1790VA und Webserver per IPv4 und IPv6?

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Whiskytrinker
Beiträge: 3
Registriert: 10 Sep 2020, 14:08

1790VA und Webserver per IPv4 und IPv6?

Beitrag von Whiskytrinker »

Hallo zusammen,

ich habe meine Fritzbox gegen einen 1790VA getauscht und hätte da mal eine vermutliche Anfängerfrage.

Mein DSL-Anschluss ist ein DeutschlandLAN IP bei der Telekom mit fester IP. Der bekommt bei Dual Stack eine feste IPv4 und feste IPv6-Präfixe.

Bei der Fritzbox hatte ich dann für meinen Webserver einfach eine Portfreigabe auf den üblichen beiden Ports (80 und 443) jeweils für IPv4 und IPv6 eingetragen. Dann war der Webserver über beide IP-Varianten von Extern erreichbar.

Momentan habe ich jetzt beim Lancom den Webserver noch im "INTRANET" hängen und für IPv4 zwei Portweiterleitungen für 80 und 443 eingerichtet. Geht auch so weit.

Was ich eigentlich jetzt aber gerne mit dem Lancom machen würde:

- Das INTRANET hängt an ETH 1.
- Der Webserver hängt an ETH 2 in einem eigenen Netz.
- Das Ganze ist praktisch eine DMZ.
- Verkehr auf den Ports 80 und 443 geht mit IPv4 und IPv6 auf den Webserver.

Ich seh da irgendwie gerade vor lauter Wald die Bäume nicht. Was muss ich da tun?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: 1790VA und Webserver per IPv4 und IPv6?

Beitrag von backslash »

Hi Whiskytrinker,

im IPv6 gibt es kein Port-Forwarding- alle Adressen sind öffentlich.
Bei der Telekom bekommst du einen /56 oder gar einen /48 Prefix zugewiewsen, hast also 255 oder 65535 /64 Prefixe (Subnet-IDs) zur Verfügung. Du mußt jetzt also nur deiner IPv6 DMZ unter IPv6 -> Router-Advertisement -> Präfix-Liste eine andere Subnet-ID zuweisen, als deinem IPv6-Intranet (Default ist 1, die DMZ knnte also z.B. 2 bekommen).

Wenn du also von der Telekom den Prefix pppp:pppp:pppp:pp00::/56 zugewiesen bekommst, dann hat ist dein Intranet dann das Netz pppp:pppp:pppp:pp01::/64 und deine DMZ pppp:pppp:pppp:pp02::/64

Danach mußt du dem WEB-Server nur in das Netz stellen, ihm eine IP aus dem Netz geben (z.B. pppp:pppp:pppp:pp02::8080) und in der IPv6-Firewall den Zugriff darauf erlauben:

Code: Alles auswählen

Name:             ALLOW-WEB-SERVER
Aktionen:         ACCEPT
Dienste:          WEB
Quell-Stationen:  ANYHOST
Ziel-Stationen:   IP des WEB-Servers (pppp:pppp:pppp:pp02::8080)

Gruß
Backslash
Whiskytrinker
Beiträge: 3
Registriert: 10 Sep 2020, 14:08

Re: 1790VA und Webserver per IPv4 und IPv6?

Beitrag von Whiskytrinker »

Hallo Backslash,

man bekommt bei der Telekom einen /56 Prefix.

Ich habe jetzt meine DMZ so eingerichtet, die per ARF-Tag auch nicht mehr ins INTRANET sieht. Die Präfix-Liste habe ich im Router-Advertisement um eine 2 für die DMZ ergänzt.

Bei IPv6 sieht es jetzt im Dashbord vom Router so aus:

Code: Alles auswählen

Angekündigte Präfixe
INTRANET: 	XXX:XXX:XXX:401::/64
DMZ: 	XXX:XXX:XXX:402::/64
Bezogene Präfixe
INTERNET: 	XXX:XXX:XXX:400::/56
Wenn ich auf dem Webserver jetzt mir die IP-Adresse anzeigen lasse, kommt da:

Code: Alles auswählen

inet6 XXX:XXX:XXX:402:YYY:YYY:YYY:YYY/64
Der aktuelle AAAA-Eintrag verweist auf: XXX:XXX:XXX:400:YYY:YYY:YYY:YYY

Ich habe jetzt eine IPv6-Forwarding-Regel angelegt, in der als Zielstation XXX:XXX:XXX:402:YYY:YYY:YYY:YYY eingetragen ist.

So komme ich aber per IPv6 nicht drauf. IPv4 geht. Wo ist da noch der Fehler?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: 1790VA und Webserver per IPv4 und IPv6?

Beitrag von backslash »

Hi Whiskytrinker,
Wo ist da noch der Fehler?
nun ja, hier:
Der aktuelle AAAA-Eintrag verweist auf: XXX:XXX:XXX:400:YYY:YYY:YYY:YYY
der muß natürlich auf die XXX:XXX:XXX:402:YYY:YYY:YYY:YYY zeigen, wenn du den Webserver über seinen Namen ansprechen willst. ...

Gruß
Backslash
Whiskytrinker
Beiträge: 3
Registriert: 10 Sep 2020, 14:08

Re: 1790VA und Webserver per IPv4 und IPv6?

Beitrag von Whiskytrinker »

Hallo Backslash,

ich habe den AAAA-Eintrag auf XXX:XXX:XXX:402:YYY:YYY:YYY:YYY geändert. Es geht trotzdem nicht.

ich habe auch mal testweise ein Stationsobjekt angelegt:

Code: Alles auswählen

Name: WEBSERVER
Typ: Host-Identifier
Netzwerk-Name (optional): DMZ
Gegenstelle/Lokale Station: INTERNET
Adresse: ::YYYY:YYYY:YYYY:YYYY
Und dann als IPv6-Forwarding-Regel:

Code: Alles auswählen

Name: ALLOW-WEBSERVER
An
Aus
An
0
0
0
Aktionen: ACCEPT
Dienste: HTTP, HTTPS
Quell-Stationen: ANYHOST
Ziel-Stationen: WEBSERVER
Bringt auch nichts.

Nachtrag: Bringt doch was. Seit einem Reboot geht es.
Antworten