Raspberry Pi: DynDNS trotz DS-Lite durch IPv6 Portmapper
Bei DSL-Neuanschlüssen kommt immer häufiger der Dual-Stack Lite (DS-Lite) Mechanismus zum Einsatz. Bei diesem wird, auf Grund der knappheit der IPv4-Adressen, nur noch eine global routbare IPv6-Adresse bereitgestellt. Möchte der Benutzer eine Webseite, die jedoch bislang nur IPv4 unterstützt, aufrufen, so wird dies über den sogenannten Carrier-grade NAT ermöglicht. Der andere Weg, den Anschluss mit der IPv6-Adresse von einem IPv4-Netz zu erreichen, funktioniert hingegen nicht. Das hat zur Folge, dass wenn man eine DynDNS-Domain, wie bspw. von No-IP.org, einrichtet um den Raspberry Pi von außerhalb des eigenen Netzwerkes zu erreichen, dies nicht funktioniert. Abhilfe schaffen sogenannte IPv6 Portmapper, die gegen eine geringe Jahresgebühr den Datenverkehr über den Umweg per Gateway routen, sodass er auch aus einem IP4-Netzwerk erreichbar ist. Wie man einen IPv6 Portmapper zur Nutzung einer DynDNS Domain für z.B. den Raspberry Pi einrichtet erkläre ich im folgenden Artikel.
Zunächst sollten wir sichergehen, dass bei deinem Anschluss wirklich der DS-Lite Mechanismus zum Einsatz kommt. Wenn bei dem WasIstMeineIP.de IPv6-Test der IPv4 ohne DNS Test fehlschlägt, handelt es sich sicher um einen DS-Lite Anschluss.
Um das Problem zu lösen müssen wir einen Account bei einem IPv6 Portmapper einrichten. Der DynDNS-Dienst feste-ip.net von Cosimo bietet einen Gateway-Service namens Universelle Portmapper an. Über diesen lassen sich momentan zwar nur TCP-Verbindungen routen, jedoch verwenden die meisten Anwendungen auch diesen Verbindungstyp. Aktuell kostet der Dienst in der Minimalform 3,65€ im Jahr. Bei diesem Dienst lege ich einen neuen Account an und melde mich bei diesem an.
Im linken Menü rufen wir Universelle Portmapper auf. In diesem wird erklärt wie der Portmapper funktioniert und dass deshalb die Identität via SMS bestätigt werden muss, was wir durchführen. Daraufhin können wir über den Plus-Button rechts oben einen neuen IPv6 Portmapper anlegen. Als Mapping-Server sollte der empfohlene Server verwendet werden, da dieser in der Regel eine annehmbare Auslastung hat. Anschließend müssen wir unter Alias eine DynDNS Domain anlegen unter der wir den Raspberry Pi später erreichen. Im Beispiel nenne ich diese jankarres.feste-ip.net. Unter IPv6 Ziel muss die eigene IP-Adresse angegeben werden, die auch bei WieIstMeineIP.de herausgefunden werden kann. Diese ist in aller Regel, im Gegensatz zu IPv4-Adressen bei Privatanschlüssen, fest. Bei Ports muss angegeben werden welche Ports für die jeweiligen78/ zum Einsatz kommenden Dienste im Router freigegeben wurden. Man ist auf 12 Ports beschränkt, wobei dies bei den Anwendungen mit dem Raspberry Pi ausreichend sein sollte. Die Einstellung 1:1 Portmapper muss nicht angepasst werden. Der Portmapper kann anschließend angelegt werden.
In der Übersichtstabelle, die wir nun sehen, stehen in der Spalte IPv6 Zielport die gewünschten Ports und in der Spalte IPv4 Mapping in der selben Reihenfolge, unter welcher DynDNS Domain und welchen Port man das gewünschte Ziel erreicht. Beispielsweise erreiche ich den Port 80 meines Anschlusses über jankarres.feste-ip.net:51767.
Ist der Raspberry Pi erreichbar, so sollte man zuletzt auf der feste-ip.net Webseite unter Credits & Addons die täglichen Kosten betrachten, in der Regel 1 Credit, und über Kasse das Konto aufladen, sodass der Dienst dauerhaft läuft. Ein neuer Account erhält automatisch 50 Credits kostenlos.
Das Problem DS-Lite ist erledigt und der Raspberry Pi sollte nun trotz des unpraktischen Konstrukts des DSL-Anbieters auch außerhalb des eigenen Netzwerkes erreichbar sein.
28 Kommentare. Hinterlasse eine Antwort
Wie immer ein guter Beitrag 😉
Ich möchte aber daran erinnern, dass der beworbene Dienst nur TCP-Verbindungen unterstützt. So sind zum Bsp. VPN, welche IPSEC bzw. GRE-Protokolle benutzen, nicht über die Portmapper möglich.
MfG Peter
Habe ich im Artikel oben ergänzt. Danke!
Danke für den Hinweis. Habe ich im Artikel ergänzt!
Hallo Jan,
danke für den super Artikel. Ich scheitere allerdings schon am 1. Punkt:
Bei WasIstMeineIP.de IPv6-Test sieht das Ergebnise so aus:
Ihre IPv4-Adresse lautet: 77.20.xxx.xxx
Ihre IPv6-Adresse lautet: nicht vorhanden
Test IPv4: OK
Test IPv6: fehlgeschlagen
Test Dual Stack: OK
Alles scheint ok.
Ich kann die IP-Adresse pingen, meine ports (22, 80, …) sind aber laut einem Web Portscanner geschlossen.
Laut Vodafone Forum sind alle neuen Kabel Anschlüsse DS-lite und meine Fritzbox 6490 sagt:
Internet
IPv4, FRITZ!Box verwendet einen DS-Lite-Tunnel
Anbieter: Kabel Deutschland
IPv4 über DS-Lite
Internet
IPv6, verbunden seit 26.02.2017, 13:03 Uhr
Anbieter: Kabel Deutschland
IPv6-Adresse: 2a02:8108::8b:8194:xxxx:xxxx:xxxx
Irgendwelche Tipps?
Vielen Dank im Voraus!
Viele Grüße,
E.Schneider
UPDATE:
Ein KD Mitarbeiter hat mich netterweise auf Dual Stack umgestellt. Und der Remote Zugriff funktioniert wieder!! 🙂
Der ipv6 Test liefert allerdings die selben Ergebnisse:
Ihre IPv4-Adresse lautet: 31.17.xxx.xxx
Ihre IPv6-Adresse lautet: nicht vorhanden
Test IPv4: OK
Test IPv6: fehlgeschlagen
Test Dual Stack: OK
Der o.g. Test (https://www.wieistmeineip.de/ipv6-test/) scheint daher nicht zuverlässig den Status zu erkennen.
Danke für diesen Beitrag. Sehr schön beschrieben.
Aber Identitätsbestätigung per SMS? WTF? Wie rückschrittlich ist das denn? Und bitte wozu ist es rechtlich nötig die Identität zu bestätigen? Das muß reichen, daß Geld fließt und bei Mißbrauch der übliche Rechtsweg über Auskunft via Gerichte beim Provider (die Adresse zum „Tatzeitpunkt“ ist ja bekannt) vorhanden ist. Für mich schon gestorben.
Auch die blöde Möchtegern-Verschleierung von Kosten in Form von Credits ist doch arg seltsam – welchem rationalen Zweck soll das dienen? Für einen legitimen Payservice ist das doch dämlich. Da kommt man sich ja vor wie bei Rapidshare und Konsorten.
Ansonsten wird dies sicher nicht der letzte Dienst dieser Art sein und ich vermute, daß viele Hoster und Provider solcherlei Dienste zukünftig mit anbieten werden.
Zum obigen Dienst gefällt mir allerdings der Preis sehr. Damit ja niemand auf die Idee käme mich als Hater abzutiteln — das wäre ja zu einfach.
Gruß,
Micha
Hallo,
vielen Dank für den tollen Beitrag zu unserem Angebot.
Ich möchte diese Stelle nutzen um auf die obigen Kommentare einzugehen.
Ja es ist korrekt, das sich über die reinen Portmapper nur TCP Verbindungen realisieren lassen. TCP ist verbindungsorientiert und somit der Zustand jeder Verbindung bekannt und der Portmapper kann z.B. bei ausbleibenenden Daten auf diesen Umstand reagieren und die Daten ggf. nocheinmal anfordern. Bei UDP würde das nicht funktionieren.
Als VPN läßt sich in Verbindung mit dem PI mitteln openVPN ein Zugriff über fast jedes OS auf das Heimnetz realisieren. (Das auf unserer Homepage bereitgestellt Script basiert auf der manuellen Anleitung aus diesem BLog hier.)
Mit der SMS Bestätigung möchten wir uns vor Mißbrauch schützen da die Funktion der Portmapper technisch gesehen auch ein gewisses Mißbrauchspotential mit sich bringt. Da die ersten 50 Tage vollkommen anonym und kostenlos nutzbar sind gibt es – wie oben angesprochen – kein Vertrag und somit keinerlei Kundendaten.
Die Credits sollen eigentlich nicht zur Verschleierung da sein. Mittlerweile gibt es auf Feste-IP.Net verschiedene Dienste wie DDNS / Portmapper / IP-VPN / VPN-Tunnel usw. die eine Kombination vieler Einzelprodukte ermöglichen – was u.U. in zig Produkten / Preisen enden würde und imho noch mehr Verwirrung bringt.
Weiterhin soll das Creditsystem einen Kunden die Möglichkeit geben seine gebuchten Dienste auf seine aktuellen Bedürfnissnisse anzupassen. Wenn es z.B: von IPv4 mit DDNS auf IPv6 umstellt und jetzt einen Portmapper benötigt kann er seine bezahlten Credits einfach weiter verwenden. Auch wenn jemand temp. mehrere Portmapper zu testen benötigt kann er diese einfach dazubuchen und zahlt nur die Tage die er auch benötigt.
Es gibt keine Vertragslaufzeiten. Verschleiern wollen wir hier nichts. Bei Fragen oder Problemen steht neben dem Ticketsystem seit Kurzem auch ein Forum zur Verfügung.
MfG
René Marticke
Feste-IP.Net
Danke für deine Ausführungen zu den oben aufgekommenen Fragen!
Hey Jan,
vielen Dank für das Tutorial bzgl IPv6.
Ich möchte gerne meine Owncloud Installation hinter dem Portmapper erreichen.
Ich habe mich weitesgehend an deine Tutorials gehalten (nu leichte Abwandlungen). Das System sieht wie folgt aus: OSMC, nginx, php5-fpm, owncloud….
Nun habe ich das Problem, dass die vom Portmapper generierte Adresse von „xxx.feste-ip.net:PORT/owncloud“ beim Aufruf zu „xxx.feste-ip.net:443/owncloud“ umgeschrieben wird. Diese Adresse ist natürlich nicht erreichbar, da mir von FIP ein anderer Port zugewiesen wurde.
Woran liegt diese umdichtung des Ports? In /etc/nginx/sites-available/default kann ich keine Rewriterule erkennen, welche den Port betrifft und in Owncloud selber habe ich auch noch nichts gefunden…
In der site-available/default steht u.A. folgendes:
server {
listen 443 ssl;
listen [::]:443;
server_name xxx.feste-ip.net:51402 xxx.feste-ip.net xxx.ddns.net 192.168.10.10;
…….
xxx.ddns.net ist meine alte DynDNS Adresse bevor ich den widerwärtigen IPv6 Anschluss bekam…. Naja eigentlich sollte man sich ja eher über die (Mobilfunk)Provider beschweren, welche noch kein IPv6 unterstützen….
Dennoch, ich würde mich freuen, meine Cloud wieder online bringen zu können und benötige irgendwie Hilfe mit dieser Portgeschichte hier. Oder sollte ich mich wohl eher an FIP wenden? Ich weiß nicht genau, ob das Problem durch nginx bzw. Owncloud verursacht wird, oder ob es eher mit FIP zutun hat.
Achja, Nachtrag:
Wenn ich nur „xxx.feste-ip.net:51402“ (ohne /owncloud) aufrufe, sehe ich die 404 von nginx. Also ich scheine ihn schon irgendwie zu erreichen, aber die subdirectory von owncloud macht Probleme
Hi,
Das der nginx erstmal generell antwortet bedeutet, dass das Mapping ansich ok ist.
Das der Aufruf von /owncloud auf auf 443 „springt“ kann an einem lokalem rewrite (http -> https) liegen.
Du kannst mir die Details gern über unser Kontaktformular zuschicken, dann schauen wir uns das gemeinsam an.
Anfragen zu feste-ip.net am Besten generell ins Forum unter https://forum.feste-ip.net oder per Kontaktformular 😉
/LG Rene
Danke Rene!
Ich habe heute Vormittag das Kontaktformular genutzt, das Problem aber gerade selber lösen können.
Die Lösung war letztendlich in der /owncloud/config/config.php UND /etc/nginx/sites-available/default zu finden. Nach mehreren Versuchen hin und her habe ergab sich ‚overwrite.cli.url‘ => ‚xxx.feste-ip.net:port/owncloud‘, vom „https“ befreien
UND
gleichzeitig in /etc/nginx/sites-available/default
location ~ ^(.+?\.php)(/.*)?$ {
try_files $1 = 404;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $document_root$1;
fastcgi_param PATH_INFO $2;
fastcgi_param HTTPS off; <—– Hier OFF anstelle von ON
fastcgi_pass unix:/var/run/php5-fpm.sock;
}
Hallo zusammen,
ein kurzer Hinweis in eigener Sache. Wer mit einem ds-lite DSL Anschluß gestraft ist, trotzdem aber VPN benutzen will und nicht selber schrauben will. Der sollte sich mal den ionas-Server anschauen: https://www.ionas-server.com.
Dort ist OpenVPN und viele andere Dienste sowie die gesamte Vorkonfiguration für ds-lite bereits eingerichtet.
Bei Interesse einfach mal vorbeisurfen, anrufen (06131-3270777) oder Mail schreiben.
Viele Grüße
Christoph
Sehr schöne Anleitungen auf dieser Seite, muss ich sagen. Das lässt sich direkt nachvolziehen!
Auch ich habe leider neuerdings DS Lite. Dazu meine Frage: Kann ich daran hinter einer Fritzbox und mit IPv6 Portmapper (feste-ip.net) Rasbian mit Seafile (SSH-verschlüsselt) zum laufen bekommen und auch aus dem Netz ansprechen, oder klappt das grundsätzlich nicht? Ich bastle seit drei Tagen und frage mich ob ich etwas übersehen habe….
Hallo zusammen,
Erstmal danke für die Anleitung. Stehe seit meinem Umzug vor demselben Problem.
Ich habe folgende Frage – funktioniert das ganze auch mit dem Ubee Modem von Unitymedia. Bei dem „tollen“ Gerät ist es ja nicht möglich irgendwas zu konfigurieren, somit stellt sich mir die Frage, ob der Traffic bis zum Rasperry umgeleitet wird oder die interne Firewall diesen blockt.
Gruß Daniel
Hallo, geht das auch mit dem PortMapper von http://myonlineportal.net ? Der soll ja kostenlos sein und ist auch an den dortigen Dynamic DNS Service gebunden.
Gruß Michael
Ich bin bezüglich IPv6 jetzt etwas verwirrt. Ich hatte das immer so verstanden, dass jedes Gerät eine IPv6 adresse bekommt. Muss ich jetzt beim Portmapper die IPv6 Adresse meines Routers (FritzBox) angeben oder ist die IPv6 Adresse meines Raspberrys (hab ich aktiviert) aus dem Internet und damit für den Portmapper erreichbar?
Also ganz platt formuliert, muss ich „wieistmeineip.de“ von meinem Raspberry ausführen oder geht irgendein Gerät (z.B. Laptop) hinter den Router?
Dann muss ich aber im Router noch ein Port Forwarding einrichten, oder?
Bis denne
Knochi
Der Portmapper muss immer auf das Ziel (in deinem Fall den Raspberry) zeigen. Im Router muß eine Freigabe für den Zugriff eingetragen sein.
Ich krieg das nicht hin. Weder über feste-ip.de Universalmapper, noch über diesen FIP-Portmapper. Das funktioniert so wie beschrieben einfach nicht. Eine IPV6-Adresse des Raspberrys ist nicht von außen erreichbar, auch wenn die in der Fritzbox freigegeben wurde.
Hi,
Hast du die Adressanonymisierung deaktiviert ?
http://forum.feste-ip.net/viewtopic.php?f=6&t=59&p=223
Servus Jan,
bei mir funktioniert das auch nicht. Ich habe versucht, meinen SSH Zugriff via DynDNS und Portmapper zu ermöglichen, das klappt aber nicht.
Wäre cool, wenn du da nochmal ein paar Worte zu sagen könntest, wie das mit SSH im Speziellen funktioniert und wie ich dann meinen pi aufrufe übers Terminal.
Keep up the good work!
Hallo Dominik,
eine etwas ausführlichere Beschreibung, was im Falle eines Dual-Stack Lite Vertrags zu tun ist, findest du unter https://www.ionas-server.com/blog/zugriff-ins-lan-trotz-ipv6-und-dual-stack-lite/.
Sollte dir das ganze Gebastel zu aufwendig sein, kriegst du bei uns auch eine fertige Lösung.
Gruß
Christoph
[…] einrichtet – dies funktioniert auch ohne Raspberry – habe ich bereits in dem Artikel DynDNS trotz DS-Lite durch IPv6 Portmapper […]
Hallo Leute,
ich sitze jetzt geschlagene 4 Tage daran mein Raspberry Pi 3 von “außen” erreichbar zu machen (SSH/VNC) (Unitymedia-Kunde). Ich bin auf dem Gebiet relativ neu und bin dieser Anleitung schon gefühlte 100 Mal gefolgt. Der DynDNS Diesnst bei Feste-IP.NET funktioniert, allerdings habe ich jedes mal mit inadyn-mt enorme Probleme. Wenn ich nach Anleitung von Feste-ip.net vorgehe, bekomme ich alles soweit hin und eine Fehlermeldung bekomme ich auch nicht. Allerdings wird die Datei in /etc inadyn-mt.cnf nicht erstellt.Versuche die Datei selbst zu erstellen, schlugen ebenfalls fehl. Auch kann ich den Dienst über “sudo service inadyn-mt start” nicht starten, da keinerlei Dateien zu finden sind. Zusätzlich wenn ich mit “find” nach ina* suche, bekomme ich lediglich die Installationsdateien angezeigt. Jeder Versuch auch nach anderen Anleitungen vorzugehen, schlug fehl. Über eure Hilfe würde ich mich sehr freuen.
Eine kostenlose Alternative ist es, Cloudflare zu benutzen. Einfach einen neuen AAAA Record für eine Subdomain anlegen und auf die IPv6 des Servers im Heimnetz weisen, Cloudflare übernimmt dann automatisch das Portmapping.
Wer keine eigene Domain über Cloudflare laufen hat kann auch einfach eine kostenlose .tk Domain registrieren und die DNS Einträge über Cloudflare laufen lassen.
Vielen Dank für den Artikel. Funktioniert bei mir nun auch mit UM und der Connect Box. Hier musste zusätzlich noch die IPv6 Firewall in der Connect Box konfiguriert werden, um von außen Zugriff zu erhalten
Zum kostenlosen testen, ist vielleicht dieser Dient geeignet: https://portmap.io/
Hello Community,
vielen Dank für den tollen Beitrag & den tollen Kommentaren, die hier einigen Tüftlern zu Topics wie IPv6 , DS-Lite Tunnel & DynDns sehr helfen können 😉
Best Regards
Mergim