Debian 10 mit NAT64 / NAT44 - IPv6 --> IPv4

[bluestar]

ist so etwas aufwendig, mein eigener IPv6-dns-server?

Nein ist nicht aufwendig, mit bind9 ca. 2-5Min

Kann man den auf dem gleichen System laufen lassen?

Ja natürlich

Frage an dich: Wofür soll der DNS Server benutzt werden?

[AxelMD]

Nein, das will ich nicht.

Dann solltest du nicht einfach derartige Dienste wie Public NAT64 Services benutzen.

Er soll mein eigener NAT64 Service werden.

[bluestar]

Für deinen eigenen NAT64 Dienst brauchst du, wie ich bereits geschrieben habe:

Wenn du auf deinem Server Tayga installieren willst, dann brauchst du zwingend Dual-Stack Konnektivität ins Internet also eine IPv4 und eine IPv6 Adresse, sonst kann Tayga die IPv6-NAT64 Pakete ja nicht auspacken, daraus IPv4 Pakete machen und diese in die Welt senden.

Goto Threadstart

Könntest du jetzt bitte so vernünftig sein und bei deinem Hoster dir einfach für Entgelt eine IPv4 Adresse buchen oder einfach IPv4 auf deinem Kopf für immer und ewig löschen?

[AxelMD]

Wie nutze ich Docker ohne IPv4?

Gerne verwende ich nur IPv6.

[bluestar]

Wie nutze ich Docker ohne IPv4?

Das ist dein anderer Thread und da steht eine mögliche Lösung in Lord_Carlos Antworten.

[AxelMD]

Mit dem Public NAT64 Service funktioniert Docker.

Ok, evtl. kann jemand anders weiterhelfen.

viewtopic.php?f=8&t=177237

Die L_C Lösung funktioniert leider nicht.

[bluestar]

Mit dem Public NAT64 Service funktioniert Docker.

und verwendet nach wie vor IPv4 was du nicht auf deinem Server hast und was du durch den Public NAT64 Dienst auch nicht bekommst und du somit noch immer nicht auf deinen Docker-Container zugreifen kannst.

[AxelMD]

Hallo Forum,

wo finde ich bei "ip a mit nat64 für IPV4 #### unsicher??? ####" die IPv4 Adresse bzw. den Prefix-IPv6?

Code: Alles auswählen

##########################

ip a  #### nur IPv6 ####

root@axelmdserver:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ip6tnl0@NONE: <NOARP> mtu 1452 qdisc noop state DOWN group default qlen 1000
    link/tunnel6 :: brd ::
912: eth0@if913: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 00:84:ed:2:2c:86 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet6 2a02:180:6:1::1958/128 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::284:edff:fe2a:2b86/64 scope link 
       valid_lft forever preferred_lft forever
root@axelmdserver:~# 

##########################

ip a mit nat64 (öffentlicher Server) für IPV4 #### unsicher??? ####


root@axelmdserver:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ip6tnl0@NONE: <NOARP> mtu 1452 qdisc noop state DOWN group default qlen 1000
    link/tunnel6 :: brd ::
914: eth0@if915: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 00:84:ed:2a:2b:86 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet6 2a02:180:6:1::1958/128 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::284:edff:fe2a:2b86/64 scope link 
       valid_lft forever preferred_lft forever
root@axelmdserver:~# 

############################

MfG

AxelMD

[bluestar]

Hallo Forum,

Hallo AxelMD, willkommen zurück.

wo finde ich bei "ip a mit nat64 für IPV4 #### unsicher??? ####" die IPv4 Adresse

Gar nicht dein Server über die Technik NAT64 keine IPv4 Adresse hat.

bzw. den Prefix-IPv6?

Dazu kannst du:
a) deinen NAT64-Provider fragen
b) bei aktiviertem NAT64 einfach den Befehl "host vodafone.de" (glücklicherweise eine IPv4-only Seite) eingeben und dir den AAAA-Record ansehen, dann siehst du den Prefix.

[AxelMD]

Mit
ip a mit nat64 (öffentlicher Server) für IPV4 #### unsicher??? ####
sieht es so aus:

Code: Alles auswählen

host vodafone.de
vodafone.de has address 139.7.147.49
vodafone.de has IPv6 address 2a00:1098:2b::8b07:9331
vodafone.de has IPv6 address 2a00:1098:2c::8b07:9331
vodafone.de has IPv6 address 2a01:4f8:c2c:123f:64:0:8b07:9331

Das sind die jeweiligen AAAA-Record's von https://nat64.net/ (## gewählt von mir)?

Code: Alles auswählen

cat /etc/resolv.conf
nameserver 2a01:4f8:c2c:123f::1
nameserver 2a00:1098:2b::1
nameserver 2a01:4f9:c010:3f02::

So richtig was sagen tut mir das nichts.

Wie bekomme ich nun mit einem only IPv4 System Zugriff auf den only IPv6-Server?

[AxelMD]

doppelpost

[AxelMD]

Portmapper?

http://www.portmapper.de/


https://jankarres.de/2015/08/raspberry- ... ortmapper/

Möchte der Benutzer eine Webseite, die jedoch bislang nur IPv4 unterstützt, aufrufen, so wird dies über den sogenannten Carrier-grade NAT ermöglicht. Der andere Weg, den Anschluss mit der IPv6-Adresse von einem IPv4-Netz zu erreichen, funktioniert hingegen nicht. Das hat zur Folge, dass wenn man eine DynDNS-Domain, wie bspw. von No-IP.org, einrichtet um den Raspberry Pi von außerhalb des eigenen Netzwerkes zu erreichen, dies nicht funktioniert. Abhilfe schaffen sogenannte IPv6 Portmapper, die gegen eine geringe Jahresgebühr den Datenverkehr über den Umweg per Gateway routen, sodass er auch aus einem IP4-Netzwerk erreichbar ist. Wie man einen IPv6 Portmapper zur Nutzung einer DynDNS Domain für z.B. den Raspberry Pi einrichtet erkläre ich im folgenden Artikel.

[bluestar]

Wie bekomme ich nun mit einem only IPv4 System Zugriff auf den only IPv6-Server?

Kostenpflichtig kein Problem, kostenlose Dienste kenne ich keine.

[wanne]

Wie bekomme ich nun mit einem only IPv4 System Zugriff auf den only IPv6-Server?

Kostenpflichtig kein Problem, kostenlose Dienste kenne ich keine.

6to4 kann das. Da braucht man keinen Anbieter für. Sucht sich automatisch den nächstgelegenen Router der beides kann raus.
Leider hat da RFC 7526 rein geschlagen: Da haben sie rein geschrieben, dass man jetzt doch explizit einen bestimmten angeben soll, um bessere Firewall-Kompatibilität zu erzeugen. Hinter 99% der Firewalls (NAT!) funktioniert das aber trotzdem nicht und auf der anderen Seite gibt es seither viel kaputte Infrastruktur in die Richtung und es tut nicht mehr wirklich zuverlässig. Die aller wenigsten Router funktionieren wenn man sie direkt adressiert. Aber ein paar erwarten das jetzt...

Daneben gibt es natürlich Teredo. Bekannte kostenlose Anbieter sind Microsoft und das Debianproject. Hier gibt es aber das Problem, dass es passende Software braucht und miredo nicht in debian 10 enthalten ist.
Microsoft: win1901.ipv6.microsoft.com
win1711.ipv6.microsoft.com
win10.ipv6.microsoft.com
Achtung: teredo.ipv6.microsoft.com gibt es nicht mehr!
win10.ipv6.microsoft.com ist notorisch überlastet....
Im Prinzip willst du dir wohl ne XBox holen und den Server da in regelmäßigen Abständen abschreiben, weil sie an die wohl nach irgend ner "sinnvollen" Methodik per Update performante Server verteilen. Dann ist der Service aber nicht mehr kostenlos...
Debianproject: teredo-debian.remlab.net

[bluestar]

6to4 kann das.

Leider nein, das dient zum Transport von IPv6-Datenpaketen über ein IPv4-Netzwerk. Quelle: https://de.wikipedia.org/wiki/6to4

Daneben gibt es natürlich Teredo.

Auch leider nein, Teredo dient auch zum Transport von IPv6-Datenpaketen über ein IPv4-Netzwerk via UDP.

... Dabei werden IPv6-Pakete mit dem UDP über IPv4 gekapselt. Dies geschieht mittels Teredo-Servern.

Quelle: https://de.wikipedia.org/wiki/Teredo

[wanne]

Leider nein, das dient zum Transport von IPv6-Datenpaketen über ein IPv4-Netzwerk. Quelle: https://de.wikipedia.org/wiki/6to4

Haarspalter. Jedes Software muss genau das machen. Auch deine Kommerziellen Anbieter müssen genau das machen. (Völlig egal was sie in ihre Hochglanzheftchen schreiben. Die man dank Closed Source nicht überprüfen kann.)
Sobald du IPv6 Erreichbarkeit hast bist du halt per Definition ein IPv6 Host. (Da IPv4 keine Konnektivität zu IPv6 zu lässt.) Und transportierst nur über das IPv4 Netz.
Bitte fange nicht an irgend welche Verwirrung zu stiften.

[bluestar]

Er möchte doch von einem nativen IPv4 only Endgerät ohne spezielle Zusatzsoftware seinen IPv6 Server ansprechen und keine Tunnel durch's Netz bohren....

Sowohl 6to4 als auch Teredo sind beides Lösungen, die auf dem IPv4 Clientgerät installiert und ggfs. konfiguriert werden müssen. Damit wird dann das Endgerät in die Lage versetzt IPv6 Pakete über/in IPv4 getunnelt zu versenden....

[bluestar]

Da IPv4 keine Konnektivität zu IPv6 zu lässt.

Danke darum geht es ja, genau dieses Problem will der TE lösen....

Bitte fange nicht an irgend welche Verwirrung zu stiften.

Verwirrung stiftest du, wenn du Tunneldienste die IPv6 over IPv4 transportieren als Lösung anbietest um von einem generischen IPv4 Endgerät einen IPv6 Server zu erreichen.

[wanne]

Sowohl 6to4 als auch Teredo sind beides Lösungen, die auf dem IPv4 Clientgerät installiert und ggfs. konfiguriert werden müssen.

Installiert eher nicht. Windows bringt Tereod nicht deinstallierbar mit Linux 6to4. (Ja man könnte sich Linux auch ohne support selbst Compilieren.) Konfiguriert schon.
In der Anfangszeit brachten auch einige Spiele einfach einen eingebauten Tereodo-Clienten mit fest-Eincodiert teredo.ipv6.microsoft.com mit. Dann brauchst du auch nichts configurieren. Dafür sind die sind jetzt kaputt, nachdem MS die Server abgeschaltet/umbenannt hat...

Aber mehr geht nicht: Wenn dein Client kein IPv6 kann, kann er eben kein IPv6. Punkt. Genau so wie das in die andere Richtung Gilt: Wenn dein Client kein IPv4 kann, kann er halt kein IPv4. Man kann Software dazwischen schalten und übersetzt aber dann muss halt die übersetzen und kann entsprechend wieder das passende Protokoll.

[bluestar]

Aber mehr geht nicht: Wenn dein Client kein IPv6 kann, kann er eben kein IPv6. Punkt. Genau so wie das in die andere Richtung Gilt: Wenn dein Client kein IPv4 kann, kann er halt kein IPv4. Man kann Software dazwischen schalten und übersetzt aber dann muss halt die übersetzen und kann entsprechend wieder das passende Protokoll.

Ich voll und ganz dir. Blöd sind halt Smartphones, da hab ich noch keines mit Teredo gesehen und IPv6 im Mobilfunkbereich bietet meines Wissens nach aktuell nur die Telekom.

IPv6-only Server is nunmal IPv6-only .... Wenn man darauf zugreifen will, dann braucht der Client natives IPv6 oder einen IPv6 über IPv4 Tunnel.
Wenn der Client beides nicht hat, dann bleibt dem TE nur sich gegen Gebühr eine IPv4-Adresse für den Server zu bestellen.

[AxelMD]

Hallo Forum,

warum kann ich eine Website, die auf einem Server auf dem "only IPv6" läuft nicht von einer Fritz!Box mit IPv4 (wo IPv6) abgeschaltet ist, nicht erreicht werden?

Folgerung: Will man ein öffentliche Website publizieren benötigt man zwingend eine IPv4 und eine IPv6, richtig?


Warum sollte ich den Vodafonetest machen?

Mit
ip a mit nat64 (öffentlicher Server) für IPV4 #### unsicher??? ####
sieht es so aus:

Code: Alles auswählen

host vodafone.de
vodafone.de has address 139.7.147.49
vodafone.de has IPv6 address 2a00:1098:2b::8b07:9331
vodafone.de has IPv6 address 2a00:1098:2c::8b07:9331
vodafone.de has IPv6 address 2a01:4f8:c2c:123f:64:0:8b07:9331

Das sind die jeweiligen AAAA-Record's von https://nat64.net/ (## gewählt von mir)?

Code: Alles auswählen

cat /etc/resolv.conf
nameserver 2a01:4f8:c2c:123f::1
nameserver 2a00:1098:2b::1
nameserver 2a01:4f9:c010:3f02::

So richtig was sagen tut mir das nichts.

Wie bekomme ich nun mit einem only IPv4 System Zugriff auf den only IPv6-Server?

Wann macht es Sinn einen IPv6-dns-server, DNS Proxy Server, diesen, wie folgt einzusetzen?

Github miyurusankalpa / IPv6-dns-server

https://github.com/miyurusankalpa/IPv6- ... /README.md


MfG

AxelMd

[bluestar]

warum kann ich eine Website, die auf einem "only IPv6" läuft nicht von einer Fritz!Box mit IPv4 (wo IPv6) abgeschaltet ist, nicht erreicht werden?

Weil es sich bei IPv4 und IPv6 um zwei unterschiedliche Protokolle handelt.
IPv4 ist deutlich älter und bei dessen Entwicklung war man noch felsenfest davon überzeugt, dass die Anzahl der verfügbaren IP-Adressen für immer und ewig ausreichen würde. Im Laufe der Zeit hat sich jedoch gezeigt, dass dies ein Trugschluss ist und es wurde der Nachfolger IPv6 entwickelt. Bei der Entwicklung von IPv6 hat man sich einige Gedanken gemacht, wie man aus dieser neuen Welt auf Systeme in der IPv4 Welt zugreift, jedoch in Form einer Einbahnstraße von IPv6 aus ist dank Übersetzungstechnologien (z.B. NAT64) der Zugriff auf die IPv4 Welt möglich.

Folgerung: Will man ein öffentliche Website publizieren benötigt man zwingend eine IPv4 und eine IPv6, richtig?

Traurig aber wahr: Selbst im Jahre 2020 reicht es vollkommen aus, wenn dein Server nur eine IPv4 Adresse hat. (Für IPv6 Begeisterte ist es jedoch ärgerlich, dass die Menschen so sehr an dem ollen verstaubten IPv4 hängen)

Warum sollte ich den Vodafonetest machen?

Du wolltest wissen, welches Prefix dein NAT64 Anbieter nutzt, dies siehst du in der Antwort:

Code: Alles auswählen

vodafone.de has IPv6 address 2a00:1098:2b::8b07:9331
vodafone.de has IPv6 address 2a00:1098:2c::8b07:9331
vodafone.de has IPv6 address 2a01:4f8:c2c:123f:64:0:8b07:9331

Es werden insgesamt drei unterschiedliche Prefixe genutzt:
* 2a00:1098:2b::
* 2a00:1098:2c::
* 2a01:4f8:c2c:123f:64:0:

Die echte IPv4-Adresse wurde in Hex-Schreibweise daran angeführt und ist bei allen gleich 8b07:9331 = 139.7.147.49.

Wann macht es Sinn einen IPv6-dns-server, DNS Proxy Server, diesen, wie folgt einzusetzen?

Github miyurusankalpa / IPv6-dns-server

https://github.com/miyurusankalpa/IPv6- ... /README.md

Wenn ich einen Einsatzzweck für einen DNS Proxy Server hätte, dann könnte ich diese Frage beantworten, ich habe jedoch keinen.
Bitte verwechsele einen DNS Proxy Server nicht mit einem IPv6-DNS-Server das sind zwei paar Schuhe.

Ein Blick auf den ersten Link in der Readme.md beantwortet jedoch deine Frage:

Let's suppose that you want to redirect a domain that you have no control over to a different address or add a subdomain to a domain that you don't own.

[wanne]

natives IPv6[/b] oder einen IPv6 über IPv4 Tunnel.

6to4 braucht keinen Tunnel. (Zumindest vor RFC 7526. Seither sieht das ein bisschen wie ein Tunnel aus (damit die Firewalls das duchlassen). Ist aber noch immer keiner.) Es braucht auch keinen IPv6 Internetanschluss.
Es macht den Client aber zu einem IPv6-Host.

Will man ein öffentliche Website publizieren benötigt man zwingend eine IPv4 und eine IPv6, richtig?

Ja. Wenn du für beide Clienten erreichbar sein möchtest.

Wann macht es Sinn einen IPv6-dns-server, DNS Proxy Server, diesen, wie folgt einzusetzen?

Die haben ein NAT das sowohl IPv4 wie auch IPv6 kann. Der DNS Server fälscht einfach die Einträge: Er gaukelt einem IPv6-Klient vor, dass der Server da stehen würde wo deren NAT steht. Der Client redet dann mit deren NAT (das IPv6 kann), weil er das für den Server hält und das NAT redet dann mit dem Server (der nur IPv4 kann.) und schickt die Antwort zurück.
Ist half für Clients, die kein IPv4 können aber auf IPv4-Server zugreifen wollen.
Vorteil ist, dass die Anwendung gar nicht merkt, dass sie mit dem NAT redet und entsprechend keine Proxy konfigurieren muss: D

Die Umgekehrte Variante ist 6to4. (Nur dass das sowohl für Server wie auch für Clienten funktioniert.) Das konfigurierst du auf einem beliebigen Host der keinen IPv6-Internetzugang hat und danach kann der IPv6. Das geht so universell ohne Proxy, Tunnel oder NAT weil IPv6 von Anfang an gedacht war aus dem IPv4 Internet erreichbar zu sein. Umgekehrt aber nicht. (Logisch, da es bei der Erfindung von IPv4 noch kein IPv6 gab.)
Führt aber zu der Absurdität, dass ein IPv4-Anschluss defakto mehr wert ist als ein IPv6-Anschluss: Mit dem IPv4-Anschluss kannst du IPv6-Hosts erreichen. Umgekehrt aber eben nur über den Umweg eines Proxys/NAT, das beides kann. Das dürfte einer der Gründe sein, warum sich am Ende IPv4 durchsetzt.

warum kann ich eine Website, die auf einem "only IPv6" läuft nicht von einer Fritz!Box mit IPv4 (wo IPv6) abgeschaltet ist, nicht erreicht werden?

Die Fritz!Box hat noch die zusätzliche Eigenschaft, dass sei 6to4 blockt. Sie denkt wenn du kein IPv6 haben willst dann sorge ich auch dafür, dass es wirklich nicht tut und verkauft das als Sicherheitsmerkmal. Teredo tut allerdings.

[bluestar]

6to4 braucht keinen Tunnel.

Nein es ist ist ein Tunnel, da es IPv6 Pakete in IPv4-Datenpakete einpackt, die an den Anycast Server(192.88.99.1) gesendet werden und dort ausgepackt werden.

[wanne]

Nein es ist ist ein Tunnel, da es IPv6 Pakete in IPv4-Datenpakete einpackt, die an den Anycast Server(192.88.99.1) gesendet werden und dort ausgepackt werden.

Nein. Das ist Bullshit.
Den Anycast Server gibt es nicht. Die Adresse steht für Nächste Router, der umverpacken kann. Das kann für jedes Paket ein anderer sein. Entsprechend hast du auch keinen Tunnel zu dem. Du sagst ja auch nicht, dass du einen Tunnel nach Frankfurt hast, wenn du ein oder 2 Pakete das Debianforum über den DE-CIX erreichen.
Die Der unterschied zwischen einem Tunnel und einem Netz ist, dass es zwei Endpunkte gibt.
Un komm mir bitte nicht mit der Wikipedia-Definition. Dann Tunnelst du tcp in IP wenn du das Debianforum aufrufst? (Vor allem weil du garantiert die Socket API nutzt und das verpacken dann dein Kernel und nicht die Anwendung macht. (Exakt wie das bei 6to4 der Fall ist.))