AW: Oscam als Server über IPv4 und Ipv6 ?
Ich kann Dir leider weder mit DD-WRT noch mit der LinkSys-Originalfirmware weiterhelfen, da ich sie nicht kenne.
Die erste Frage ist sowieso erst einmal, bei welchem Provider Du bist.
Leider nutzen nämlich die meisten Provider auch bei IPv6 noch dynamische IPs (In Form eines dynamisch wechselnden Präfixes, also der ersten vier Teile jeder IPv6).
Das ist mehr als überflüssig und wird daher in den meisten Routern erst gar nicht vorgesehen, man kann also keine Portfreigaben anlegen, weil der Router auf der Angabe einer vollständigen IPv6 besteht aber nur die letzten 4 Teile tatsächlich gleichbleibend sind.
Die einzigen Büchsen die wirklich werksseitig mit Zappelpräfixen klarkommen sind bislang Fritz!Boxen.
Auch z.B. bei OpenWrt müßte man erst ein Script schreiben, welches periodisch prüft ob sich das Präfix geändert hat und ggf. die Firewall-Regeln umschreibt ... echt toll.
Beim Drecknikotzlor DK7200 (TC7200) von Unitymedia/KabelBW kann man sich damit behelfen, IPv4-Freigaben (!) anzulegen und dabei die Adresse leer zu lassen. Diese Freigabe gilt dann für
alle Geräte im LAN auf dem angegebenen Port. Bevor man also für ein Gerät z.B. Port 22 für ssh freigeben kann, müßte man erst sicherstellen, daß alle anderen Geräte entweder keinen sshd laufen haben oder dieser ebenfalls sicher konfiguriert ist.
Für oscam wäre das jetzt nicht das Riesenhindernis, da man hier eh mit wild ausgedachten Ports arbeiten sollte und da kann man sich problemlos einen ausdenken, der auf keinem anderen Gerät im LAN benutzt wird.
Das ist eben der Punkt, wo ich Dir bei DD-WRT und Linksys-Original nicht weiterhelfen kann:
Ich weiß erstens nicht, ob man überhaupt portweise IPv6-Freigaben erstellen kann
und
zweitens nicht, ob Du ein dynamisches Präfix hast und ob man das mit DD-WRT oder Linksys-Original hinkriegt.
Stratego und andere Kunden bei fl!nk, new, bornet haben da immerhin den Vorteil, daß sich das Präfix
nicht wirklich ändert. Zugesagt wird das zwar nicht, aber in der Praxis hat sich bislang keines geändert (Ich habe mehrere fl!nk/new/bornet-Sharepartner).
Zu dem von Dir angesprochenen Dienst:
radvd ist für die Adressvergabe zuständig (Er "advertised" das aktuelle Präfix im LAN, die Geräte weisen sich dann durch Kombination mit ihrer MAC selber eine IPv6-Adresse zu). Wenn Du also schon IPv6-Adressen auf Deinen Geräten hast, dann kann er nicht fehlen ...
Und mangels genauerer Kenntnis zu Deiner Router-Firmware kann ich Dir zu IPv6-Freigaben nur allgemein sagen, daß sie einfacher sind als IPv4-Freigaben:
Bei IPv4 wird Port XX auf Gerät AA freigegeben, indem
- eingehender Traffic auf IPv4 BB (Deiner öffentlichen IPv4) und Port YY (Kann von XX abweichen, da ja jeder Port nur ein einziges Mal verwendet werden kann, weil nur eine IPv4 zur Verfügung steht und Port XX ggf. schon für was anderes verwendet wird) erlaubt
und
- auf die nur lokal gültige LAN-IPv4 AA und Port XX umadressiert
wird.
Bei IPv6 hingegen wird einfach nur
- bereits für das richtige Ziel (IPv6 + Port) adressierter Traffic erlaubt.
Beispiele:
Du hast einen
Raspberry mit der lokalen IPv4 192.168.1.10 auf dem auf Port 443 das oscam-Webif läuft. Außerdem hast Du irgendeine Enigma2-Box mit der lokalen IPv4 192.168.1.20 und dem OpenWebif auf Port 443.
Möchtest Du beides von außen erreichen, dann kannst Du nicht direkt die IPv4-Adressen 192.168.1.10 und 192.168.1.20 nutzen, da die ja im Internet nicht gültig sind.
Stattdessen mußt Du Deine externe IPv4 nutzen, z.B. 217.50.100.200. Diese IPv4 hat aber erst einmal nur der Router selber. Er weiß mit von außen eingehendem Traffic für den Port 443 selber erst einmal gar nichts anzufangen, deshalb reicht "erlauben" hier nicht aus.
Du mußt ihm auch noch sagen:
Eingehender Traffic auf dem (ext.) Port 443 soll auf die IPv4 192.168.1.10 Port 443 umadressiert werden.
Soll auch die E2-Box erreichbar werden, kommt noch
Eingehender Traffic auf dem (ext.) Port
444 soll auf die IPv4 192.168.1.20 Port 443 umadressiert werden.
(Hier kann schon nicht mehr Port 443 verwendet werden, da Port 443 der ext. IPv4 ja schon verheizt ist).
Daher haben IPv4-Portweiterleitungen immer das Format:
Ext. Port -> Interne IPv4 + Interner Port
Beispiel mit IPv6:
Der
Raspberry hat auch die öffentliche IPv6 2001:db8::affe:c0c0:dead:beef und die E2-Box die öffentliche IPv6 2001:db8::affe:c0c0:face:b00c (Nicht sonderlich einfallsreich, ich weiß
).
Willst Du die Ports 443 der beiden Geräte von außen erreichen, kannst Du sie von überall auf der Welt direkt adressieren:
Sie müssen registriert sein, um Links zu sehen.
und
Sie müssen registriert sein, um Links zu sehen.
(oder
je einen (Dyn)DNS-Hostname, der auf die
jeweilige IPv6 zeigt).
Der Router braucht hier nichts mehr zu verbiegen, er muß nur wissen:
IPv6 2001:db8::affe:c0c0:face:b00c Port 443 -> Abnicken (ALLOW)
IPv6 2001:db8::affe:c0c0:dead:beef Port 443 -> Abnicken (ALLOW)
jeglicher anderer eingehender Traffic, der nicht von innen heraus angefordert wurde: Verwerfen (DROP)
Ein guter Router hat dementsprechend für IPv6-Freigaben eine Maske, auf der für
eine Freigabe auch wirklich nur die Ziel-IPv6 und
der Port (Oder
ein Port-Bereich) angegeben werden muß.
Auf Fritz!Boxen ist es noch trivialer, dort wird nur einmalig die hintere Hälfte der IPv6-Adresse angegeben (Die vordere Hälfte ergänzt die Fritz!Box selbständig durch das momentan gültige Präfix) und danach beliebig viele für dieses Gerät freizugebende Einzelports oder Port-Bereiche.
In aller Regel erfolgen Port-Weiterleitungen für IPv4 und Port-Freigaben für IPv6 aufgrund der anderen Konzeption auch
in getrennten Masken.
Wenn Du meinst, die entsprechende Seite in Deiner Router-Oberfläche gefunden zu haben, darfst Du mich gerne mit einem Screenshot davon belästigen.
