkonfiguriert" von meinem Provider, die hatten einen Techniker geschickt.
Ansonsten habe ich bezüglich IPv6 selber keine Änderungen oder Einstellungen vorgenommen.

Warum hat dein ISP einen Techniker geschickt? Deine FritzBox ist für DS-Lite (natives IPv6) vorkonfiguriert, aber nicht bzgl. IPv6, für dein (W)LAN hinter der FritzBox.

Welche externe IPv6-Adresse wird z. Zt. mit:

dig -6 aaaa +short myip.opendns.com @2620:0:ccc::2

auf deinem PI gezeigt? Evtl. musst Du noch dnsutils auf deinem PI installieren.

 

[raspiby]

in der "/etc/dhcpcd.conf"-Datei wirksam eingetragen?

Habe es gerade nochmal probiert, es hat sich nichts geändert. Der Port ist immer noch bei allen getesteten Adressen auf "filtered".

Warum hat dein ISP einen Techniker geschickt? Deine FritzBox ist für DS-Lite (natives IPv6) vorkonfiguriert, aber nicht bzgl. IPv6, für dein (W)LAN hinter der FritzBox.

Wir haben ja wiegesagt unseren Anschluss gewechselt und der Techniker kam einfach um diesen in unserer Wohnung einzurichten.

auf deinem PI gezeigt? Evtl. musst Du noch dnsutils auf deinem PI installieren.

Mir wird dort diesselbe Adresse angezeigt, wie im Interface der Fritz!Box (siehe Bild).



Bild geschrumpft by stoney

 

[sf3978]

Mir wird dort diesselbe Adresse angezeigt, wie im Interface der Fritz!Box (siehe Bild).

Den Präfix der IPv6-Adresse solltest Du anonymisieren und die Interface-ID kannst Du hier zeigen, damit man sieht ob das eine feste Interface-ID ist.

 

[nmsport]

Auf meinen beiden Pis läuft zwar DietPi und nicht Raspbian, aber ich vermute stark, dass das in dieser Frage nicht so wichtig ist. Hier war Standard, dass der Pi eine globale IPv6-Adresse mit seiner IFID erhält. Sprich: Privacy-Extensions waren nicht aktiviert. Mit aktivierten PrivExt erhält er freilich zwei IPV6: Die zufällig berechnete und die mit der IFID. Hat man in der Fritzbox zusätzlich "ULA immer zuweisen" aktiviert, erhält der Pi vier IPv6-Adressen: ULA + Global privatisiert und mit IFID. Die Link-Local als fünfte versteht sich von selbst.
Es ist allerdings so, dass nicht alle dieser Adressen dann in der Fritzbox unter der Clientansicht auch angezeigt werden. Die Fritzbox zeigt dort nur an, was vom Client auch tatsächlich im Netzwerk benutzt wird. Das sind dann ggf. auch nur die Link-Local, die Global priv. und die IPv4.
Die Adressen des Pi frage ich bei Bedarf am liebsten mit ip address bei ihm selbst ab.

Nachtrag:
Ich habe es aus Neugier eben ausprobiert. Auch ich habe keinen Erfolg, einen Pi hinter einer nachgelagerten 7590 - sprich WAN-Client (aktuell mit 7.19.74542 Inhaus) - aus dem vorgelagerten Netz via IPv6 anzusprechen. In der Portfreigabesektion ist zwar erkennbar, dass die Box anhand der IFID die korrekte globale IPv6 zugeordnet hat, aber die Weiterleitung funktioniert dennoch nicht.

 

[sf3978]

... - aus dem vorgelagerten Netz via IPv6 anzusprechen.

Was genau meinst Du mit "vorgelagertem Netz" und welche IPv6-Adresse des PI hast Du dafür benutzt? Wie hast Du auf deinem PI (und nicht außerhalb des PI) getestet, dass die Weiterleitung nicht funktioniert?

EDIT:

Mit welcher externen IPv6-Adresse ist das wlan0-Interface deines PIs im neighbor-cache eingetragen? Siehe die Ausgabe von:

ip n s

auf deinem PI.

 

[nmsport]

Mit

"vorgelagertem Netz"

ist gemeint:

 DSL ----- FB7490 ----- FB7590 (vorh. Zugang über WAN)

Sprich: Die 7590 versorgt mein Subnetz als Router aus dem Netz der 7490, die neben meiner 7590 noch eine 7390 eines Mitbenutzers (auf gleiche Weise) bedient. Der Versuch bestand also darin, mit einem Rechner aus dem Netz der 7490 den Pi hinter der 7590 via Portforwarding anzusprechen und das geht auch bei mir tatsächlich nur via IPv4. Dazu habe ich sowohl die IPv6 der 7590, als auch ALLE IPv6 des Pi hinter ihr ausprobiert, obwohl letztere gar nicht benutzt werden können, da sie auf der WAN-Seite ja ohnehin nicht bekannt sind bzw. laut Protokoll auch nicht geroutet werden dürfen (ULAs).

Mit welcher externen IPv6-Adresse ist das wlan0-Interface deines PIs im neighbor-cache eingetragen?

Hierauf muss ich mit Schulterzucken antworten. Erstens in meinem Fall nicht WLAN (Grundgütiger!), sondern bestenfalls eth0, und zweitens liefert die Antwort auf

ip n s

gar keine Aussage über die Adressen meines Pi. Dort finde ich nur Adressen aktueller Verbindungen, im Moment gerade die des Rechners, an dem ich sitze und die der 7590. Deswegen schrieb ich vorhin auch, man erfährt über die Adresslage des Pi am ehesten etwas über

ip address

was ungefähr das ist, was man unter Windows über

ipconfig /all

erfährt.

 

[sf3978]

Mitist gemeint:

 DSL ----- FB7490 ----- FB7590 (vorh. Zugang über WAN)

Sprich: Die 7590 versorgt mein Subnetz als Router aus dem Netz der 7490, die neben meiner 7590 noch eine 7390 eines Mitbenutzers (auf gleiche Weise) bedient.

OK, aber das ist eine ganz andere Konstellation als die des TE.