Lösung meiner DS-Lite-Probleme: Unitymedia -> Connect Box -> FIP

Hilfe bei der Einrichtung unsere DDNS Dienste in Routern und anderen Geräte sowie Updateclients
Antworten
Kristian
Beiträge: 1
Registriert: Di 26. Jun 2018, 15:02

Lösung meiner DS-Lite-Probleme: Unitymedia -> Connect Box -> FIP

Beitrag von Kristian » So 1. Jul 2018, 09:29

Hallo,

ich wollte nur meine Erfahrungen teilen beim Umstieg auf DS-Lite. Dieses Forum hat mir sehr geholfen, meine Probleme bei der Erreichbarkeit meiner Geräte zu lösen. Ich wollte meine Eindrücke teilen, damit auch andere Betroffene ihre Probleme lösen können und sich für ein Produkt von www.feste-ip.net entscheiden.

Zunächst mein Setup Zuhause: Ich habe zwei RaspberryPi. Auf dem ersten Pi läuft der E-Mail-Server „Dovecot“ (IMAP-Port: 993 [smtp wird weiterhin über Gmail gemacht]) mit der grafischen Benutzeroberfläche „Squirrelmail“ (HTTPS-Port: 443). Auf dem zweiten Pi läuft der CardDav- und CalDav-Server „Radicale“ (Port: 5232) sowie die Cloud-Software „Resilio Sync“ (grafische Benutzeroberfläche, Port: 8888).

Bei meinem alten Anschluss (IPv4) war das natürlich alles kein Problem. Auf einem Pi lief eine DDNS-Software, die meine aktuelle IP4 meinem damaligen DDNS-Anbieter mitteilte. Meine ganzen Anfragen von unterwegs bezogen sich dann auf die von mir gewählte DDNS-Domain – alle Portanfragen wurden 1:1 weitergegeben. In meinem Router waren entsprechende Port-Weiterleitungen hinterlegt. Das Ganze lief reibungslos.

Jetzt kam der Umstieg auf DS-Lite und die Probleme begannen (wie wohl bei jedem). Grundsätzlich hatte ich vier Problembereiche, wobei das größte Problem weder die Connect Box von Unitymedia war, noch die Einstellungen bei www.feste-ip.net, sondern die Softwareeinstellungen auf den Pis und die Einstellungen auf den Clients.

1. Connect Box: Die IPv6 Anfragen von Außerhalb müssen an der Connect Box vorbei. Es gibt verschiedene Anleitungen hierzu. Ich habe es mir zunächst einfach gemacht (vielleicht auch leichtfertig) und habe die Firewall deaktiviert. Damit können sämtliche Geräte in meinem Netzwerk von Außerhalb grundsätzlich angesprochen werden. Die Connect Box filtert nicht. Da die Pis ohnehin nur auf bestimmte Ports „hören“ und diese Ports sämtlich verschlüsselt kommunizieren, sehe ich (noch) kein großes Sicherheitsproblem. Sämtliche im Netzwerk befindlichen Rechner sind ohnehin mit Firewall und Antivirenprogrammen so gut es geht geschützt, sodass sich diesbezüglich der Sinn nach einer (weiteren) Firewall in der Connect Box stellt. Aber sicherlich gibt es hier andere Meinungen.

2. Einstellungen bei www.feste-ip.net: Es ist richtig und wichtig, dass man 50 Credits am Anfang erhält. Die ganze Einrichtung hat bei mir (nach der Arbeit in den Abendstunden) eine Woche gedauert – einfach nur, weil die gedanklichen Überlegungen, wie mein System mit IPv6 funktioniert, „reifen“ mussten. Insofern ist es auch gut, dass man die verschiedenen Produkte testen kann, weil sich für mich als Laien der Unterschied zwischen einigen Produkten nicht erklärt hat. Mein System funktioniert ganz normal mit dem Produkt „Dynamisches DNS“ unter „Mein Account“ (also 1 Credit am Tag). Nachdem man einen neuen Hostnamen erstellt hat und letztendlich über die Informationen Hostname, Host-ID und Passwort verfügt, stehen alle Informationen bereit, um aus dem eigenen Netzwerk www.feste-ip.net mitzuteilen, welche IPv6 man hat (dazu später mehr). Wichtig ist bei den Einstellungen des Hostnamens bei www.feste-ip.net, bei „IPv4/IPv6 Verhalten“ „Dual: Beide Updates gleichzeitig zugelassen“ auszuwählen. Es ist wichtig, dass die IPv6-Adresse upgedatet wird.

Auf meinem ersten Pi läuft ein kleines Script, dass seine IPv6 www.feste-ip.net mitteilt. Diese IPv6 ist aber lediglich die lokale IPv6 (bestehend aus Prefix und Identifier). Nunmehr käme man zu dem Problem, dass man eigentlich zwei DDNS-Hostnamen bräuchte (und damit 2 Credits am Tag), wenn man – wie ich – zwei Server von Außen im eigenen Netz ansprechen möchte. Genialerweise hat www.feste-ip.net die Funktion unter „IPv6-Features“ erstellt mit Namen „Ein neues Subsystem erstellen“. Damit kann man mit demselben Hostnamen mehrere Geräte ansprechen, die dann innerhalb desselben Hostnamens wiederum einen Unterhostnamen haben. Heißt mein (Haupt-)Hostname bspw. „meineraspberrypi.feste-ip.net“, heißt die erste Subdomain dann „imapserver.meineraspberrypi.feste-ip.net“ und die zweite Subdomain dann „radicale.meineraspberrypi.feste-ip.net“. Hierzu gibt man einfach bei „Subhost“ den Wunschnamen der Subdomain an (also in meinem Beispiel für die erste Subdomain „imapserver“ und für die zweite Subdomain „radicale“). Bei „Link-lokale IPv6“ muss der Identifier-Teil der IPv6 des lokalen Gerätes angegeben werden und nicht die ganze IPv6. Bei mir ist das bspw. ba##:####:###:##30. Die „Link-lokale IPv6“ findet sich (bspw.) in der Connect Box unter „Verbundene Geräte“ (hier dann einfach den Identifier-Teil kopieren). Ich erstelle hier also das erste Subsystem (Subdomain: imapserver) für meinen ersten Pi und gebe den IPv6-Identifier des ersten Pi an. Dann erstelle ich danach ein weiteres Subsystem (Subdomain: radicale) und gebe den IPv6-Identifier des zweiten Pi an. Genialerweise filtert www.feste-ip.net bei der übermittelten IPv6 das Prefix heraus und setzt dann den jeweiligen IPv6-Identifier dahinter, sodass tatsächlich nur irgendein Gerät im Netz das DDNS-Update ausführen muss und dabei auch ruhig seine lokale IPv6 übermitteln kann (richtig toll!). Ich gehe davon aus, dass sich der Identifier-Teil der lokalen IPv6, da er sich an der MAC-Adresse orientiert, auch im weiteren Verlauf der nächsten Zeit (ggf. nach einem Wechsel der IPv6-Adresse durch Unitymedia) nicht ändert. Ansonsten kann man sicherlich in irgendwelchen Einstellungen beim Pi Einstellungen machen für einen statischen Identifier der IPv6. Sind die beiden Subsysteme erstellt, klickt man unter „IPv6-Features“ auf „Ein neues Portmapping erstellen“. Unter Hostnamen wählt man dann die Subdomain aus und gibt den Port an, auf welchem das Gerät angesprochen werden soll (in meinem Beispiel würde ich jetzt, um meinen Radicale-Server anzusprechen, als Hostnamen „radicale.meineraspberrypi.feste-ip.net“ auswählen, bei Port gebe ich 5232 an und lasse den Mapping-Server, wie vorgeschlagen). Ich klicke dann auf Portmapping erstellen. Das ganze wiederhole ich für alle Geräte und Ports, die ich gerne verbinden möchte.

Danach geht die Enttäuschung los und man vermutet den Fehler – völlig zu Unrecht! - bei www.feste-ip.net (Fehler im Sinne von "brauche ich ein anderes Produkt, um mit einem IMAP-Server zu kommunizieren?": FIP-Box, VPN, Universeller Portmapper, dedizierter Portmapper? - Nein!) : Es gibt ein praktisches Tool unter „IPv6-Features“ in der Tabelle unter „Port“ mit gegenläufigen Pfeilen – der Port-Test. Als ich dann darauf geklickt habe, stand dort für den Port 993 (IMAP-Server) „Port nicht erreichbar“. Hier war meine Verwunderung (nachdem ich sichergestellt habe, dass meine IPv6 korrekt übermittelt wurde von meinem Pi [dazu sogleich]) natürlich groß – keine Firewall, die die Verbindung blockieren könnte und die IPv6 eines meiner Pis war richtig hinterlegt. Trotzdem konnte ich den Port 993 nicht erreichen. Warum? Ab zum 3. Teil...

3. Einstellungen auf den RaspberryPis: Bei mir konnten die RaspberryPis von Anfang an IPv6. Das kann man auch in der Connect Box unter „Verbundene Geräte“ sehen, wenn dort eine IPv6 angezeigt wird.

a. DDNS-Update: Auf meinem ersten Pi läuft ein kleines Script, das regelmäßig die (lokale) IPv6 an www.feste-ip.net mitteilt. Ich habe es als crontab (mittels crontab –e) eingerichtet. Es läuft alle 15 Minuten (*/15 * * * * curl "###########" > /dev/null 2>&1). Das curl-Skript ist hier irgendwo bei www.feste-ip.net hinterlegt – einfach googeln (der Teil hinter curl „/dev/null 2>&1“ sorgt nur dafür, dass ich nicht alle 15 Minuten eine E-Mail bekomme, die mir sagt, dass das Skript ausgeführt wurde).

b. Einstellungen bei der Software: Mein größter Fehler war zu denken: „Mein Gerät kann IPv6 (siehe unter „Verbundene Geräte“), also kann es auch mit Geräten kommunizieren“. Das ist richtig und falsch. Es kann mittels IPv6 grundsätzlich (!) angesprochen werden, aber es muss „lernen“, auf IPv6-Anfragen zu hören (listen). Und das war bei vielen softwareseitigen Einstellungen bei mir nicht der Fall. Viel Software hörte ausschließlich auf IPv4-Anfragen. Das war der größte Punkt. Und hier muss man für jede einzelne Software recherchieren. Ähnlich ist, dass die Einstellung meistens „listen“ heißt.

Bei dovecot musste bspw. in der „/etc/dovecot/dovecot.conf“ der folgende Eintrag geändert werden „listen = [::]“. Nachdem ich das gemacht hatte und einen Neustart des Servers, war der Port-Test (für den Port 993) auf www.feste-ip.net erfolgreich. Die Freude war riesengroß. Der Port 443 (Apache2-Server für die HTTPS-Verbindung für die grafische Benutzeroberfläche „Squirrelmail“ ging von Anfang an – hier waren keine Einstellungen nötig [das war der Punkt, weshalb ich überhaupt recherchiert habe – der Apache2 ging, dovecot nicht – das spricht doch für ein Softwareproblem).

Für „Resilio Sync“ musste ich die Datei „/etc/init.d/btsync“ anpassen, dergestalt, dass wie folgt „gehört“ wird: „webui.listen [::]:8888“. Auch hier ging es dann reibungslos. Bei radicale musste ich unter „/etc/radicale/config“ den Eintrag auf "hosts = [::]:5232“ ändern. Man sieht, dass die Idee für das IPv6-Listen bei jeder Software in etwa dieselbe ist, nämlich [::]. Aber man kommt hier nicht drum herum, ggf. in andere Foren zu gehen und sich Stück für Stück der Lösung zu nähern. Jeder Port-Test auf www.feste-ip.net war jetzt erfolgreich. Es konnte weitergehen...

4. Einstellungen auf den Clients: Fehler können auch bei der Einrichtung der Clients passieren:

a. Port-Einstellungen: Bei meinem Outlook musste ich die Einstellungen natürlich ändern. Und auch hier gab es ein Verständnisproblem meinerseits, was man eigentlich gar nicht posten darf. Ich habe das Produkt von www.feste-ip.net schlicht nicht verstanden. Es ist ein Portmapper und nicht lediglich ein anderer DynDNS-Dienst! Ich hatte bei meinen IMAP-Einstellungen den Port 993 gelassen und „lediglich“ bei Server den Server eingegeben, wie bei www.feste-ip.net unter „Per IPv4 erreichbar über“ angegeben, nämlich die ganze Adresse „de6.portmap64.net:#####“. Ich bekam immer nur Fehlermeldungen. Tatsächlich war das nicht clever. Der Server heißt „de6.portmap64.net“ (bei mir) – der muss bei Outlook eingetragen werden. Dieser Server wird unter dem Port „#####“ angesprochen. Der stellt dann die Verbindung zu meinem internen Gerät auf dem Wunschport (bei mir Port 993) her. Deshalb muss (!) (das ist wahrscheinlich jedem klar, nur nicht mir) bei Outlook bspw. der SSL-Port für den IMAP-Server „de6.portmap64.net“ nicht mit 993 angegeben werden, sondern der Port, den www.feste-ip.net nennt, also der Port hinter „de6.portmap64.net:#####“ – der Port sind die fünf Rauten. Danach lief alles reibungslos. Das muss natürlich für alle anderen Softwareanfragen wiederholt werden (meine radicale-Anfragen laufen auch nicht mehr auf Port 5232, sondern auf dem Port ##### usw. Wenn man das Prinzip mal verstanden hat, ist es einfach... Ich hatte das Produkt „Portmapper“ aber falsch verstanden und dachte, es handelt sich lediglich um einen weiteren Dienst für einen dynamischen Hostnamen).

b. Zertifikate: Das Problem hatte ich bereits bei der Ersteinrichtung meines Systems vor vielen Jahren. Die SSL-Zertifikate stimmen jetzt natürlich nicht mehr. Hier müssen auf dem Server neue erstellt werden und bei den Client-Geräten als „vertrauenswürdig“ installiert werden. Outlook meckert sonst nur (was man durch Klick auf Schaltfläche „Ja“ aber überbrücken kann). Andere Produkte lassen vor der Installation der Zertifikate als vertrauenswürdig schon gar keine Verbindung zu. Das Problem ist aber zu lösen. Hier muss wieder gegoogelt werden, da die Lösung auch abhängig ist von der Software (Outlook, etc.)

5. Conclusion: Was für ein Akt der Wechsel von IPv4 auf DS-Lite... Danke an www.feste-ip.net, dass sie so ein Produkt zur Verfügung stellen. Die Mehrkosten im Jahr (bei mir 4,95 €) sind in Anbetracht meiner Ersparnis vom Wechsel meines Internetanbieters zu verkraften - man darf betriebswirtschaftlich nur nicht die letzte Woche ‚Arbeitskraft‘ hineinrechnen, sonst rechnet sich der Wechsel erst in einem Jahrzehnt ;-) Gegebenenfalls konnte ich dem ein oder anderen helfen – der Portmapper ist genial – man muss nur wissen, wie er funktioniert und wo die Probleme sind. Vielleicht habe ich hier auch Binsenweisheiten gepostet und jeder schüttelt den Kopf – dann einfach den Beitrag löschen. Aber es wäre schade, wenn einige Benutzer die Produkte von www.feste-ip.net nicht wählen, weil es an anderer Stelle (Connect Box, Servereinrichtung, Client-Einrichtung) hakt. Ein Dankeschön an die Community für die anderen Forendiskussionen und Beiträge, die mir bei der Einrichtung meines Systems sehr geholfen haben.

Viele Grüße,

Kristian

Antworten