Page 1 of 1

IPv6 Zielport angeblich nicht erreichbar

Posted: Sat 12. Dec 2015, 12:57
by mmm
Hallo alerseits,

ich habe DS-Lite von Unitymedia und benutze den mitgelieferten Unitymedia-Router, dahinter betreibe ich einen Apache-Webserver auf einem Raspberry Pi und möchte nun auch aus dem IPv4-Netz darauf zugreifen können. Daher habe ich einen Feste-IP.Net-Account angelegt und einen IPv6-Portmapper direkt auf die IPv6-Adresse des Webservers eingerichtet. Allerdings kommt beim Check des IPv6 Zielports sowohl bei Port 443 als auch bei Port 80 die Meldung "Zielport nicht erreichbar".

Der Webserver läuft größtenteils mit Default-Einstellungen, ich habe lediglich ein selbstigniertes SSL-Zertifikat erstellt und ein Rewrite aller HTTP-Anfragen auf HTTPS eingestellt. Aus dem IPv6-Internet habe ich keinerlei Probleme damit. Eine Port-80-Weiterleitung bräuchte ich daher gar nicht, 443 für SSL sollte ja ausreichen.

Ist das Problem das selbstsignierte Zertifikat? Oder unterstützt Feste-IP.Net gar kein Portmapping über SSL?

Viele Grüße,
mmm

Re: IPv6 Zielport angeblich nicht erreichbar

Posted: Thu 31. Dec 2015, 09:57
by rema
Hallo,

die Portmapper könen das Protokoll nicht unterscheiden. Ob da eine SSH Sitzung, ein openVPN, ein Videostram oder eine HTTPS Session übertragen wird spielt keine Rolle.

Ich tippe darauf, dass die IPv6 Firewall im Router den Zugriff blockiert.
Je nach Router kann man den Zugriff selektiv erlauben und muss im schlimmsten Fall die IPv6 FIrewall komplett deaktivieren.
(ACHTUNG: Damit sind alle IPv6 Geräte im LAN von außen erreichbar! Hier sind dann weitere SIcherheitsvorkehrungen notwendig!)

Eine sicherere Alternative wäre noch ein FIP-VPN dabei wird der Router nicht verändert. Der Port wird dann durch einen "Hilfstunnel" erreichabr gemacht.

/LG Rema

Re: IPv6 Zielport angeblich nicht erreichbar

Posted: Thu 31. Dec 2015, 13:39
by mmm
Danke für die Antwort, das Problem war tatsächlich die Router-Firewall!

Im Unitymedia-Router kann man leider keine Firewall-Regeln, daher muss in der Tat die IPv6-Firewall komplett deaktiviert werden. Werde mir wohl beizeiten einen vernünftigen Router zulegen müssen.