Zugriff aufs Heimnetz hinter DSlite per Portmapper, MyFritz, OpenVPN

Alles Rund um die Einrichtung unserer IPv6 Portmapper
olco
Posts: 5
Joined: Fri 18. Jan 2019, 18:35

Zugriff aufs Heimnetz hinter DSlite per Portmapper, MyFritz, OpenVPN

Post by olco »

Hallo,

seitdem ich nur noch einen DSlite Anschluss habe beschäftige ich mich immer mal wieder mit dem Thema, wie ich den Zugriff aufs Heimnetz hinbekommen könnte und scheitere jedes mal. Zuletzt, da ich der Ansicht war es gebe einfach keinen Dienst durch den das möglich ist. Dann bin ich bei diesem Anlauf auf Feste-IP-net gestoßen und habe es aber leider nicht hinbekommen, daher melde ich mich mal hier im Forum. Vielleicht ist mir einfach nur ein Denkfehler unterlaufen.
(alle Ports und Adressen, die ich hier angebe sind selbstverständlich nicht meine tatsächlichen)

1) MyFritz ist eingerichtet auf meiner AVM 6490. Eine MyFritz-Freigabe für den RPi3 ist erstellt mit dem von mir für OpenVPN gewählten Port 1234. Die Adresse lautet laut MyFritz Portal: http://rpi3.isbdciuew239.myfritz.net:1234/

2) Auf dem RPi3 ist Raspbian Strech installiert. Per PIVPN Skript habe ich OpenVPN installiert und eingerichtet. Als Port habe ich dabei 1234 verwendet und als DNS Adresse meingewähltesalias.feste-ip.net angegeben. Anschließend habe ich mir einen User namens VPN erstellt und mir erstellte Datei auf das Smartphone kopiert für die Verwendung des OpenVPN Clients.

3) Auf Feste-IP.net habe ich mir einen Account erstellt und anschließend einen Universellen Portmapper angelegt mit folgenden Daten:
DNS-Name: rpi3.isbdciuew239.myfritz.net
Alias (optional): meingewähltesalias.feste-ip.net
Mapping-Server: de2.portmap64.net
Ports: 1234
1:1 Portmapper: ---- bei 1:1 Portmappern ist der Quell und Zielport gleich

Nun steht in meinem Account:
Hostname: rpi3.isbdciuew239.myfritz.net
IPv6 Zielport: 1234
IPv4 Mapping über: meingewähltesalias.feste-ip.net:15497

Klicke ich auf den Doppelpfeil nebem dem Eintrag des IPv6 Zielports, dann steht dort "DNS-Fehler!!!".

Kann mich jmd aufklären, wo vermutlich der Fehler liegt? Muss ich noch zusätzlich weitere Dienste von Feste-IP.net nutzen oder passen andere Einstellungen nicht?

LG

Edit:
Bei der Konfiguration von OpenVPN auf dem RPi hatte ich die Wahl, UDP oder TCP zu nutzen. Kann es sein, dass der Universelle Portmapper nur mit TCP funktioniert?

Edit 2:
Offenbar ist es so, dass das ganze nur per TCP funktioniert. Allerdings klappt es bei mir dennoch nicht.
Was ich aber auf durch die gleiche Herangehensweise realisiert habe ist der Zugriff auf meinen Enigma2 Receiver über den hier bereitgestellten Portmapper.
Wieso aber funktioniert nicht der Zugriff auf OpenVPN auf dem RPi?
Potestas
Posts: 9
Joined: Tue 7. Feb 2017, 21:56

Re: Zugriff aufs Heimnetz hinter DSlite per Portmapper, MyFritz, OpenVPN

Post by Potestas »

Hallo,

irgendwie habe ich ein Dejavu.
Ich stand vor ca. 1 Jahr vor ungefähr der gleichen Problematik. Raspi / OpenVPN / FritzBox und Enigma 2 Receiver über DSLite

Aus eigener Erfahrung würde ich von der MyFritz Freigabe Abstand nehmen. Das hat bei mir nur bedingt und nicht zuverlässig funktioniert.

Ein weiteres Problem bei mir ist/war, dass die FritzBox nicht die richtige Global-IP des Raspberry ermittelt hat. Daher habe ich die IPv6 Adresse per Hand hinterlegt.
Da der Raspberry per Default bei mir seine IP aber private erzeugt hat, hat sich diese bei jedem IP-Wechsel geändert.

Folgende Konstellation funktioniert bei mir Problemlos:

Raspberry
- Hardware-generiertem Identifier-ID
- IP-Veröffentlichung auf DynDNS Anbieter
- FritzBox Freigabe auf "MAC" IP des Raspi

Ich könnte mir vorstellen, dass für die MyFritz Freigabe hier auch die falsche IP des Raspi verwendet wird.

Viele Grüße
olco
Posts: 5
Joined: Fri 18. Jan 2019, 18:35

Re: Zugriff aufs Heimnetz hinter DSlite per Portmapper, MyFritz, OpenVPN

Post by olco »

Ach super, eine Antwort :) Danke dafür ;)

Also nutzt du die Hardware und Software zwar so auch aber nutzt statt MyFritz einen anderen DynDNS Dienst?

Demnach wird bei dem Enigma2 Receiver die IPv6 korrekt ermittelt aber beim RPi3 nicht.

Daher wären die Schritte:
-globale IPv6 des RPi selbst ermitteln
-diese in der MyFritz Freigabe eintragen

Oder habe ich dich missverstanden und du nutzt MyFritz nicht mehr aufgrund der Tatsache, dass es nicht zuverlässig lief?
Potestas
Posts: 9
Joined: Tue 7. Feb 2017, 21:56

Re: Zugriff aufs Heimnetz hinter DSlite per Portmapper, MyFritz, OpenVPN

Post by Potestas »

MyFritz nutze ich deshalb nicht, weil es mir nicht transparent genug war und eben nicht richtig / stabil funktioniert hat.
Im Nachgang kann das daran gelegen haben, das er nur eine Netzwerkinterne IPv6 vom Rasp gesehen hat, weiß ich allerdings nicht mehr sicher.

Bei einem eigenen DynDNS Anbieter weiß man wenigstens was passiert und hat m.E etwas mehr Kontrolle.

Du solltest nicht nur die globale IP ermitteln, sondern auch sicherstellen, dass hier die Identifier ID per MAC erzeugt wird, sonst ändert die sich immer mal wieder.
Der Raspberry muss dann seine IP beim DynDNS Anbieter veröffentlichen.
In der FritzBox die Freigabe auf Grundlage der Hardware-Identifier-ID vornehmen.

Auf alles andere wie z.Bsp. den Receiver, würde ich dann per VPN zugreifen und ihn nicht nach außen freigeben.
olco
Posts: 5
Joined: Fri 18. Jan 2019, 18:35

Re: Zugriff aufs Heimnetz hinter DSlite per Portmapper, MyFritz, OpenVPN

Post by olco »

Ja, das war auch mein Plan, das komplett per VPN zu regeln damit es nur darüber den Zugang nach innen gibt.
Den Receiver direkt freizugeben hatte ich nur getestet, weil ich prüfen wollte, woran es liegen kann.

Also richte ich mir einen DynDNS Dienst ein. Den nutze ich dann statt MyFritz. Dann erstelle ich dennoch für den OpenVPN Port eine Freigabe für den RPi über dessen MAC Adresse und das DynDNS per globaler IPv6 Adresse.

Dann habe ich schon mal Anhaltspunkte und schau mal, wie weit ich komme.

Edit:
Doch nochmal eine Nachfrage, die Fritzbox hat dann mit dem DynDNS Dienst gar nichts mehr zu tun oder?
Ich habe also die globale IPv6 Adresse des RPi3 herausgefunden und dafür gesorgt, dass diese sich an der MAC Adresse orientiert.
Dann richte ich nun einen AAAA-Record an beim DynDNS Anbieter, der auf die IPv6 des RPi3 verweist.
Da das aber nun eine reine IPv6 Geschichte ist, kommt nun der Portmapper ins Spiel, der ermöglicht dann den IPv4 Zugriff auf die IPv6 Adresse des RPi3.

In OpenVPN gebe ich dann die DNS Adresse vom Portmapper von Feste-IP an.
Dann lege ich noch die Portfreigabe für den RPi3 in der Fritzbox an.

Ist das so korrekt?

Edit 2:
So wie im ersten Edit beschrieben habe ich es nun eingerichtet. Dann hieß es in der Benutzeroberfläche von Feste-IP.net, dass der Port nicht erreichbar sei.
Nach weiterer Recherche habe ich dann herausgefunden, dass OpenVPN wohl als Standard keinen Zugriff von IPv6 zulässt. Daher musste ich in der server.conf den Part "proto tcp" ändern in "proto tcp6-server".

Nun ist der Port laut Feste-IP.net erreichbar. Ich habe also einen neuen OpenVPN User angelegt und habe versucht mich vom Smartphone aus, per Wlan und Mobilfunk, mit dem VPN zu verbinden. Leider haut das noch nicht hin.

Im OpenVPN Log auf dem Smartphone heißt es:
Server poll timeout, trying next remote entry...
EVENT: RECONNECTING
EVENT: Resolve
ContactingIP-Adresse:Port via TCP
Event: WAIT

Edit 3:
Ich gehe davon aus, dass ich eine entsprechende Änderung, wie in Edit 2 beschrieben auch für den jeweiligen Client vornehmen muss oder? Was ich da aber genau in der *ovpn Datei ändern muss, weiß ich noch nicht.
Potestas
Posts: 9
Joined: Tue 7. Feb 2017, 21:56

Re: Zugriff aufs Heimnetz hinter DSlite per Portmapper, MyFritz, OpenVPN

Post by Potestas »

das hört sich doch alles ganz gut an.

in der ovpn Datei muss im Eintrag "remote" entsprechend der DNS und der Port von Feste-IP eingetragen werden.
Ich denke aber, dass du das mittlerweile schon gelöst hast. ;)
olco
Posts: 5
Joined: Fri 18. Jan 2019, 18:35

Re: Zugriff aufs Heimnetz hinter DSlite per Portmapper, MyFritz, OpenVPN

Post by olco »

Hehe, nein tatsächlich habe ich es noch nicht geschafft.

Auf meiner Suche im Netz bin ich dann im Raspberry Pi Forum gelandet. Da wurde mir dann vorgeschlagen das ganze über die FIP-Box zu realisieren. Das funktionierte aber auch nicht. Daher werde ich jetzt Raspbian noch mal frisch aufsetzen und dann von vorne loslegen.

Also müsste in der ovpn Datei stehen:
proto tcp
remote de8.alias.feste-ip.net.portmap64.net 1234

Ist das so korrekt? Kommt mir so lang vor..
Potestas
Posts: 9
Joined: Tue 7. Feb 2017, 21:56

Re: Zugriff aufs Heimnetz hinter DSlite per Portmapper, MyFritz, OpenVPN

Post by Potestas »

hast du den Mapping-Server mit hinzugefügt?
der Remote-DNS ist nur der Name, der im Universellen Portmapper in der Spalte "IPv4 Mapping über" dargestellt wird.
2019_01_29_10_40_45_Feste_IP.NET_Mein_Account.png
2019_01_29_10_40_45_Feste_IP.NET_Mein_Account.png (28.24 KiB) Viewed 9128 times
in meinem Fall:
remote <alias>.feste-ip.net <1234>
olco
Posts: 5
Joined: Fri 18. Jan 2019, 18:35

Re: Zugriff aufs Heimnetz hinter DSlite per Portmapper, MyFritz, OpenVPN

Post by olco »

Die Info, diese lange remote einzutippen stammte aus dem Raspberry Forum.

Damit funktionierte es jetzt auch nicht bei mir, also habe ich nur die Adresse eingegeben, die mir bei Feste-IP angezeigt wird.

Ergebnis: Endlich funktioniert es!!

Ich weiß leider nicht, was zuvor der Fehler war aber bin zufrieden mit dem Ergebnis ;)
Danke für die Hilfe!
Zoologe
Posts: 1
Joined: Mon 4. Mar 2019, 16:06

Re: Zugriff aufs Heimnetz hinter DSlite per Portmapper, MyFritz, OpenVPN

Post by Zoologe »

Hallo,

könntest du nochmal deine Einstellungen für PiVPN, Fritzbox und Portmapper erklären.
Ich habe nämlich das selbe Problem und bekomme immer die Fehlermeldung "NETWORK_RECV_ERROR"

Viele Grüße
Post Reply