Eigener Relay-Server a la quickconnect als Lösung des DS-Lite-Problems?

[heavygale]

Ok, dann musst du auch noch IPv6 auf dem Server configurieren, sonst kann dort der wget und auch die Weiterleitung nicht klappen. Schau mal im SCP unter Netzwerk, ob dort eine IPv6-Adresse aufgelistet wird - wenn ja, dann muss die noch im OS eingerichtet werden, wenn nein, dann musst du sie dort erst aktivieren und den Server dann einmal komplett ausschalten und wieder starten (kein simpler reboot) und es dann konfigurieren.

Zur Absicherung: SSH ist so schonmal nicht schlecht, wie schauts mit Apache und Co aus? Hast du das Standard-Image inkl. Froxlor? Falls du das nicht nutzt würde ich da die Dienste auch beenden. Evtl. noch fail2ban installieren und ungenutzt ports in der Firewall (iptables) dicht machen. Und dann eben immer an die Updates denken (daran kann einen apticron erinnern).

 

[Senten]

wie schauts mit Apache und Co aus? Hast du das Standard-Image inkl. Froxlor?

Ich habe die Minimum Variante von Debian Jessie installiert.

Evtl. noch fail2ban installieren und ungenutzt ports in der Firewall (iptables) dicht machen. Und dann eben immer an die Updates denken (daran kann einen apticron erinnern).

Über die Namen dieser Applikationen bin ich schon gestolpert. Da werde ich mich die Tage mal mit auseinander setzen ^^

Schau mal im SCP unter Netzwerk, ob dort eine IPv6-Adresse aufgelistet wird

Mir werden da für IPv4 und IPv6 Subnetze angezeigt. Ein /22 für IPv4, wobei die erste Adresse im Subnetz die Adresse ist, unter der ich den vServer erreiche und ein /64 Subnetz für IPv6.

wenn ja, dann muss die noch im OS eingerichtet werden, wenn nein, dann musst du sie dort erst aktivieren und den Server dann einmal komplett ausschalten und wieder starten (kein simpler reboot) und es dann konfigurieren.

Ich vermute mal das die antwort erstmal "nein" lautet, da ich ja nur Subnetze und keine spezifischen Adressen sehe. Ich sehe aber in SCP auch keine Möglichkeit dort etwas in der Hinsicht zu aktivieren. Das einzige was ich in SCP unter Netzwerk verändern kann ist das Feld "Treiber". Das steht aktuell auf "virtio".

 

[maulsim]

Aus Verzweiflung habe ich die Fritzbox auf Werkseinstellungen zurück gesetzt und erhalte... "Ein Gerät mit dieser Interface-ID wurde bereits angelegt."

Ist zwar nicht ganz hilfreich zum Hauptthema (welches ich aber interessiert verfolge), aber den Fehler habe ich auch. Der tritt bei mir immer auf wenn ich einen weitern Port zu meiner bestehenden IPv6 Freigabe hinzufügen möchte.
Bei mir hilft es die FritzBox (FB6490 Unitymedia) neuzustarten. Dann habe ich so ungefähr 5 Minuten in denen ich Ports freigeben kann, dann kommt die Fehlermeldung wieder. Freigegeben sind die Ports aber letztendlich bei mir.

Nur noch als Hinweis, wenn du das ans Laufen bekommst und hinterher eine Domain auf die IPv4 und IPv6 verweisen lässt musst du in der FritzBox noch unter Netzwerkeinstellung die Domain als Ausnahme beim Rebind Schutz eintragen, sonst blockiert die Fritzbox die Domain Anfragen aus dem eigenen Netzwerk.

Falls es noch hilft so sieht der Part in meiner exportierten Config der FritzBox aus (ich habe die "mac" und "ifaceid" unkenntlich gemacht und meine Portliste etwas gekürzt) :

landevices {
        landevices_version = 3;
        landevices {
                ip = 192.168.178.10;
                name = "diskstation";
                neighbour_name = "diskstation";
                mac = 00:11:22:33:44:55;
                auto_etherwake = no;
                ifaceid = ::200:aaaa:aaaa:aaaa;
                staticlease = no;
                ipv6firewall {
                        enabled = yes;
                        exposed_host = no;
                        ping6_allowed = no;
                        rules = "TCP 80-80", "TCP 443-443";
                }
                allow_pcp_and_upnp = no;
        }
}

 

[heavygale]

Ok, im mimimal ist kein Apache und Zeugs drauf, dann sollten deine Schutzbemühungen schon fast ausreichend sein.
fail2ban überwacht Logs und prüft ob es viele ungültige Zugriffe gibt (z.b. Loginversuche an SSH oder über Apache) und blockt dann automatisch die angreifenden IP Adressen in der Firewall für eine eingestellte Zeit. Vermutlich ist das aber schon fast unnötig, wenn bei dir nur SSH läuft und dann auch noch auf einem uncommon Port, weil dann vmtl. eh keine Angriffe bei dir reinkommen.

IPv4 Adresse hast du nur eine, IPv6 hast du ein ganzes Netz, aus dem du dir eine oder mehrere Adressen aussuchen kannst. Ich nehme da meinst die :1 am Ende. Wie man das Konfiguriert steht im Wiki. Meine Konfiguration in der /etc/network/interfaces sieht so aus:

auto lo
iface lo inet loopback

# IPv4
auto eth0
iface eth0 inet static
address 37.221.192.XXXX
netmask 255.255.252.0
broadcast 37.221.195.255
gateway 37.221.192.1

# IPv6
iface eth0 inet6 static
address 2a03:4000:XXXX:XXXX::1
netmask 64
gateway fe80::1

Netzmaske (/22 und /64), Broadcast-Adresse und Gateway solltest du im SCP finden. Anschließend am einfachsten einmal durchbooten.

 

[Senten]

@maulsim: Vielen Dank, dein Beitrag ist wirklich hilfreich

@heavygale: Super, die Netzwerkeinstellungen sehe ich mir morgen an. Heute wird es mir langsam zu spät ^^ Vielen Dank für deine kontinuierliche Unterstützung!

 

[Senten]

OK ich habe doch weiter gemacht und es funktioniert xD Ich komme über die IPv4 des vServers auf meine DiskStation hinter dem DS-Lite-Gateway :-D

Next Step: a record und aaaa record

Ich halte euch auf dem laufenden.

 

[Senten]

Yay auch das hat dank maulsim geklappt :-D Kann meine DiskStation sowohl aus einem IPv6-Netz, als auch aus einem IPv4-Netz, als auch aus meinem eigenen Heimnetz über meine Domain erreichen! Ich danke euch beiden vielmals. Ich werde die nächsten Tage mal alles zusammenschreiben und den Lösungsweg in den ersten Beitrag dieses Threads einfügen.

Gute Nacht

 

[maulsim]

geht es auch mit UDP?

 

[Senten]

geht es auch mit UDP?

Sieht so aus ja, DS Video und DS Audio funktionieren tadellos über Mobilfunk und beide sollten UDP nutzen.

Zur Einrichtung in socat einfach TCP4-LISTEN durch UDP4-LISTEN ersetzen und TCP6 entsprechend durch UDP6.

 

[maulsim]

DS Audio sollte auch ohne UDP funktionieren - zumindestens liefs bei mir über feste-ip.net mit ipv4 problemlos. DS Video weiß ich allerdings nicht so genau.
Ggf. kannst du es ja über einen UDP Port Checker prüfen ob die Ports über die ipv4 offen sind.
Aber eventuell überlege ich mir dann auch noch so etwas einzurichten.

 

[heavygale]

Ich habe nur TCP-Weiterleitungen eingerichtet und die Audio-Station funktioniert dennoch. Was dabei konkret über UDP laufen sollte, weiß ich nicht.
Mein Problem bei UDP war immer, dass pro Verbindung ein neuer Prozess oder Thread gestartet wurde, bis tausende offen waren.

 

[Senten]

Hi,

entschuldigt die späte Rückmeldung, ich war das Wochenende kaum zuhause und bin es auch jetzt nicht ^^'

Also meine Video Station kann ich zwar öffnen aber ein Video-Stream kommt niemals zustande, solange ich UDP nicht weiterleite. Ich kann gerade leider auch keine weiteren Tests machen, da ich meinen Router seit dem letzten reset noch nicht von extern erreichbar gemacht habe und aktuell besteht auf meinem Router keine Freigabe für UDP. Ich wüsste aber nicht, warum eine Weiterleitung von UDP nicht funktionieren sollte, wenn socat die Option doch bietet.

 

[Senten]

So,

inzwischen habe ich eine ganze Reihe von Ports weitergeleitet und seitdem ich UDP 1900 an meine DS weiterreiche funktioniert nun auch die Video Station. Demnach: Ja, Video Station benötigt UDP und ja, UDP lässt sich mit socat weiterleiten.