[Problem] FritzBox! 7430 Portforwarding funktioniert nicht.

heiwli

Neuer User
Mitglied seit
9 Jul 2018
Beiträge
10
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

nachdem ich 3 Tage in den Sand gesetzt habe, mit dem Versuch meinen Server mit einer REST-Schnittstelle online erreichbar zu machen, suche ich Hilfe im Forum.


Mein Vorhaben:
Ich habe einen Linux-Server eingerichtet, auf dem eine REST-Schnittstelle auf Port 8080 läuft. Diese Schnittstelle soll vom Internet aus erreichbar sein, indem ich über URLs wie xxxx.dynv6.net:8080/api/book/get/5 mir z.B. das Buch mit der ID 5 laden kann.


Was habe ich getan:
Zur Info, ich habe nur eine IPv6-Adresse.
Mein LinuxServer aufgesetzt und darauf die Restanwendung auf Port 8080 gestartet. In der Firewall des Servers habe ich Ports wie 8080, 3306, ... geöffnet, damit ich auf die REST-Anwendung und die MySQL komme.
Die Fritzbox in DynDns (dynv6.net) konfiguriert. Die Box hat die korrekte IP weitergegeben (Sie ist im dynv6.net-Account zu sehen und die Fritzbox zeigt auch status "verbunden" an). Dann habe ich Portforwarding in der Fritzbox eingestellt: Ich habe unter "Internet" -> "Freigaben" -> "Portfreigaben" den Server übernommen und die Ports 8080 und 3306 auf 8080 und 3306 gelinkt. In der Übersicht der Portfreigabe steht der Server mit der IPv4 und IPv6 und hat die Ports 8080 und 3306 aufgelistet unter IPv6, welche auch grün als aktiv markiert sind.


Mein Testen:
Ich nehme mein Smartphone, gehe ins WLAN und öffne die URL: xxx.xxx.xxx.xxx:8080/api/book/get/5 und bekomme den Datensatz geliefert -> Zugriff funktioniert (xxx.xxx.xxx.xxx ist die IP meines Servers im Netzwerk).

Jetzt gehe ich aus dem WLAN und öffne die URL: xxxx.dynv6.net/api/book/get/5 und bekomme einen Fehler "Die Website ist nicht erreichbar - ERR_NAME_NOT_RESOLVED". Wenn ich statt der ddns die IPv6 meines Routers nehme, oder die IPv6 meines Servers, bekomme ich: "Diese Website ist nicht erreichbar - ERR_ADDRESS_UNREACHABLE".

Wo liegt das Problem?
Mich irritiert folgendes:
1. dass ich bei xxxx.dynv6.net "ERR_NAME_NOT_RESOLVED" bekomme, was für mich heißt, dass die DDNS nicht funktioniert? Aber mein Router und die Website dynv6.net behaupten etwas anderes.
2. dass ich auch mit der IPv6 meines Routers nicht auf meinen Server komme. Ich habe doch den Port 8080 freigegeben, sollte ich dann nicht automatisch auf der IP des Servers landen und somit ein Ergebnis bekommen, genauso wie wenn ich den Server im WLAN direkt anspreche?

Wie kann ich testen, wo das Problem liegt? Wenn der Server aus dem Netzwerk erreichbar ist, ist er dann korrekt konfiguriert, sodass er aus dem WEB auch erreichbar ist? Ich hoffte, dass wenn die FritzBox die Anfragen an den Server weitergibt (Portforwarding von 8080 auf 8080), dann ist die REST-API aus dem Web erreichbar. Aber ich sehe nicht so wirklich, wieso die Daten nicht ankommen bzw. durchgereicht werden.

Ich wäre über jede Hilfe dankbar und liefere gerne Informationen nach.


Vielen Dank und liebe Grüße.
 
Es gibt bei IPv6 in der FRITZ!Box kein NAT ... also muß für die Erreichbarkeit so eines Dienstes die öffentliche IPv6-Adresse des Servers beim DynDNS-Service registriert werden. Das kann die FRITZ!Box aber nicht (bzw. sie macht es nur für die als "MyFRITZ!-Service" freigegebenen Dienste und dann auch nur beim MyFRITZ!-DNS-Server) und daher landet ein solcher externer Request an der FRITZ!Box selbst und will auf deren Port 8080 irgendeinen Dienst nutzen ... was eben nicht funktioniert.

Das "Loch" in der Brandmauer (die Portfreigabe) gilt nur für die externe IPv6-Adresse des Servers ... wenn Du diese "abliest" und von extern direkt mit der IP-Adresse auf den Port 8080 zugreifst, sollte das genauso funktionieren, wie ein Zugriff auf den HTTPS-Port der FRITZ!Box (sofern man den freigeschaltet hat) mit der Auflösung des Namens über den DynDNS-Service.

Damit so etwas funktioniert (und nicht nur über den MyFRITZ!-Service erreichbar ist), muß der Server selbst seine IPv6-Adresse beim DynDNS-Service registrieren (oder auch zusätzlich oder wie immer man das lösen will).

Kurz gefaßt: Das sind zwei unterschiedliche IPv6-Adressen, wie man beim Vergleich problemlos sehen können sollte.
 
  • Like
Reaktionen: heiwli
Richtig, meine Fritz!Box und mein Server haben unterschiedliche IPv6 Adressen. Ich hatte auch versucht, die IPv6 Adresse des Servers zu benutzen, was jedoch auch nicht geklappt hat.
Aber das ist auf jeden Fall ein neuer Denkansatz und erklärt, wieso die Anfragen nicht durchkommen.

Ich werde mich heute Abend mal ransetzen und folgendes tun:
- öffentliche IPv6 Adresse notieren
- In der Fritz!Box den Port 8080 und 3306 für diese IPv6 Adresse freischalten
- Den Zugriff über diese IPv6 Adresse versuchen (URL mit IPv6 des Servers: [xxx:xxx:xx::xx:x]:8080/api/books/get/5 oder mit MySQL auf Port 3306)

Wie ich Dich verstanden habe, sollte der Zugriff somit funktionieren. (Der DynDns-Service ist ja erst mal egal, den würde ich einrichten, wenn der Zugriff über die IPv6 funktioniert).

Vielen Dank für die Antwort!
 
Den zweiten Punkt übernimmt die FRITZ!Box, wenn man für den entsprechenden Port eine IPv6-Freigabe einrichtet ... will sagen, bei solchen Freigaben verwendet die FRITZ!Box automatisch die IPv6-Adresse des LAN-Clients (das klingt in der Liste in #3 etwas komisch, wenn es nach "öffentliche [...] notieren" als "diese" hervorgehoben ist bei der Freigabe).
 
Das andere könnte noch sein, das da noch eine reine IP4 Strecke dazwischenliegt. Nicht alle Provider haben schon überall IPv6 am laufen.
 
Den zweiten Punkt übernimmt die FRITZ!Box, wenn man für den entsprechenden Port eine IPv6-Freigabe einrichte
Das war etwas falsch ausgedrückt. In der Fritz!Box trage ich den Computer als Freigabe mit Port 8080 ein, die IP sollte die Box damit ja handhaben.

Das andere könnte noch sein, das da noch eine reine IP4 Strecke dazwischenliegt. Nicht alle Provider haben schon überall IPv6 am laufen.
Wie könnte ich testen, ob das der Fall ist bzw. ob da etwas schief läuft? Ich bin bei M-Net und bekomme nur eine IPv6 Adresse. Also dachte ich, dass ich somit über IPv6 auf meinen Server zugreifen können sollte.
 
Also dachte ich, dass ich somit über IPv6 auf meinen Server zugreifen können sollte.
Das ist prinzipiell auch richtig ... solange der zum Zugriff benutzte Client auch eine IPv6-Adresse hat.

Das ist aber nicht in jedem Falle so ... dann ist mit DS-Lite keine eingehende Verbindung zu realisieren und man muß bei m-net von dem (in meinen Augen ziemlich unverschämten) Angebot Gebrauch machen, für 4,90 EUR/Monat eine (dynamische, nicht etwa eine statische) IPv4-Adresse zu erhalten. Warum finde ich das unverschämt?

Weil die anderen Preise von m-net mir jetzt nicht so "knallhart kalkuliert" erscheinen, daß regelmäßig zu entrichtende 5 EUR für "normales IPv4" (wie man das i.d.R. erwarten kann) in meinen Augen gerechtfertigt wären.
 
Wie könnte ich testen, ob das der Fall ist bzw. ob da etwas schief läuft?

Auf deinem Linux-Server kannst Du z. B. mit tcpdump testen und für v6-ddns könntest Du auf deinem Linux-Server, den v6-fähigen ddclient benutzen.
 
Mir ist im Nachhinein noch aufgefallen, daß wir hier noch nicht über eine FRITZ!OS-Version gesprochen haben und die 7430 ist inzwischen auch "so alt", daß es noch eine 06.5x geben sollte (gestartet ist die sogar mit 06.25 bei der Auslieferung).

Es gab zwischendrin auch mal bei einigen FRITZ!OS-Versionen generelle Probleme mit IPv6-Freigaben ... ob das bei der verwendeten Firmware der Fall sein könnte, muß man wieder recherchieren, wenn man die Versionsnummer kennt.

Aber über die tatsächlich freigegebenen Ports gibt der PCP-Abschnitt in der Support-Datei dann Auskunft ... wenn man denkt, es wäre alles korrekt eingestellt und es klappt trotzdem nicht, sollte man diese Support-Datei erstellen lassen und den PCP-Abschnitt bei weiteren Fehlersuchen/Beiträgen "dazupacken".
 
Das einfachste zum testen ist ein Ping von ausserhalb. Der Router sollte den Ping beantworten können. Dann weiss man wenigstens, ob die Namensauflösung bzw der Router erreichbar ist. (Ping geht mit dem fqdn oder IP Nummer)
 
Das einfachste zum testen ist ein Ping von ausserhalb.... gekürzt by stoney


Warum auf den Router und nicht gleich auf den Server, damit man sieht, ob die Portfreigabe im Router funktioniert? Und m. E. besser als Ping ist doch ein v6-TCP-Portscan auf den Server.
 
Zuletzt bearbeitet von einem Moderator:
So, ich bin jetzt wieder zuhause am Rechner.

Ich habe unter Freigaben den Server freigegeben und die Ports 80,443 und 8080 freigegeben. Laut Fritz!Box sind diese aktiv und haben eine IP-Adresse im Internet (siehe Freigabe.png) Freigabe.png

Zum Test habe ich mit meinem Smartphone im WLAN die URL mit der in der Fritz!Box hinterlegten IPv6 aufgerufen: http://[2001:xxxxxxxxxxxxxxx]:8080/user/get/6 und bekomme die Antwort vom Server.
Dann bin ich aus dem WLAN raus und habe das selbe wieder aufgerufen, mit der Erwartung, dass die Fritz!Box mich durchlässt, da die IPv6 auf Port 8080 offen ist. Aber hier bekomme ich keine Antwort ("Website nicht erreichbar").

EDIT:

Selbes Problem:

Ich bin auf die Fritz!Box und habe unter "Freigaben" -> "Fritz!Box-Dienste" den "Interentzugriff auf die FRITZ!Box über HTTPS aktiviert". Hier bekomme ich den Link angezeigt, mit welchem ich auf die Box aus dem Web zugreifen können sollte (https://[2001:xxxxxxxxxx]:40443). Ich habe auch einen Benutzer angelegt, der alle Rechte hat. Aber wenn ich die URL aufrufe, erreiche ich die FRITZ!Box wieder nur aus dem WLAN, extern nicht. Wieso? Das sollte doch zumindest funktionieren, oder? Muss ich noch irgend eine Option setzen, um Zugriffe von außen zu erlauben?


PS: Meine FritzOS ist 06.83
 
Zuletzt bearbeitet:
Irgendetwas stimmt hier nach meiner Ansicht nicht so ganz ... wieso kann eine FRITZ!Box an einem DS-Lite-Anschluß eine IPv4-Freigabe einrichten?

Ich weiß auch nicht, welche IPv6-Blöcke der Provider M-net (nun habe ich doch mal nach der korrekten Schreibweise geschaut) am Ende zugewiesen bekommen hat, aber eine mit "2001" beginnende IPv6-Adresse ist (obwohl nicht per se unbedingt falsch) schon recht ungewöhnlich, weil die IANA bzw. die IETF gerade im 2001::/16-Block schon noch einige "reservierte Netze" liegen haben.

Bei der IPv6-Adresse kann ich ein "Unkenntlichmachen" ja noch nachvollziehen ... bei den verwendeten IPv4-Adressen verwirrt es nur zusätzlich (gerade bei einer Fragestellung, wo es um den Zugriff auf Dienste von außen geht) und wenn das tatsächlich ein DS-Lite-Anschluß (und ein direkt dort eingesetzter Router und nicht irgendeiner in einer Kaskade) ist, dann kommt ohnehin niemand an diese IPv4-Adressen heran, solange der Provider nicht selbst das Mapping per PCP unterstützt (was dann wieder die IPv4-Freigabe erklären könnte, aber eher nicht mit einer (vermutlich) privaten IPv4-Adresse (die man eben nicht mehr erkennen kann).

Hier fehlen also noch jede Menge Informationen und anderes bleibt bzw. wird jetzt vollkommen unklar ... das kann man aber auch erst mit den "Zusatzinformationen" aus dem Screenshot überhaupt erkennen, daß es hier einige Ungereimtheiten gibt.
 
Tut mir leid, ich bin kein Experte im Netzwerk-Gebiet. Beim IP-Adressen Posten bin ich etwas vorsichtig.
Also, hier meine IP der FritzBox und die IP des Servers. Die unkenntlich gemachte Stelle ist überall identisch.

Ist es normal, dass die Fritz!Box IPv6 und die IPv6 des Servers sich im dritten und vierten Block unterscheiden?
 

Anhänge

  • FritzBox_IPs.png
    FritzBox_IPs.png
    21.8 KB · Aufrufe: 25
  • Freigabe.png
    Freigabe.png
    107.3 KB · Aufrufe: 21
Zuletzt bearbeitet:
Tja, nun kann man raten, was das FRITZ!OS da wohl macht ... die .178.39 ist ja die interne IPv4 des betreffenden Servers und die kann eigentlich nicht die "Adresse im Internet" sein. Auch verstehe ich nicht, warum Du überhaupt irgendwelche IPv4-Freigaben eingerichtet hast, wenn das ein DS-Lite-Anschluß ist ... was versprichst Du Dir davon? Bietet M-net tatsächlich PCP "bis ins Internet" an? Wenn nicht ist es Unsinn, diese Freigaben einzurichten. Die Frage, warum die dann (am DS-Lite-Anschluß) "grün" sind, stelle ich lieber nicht ... beim "Durchstellen" bis zum CGN vom Provider müßte ja auch die "echte" IPv4-Adresse gemeldet werden vom "vorgeschalteten" PCP-Server beim Provider.

BTW: Bei der Interface-ID Deines Servers solltest Du dann nicht so freigiebig sein und die letzte Gruppe noch maskieren - sonst kann man Dich tatsächlich über diese ID (da steckt die MAC-Adresse drin) "verfolgen", auch wenn ein vernünftig konfigurierter Server diese Adresse normalerweise nur für eingehende Services verwendet und ansonsten mit den "Privacy Extensions" für IPv6 arbeitet und seine eigene IPv6-Adresse (die hinteren 64 Bit) regelmäßig wechselt.

Ansonsten würde ich mich (habe ich aber auch schon geschrieben, wenn ich mich nicht irre) nicht auf irgendeine Anzeige in der FRITZ!Box-Oberfläche verlassen und lieber mal in die Support-Datei schauen, was da nun wirklich freigegeben ist. Die IPv4-Freigabe kann kaum funktionieren (erst recht nicht so, wie sie im GUI angezeigt wird, denn das Netz 192.168.178.0/24 ist ja vermutlich das interne Netz der Box und dann kann diese Adresse ja nicht extern freigegeben werden) und auch bei der IPv6-Freigabe sieht man eben in den PCP-Daten viel eher, was da von wo nach wo weitergeleitet wird, wenn es "außen" an der Firewall aufschlägt.

Angesichts dessen, was da alles nicht geht, würde ich erst mal auf die Freigabe von Port 80 und 443 verzichten ... die benutzt nämlich auch die FRITZ!Box in der Regel und wer weiß, was die Box aus dieser unsinnigen Einstellung mit der IPv4-Freigabe bei DS-Lite am Ende wirklich macht (im Gegensatz zu IPv6 kann bei IPv4 mit seiner einzelnen Adresse auf der WAN-Seite eben nur ein einzelner Host einen freigegebenen Port mit einer bestimmten Nummer nutzen). Mit PCP (sofern vom Provider unterstützt) könnte das zwar funktionieren, aber auch dann ist die IP-Adresse in jedem Falle falsch (oder wird zumindest falsch angezeigt).

Ob die 06.83 nun die Ports bei IPv6 korrekt freigibt oder nicht (es gab da ja mal Probleme, das steht aber bestimmt in den Threads zu dieser Firmware-Version und vermutlich kann man da tatsächlich auch auf die 7430 schließen, selbst wenn es den Thread nicht explizit geben sollte), kriegt man halt mit dem Netzwerk-Mitschnitt heraus ... nur wenn da überhaupt irgendein Paket für den Server aus dem Internet ankommt (ich blicke nicht so richtig durch, von wo diese Zugriffe getestet werden), kann die FRITZ!Box das auch weiterleiten. Tut sie das nicht (das zeigt der Mitschnitt auf dem zweiten Interface), ist sie "die Böse" in diesem Szenario ... kommt nichts an oder kann der Server damit dann nicht, ist sie unschuldig.

Ich hoffe mal, daß das GUI der Box nach außen dann nicht tatsächlich auf 443 freigegeben wurde von Dir ... das würde zumindest einiges an "Verwirrung" erklären.

Wobei es eben auch sein kann, daß die IPv6-Freigaben mit dieser Version gar nicht richtig funktionier(t)en und dann bliebe nichts anderes, als auf die nächste Version zu warten - notfalls könnte man vielleicht noch mal mit "Exposed Host" für den Server testen ... dann muß der sich halt selbst schützen, weil wirklich jedes IPv6-Paket an seine Adresse durchgelassen werden sollte von der FRITZ!Box.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: heiwli
Zuletzt bearbeitet:
  • Like
Reaktionen: heiwli
Moins


Ich versuchs mal zu plausibilieren :D

Mein Raspberry Pi 1. Generation ist auf IPv6 Dual Stack und bekommt sage und schreibe...
Zwischenablage01.png <-- IPv6 Adressen des Gerätes
...5 IPv6 Adressen und eine IPv6 Freigabe auf seinen Apache-Webserver...
Zwischenablage01.png <-- angebliche IPv6 im Internet ( Pustekuchen )
So. - Zum Glück läuft da auch ein HTTP-Proxy drauf, benutzt und zum Test mal eine IPv6 Testseite besucht...
Zwischenablage01.png
( IPv6 über den Proxy des freigegebenen Geräts )
Aha, hier taucht also eine ganz andere IPv6 auf als im Dialog der Freigabe :) ( IP-Adresse im Internet )

Ergo, probiere alle dem Gerät zugewiesenen IPv6 ( außer die mit "f" beginnen ) aus.
Und nicht mit/über die FRITZ!Box, sondern mit einem anderen IPv6 fähigen Gerät mit eigener Internetverbindung.

Im Falle von DS-Lite
1. Nur die IPv6, Beispiel: http://[2001:16b8:4218:6b00:209a:4ce6:2642:11ea]
2. Danach erst deinen DynDNS Hostnamen testen
( 2. wird erst funktionieren wenn 1. auch ein AAAA ( IPv6 ) DynDNS Update macht, siehe @PeterPawn seine Posts )


PS: Ich lass die Freigabe mal den ganzen Tag offen, die Startseite zeigt alle Header an die dein Webbrowser überträgt
( Und die Servervariablen )
 
Zuletzt bearbeitet:
Mein Raspberry Pi 1. Generation ist auf IPv6 Dual Stack und bekommt sage und schreibe...
... <-- IPv6 Adressen des Gerätes
...5 IPv6 Adressen ...

OK, aber das muss nicht zwingend so sein, für eine v6-Portfreigabe in der FritzBox. Mein Server hat (z. B.) _absichtlich_ nur eine externe IPv6-Adresse mit einer statischen Interface-ID (...ff:fe...). Die v6-Portfreigabe in meiner FritzBox wird mit Hilfe dieser statischen Interface-ID gemacht.

Die interne IPv4-Adresse des Servers ist dafür nicht relevant.
 
Also die IPv6 meines Servers ist die selbe IPv6, die ich in der FritzBox angezeigt bekomme. Das habe ich über "curl https://ifconfig.co/" herausgefunden.

Genau diese IPv6 habe ich für einen Zugriff benutzt, allerdings funktioniert das nicht.

Mir ist eben noch was eingefallen: Ich habe als Server einen Linux-Computer, der über VirtualBox den LinuxServer laufen lässt. Es ist eine Netzwerkbrücke eingerichtet, damit er eine eigene IP bekommt. Somit hat er ja direkte Kommunikation zum Internet. Aus dem Netzwerk kann ich ihn ja auch ansprechen.
Sprich ich sehe in meiner Fritzbox den LinuxHost und den LinuxServer mit jeweils unterschiedlichen IPv4 und IPv6.

Ich werde mir morgen mal hinsetzen und das Netzwerk versuchen mitzuschneiden. Hoffentlich werde ich daraus schlauer.

Denke für eure Hilfe!
 
Also die IPv6 meines Servers ist die selbe IPv6, die ich in der FritzBox angezeigt bekomme. Das habe ich über "curl https://ifconfig.co/" herausgefunden.
...
Sprich ich sehe in meiner Fritzbox den LinuxHost und den LinuxServer mit jeweils unterschiedlichen ... und IPv6.

BTW: Welche IPv6-Adresse hat dir "curl https://ifconfig.co/" angezeigt? Die vom LinuxHost oder die vom LinuxServer?
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.