[erledigt] FritzBox ssh per ipv6 funktioniert nicht

[letzter3]

ein Debian-PC mit OpenVPN und ssh-Server hinter einer Fritzbox 6490cable (Providermodell von Kabel Deutschland mit FRITZ!OS 07.29, FRITZ!OS ist aktuell).

Ein

Code: Alles auswählen

ssh -v -i .ssh/key_rsa letzter@xxxxx.myfritz.net                                                                                                                                                                                                        
OpenSSH_9.3p1, OpenSSL 3.0.8 7 Feb 2023
debug1: Reading configuration data /home/letzter/.ssh/config
debug1: /home/letzter/.ssh/config line 2: Applying options for *
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Connecting to xxxxx.myfritz.net [2a02:8109:8000:63:6cd3:xxxx:xxxx] port 22.
debug1: connect to address 2a02:8109:8000:63:6cd3:xxxx:xxxx port 22: Connection timed out
debug1: Connecting to xxxxx.myfritz.net [95.90.yy.yy] port 22.
debug1: fd 3 clearing O_NONBLOCK
debug1: Connection established.
...

stockt an der Stelle mit der IPv6-Verbindung, weicht dann aus auf die IPv4 und funktioniert.

Ein direktes Ansprechen der IPv6 rennt in den timeout

Code: Alles auswählen

ssh -v -i .ssh/key_rsa letzter@2a02:8109:8000:63:6cd3:xxxx:xxxx                                                                                                                                                                                    
OpenSSH_9.3p1, OpenSSL 3.0.8 7 Feb 2023
debug1: Reading configuration data /home/letzter/.ssh/config
debug1: /home/letzter/.ssh/config line 2: Applying options for *
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Connecting to 2a02:8109:8000:63:6cd3:xxxx:xxxx [2a02:8109:8000:63:6cd3:xxxx:xxxx] port 22.
debug1: connect to address 2a02:8109:8000:63:6cd3:b6a2:461e:cff3 port 22: Connection timed out
ssh: connect to host 2a02:8109:8000:63:6cd3:b6a2:461e:cff3 port 22: Connection timed out

Ein direktes ansprechen der IPv4 funktioniert

Code: Alles auswählen

ssh -v -i .ssh/key_rsa letzter@95.90.yy.yy                                                                                                                                                                                                                         
OpenSSH_9.3p1, OpenSSL 3.0.8 7 Feb 2023
debug1: Reading configuration data /home/letzter/.ssh/config
debug1: /home/letzter/.ssh/config line 2: Applying options for *
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Connecting to 95.90.yy.yy [95.90.yy.yy] port 22.
debug1: fd 3 clearing O_NONBLOCK
...

Die FritzBox selber sagt:

Code: Alles auswählen

Internet, IPv4 
verbunden seit 24.03.2023, 01:32 Uhr,
IPv4-Adresse: 95.90.yy.yy

Internet, IPv6
verbunden seit 24.03.2023, 01:32 Uhr,
IPv6-Adresse: 2a02:8109:8000:63:6cd3:xxxx:xxxx, Gültigkeit: 68546/68546s,
IPv6-Präfix: 2a02:8109:b180:19e8::/62, Gültigkeit: 64947/21747s

Kann mich mal jemand schubsen, in welche Richtung ich suchen muss?
Fritz!Box, Provider, SSH-Server .....

[mat6937]

ein Debian-PC mit OpenVPN und ssh-Server hinter einer Fritzbox 6490cable (Providermodell von Kabel Deutschland mit FRITZ!OS 07.29, FRITZ!OS ist aktuell).

Mit IPv6 ist dein Debian-PC border device und nicht die FritzBox. In/mit der FritzBox-v6-Firewall, muust Du eine Portfreigabe machen, für die (statische?) Interface-ID der externen IPv6-Adresse deines Debian-PCs.

EDIT:

MyFritz ist FritzBox und Du brauchst einen v6-fähigen dyndns-Client auf deinem Debian-PC.

Code: Alles auswählen

:~ % doggo 7ovmz4jxpxzsally.myfritz.net AAAA @1.1.1.1
NAME                         	TYPE	CLASS	TTL	ADDRESS                              	NAMESERVER 
7ovmz4jxpxzsally.myfritz.net.	AAAA	IN   	60s	2a02:8109:8000:63:6cd3:b6a2:461e:cff3	1.1.1.1:53

Code: Alles auswählen

:~$ nc -zv 7ovmz4jxpxzsally.myfritz.net 22
Connection to 7ovmz4jxpxzsally.myfritz.net 22 port [tcp/ssh] succeeded!

[letzter3]

Mit IPv6 ist dein Debian-PC border device und nicht die FritzBox. In/mit der FritzBox-v6-Firewall, muust Du eine Portfreigabe machen, für die (statische?) Interface-ID der externen IPv6-Adresse deines Debian-PCs.

Das hab ich nicht verstanden.
Der Debian-PC hat doch gar keine externe IPv6....
Es gibt natürlich die Weiterleitungen von der Fritz auf den Debian.

[schorsch_76]

Deine my Fritz Adresse zeigt auf die IP der Fritzbox. Die Fritzbox kann leider keinen ipv6 Port weiterleiten aka. Portforwarding für ipv6. Deshalb solltest du auf deinem Debian PC einen dyndns Client installieren damit du über diese Adresse auf deinen Rechner zugreifen kannst. Dein Screenshot zeigt die Freigaben für deinen Rechner. Die Firewall ist offen. Verstanden?

https://avm.de/service/wissensdatenbank ... -Heimnetz/

[letzter3]

Verstanden.
Schade.

[mat6937]

[Es gibt natürlich die Weiterleitungen von der Fritz auf den Debian.

Ob man mit MyFritz (v6-Firewall der FB) auch eine Portfreigabe für IPv6 (Gerät im W/LAN der FB) machen kann, weiß ich nicht. Evtl. mal bei den "FB-Experten" im IPPF nachfragen.
An was liegt es, dass dein Debian-PC keine externe/öffentliche IPv6-Adresse bekommen kann?

[GregorS]

Kann mich mal jemand schubsen, in welche Richtung ich suchen muss?

Es ist ja schön, dass sich das Problem für Dich erledigt zu haben scheint. Noch schöner fände ich, wenn Du auch verraten würdest, woran es denn letztlich hing.

Gruß

Gregor

[schorsch_76]

[Es gibt natürlich die Weiterleitungen von der Fritz auf den Debian.

Ob man mit MyFritz (v6-Firewall der FB) auch eine Portfreigabe für IPv6 (Gerät im W/LAN der FB) machen kann, weiß ich nicht. Evtl. mal bei den "FB-Experten" im IPPF nachfragen.
An was liegt es, dass dein Debian-PC keine externe/öffentliche IPv6-Adresse bekommen kann?

Entweder ist das ausgeschaltet in der Fritzbox und/oderam Debian PC.
Hat er die Freigabe in der FB kann die IP erreicht werden. Damn braucht er nur einen Dyndns.

[mat6937]

Entweder ist das ausgeschaltet in der Fritzbox und/oderam Debian PC.
Hat er die Freigabe in der FB kann die IP erreicht werden. Damn braucht er nur einen Dyndns.

Ich meinte eher, eine Art "Portweiterleitung für IPv6, mit MyFritz in der FritzBox".

[schorsch_76]

Entweder ist das ausgeschaltet in der Fritzbox und/oderam Debian PC.
Hat er die Freigabe in der FB kann die IP erreicht werden. Damn braucht er nur einen Dyndns.

Ich meinte eher, eine Art "Portweiterleitung für IPv6, mit MyFritz in der FritzBox".

Da hab ich selbst sehr lange gesucht. Nur Dyndns hat funktioniert.

[letzter3]

...
Es ist ja schön, dass sich das Problem für Dich erledigt zu haben scheint. Noch schöner fände ich, wenn Du auch verraten würdest, woran es denn letztlich hing.

Gruß

Gregor

Na klar. Für mich ist das Problem nicht lösbar.
Nicht im Sinne von "ich kann nicht", sondern "ich will nicht".
Der Aufwand, hier einen anderen dynDNS zu installieren und dann sämtliche clients neu zu konfigurieren, ist mir zu hoch.
Mit dem "Stocken" bei Aufbau des SSH- bzw. VPN-Tunnels kann ich leben, da der fallback ja auf IPv4 ja funktioniert.

[GregorS]

... Für mich ist das Problem nicht lösbar.
Nicht im Sinne von "ich kann nicht", sondern "ich will nicht".
Der Aufwand, hier einen anderen dynDNS zu installieren und dann sämtliche clients neu zu konfigurieren, ist mir zu hoch.
Mit dem "Stocken" bei Aufbau des SSH- bzw. VPN-Tunnels kann ich leben, da der fallback ja auf IPv4 ja funktioniert.

Ach naja ... ich habe mich vor etwa vier Monaten auch über den ganzen Mist geärgert, der in der Folge meines Providerwechsels angefallen ist. Aber da das eigentlich alles Arbeiten sind, die nur einmal anfallen und dann jahrelang so bleiben können, wenn sie zuverlässig funktionieren, habe ich mir den einen und anderen Such-/Konfigurations-/Test-Stress eben doch gegeben. Zudem musst Du ja vieles nur auf der Fritzbox machen. Den primären DNS auf ggf. mehreren Clients zu ändern kann man außerdem auch zeitlich „strecken“.

Geh spazieren, eine rauchen, an den See ... und nächstes WE halt wieder ein bisschen an die Kiste. Nach und nach wird das schon.

Gruß

Gregor

PS: „Die kleineren Übel sind meist von längerer Dauer.“ (Wieslaw Brudzinski)