[linux-l] IPv6 Umstellung Homeserver/Nextcloud

Susanne susanne.schuetze at belug.de
Mo Jan 1 18:55:18 CET 2024


Hi,

On 23-12-28 05:23:07, Norman Steinbach via linux-l wrote:
> 
> mein ISP hat mir kürzlich die permanent aktive IPv4 Adresse entzogen und auf
> IPv6-only umgestellt, was zur Folge hat, dass meine via nsupdate.info per
> DynDNS erreichbare NextCloud nicht mehr erreichbar ist. Das heißt, ich muss
> das Ganze jetzt auf IPv6 umstellen, aber kenne mich damit so wenig aus, dass
> ich dabei Hilfe brauche.

Ein kurzes schauen in die Doku von nsupdate.info sagt das die auch mit IPv6 können, da für müssen aber wohl ein paar Konfigurationen angepasst werden.

> Zudem wird die NextCloud demnächst auch hinter einen LTE-Router umziehen, wo
> ebenfalls IPv6 die einzige Hoffnung auf Erreichbarkeit darstellt (der
> LTE-Router selbst läuft mit OpenWRT, diesbezüglich sollte es an der Stelle
> also keine Einschränkungen geben).

OpenWRT kann auch mit IPv6 umgehen, aber mobiles IPv6 (LTE) funktioniert etwas anderes als normales IPv6 ich erarbeite mir gerade selbst was die Unterschiede sind.

> 
> Folgendes Setup aktuell:
> FritzBox 192.168.x.1 - macht IPv6-Routing (nehme ich mal an) und v4-NAT,
> aber nix sonst Portforwards für den Homeserver für die Ports 80, 443 und
> einen extern unbekannten auf intern 22 für ssh.
> OpenWRT-Router 192.168.x.2 - macht DNS, DHCP, DynDNS. Ich hoffe, auch
> DHCPv6, keine Ahnung...

DHCPv6 wäre eine Möglichkeit, ist halt die Frage wie viel Kontrolle du über deine IPv6 Adressen haben möchtest insbesondere über den Interface Identifier, standart ist SLAAC (Stateless Address Auto Configuration), da muss dann nur noch der Prefix vergeben werden. DynDNS geht auch mit IPv6 solange dein DynDNS Anbieter das kann.

> Dahinter im LAN: Die Nextcloud, ein Debian-Rechner, der idealerweise auch
> von außen über einen "undisclosed" Port per ssh erreichbar ist.
> 
> Mit IPv4 hat soweit alles funktioniert, auch wenn der OpenWRT-Router sich um
> das DynDNS gekümmert hat.
> 
> Jetzt will ich aber IPv6 verstehen lernen, um es sicher nutzen zu können.
> 
> Nun meine konkretesten Fragen:
> - Kann der OpenWRT-Router sich auch um DynDNSv6 kümmern? Dann müsste er ja
> die v6-Adresse des Servers kennen. Ändert die sich bei einer
> standard-Debian-Installation (momentan noch oldstable, müsste auch mal
> ge-d-u't werden...)

Meiner Erfahrung nach ändert sich bei einer Neu-Installation die IP-Addresse(ipv4 und ipv6), bei einem Dist-Upgrade hab ich das noch nicht ausprobiert.
zum Thema DynDNSv6 mit OpenWRT: https://community.dynv6.com/t/can-openwrt-update-ipv6-prefix-automatically/1906
es gibt dazu aber auch viele Einträge im OpenWRT Forum einfach mal selbst suchen

> - Hat ein Rechner nicht bei v6 auch immer mehrere Adressen? Wäre dann
> womöglich eine für https und eine weitere für ssh? Also zwei DynDNS-Aliasse
> einrichten?

per default hat dein Rechner bei IPv6 eine LLA (nicht routebar), eventuell eine ULA (1x routebar) und eine GUA (wenn er den Prefix kennt, ins Internet routebar) pro Interface. Adressen pro Ports sind mir noch nicht untergekommen, da IP auf layer 3 ist und Ports auf layer 4 ist das ein sehr unwahrscheinliches Senario, vielleicht lässt sich das frickeln, dass hab ich noch nicht ausprobiert, ist aber eher unwahrscheinlich.

> - Wie kann ich ohne Portforwarding/NAT SSH so auf einen anderen "externen"
> Port umbiegen, der *nicht* 22 ist und damit nicht dauernd angegriffen wird,
> während der Server LAN-intern weiter normal über 22 erreichbar ist? Das LAN
> kann ja auch mit v4 weiterlaufen als 192.168.x-Subnetz...

Du kannst generell sagen das du ssh nicht auf Port 22 machst also zB auf 2222 das kannst du in der sshd.conf einstellen und dann diesen nach draußen forwarden.
Beachte das gerade DUAL-Stack (IPv4 und IPv6) bei DNS noch schwierig ist und IPv4 bevorzugt wird, auf grund des Happy EyeBalls Algorithm rfc 8305.

> Soweit ich verstanden habe, ist eine der Eigenschaften von IPv6 ja der
> "riesige" Adressraum hinter dem Prefix des ISPs, was dann aus
> Datenschutzgründen sinnvoll ist, weil so die Suffixe sich regelmäßig ändern
> können. Das ist für Desktop-Clients natürlich aus Datenschutzgründen
> angenehm, aber ist das überhaupt aktiviert bei einer normalen Ubuntu- oder
> Debian-Installation, oder habe ich dank IPv6 jetzt schon seit Monaten eine
> eindeutig zuordnbare IP-Adresse? (Meine Desktops/Laptops laufen alle auf
> Mint oder LMDE, also Ubuntu oder Debian.)

Du hast einen /64 in der Regel und das sind 2^64 Adressen. Das hat aber nix mit Datenschutz oder so zu tun, sondern eher mit IPv6. Datenschutz wird über Semantically Opaque Interface Identifiers (RFC 7217) oder Temporary Address Extensions for Stateless Address Autoconfiguration in IPv6 (RFC 8981) umgesetzt. /64 ist das kleinst mögliche Netz was ein ISP dir zuweisen kann, das bedeutet das du das Netz nicht weiter aufteilen kannst. SOII sind soweit ich das gesehen hab default unter Linux. Deine IPv6 Adresse ist in der Welt quasi sichtbar aber dein Router macht da Firewall Sachen so das von draußen kein Zugriff auf deine Rechner erfolgt, sondern nur die Daten geroutet werden die du angefragt hast, soweit ich das verstanden hab. 

> 
> Wie sieht es dann mit der Firewall aus, da ja nun kein NAT-Layer mehr
> dazwischen ist, ist das alles vernünftig vorkonfiguriert oder bin ich jetzt
> schon ewig lange mit offenen Scheunentoren unterwegs und habe es nur noch
> nicht gemerkt?

siehe oben

> Und in Bezug auf den anstehenden Umzug hinter den LTE-Router: Gibt es
> Erfahrungen, ob man im Mobilfunk-Internet per IPv6 überhaupt von außen
> erreichbar sein kann? Im IPv4-Mobilnetz war das ja nie der Fall, und wir
> haben es alle belächelt, weil es ja nur selten als "vollwertiger"
> Internetzugang gebraucht wurde. Nun werden aber oft "Festnetz"-Anschlüsse
> dadurch ersetzt, oder es ist sogar die einzige Möglichkeit, einen Anschluss
> zu bekommen. Kann man dahinter dann überhaupt einen eigenen Server
> betreiben, oder geht es weiter strack in Richtung Entmündigung, bloß keine
> eigenen Dienste betreiben? (Dann wäre es schön, zumindest den DynDNSv6 so
> einzurichten, dass der Server über den Alias aus dem LAN erreichbar wäre,
> das wäre sozusagen die Notlösung...)
> 
> Oder, ganz allgemein: Wer kann mir dabei helfen, das alles ordentlich
> einzurichten? ;)

Ich hab mal nen Vortrag zu IPv6-Grundlagen gemacht:
https://media.ccc.de/v/gpn21-56-ipv6-eine-kleine-einfhrung-mit-linux
Die Folien findest du hier: http://git.tuxteam.de/gitweb/?p=susannes-git/Ipv6-Vortrag.git;a=tree

Akutell arbeite ich daran Mobiles IPv6 zu verstehen, daher könnte es sein das ich bis zum CLT die Folien update. Mehr kann ich dir aus Zeitlichen Gründen dabei nicht helfen.

LG Susanne
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: nicht verfügbar
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20240101/e8840bcc/attachment.sig>


Mehr Informationen über die Mailingliste linux-l