Moin, Ich habe zufällig zur Einrichtung meines DYNDNS auf einem Vodafone Kabel Station Router eine Recht interessante Funktion gefunden, das ganze nennt sich "Host Exposure". Das bedeutet das der Netzwerkteilnehmer im Prinzip über eine Mac-Adresse ungefiltert ohne Firewall an eine öffentliche IPv6 Adresse gebunden werden kann da die eigene öffentliche ipv6 eine /64 ist. Komisch das mir die Funktion vorher nie aufgefallen ist.
So viele Schreibfehler in so wenig Text, sogar schon im Betreff.
Gibts bei Fritzens auch, ebenfalls unter "Exposed Host". Bei IPv4 kriegt dieser Host per NAT alles, was der Fritz nicht selbst braucht oder was Portforwarding hat. Bei IPv6 fällt NAT weg und es geht alles. Kann man als eine Art Autoinstaller für Parasiten betrachten, wenn man nicht sehr genau weiss, was man tut.
:
Bearbeitet durch User
Ach sorry. Das Handy ist mit meinen Wurstfingern immer etwas störrisch, dazu kommt dann noch autovervollständigung und die kleine Schrift zum drüber lesen. Ich gelobe Besserung und schreibe hier nur noch am PC. Jo, sicherheitstechnisch sollte man natürlich auf Serverniveau sein, ich benutze sowieso nur Port 22 für rsync. Da habe ich mich aber auch erschrocken als sofort die Apache Default Seite aufblitzte. LOL
Philipp K. schrieb: > das ganze nennt sich "Host Exposure". Gibts doch schon "immer". Wurde früher oft fälschlicherweise als DMZ bezeichnet.
Philipp K. schrieb: > Port 22 für rsync Und da fällt schon mal die erste Sicherheitsschranke... Port 22 ist für SSH und RSYNC läuft über SSH. Das wäre das letzte was ich öffentlich zugänglichen machen würde wollen.
Rene K. schrieb: > Das wäre das letzte was ich öffentlich > zugänglichen machen würde wollen. Man sollte dann natürlich beim Ball bleiben und die Sicherheits-Ticker mitlesen. Wie alle Protokolle erwischt es ab und zu auch SSH. Im sshd oder der Firewall des Servers kann man dazu noch IP-Einschränkungen machen, wenn man das nicht für die ganze Welt öffnen will, sondern nur für bestimmte Gegenstellen.
:
Bearbeitet durch User
(prx) A. K. schrieb: > Im sshd oder der Firewall des Servers kann man dazu noch > IP-Einschränkungen machen, wenn man das nicht für die ganze Welt öffnen > will, sondern nur für bestimmte Gegenstellen. Rootlogin verbieten usw.. https://www.hosting.de/helpdesk/anleitungen/server/openssh_server/
Kilo S. schrieb: > Rootlogin verbieten usw.. Rootlogin ist glücklicherweise ja sowieso im Standard deaktiviert.
Philipp K. schrieb: > dazu kommt dann noch autovervollständigung Mich nervt echt, wie oft ich diese faule Ausrede lesen muss. Schalte die Funktion aus!
Naja, das ist ja eher das kleine Server 1x1. Port 22 war nur ein Synonym für einen beliebigen Port und natürlich steht es jedem Offen, ob er ein schwieriges Passwort speichert oder einen ssh-key benutzt den er ja trotzdem auch Speichern muss. Man kann sich auch im Security Wahn mit einem Port Triggering oder einem VPN vorweg einwählen da der port garnicht öffentlich ist. Oder halt einfach mit ssh-key einloggen, und dann für sudo ein zusätzliches Passwort wählen. Vielleicht installiere ich auch einfach OpenMediavault, das Webinterface setze ich auf Port 3333 oder so, nur im lokalen Netzwerk erreichbar. Dann mache ich einen ssh-key Login als Dynamischen Port Tunnel als Proxy für meinen vorkonfigurierten Browser. Stefan F. schrieb: > Schalte die > Funktion aus! Das habe ich in der Tat schon überlegt, die nervt total wenn man in Englisch tippern will.
Philipp K. schrieb: > Das habe ich in der Tat schon überlegt, die nervt total wenn man in > Englisch tippern will. Man kann manche Autokorrektoren auch zweisprachig einstellen.
Wie verbindet man sich denn konkret von außerhalb mit einem Rechner innerhalb des LANs, wenn man IPv6 Host Exposure aktiviert hat? Verweis auf Quelle würde mir schon reichen (Google hat bisher nicht geholfen). Danke!
Man verbindet sich direkt mit der IP-Adresse des internen Geräts. Genauso wie dein PC sich mit einem Server im Internet verbindet. Da kein NAT genutzt wird, ist das eine von aussen adressierbare offizielle Adresse. Die Freigabe als exposed host sorgt nur dafür, dass sich die Firewall des Routers nicht in den Weg stellt.
:
Bearbeitet durch User
Unglaublich, das funktioniert tatsächlich. Habe den Port 22 im Router freigegeben und konnte den Linux-Rechner im LAN über eine IPv6-Adresse von außerhalb (Strato-Server) kontaktieren. Ganz reingekommen bin ich noch nicht, da ich mit Keys + Passphrase arbeite, aber das ist das kleinere Problem. Das heißt also, mein Internet-Provider Vodafone empfängt Internet-Verkehr, der für meine interne IPv6-Adresse bestimmt ist und leitet diesen korrekt weiter? Bin beeindruckt. Vielen Dank, das hat mir sehr geholfen!
Eine solche Portfreigabe ist allerdings deutlich weniger drastisch - und meist sinnvoller - als ein exposed host. Bei IPv6 gibt es zwar organisatorisch ein innen und aussen im Netz, nicht aber technisch. Du sitzt mit jedem Gerät direkt im Internet. Nur die Firewall verhindert (normalerweise) eine Verbindungsaufnahme von aussen nach innen. Bei IPv4 ist das anders, weil aus Mangel an Adressen NAT verwendet werden muss. Das verhindert von Haus aus eine Verbindungsaufnahme von aussen nach innen.
:
Bearbeitet durch User
Man benötigt bei neueren Anschlüssen wohl den Business Tarif, weil ein normaler Anschluss wohl ein getunnelter IPV4 ist. (Light) Bei der Vodafone-Station müsste man dann "only Modem" aktivieren und ein besseres Gerät zur Konfiguration als WiFi Router benutzen. (Soweit ich das in Foren gelesen habe) Bzw. sich gleich eine Fritzbox cable kaufen/mieten. Bei mir hatte es funktioniert, jetzt irgendwie nicht mehr.
Beitrag #7623061 wurde vom Autor gelöscht.
Ich habe eine ziemlich neue Vodafone Station, wo man die Exposure sehr einfach einstellen kann, siehe Screenshot. Das geht in meinem Fall mit einem Privatkundentarif (1000 MBit/s). Das ssh-Login von einem entfernten Rechner auf die interne IPv6-Adresse mit Private Key plus Passphrase funktioniert problemlos.
:
Bearbeitet durch User
(prx) A. K. schrieb: > Bei IPv4 ist das anders, weil aus Mangel an Adressen NAT verwendet > werden muss. Technisch nicht notwendig, aber natürlich bei den meisten Heimnetzen so. Im Prinzip war IPv4 früher™ natürlich auch mal genau so, wie IPv6 jetzt wieder ist: ein Host gleich eine IP-Adresse. Wie du schon schreibst, Unterscheidung zwischen "außen" und "innen" macht dann lediglich ein Firewall. (OK, IPv6 schweint nun dank "privacy extensions" in die andere Richtung herum: ein Host gleich immer wieder eine neue IP-Adresse.)
Jörg W. schrieb: > ein Host gleich immer wieder eine neue IP-Adresse.) Mehrere. Eine ist permanent, oft aus der MAC Adresse abgeleitet.
Philipp K. schrieb: > Man benötigt bei neueren Anschlüssen wohl den Business Tarif, weil ein > normaler Anschluss wohl ein getunnelter IPV4 ist. (Light) Es geht um IPv6. Da ist dem Kunden ein Prefix zugeordnet, z.B /56. DS Lite ist echtes IPv6, nur das IPv4 ist sehr speziell. Um ausschließlich IPv6 Dienste anzubieten, ist IPv4 nicht erforderlich.
Nik G. schrieb: > Vodafone Station, wo man die Exposure sehr > einfach einstellen kann, siehe Screenshot. Ist nicht identisch mit dem, was Fritz darunter versteht. Also aufpassen.
(prx) A. K. schrieb: >> ein Host gleich immer wieder eine neue IP-Adresse.) > > Mehrere. Eine ist permanent, oft aus der MAC Adresse abgeleitet. Oft auch nicht mal mehr das, und die "Permanenz" kann sich schon auch mal ändern, bspw. bei einem OS Upgrade. :-/
Statische Adressen sind auch in IPv6 nicht polizeilich verboten. :)
:
Bearbeitet durch User
(prx) A. K. schrieb: > Nik G. schrieb: >> Vodafone Station, wo man die Exposure sehr >> einfach einstellen kann, siehe Screenshot. > > Ist nicht identisch mit dem, was Fritz darunter versteht. Also > aufpassen. Deutlicher ausgedrückt: Fritz stellt einen exposed host ohne jede Einschränkung ins Internet, also mit allen Ports. Obige Vodafone Station scheint nur einzelne Ports freizugeben.
(prx) A. K. schrieb: > Statische Adressen sind auch in IPv6 nicht polizeilich verboten. :) Schon klar, ich benutze ja selbst eine. ;-) Aber bei einem Laptop will man ja schon dynamische Zuweisungen haben, damit man ihn hin und her tragen kann, aber hätte vielleicht doch gern in einem konkreten Netz auch eine halbwegs stabile Adresse, um sich per ssh einloggen zu können. Wenn das OS nach dem Upgrade dann die "permanente" Adresse neu auswürfelt, ist das irgendwie ärgerlich.
Nik G. schrieb: > Das heißt also, mein Internet-Provider Vodafone empfängt > Internet-Verkehr, der für meine interne IPv6-Adresse bestimmt ist und > leitet diesen korrekt weiter? Die "interne" IPv6 ist nicht intern sondern eine öffentliche. Sowas wie NAT was es noch bei IPv4 gab kann man sich daher sparen. Man bekommt auch nicht nur eine einzelne IP zugewiesen sondern ein ganzes Netz. Bei Vodafone meist ein /59 und das wären dann: 590.295.810.358.705.651.712 (https://www.netz-der-netze.info/ipv6-matrix/) IPv6en die du intern verteilen könntest. Müsste also für den Anfang erstmal reichen ;-) Fünfhundertneunzig Trillionen zweihundertfünfundneunzig Billiarden achthundertzehn Billionen dreihundertachtundfünfzig Milliarden siebenhundertfünfzig Millionen sechshundertfünfzigtausend siebenhundertzwölf
Nik G. schrieb: > Ich habe eine ziemlich neue Vodafone Station, wo man die Exposure sehr > einfach einstellen kann, siehe Screenshot. Hier geht es nicht. (Habe Vodafone gefragt) Man bekommt eine IpV6 und keine IPV4, man benötigt einen Dual stack anschluss mit dedizierter IPV4 damit das funktioniert. In 3 Bundesländern, meines ausgeschlossen kann man einfach den Support für Dual stack anrufen. Das wirklich blöde ist, das man die Funktionen im Router hat und man keine Warnung bekommt, aber diese nur im lokalen Netzwerk funktioniert :-D Man bekommt in meinem Bundesland aber eine automatische IPv4 und damit Dualstack wenn man die Vodafone Station in den Bridge Modus (nur Modem) versetzt, oder eine kabel Fritzbox mit einer speziellen Produktnummer nachkauft. Das ist halt auch noch jeweils nach stand der Technik des Bundeslandes.
:
Bearbeitet durch User
Bei mir funktioniert es jetzt doch wie es soll ohne extra Geräte.. ich habe das schonmal ansatzweise ausprobiert und es funktionierte. Dann wollte ich die Tage meinen Rock-5b ans Netz bringen und es ging nichts. Dann habe ich "Anonym" bei Vodafone angefragt und die oben gepostete Antworten erhalten. Vielleicht lag es am Netzwerk, wegen Umzug hatte ich nur WLAN und habe heute ein Kabel nachinstalliert, und siehe da -> mein Homeserver ist wieder über dyndns erreichbar.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.