Erreichbarkeit auf bestimmten UDP Ports (Echolink Software)

In diesem Forum können Sie ihre allgemeine Anfragen zu Realisierungswünschen bzw. Machbarkeiten stellen.
Anfragen zu speziellen Produkten stellen Sie bitte direkt in dem jeweiligen Unterforum.
Post Reply
hegi
Posts: 20
Joined: Mon 25. Sep 2017, 17:08

Erreichbarkeit auf bestimmten UDP Ports (Echolink Software)

Post by hegi »

Hallo,
ich habe hier einen IPV6 Internet-Zugang mit DS-Lite von Unitymedia und möchte damit die Amateurfunk-Software Echolink nutzen.
Mit Einschränkungen geht das auch ohne IPV4 bei Verwendung eines Echolink-Proxies. Aber für mich ist das gerade ein schönes Projekt, um diese ganze FIP-Thematik zu verstehen.

In der normalen IPV4 Welt sah das Ganze historisch so aus:

Code: Select all

Mein PC			Echolink Server
IP 001.002.003.004	IP 005.006.007.008
TCP 5200	---->	TCP ???
UDP 5198	<--->	UDP ???
UDP 5199	<--->	UDP ???
Ich kenne die Ports des Echolink Servers nicht. Aber das ist auch egal. Wenn sich mein PC bei Echolink anmeldet, Liefert der meine IPV4 IP dort ab. In meiner Fritzbox habe ich die UDP Ports 5198-5199 an meinen PC weitergeleitet und damit kann mich der Echolink-Server erreichen. - So war das alles schön.

Und jetzt ist alles anders mit IPV6 und DL-Lite
Wenn ich jetzt mit einem FIP Portmapper oder Easy2Connect die UDP Ports 5198-5199 meines für IPV4 erreichbar mache (was sich ja einfach bewerkstelligen lässt) sieht die Lage nun so aus:

Code: Select all

Mein PC			Echolink Server
IP 004.003.002.001	IP 005.006.007.008
(via DS-Lite)
TCP 5200	---->	TCP ???
... nur hängen meine geöffneten Ports ganz wo anders:

Code: Select all

meinnetz.feste-ip.net:40001	----> Mein PC, 5198
meinnetz.feste-ip.net:40002	----> Mein PC, 5198
IP 111.222.333.444		locale IP
Also, was ich - wenn ich das alles richtig verstanden habe brauche wäre
- Eine IPV4 Verbindung von meinem PC nach "draußen" unter der gleichen IP, unter der die geöffneten Ports erreichbar sind
- Eine Lösung, dass die öffentlichen Ports auch 5198 und 5199 sind
- DynDNS und/oder eine feste IP wären für diesen Dienst m.E. nicht erforderlich

Oder Mache ich das mit NAT?
Was mir beim FIP NAT nicht einleuchtet ist, dass ich da ja nirgends einstellen kann, dass die UDP Ports 5198-5199 für den Echolink Server erreichbar sein sollen. Ferner verstehe ich das mit der Gateway-Adresse nicht. Ist das die normale "LAN-IP" der Easy2Connect Box, oder wird die der Easy2Connect Box als zweite, zusätzliche IP zugewiesen?

Egal, ich wäre ganz dankbar, wenn mir da jemand an diesem Beispiel etwas Licht ins IPV6 Dunkel bringen könnte.

Besten Dank

Hegi.
MichaelWeigel
Posts: 771
Joined: Tue 24. Feb 2015, 11:13

Re: Erreichbarkeit auf bestimmten UDP Ports (Echolink Software)

Post by MichaelWeigel »

Hallo,

Bei der normalen verbindung mit einer easy2connect Box gehen Sie mit Ihrem Rechner nicht über die Box ins Internet. Sie nutzen bei ausgehenden Daten (z.b. Webseiten Aufruf ) Ihren normalen Zugang über Ihren Provider. Nur Anfragen zuIhren Freigaben gehen über die Box. Dabei muss der Anfragende aber den Namen oder die IP Ihrer Freigabe kennen. In Ihrem Fall meldet die Software die IP von Ihrem Provider und versucht (vergeblich) über diese IP bis zu ihnen zurück zu kommen.

Das ganze wird anders, wenn Sie die NAT Funktion von easy2connect nutzen(10 Credits pro Tag). Damit kann ein Gerät(PC) Direkt über eine eigene IPv4 Adresse ins Internet gehen und auch direkt von dort über diese IP erreicht werden

als Gateway geben Sie eine Freie IP aus ihrem Netzwerk ein (Die easy2connect Box erhält diese IP als zusätzliche IP). Diese IP muss in den Netzwerkeinstellung des PCs welcher eine Direkte IPv4 Anbindung benötigt als Gateway eingetragen werden.
Die IP dieses PCs kommt bei easy2connect in das Feld Zielsystem.

Nach dem Speichern geht dieser PC direkt über eine IPv4 Adresse ins Internet und erhält auch alle antworten. Damit sollte die echolink Software richtig laufen.

LG Michael
LG Michael
hegi
Posts: 20
Joined: Mon 25. Sep 2017, 17:08

Re: Erreichbarkeit auf bestimmten UDP Ports (Echolink Software)

Post by hegi »

Hallo Michael,
besten Dank für die Antwort.

Ich weiß nicht, ob ich da etwas falsch verstehe oder übersehe, aber ist es nicht so, dass ich wenn ich das NAT anknipse, bei 4 + 10 (Easy2Connect + NAT) Credits pro Tag liege. - Da wäre ich bei rd. 70€ p.a.

Würde ich stattdessen eine FIP-Box mit VPN und eigener IPV4-Adresse nutzen läge ich bei den Kosten nur bei 5 Credits + 30 € p.a. also etwa bei 55 € p.a. und hätte einen vollwertigen, festen IPV4 Zugang und mein Unitymedia-Anschluss wäre wie ein vollwertiger Dual Stack Anschluss mit IPV4 und IPV6 und könnte das uneingeschränkt auch für allen möglichen anderen Kram (ssh Zugriff, Webserver, NAS) nutzen. - Klingt irgendwie charmanter, zumal bei geringeren Kosten.

Theoretisch müsste ich die Fipbox dann auch auf meinem Heim-Server mit raspian2fipbox.sh installieren können (da läuft debian stretch/amd64) und dann brauche ich das nicht mal auf einer separaten Kiste laufen lassen ...

Besten Dank

Hegi.
hegi
Posts: 20
Joined: Mon 25. Sep 2017, 17:08

Re: Erreichbarkeit auf bestimmten UDP Ports (Echolink Software)

Post by hegi »

Hallo Miachel,

... habe jetzt dennoch im ersten Step das noch mal mit NAT probiert.
Leider scheint das nicht wie gewünscht zu klappen:
MichaelWeigel wrote: Wed 27. Sep 2017, 16:46 als Gateway geben Sie eine Freie IP aus ihrem Netzwerk ein (Die easy2connect Box erhält diese IP als zusätzliche IP). Diese IP muss in den Netzwerkeinstellung des PCs welcher eine Direkte IPv4 Anbindung benötigt als Gateway eingetragen werden.
Die IP dieses PCs kommt bei easy2connect in das Feld Zielsystem.
In meinem internen Netz hat der Router die End-IP .20.
Mein Rechner hat die .250.
Die Easy2Connect Box ist auf .116.

Habe folgendes konfiguriert:
- Gateway .10 (Diese IP war bisher nicht vergeben)
- Zielsystem .250
- Tunnelprotokoll: UDP.

Meine Erwartung wäre jetzt, dass die Easy2Connect Box, wenn ich dort ein "route -n" eingebe, ein virtuelles Interface auf der IP .10 ausweist.
Das ist aber nicht der Fall.
Folglich kann ich auf dem Zielsystem .250 zwar eine default route nach .10 setzen, aber das läuft natürlich ins Leere.

Woran kann das liegen?
Hängt das evtl. damit zusammen, dass meine Easy2ConnectBox über das Interface wlan0 mit dem Internet verbunden ist? - Eigentlich wäre das unlogisch, aber ich frage vorsichtshalber dennoch mal.

Beste Grüße und vielen Dank.
Hegi.
MichaelWeigel
Posts: 771
Joined: Tue 24. Feb 2015, 11:13

Re: Erreichbarkeit auf bestimmten UDP Ports (Echolink Software)

Post by MichaelWeigel »

Hallo,

Das Routing für die Play IP erfolgt durch NAT mit iptables.

LG Michael
LG Michael
hegi
Posts: 20
Joined: Mon 25. Sep 2017, 17:08

Re: Erreichbarkeit auf bestimmten UDP Ports (Echolink Software)

Post by hegi »

Hallo Michael,

OK. Ich bin nicht der iptables Mann, aber wenn ich mir das näher ansehe, sieht das grad so aus:

Code: Select all

# iptables -L -v -n | more
Chain INPUT (policy ACCEPT 7625 packets, 793K bytes)
 pkts bytes target     prot opt in     out     source               destination 
        

Chain FORWARD (policy ACCEPT 1228 packets, 105K bytes)
 pkts bytes target     prot opt in     out     source               destination 
        

Chain OUTPUT (policy ACCEPT 3764 packets, 231K bytes)
 pkts bytes target     prot opt in     out     source               destination 
        
# iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 47109 packets, 8346K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DNAT       tcp  --  tun100 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:39067 to:192.168.2.250:22
    0     0 DNAT       udp  --  tun100 *       0.0.0.0/0            0.0.0.0/0            udp dpt:39067 to:192.168.2.250:22
   38  1300 DNAT       all  --  tun123 *       0.0.0.0/0            0.0.0.0/0            to:192.168.2.250

Chain INPUT (policy ACCEPT 2547 packets, 414K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 891 packets, 63152 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 1820 packets, 127K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MASQUERADE  tcp  --  *      *       0.0.0.0/0            192.168.2.250        tcp dpt:22
    0     0 MASQUERADE  udp  --  *      *       0.0.0.0/0            192.168.2.250        udp dpt:22
    0     0 SNAT       all  --  *      tun123  192.168.2.250        0.0.0.0/0            to:10.26.4.110
Da wundert mich, dass ich die Gateway-IP 192.168.2.10 nicht drin wiederfinde. Dagegen taucht das Zielsystem (.250) auf.

Na gut. Wenn ich nun spaßeshalber auf dem Zielsystem die default-route von der Fritzbox auf den Gateway verbiege, passieren erst mal merkwürdige Dinge:

Code: Select all

# route del default gw 192.168.2.20 ### Fritzbox
# route add default gw 192.168.2.10 ### Gateway

# ping www.google.de
PING www.google.de (216.58.207.163) 56(84) bytes of data.
64 bytes from muc11s04-in-f3.1e100.net (216.58.207.163): icmp_seq=1 ttl=51 time=26.5 ms
From raspy-mpd (192.168.2.116): icmp_seq=2 Redirect Host(New nexthop: chambo (192.168.2.20))
64 bytes from muc11s04-in-f3.1e100.net (216.58.207.163): icmp_seq=2 ttl=51 time=115 ms
64 bytes from muc11s04-in-f3.1e100.net (216.58.207.163): icmp_seq=3 ttl=51 time=43.7 ms
From raspy-mpd (192.168.2.116): icmp_seq=4 Redirect Host(New nexthop: chambo (192.168.2.20))
64 bytes from muc11s04-in-f3.1e100.net (216.58.207.163): icmp_seq=4 ttl=51 time=31.9 ms
64 bytes from muc11s04-in-f3.1e100.net (216.58.207.163): icmp_seq=5 ttl=51 time=30.7 ms
From raspy-mpd (192.168.2.116): icmp_seq=6 Redirect Host(New nexthop: chambo (192.168.2.20))
64 bytes from muc11s04-in-f3.1e100.net (216.58.207.163): icmp_seq=6 ttl=51 time=28.9 ms
64 bytes from muc11s04-in-f3.1e100.net (216.58.207.163): icmp_seq=7 ttl=51 time=37.7 ms
From 192.0.0.2 (192.0.0.2) icmp_seq=8 Packet filtered
From 192.0.0.2 (192.0.0.2) icmp_seq=9 Packet filtered
From raspy-mpd (192.168.2.116): icmp_seq=10 Redirect Host(New nexthop: chambo (192.168.2.20))
From 192.0.0.2 (192.0.0.2) icmp_seq=10 Packet filtered
From 192.0.0.2 (192.0.0.2) icmp_seq=11 Packet filtered
From 192.0.0.2 (192.0.0.2) icmp_seq=12 Packet filtered
From 192.0.0.2 (192.0.0.2) icmp_seq=13 Packet filtered
[und ab da kommt nichts mehr durch ...]
Kurious finde ich dabei, dass wenn ich auf die gleiche Methode (Verbiegen der Default-Route) auf eine andere Internet-Verbindung wechsele, diese problemlos funktioniert, da werden keine Pakete gefilert. - Dann macht auch mein Echolink, was es soll, weil ich dort einen echten DualStack habe (sofern ich an dem anderen Router die UDP Ports entsprechend freigegeben habe).

Daher bin ich nach wie vor der Meinung, dass auf der Easy2Connect-Box irgendetwas "hakt". Komisch ist dass hier auf einmal eine IP 192.0.0.2 auftaucht ...

Aber bevor wir uns hier einen "Wolf" suchen, vielleicht noch mal zurück zu meinem Post vom 28.09. - Ist in der von mir gesehenen Alternative (FIP-Box, VPN, eigene IP) ein Denkfehler, oder passt das so (auch preislich)?

Denn dann würde ich hier keine weitere Energie investieren und gleich die FIP-Box aufsetzen.

Kann ich das Install-Script raspian2fipbox.sh auch auf Debian Stretch statt Raspian laufen lassen? Das wäre mir lieber, weil ich da deutlich mehr Bandbreite habe, als auf dem Raspberry (Gigabit statt WLAN).

Danke.

Hegi.
MichaelWeigel
Posts: 771
Joined: Tue 24. Feb 2015, 11:13

Re: Erreichbarkeit auf bestimmten UDP Ports (Echolink Software)

Post by MichaelWeigel »

Hallo,

Die Rechnung IP+VPN Tunnel = 55€ pa ist richtig.
Zur Installation:

Debian + OpenVPN als Server oder

PFsenss als Firewall und Router.

das Script raspian2fipbox ist nicht für ein Debian gedacht, könnte also Fehler verursachen.

LG Michael
LG Michael
hegi
Posts: 20
Joined: Mon 25. Sep 2017, 17:08

Re: Erreichbarkeit auf bestimmten UDP Ports (Echolink Software)

Post by hegi »

Hallo Michael,
MichaelWeigel wrote: Tue 17. Oct 2017, 14:53 Die Rechnung IP+VPN Tunnel = 55€ pa ist richtig.
Gut. Dann werde ich in diese Richtung weiter basteln.

MichaelWeigel wrote: Tue 17. Oct 2017, 14:53 Zur Installation:

Debian + OpenVPN als Server oder

PFsenss als Firewall und Router.

das Script raspian2fipbox ist nicht für ein Debian gedacht, könnte also Fehler verursachen.
Dem entnehme ich, dass es für Debian auch kein alternatives Script oder eine entsprechende Anleitung gibt.
Werde also eine Art Kombination aus den Schritten des Scriptes (manuell) und dem Howto von Jan Werres zu Fuß durchgehen müssen, um das auf meiner Stretch-Kiste ans Laufen zu bekommen.

Alternativ hätte ich noch eine weitere Fritzbox mit Freetz und openvpd. Gibt es dafür ggf. Erfahrungsberichte oder Howtos?

Mal sehen, hoffe, dass ich da kommende Woche etwas Zeit für finde.

LG
Stefan.
hegi
Posts: 20
Joined: Mon 25. Sep 2017, 17:08

Re: Erreichbarkeit auf bestimmten UDP Ports (Echolink Software)

Post by hegi »

Hallo Michael,
habe für den Bau von Fip-VPN auf einer Debian-Stretch Box mal einen separaten Thread aufgemacht, um die Anpassungen zu kommentieren.
Siehe hier: FIP VPN auf Debian Stretch

Wenn das läuft und es dann noch Besonderheiten zu diesem Anwendungsfall mit Echolink gibt, schreibe ich das wieder hier.

LG
Hegi.
hegi
Posts: 20
Joined: Mon 25. Sep 2017, 17:08

Re: Erreichbarkeit auf bestimmten UDP Ports (Echolink Software) [solved]

Post by hegi »

Hallo zusammen,

Thema ist geklärt.
Habe (siehe Link im letzen Post) ein fipVPN Tunnel mit eigener IPV4 (bei mir auf einem bestehenden debian Server, geht aber auch auf einem Raspberry PI als FipBox) zu laufen und alles ist schön.

VG
Hegi.
Post Reply