Problem mit Hitron CVE 30360

[Thyrael]

Um IPv6 von aussen benutzen zu können, muss der Internetzugang den du außerhalb benutzt auch IPv6 können. Das du per IPv4 keinen Erfolg hast liegt daran das es für IPv4 keine Weiterleitung gibt.

Einen Rechner mit dieser Konfiguration von außen erreichbar zu machen, wäre mit einem externen Server der IPv4 und IPv6 spricht möglich. Du kannst dann eine Portweiterleitung über IPv6 auf einen internen Rechner machen und diesen dann so erreichen. Der externe Server wäre dann per IPv4 und IPv6 ansprechbar, zu diesem baust du dann eine RDP Verbindung auf und machst danach von deisem Rechner weiter mit einer zweiten RDP per IPv6 auf den eigentlichen Zielrechner hinter deinem Hitron.

Als zweite Möglichkeit würde mir noch einfallen das du einen VPN Server auf einem externen Rechner einrichtest, dann baut aus deinem LAN ein zweiter Router (mit OpenWRT/DD-WRT) die VPN per IPv6 zum externen Server auf und du kannst dich dann von unterwegs per VPN auf diesen externen Server verbinden, das einzige was dann noch im VPN Server ermöglicht werden muss ist der Client zu Client Traffic. Danach solltest du von unterwegs direkt die RDP Verbindung zum Zielrechner aufbauen können.

Das ganze ist aber aufwändig und benötigt auch eine gewisse Investition, schliesslich muss u.U. noch ein zweiter Router gekauft werden und der externe Server muss ja auch angemietet werden. Das ganze konfigurieren möchte ich aber nicht. :>

[willihome]

Danke für die schnelle und kompetente Antwort.

Die Frage ist, woran erkenne ich, ob ich mich in einem IPv6 Netz befinde?
Wenn du von externen Servern sprichst, meinst du dann Gateways und Proxies der Provider?
Wenn ich zum Beispiel von dem Rechner aus, mit dem ich von außen auf mein Heimnetz zugreifen will, ein tracert -6 mache, dann werden mir da nur IPv6 Adressen angezeigt. Bedeutet das nicht, dass ich mich in einem IPv6 Netz befinde?
Liegt es letztendlich an KabelDeutschland, dass ich nicht "durchkomme"?

[nookie]

Allerdings spricht das KabelModem weder auf meine IPv4 noch auf meine IPv6 Adresse von außen an.

Das ist sehr seltsam! Ich habe bei mir auch auf IPv6 intern umgestellt und nach längerem Gefrickel mit dem DNS-Server meines Win2008 Servers bin ich nun auch von außen erreichbar.
Hilfreich ist dabei http://www.subnetonline.com/pages/ipv6- ... canner.php dieser Port-Scanner. Portforwarding über IPv6 läuft tadellos.
Um meinen Server allerdings über zB mobile Netze (IPv4) zu erreichen, grübel ich immernoch..

[nookie]

Als zweite Möglichkeit würde mir noch einfallen das du einen VPN Server auf einem externen Rechner einrichtest, dann baut aus deinem LAN ein zweiter Router (mit OpenWRT/DD-WRT) die VPN per IPv6 zum externen Server auf und du kannst dich dann von unterwegs per VPN auf diesen externen Server verbinden, das einzige was dann noch im VPN Server ermöglicht werden muss ist der Client zu Client Traffic. Danach solltest du von unterwegs direkt die RDP Verbindung zum Zielrechner aufbauen können.

Wäre soetwas mit einem gemietetem vServer und VPN realisierbar? Sowas läge mit 4-5€ ja noch im erträglichen Rahmen.

Überhaupt mal eine Bitte: Könnte ein technikaffiner Mensch sich mal die Zeit nehmen um uns zu erklären wie KD es schafft die Responses jeder IPv4 Seite an uns zurück in IPv6 zu übersetzen? Die v4 Adresse die wir benutzen gehört ja vielen Usern Ist das eine Art KD-interner "enhenced" DynDNS?

[willihome]

Allerdings spricht das KabelModem weder auf meine IPv4 noch auf meine IPv6 Adresse von außen an.

Das ist sehr seltsam! Ich habe bei mir auch auf IPv6 intern umgestellt und nach längerem Gefrickel mit dem DNS-Server meines Win2008 Servers bin ich nun auch von außen erreichbar.
Hilfreich ist dabei http://www.subnetonline.com/pages/ipv6- ... canner.php dieser Port-Scanner. Portforwarding über IPv6 läuft tadellos.
Um meinen Server allerdings über zB mobile Netze (IPv4) zu erreichen, grübel ich immernoch..

Kannst du bitte mal grob skizzieren, wie dein Netz aussieht und was für Technik du nutzt? Und könntest du auch ganz kurz sagen, was du "Frickeln" musstest?

Danke

[nookie]

Mhh also ich habe den CVE30360 als DHCP laufen, dazu einen Speedport Router der bei Bedarf DSL als Fallback bereitstellt und hauptsächlich als (wlan)Switch agiert. Dazu dann 5 Clients mit v4/v6-Konfiguration.
Das Problem mit dem DNS auf dem Server kam folgendermaßen zustande: Beim Einrichten des ActiveDirectories habe ich der Vereinfachung halber v6 deaktiviert, floglich wusste der DNS nix von v6 Deshalb musste ich nachträglich noch die AAAA Records hinzufügen.
Auf dem Server läuft ein IIS(WSUS) und ein Sabnzbd Server die beide laut Portchecker von außen erreichbar sind. Dazu habe ich lediglich im CVE30360 das Portforwarding auf die v6-Adresse des Servers eingestellt.

[Thyrael]

Die Frage ist, woran erkenne ich, ob ich mich in einem IPv6 Netz befinde?

Das siehst du im WAN-Status deines Hitrons, dort wird entweder eine IPv4 oder IPv6 angezeigt, oder meintest du jetzt wenn du unterwegs bist? Das muss dir der jeweilige Provider beantworten können.

Wenn du von externen Servern sprichst, meinst du dann Gateways und Proxies der Provider?

Nein, ich meine gemietete Server auf denen dann z.B. ein Linux läuft.

Wenn ich zum Beispiel von dem Rechner aus, mit dem ich von außen auf mein Heimnetz zugreifen will, ein tracert -6 mache, dann werden mir da nur IPv6 Adressen angezeigt. Bedeutet das nicht, dass ich mich in einem IPv6 Netz befinde? Liegt es letztendlich an KabelDeutschland, dass ich nicht "durchkomme"?

Dein Interentanschluss zu Hause benutzt IPv6, Kabel Deutschland benutzt Dual Stack Lite um Anschlüsse wie deinen mit IPv6 zu versorgen, sie aber gleichzeitig nicht von IPv4 abzuschneiden. Ich habe es weiter unten in einer Antwort für nookie noch etwas erklärt..

Als zweite Möglichkeit würde mir noch einfallen das du einen VPN Server auf einem externen Rechner einrichtest, dann baut aus deinem LAN ein zweiter Router (mit OpenWRT/DD-WRT) die VPN per IPv6 zum externen Server auf und du kannst dich dann von unterwegs per VPN auf diesen externen Server verbinden, das einzige was dann noch im VPN Server ermöglicht werden muss ist der Client zu Client Traffic. Danach solltest du von unterwegs direkt die RDP Verbindung zum Zielrechner aufbauen können.

Wäre soetwas mit einem gemietetem vServer und VPN realisierbar? Sowas läge mit 4-5€ ja noch im erträglichen Rahmen.

Das meinte ich ja, auf dem kannst du dann einen VPN Server laufen lassen.

Überhaupt mal eine Bitte: Könnte ein technikaffiner Mensch sich mal die Zeit nehmen um uns zu erklären wie KD es schafft die Responses jeder IPv4 Seite an uns zurück in IPv6 zu übersetzen? Die v4 Adresse die wir benutzen gehört ja vielen Usern Ist das eine Art KD-interner "enhenced" DynDNS?

Kabel Deutschland verwendet bei Anschlüssen wie den euren DualStack-Lite, bei der Übersetzung von IPv4 zu IPv6 gibt es eine NAT, DSLite CGN (CarrierGradeNAT) in der Grafik, darum ist es auch nicht mehr möglich an einem DSLite Anschluss ein IPv4 Portforwarding einzurichten.

Sinnvoller wäre hier vielleicht ein richtiges Dual-Stack System gewesen, dann wären die Kunden mit IPv4 und IPv6 online und könnten weiterhin in den Hitrons ihre Portforwardings eintragen. Wenn es dann irgendwann mal soweit wäre das IPv6 das dominierende Protokoll ist, könnte man den IPv4 Zugang des Hitrons einfach abschalten, vorher müsste man natürlich den Kunden irgendwie informieren, danach wäre die Umstellung auf nativ-IPv6 geschafft.

Der Vorteil dieses Variante wäre der, dass sich für den Kunden erstmal so nichts ändert, er ist weiterhin auch mit IPv4 online und kann seinen Anschluss wie gewohnt nutzen ohne das ihm dabei etwas in die Quere kommt. Wenn die Zeit vertreicht die die globale Umstellung auf IPv6 benötigt, wird sich auch der Datenverkehr von IPv4 auf IPv6 verlagert haben, so würde dem Kunden dann bei der endgültigen Umstellung auch nichts auffallen. Dienste die bis zu diesem Zeitpunkt die Umstellung auf IPv6 nicht geschafft haben, sind hoffnungslos veraltet und haben dann einfach Pech. Auch Leute die keinen Router vom Anbieter vorgesetzt bekommen möchten, könnten zu diesem Zeitpunkt bedient werden, dann sollten sich auch IPv6-fähige SOHO Router durchgesetzt haben, bzw. deutlich stärker auf dem Markt vertreten sein als jetzt. Natürlich gibt es heutzutage schon Router die IPv6-fähig sind, dazu kommen dann noch die ganzen OpenSource Firmares wie DD-WRT und OpenWRT.

[Winchester]

Die Frage ist, woran erkenne ich, ob ich mich in einem IPv6 Netz befinde?
Wenn du von externen Servern sprichst, meinst du dann Gateways und Proxies der Provider?
Wenn ich zum Beispiel von dem Rechner aus, mit dem ich von außen auf mein Heimnetz zugreifen will, ein tracert -6 mache, dann werden mir da nur IPv6 Adressen angezeigt. Bedeutet das nicht, dass ich mich in einem IPv6 Netz befinde?
Liegt es letztendlich an KabelDeutschland, dass ich nicht "durchkomme"?

Zum einen gibt es via Console den Befehl ipconfig bei Windows und ifconfig bei Linux, BSD, Unix um zu sehen was für IP Adressen an den Schnittstellen anliegen. Jedes IPv6 fähige Geräte hat an seinen Netzwerk Schnittstellen eine IPv6 Adresse anliegen. Diese beginnt mit fe80: und dient nur dazu im lokalen LAN via IPv6 Verbindungen abzuwickeln. Zusätzlich müsste bei einem IPv6 fähigen Internet Anschluss an der Netzwerk Schnittstelle noch eine Global Gültige Adresse anliegen. Wenn du also zusätzlich zur fe80: Adresse noch andere IPv6 Adressen siehst könnte es sein das du IPv6 Internet hast.

Des weiteren gibt es diverse Tunnelmechanismen. Eines davon ist unter Windows Teredo. Es könnte also durchaus sein, das du trotz einem reinen IPv4 Anschluss eine IPv6 Adresse erreichen kannst. Und wenn du sagst du kannst einen Tracert von außerhalb zu deinem IPv6 Anschluss machen, dann könnte es gut möglich sein das dieses über Teredo gelaufen ist. Interessant wäre dann für uns ein Traceroute hier von dir sehen zu können wo du von außen auf deinen PC im LAN Tracerts.

Was Teredo ist und wie man es für sich benutzen kann steht z.B. hier: http://heise.de/-221537

Allerdings spricht das KabelModem weder auf meine IPv4 noch auf meine IPv6 Adresse von außen an.

Das ist sehr seltsam! Ich habe bei mir auch auf IPv6 intern umgestellt und nach längerem Gefrickel mit dem DNS-Server meines Win2008 Servers bin ich nun auch von außen erreichbar.
Hilfreich ist dabei http://www.subnetonline.com/pages/ipv6- ... canner.php dieser Port-Scanner. Portforwarding über IPv6 läuft tadellos.
Um meinen Server allerdings über zB mobile Netze (IPv4) zu erreichen, grübel ich immernoch..

Da kannst du auch nur via Tunnel was probieren. Könnte sein das Teredo von den Mobil IP Providern geblockt wird.

Wäre soetwas mit einem gemietetem vServer und VPN realisierbar? Sowas läge mit 4-5€ ja noch im erträglichen Rahmen.

Ja mit einem vServer wäre sowas machbar. OpenVPN oder SSH Tunnel erstellen und darüber dann IPv6 machen. Einrichtung ist aber für Laien nicht gerade einfach, aber es sollte sich im Netz genug darüber finden lassen.

[nookie]

Da kannst du auch nur via Tunnel was probieren. Könnte sein das Teredo von den Mobil IP Providern geblockt wird.

Ich hab mir mal die verschiedenen Protokolle zum Tunneln angesehen, in dem PDF hier http://tinyurl.com/c7ppmk7 von gogo6 gibt es eine schöne Gegenüberstellung.
Für mobile Netzwerke eignen sich wohl wegen dem NAT nur TSP, Teredo und L2PT.
gogo6 (TSP) habe ich auf Android nicht zum laufen gebracht (obwohl mein gnex mit ICS 4.0.4 angeblich TUN support von Werk aus mitbringt..)
Zu Teredo hab ich nur mehr Vermutungen gehört, dass es mit dem NAT bei mobile Netzen nicht hinhauen soll.

Bleibt dann wohl doch nur der vServer und quälendes einarbeiten in Unix/Linux