Probleme mit IPv4 beim Fernzugriff

NextBox
#1

Liebes NextBox Team,
ich versuche seit gestern meine NextBox ins Internet zu bringen und habe dabei glaube ich jedes generische Problem das man mit einer Fritz!Box haben kann gefunden. Inzwischen sind die Ports 80 und 443 auf forward für IPv4 und IPv6, die Domain xxxxx.dedyn.io ist auf der DNS Whitelist und ich habe die Konfiguration der IPv6 Adressen angepasst. Jetzt bin ich bei einem Fehler zu dem ich keine weitere Lösung in den Docs finde… Wenn ich die Domain registriere und einen Token zuweise können die IP’s aufgelöst werden. Bei der Registrierung des HTTPS/TLS Zertifikats kommen das Problem. Die Box lässt sich nicht über IPv4 erreichen.

nextbox_troubleshooting
nextbox_troubleshooting1332×390 66.8 KB

Sollte ja eigentlich nicht schlimm sein, die DS-Light Verbindung wird ja von außen sowieso über IPv6 angesprochen. Wenn ich nun TLS aktiviere ist jedoch nach kurzer Zeit die NextBox weder über direkte Verbindung noch das Internet zu erreichen. Ein Neustart des Browsers und manuelles leeren des Caches helfen nicht weiter. Ich konnte mir bisher nur mit einem Hardreset behelfen um wieder Zugriff zu bekommen.
Habt ihr eine Idee was ich noch machen kann?

mit freundlichen Grüßen,
Oneiros

#2

Hey @Oneiros ,

grundsätzlich sieht das alles ganz gut aus, und auch der “Fehler”, die NextBox sei nicht zu erreichen ist ja im Falle einer DS-Lite Verbindung kein Problem und erwartetes Verhalten.

Auch die Reachability für IPv6 ist ja gut, mein Tipp an dieser Stelle wäre, dass die NextBox das TLS Zertifikat beziehen konnte, alles auf https umstellt und der Zugriff einfach nicht funktioniert per *.dedyn.io Adresse:

ich würde mal folgende Alternativen versuchen (bitte explizit auch https mit in die URL-Zeile vom Browser eingeben):

  • https://192.168.178.123 ← wobei 123 die “richtige” für die NextBox sein sollte (auf der Fritz!Box nachschauen, oder ping nextbox.local)
  • https://[......54c8:5c7e] ← wobei das die IPv6 addresse sein sollte wie sie auch als erreichbar gemeldet wird (im screenshot)

bei beidem sollte eine Warnung auftauchen (nachdem das TLS Zertifikat bezogen wurde), dass dieses nicht sicher ist (na klar, weil sicher ist es nur für die registrierte Domain), das kann man aber getrost wegklicken und dann sollte man die Nextcloud Instanz sehen.

Wenn das einmal geht, gilt es nur noch herauszufinden warum die blabla.dedyn.io adresse nicht auf die richtige IP zeigt, dazu einmal auch ping -6 blabla.dedyn.io und ping blabla.dedyn.io vergleichen ob die beide auf die IPv6 adresse zeigen oder vllt auf eine andere? wenn dort die IPv4 aufgeführt ist, ist das auch nicht schlimm, weil dann solange eine IPv6 verzeichnet ist es auf diese zurückfallen sollte…

beste grüße

#3

Hey @daringer,

dein Tipp ist teilweise richtig! :partying_face:
die Verbindung über die lokale IPv4 klappt mit der Sicherheitswarnung und ich kriege Zugriff auf die Instanz.
Eine Verbindung über die IPv6 schlägt leider fehl.

ping xxxx dedyn io liefert Zeitüberschreitung der Verbindung (4x), Gesendet 4, Empfangen 0, Verloren 4.
ping -6 xxxx dedyn io bringt mir: Ping Anforderung konnte Host “xxxx dedyn io” nicht finden. Bitte überprüfen Sie den Namen, und versuchen Sie es erneut.

das verwirrt mich ehrlich gesagt noch mehr als vorher :sweat:

Gruß,

Oneiros

#4

Hio,

super, so braucht es erstmal keinen hard-reset mehr, das ist schonmal gut.

Hier muss man weiter suchen, offensichtlich ist irgendwie IPv6 zickig hier. Am besten mal in der NextBox App nachschauen in “Remote Access” sollte “Using IPv6 address:” sein, und danach mit bitte direkt versuchen diese Adresse nochmal anzusteuern: https://[hier:dee0:5555.....], wenn das nicht geht ist ziemlich sicher was mit der IPv6 Konfiguration des Netzwerks nicht ganz richtig. Oder sogar generell IPv6 nicht verfügbar am Rechner der benutzt wird?

schon hier diese Einstellung gemacht in der Fritz!Box?
https://docs.nitrokey.com/de/nextbox/remote/ipv6-settings.html
Das sieht nämlich nach diesem Problem aus.

Kurz noch zu den pings:

  • ohne -6 bedeutet ja IPv4, d.h. timeout/zeitüberschreitung ist das was wir hier erwarten
  • mit -6 ist nach dem Test oben auch so zu erwarten, da ja der host nicht zu finden ist unter IPv6 adresse die wir benutzen
#5

Hey,

die Verbindung per IPv6 schlägt leider immer noch fehl. Die Einstellungen die du verlinkt hast habe ich gemacht ja :slight_smile: Seit dem kann er die IPv6 auch erreichen (zumindest laut Anzeige in der NextBox), vorher schlugen beide immer fehl.

Ich habe auch grade noch mal geprüft ob mein Laptop IPv6 nutzt. In den Adaptereinstellungen für WLAN waren die Haken bei beiden Protokollen gesetzt.
Hab da ne ganz doofe Frage, kenne mich aber auch kaum aus :see_no_evil: desec.io weist meiner Domain ja eine IPv4 und eine IPv6 Adresse zu, die sind zu den Lokalen unterschiedlich, kann da irgendwo das Problem liegen?

Edit: Ich habe grade noch mal versucht mit meinem PC auf die NextBox zuzugreifen, da geht der Zugriff über IPv6 mit Sicherheitswarnung! Scheint doch zusätzlich irgendwie an meinem Laptop zu hakeln.
Pingen funktioniert für beide IPv4 und IPv6 an meinem PC, da wird die IPv4 auch auf die IPv6 umgeleitet.

EditEdit: Scheint bei meinem PC an der LAN verbindung zu liegen das der Zugriff klappt. Extern ist der Server weiterhin nicht erreichbar, also wirds doch an der Fritz!Box liegen. :frowning:

Gruß,
Oneiros

#6

hio,

Ok, das ist gute Fehlersuche! Heißt schonmal intern geht ipv4+ipv6, Laptop ist dann schonmal in der “muss noch repariert werden”-Ecke :wink:

Das ist ein guter Hinweis, das stinkt danach als ob die IPs bei desec.io nicht richtig aktualisiert werden. Das hat (bis heute :grin:) immer daran gelegen, dass der desec.io Token falsch ist. Bitte einmal einen neuen Token bei desec.io beziehen so wie das hier beschrieben ist: IPv4 und IPv6 falsch, Abgleich in Fritzbox+ manueller Eintrag bei deSEC - #3 by BirgitNxtbx , vielleicht haben wir ja Glück und es liegt daran.

cheers

#7

Hey,

das habe ich ausprobiert, es hat leider nicht geholfen. :confused: Ich habe seit gestern einfach die NextBox in meinem Elternhaus an den Telekom-Router gehängt (heißt glaube ich Speedport) und da funktionierte es nach Portfreigabe auf anhieb. Werde es jetzt einfach so lassen, da die auch da stehen kann. :see_no_evil:.

Vielen Dank für die Hilfe! Ich glaube die Fritz!Box hier im Haus ist ein Fall für den Müll <.<

Gruß,
Oneiros

1 Like
#8

Moin,

ich habe meinen Internet-Hausanschluss zu Glasfaser gewechselt. Damit einhergehend ist auch der Wechsel von Vf zu Greenfiber und ein Tausch der Router von FB 7560 zu 7590 geschehen. Meine Nb lief bereits am alten Anschluss…jetzt habe ich aber das folgende Problem:

nextbox screenshot HTTPS_TLS Status 220415 1518
nextbox screenshot HTTPS_TLS Status 220415 15181397×296 53.6 KB

Ich habe bereits in diesem Forum und der Nitrokey Doku gelesen, nach meiner Meinung alle Einstellungen entsprechend vorgenommen…das Problem bleibt hartnäckig bestehen.
Ich bin leider “nur” ein geneigter Anwender, kein Netzwerkspezialist und weiß nun nicht mehr weiter.
Habt ihr Ideen und/oder Vorschläge, was ich tun kann?

Gruß
Matthias

#9

Hey @matthias66

da würde ich ziemlich sicher darauf wetten, dass dein neuer Anbieter dir keine “echte” IPv4 bereitstellt (ein Hinweis könnte auf deiner FB in der Übersicht zu finden sein bei IPv4 sowas wie “DS-Lite”), dann gibt es noch zahlreiche andere Varianten: private IPv4, CNAT …

Im Prinzip sieht nämlich alles gut aus (und IPv6 ist auch von aussen erfolgreich erreichbar), aber der IPv4 verkehr wird scheinbar nicht bis zu deiner FB weitergeleitet.

Um sicherzugehen würde ich nochmal das Port-Forwarding löschen und neu anlegen wie hier beschrieben: Port Forwarding & Firewall Configuration — Nitrokey Documentation

Falls das nicht hilft, mal beim Internetserviceprovider anrufen und erfragen ob der “Datenverkehr aus dem Internet zu dir über IPv4 problemlos möglich sein sollte”, wahrscheinlich bieten die dann sowas wie “Dual Stack” an damit das geht.

Abgesehen davon sollte deine NextBox von einem IPv6 tauglichen Endgerät so aber erreichbar sein! d.h. so wirklich nötig ist das mit IPv4 nicht, nur gibt es leider noch diverse Netzwerke (explizit zB Mobilnetze), die nicht vollständig IPv6 unterstützen und du so also ohne IPv4 Adresse nicht auf deine NextBox zugreifen kannst (ohne unseren Backwards-Proxy zu benutzen)…

Gruß

#10

Moin daringer,

danke für deine Hinweise…das unterstreicht meine Vermutung, dass der ISP “das Problem” sein könnte. Ich werde nun in der Richtung Kontakt aufnehmen und poste auch gerne das Ergebnis/die Lösung…

Den von dir angesprochenen Hinweis auf der FB-Übersichtsseite gibt es leider nicht, deshalb habe ich zunächst auch alles andere im Verdacht gehabt (falsche Einstellungen, etc.). Auch das Port-Forwarding habe ich bereits mehrfach gelöscht und neu angelegt - ohne Erfolg.

Und ja, du hast vollkommen recht, die NextBox ist von IPv6 Endgeräten problemlos erreichbar, auch das habe ich getestet. Da ich häufig unterwegs bin, arbeite ich von dort aus dem Vf Mobilfunknetz…das lässt den Rückschluss zu, dass das eins von den Mobilfunknetzen ist, die IPv6 eben nicht unterstützen.

Schönen Gruß

1 Like
#11

Moin,

ich habe eine Lösung für “mein Problem” gefunden, die aber keine Lösung für das im Thread genannte Problem ist.

Daringer hatte Recht, mein jetzt aktueller ISP unterstützt standardmäßig kein IPv4 (das war erst auf Nachfrage herauszufinden); bietet aber eine Lösung an…diese kostet EUR 5 /Mon. :thinking: - das scheidet für mich jedenfalls aus.

Nach längerem Prüfen, Testen und der nutzlosen Beschäftigung mit einer völlig ahnungslosen VF-Businesskundenbetreuung habe ich einen “kleinen Schalter” in den APN-Einstellungen meines Smartphones gefunden. Hier kann man das APN-Protokoll einstellen: IPv4 oder IPv6 oder IPv4/IPv6 :flushed:
Gemacht, getan…ich habe wieder vollen Fernzugriff auf meine NextBox auch ohne IPv4 Zugang. :man_facepalming:
(Mein) Problem gelöst!
Danke Daringer für deine schnelle Antwort.