ankommende IPv4 Pakete auf IPv6 weiterleiten

[FabiUnne]

Hallo Community,

ich habe seit einer Woche einen IPv6 Anschluss in meinem Haus. Wie ihr euch nun denken könnt, versuche ich also meinem HomeServer über IPv4 erreichbar zu machen. So viel zum Problem. Zusätzlich habe ich seit einem guten halben Jahr ein Debian V-Server. Dieser hat 2 IPv4s. Die eine nutze ich, die andere nicht.
So habe ich mir überlegt:
[ankomme Fragen an die Zweit IPv4 meiner V-Servers]
-> [V-Server leitet Pakete an IPv6 Homeserver weiter]

Mein HomeServer ist über IPv6 pingbar und ich kann auch über IPv6 meine Dienste nutzen. Mein V-Server hat ebenfalls eine IPv6 und kann mit meinem HomeServer sprechen. Nur habe ich das Problem, dass ich in der Schule, unterwegs mit dem Handy, eigentlich überall keine IPv6 Unterstützung habe.

Hat irgendjemand ne Idee, wie man die Ports 22, 80 und 443 dergleichen von IPv4 auf IPv6 weiterleiten könnte???

[hec_tech]

Warum nicht einfach Dualstack da wirst du die nächsten Jahr nicht drum herumkommen.

So schnell wird es keine flächendeckende IPv6 Versorgung geben.

[wanne]

Sehe ich das richtig:

Der Homeserver hat eine Staatische IPv6 adresse und keine IPv4.
Der V-Server hat 2 IPv4 Adressen und viele Ipv6 Adressen.
Der Homeserver hätte gerne ne IPv4 Adresse.

Umleiten mit dem standard iptables geht glaube ich nur von IPv4 zu IPv4 und von IPv6 zu IPv6 (Man korrigiere mich wenn ich da mittlerweile falsch liege...)
Deswegen ist der einfachst weg für sowas ein VPN. Aber:

Hat irgendjemand ne Idee, wie man die Ports 22, 80 und 443 dergleichen von IPv4 auf IPv6 weiterleiten könnte???

Solange es nur um TCP geht:
Adde die 2. IPv4 Adresse einfach auf das ganz nomale IF des V-Servers und mach das

Code: Alles auswählen

ncat --sh-exec "ncat Home-Server 80" -l IPv4-Adresse2 80 --keep-open
ncat --sh-exec "ncat Home-Server 22" -l IPv4-Adresse2 22 --keep-open
ncat --sh-exec "ncat Home-Server 443" -l IPv4-Adresse2 443 --keep-open

PS: Steht der Home-Server hinter einem NAT und erlaubt der Provider IP-Spoofing?

[FabiUnne]

Okay, ich hole weiter aus.

Ich bin seit einer Woche bei Unitymedia. Ich bin sehr zufrieden und die Bandbreite konnte ich sehr gut gebrauchen.
Im Keller steht mein Homeserver neben der Fritzbox 6360. Ich muss mein Homeserver aber von außen erreichen. Da meine Fritzbox von UM ein dynamisches IPv6-Prefix bekommt, konnte ich meinen Homeserver über IPv6 erreichbar machen. Das heißt über IPv6 sind die Ports offen, aber halt nicht über IPv4. Mein Homeserver hat also eine eigene dynamische IPv6.
Ich habe mir überlegt, da ich einen Debian V-Server mit zwei statischen IPv4 Adressen habe, ihn vielleicht als Tunnel zu benutzen.
Also [Anfrage an die statische IPv4 meines V-Servers] -> [V-Server leitet die Anfrage an die dynamische IPv6 meines HomeServers weiter.]
Mein V-Server hat eine IPv6 Unterstützung. Das heißt, mein V-Server kann auf jeden Fall mit meinem HomeServer über IPv6 sprechen.

Die Umsetzung: Eigentlich dachte ich, ich könnte einfach eine Portweiterleitung von Anfragen über IPv4 meines V-Servers auf IPv6 meines HomeServers schalten. Andere Möglichkeit, einen Tunnel mit OpenVPN der gleichen. Ich habe bei Unitymeida Dual-Stack angefordert, glaube zwar nicht dran, aber man kanns ja mal versuchen und es ist auf jeden Fall die einfachste Möglichkeit.

[wanne]

OK, dann stimmen meine annahmen so fast. Der einzige unterschied ist, dass das IPv6 dynamisch statt statisch ist. (Wer ist denn auf so ne bescheuerte Idee gekommen?!)
Das heißt das du dir einen dyndns besorgen musst (Wie hast du das denn bisher geregelt?) (Da kannst du dir dann auch gleich sowas wie nen virtuellen dualstack besorgen, indem du die IP vom V-server statsich als IPv4 enträgst und nur die IPv6 dynamisch macht.) und die ncat Befehle immer nach dem DC (Ich hoffe du kannst i-wie einstellen wann der kommt. Frag da mal bei Unitymedia nach.) erneut ausführen.
Aber ich würde an deiner stelle vielleicht mal nach statischen IPv6 Adressen Fragen. Das rücken sie vielleicht liber raus als die knappen IPv4 Adressen.

[chris390]

Hallo,

das gleich Problem habe ich auch. Ich bin auch bei UM.
Ein echte v4 Adresse rücken die nicht mehr raus und ein statische v6 auch nicht. Ober du machst einen Wechsel in das Business Paket, dann
bekommst du auch wieder ein echte v4.

Gruß
Christoph

[FabiUnne]

zu einem Business-Paket möchte ich ungern umsteigen. Und ich bin ja auch überzeugter IPv6. Aber von meinem jetztigen Standort hab ich zum Beispiel wieder kein IPv6. Es geht mir darum die Ports einfach zu tunneln.
Früher, als ich noch bei der Telekom war, lief alles über die TCom dynIPv4, als Strato dynDNS. Nun bin ich aber bei Unitymedia. Portfreigabe im IPv6 Bereich gibts schon nicht mehr, also muss sich theoretisch mein Homeserver mit seiner eigenen öffentlichen IP updaten. Das klappt zwar nicht, habe aber gemerkt, dass sie die IPv6 so gut wie nicht ändern, dh, ich kann der Homeserver, wenn ich mich erst mit dem V-Server verbinden und dann ne ssh auf den Homeserver mache, immernoch connecten. Mitterweile hab ich schon überlegt, ob ich nicht ein Java-Tunnel baue, der auf die IPv4 hört und alles, wien echo-Server auf den HomeSerevr weiterleitet.

// edit: netcat ist eigentlich genau das, was ich sche. Hab ich jetzt ein bisschen mit dem Teil beschäftig. Funktioniert aber auf dem V-Server irgendwie nicht. Wills mal versuchen. Melde mich wieder

[wanne]

Wie hast du denn die IPv6 Adresse angegeben?
(ncat will die ohne alles (z.B. ::1 ) haben. Und nicht in eckigen Klammern, wie es in URLs ist.

[FabiUnne]

naja die IPv6 kann man nicht kürzen und die eckigen Klammern hab ich auch nicht. den Codeschnippsel, den du gepostet hast, funktioniert bei mir nicht. erst als ich das Paket installiert habe und den Code verändert habe. könnte aber auch dran liegen dass Apache noch offen ist. mit welchem Befehl kann man offene Ports anzeigen? nutze eigentlich netstat -ln. netstat zeig t mir aber Apache nicht an

[wanne]

den Codeschnippsel, den du gepostet hast, funktioniert bei mir nicht. erst als ich das Paket installiert habe

Das ist klar. Wenn nmap nicht installiert ist, funktioniert das nicht. ()

und den Code verändert habe.

Wie?

könnte aber auch dran liegen dass Apache noch offen ist. mit welchem Befehl kann man offene Ports anzeigen?

„Offene Ports“ ist ein ziemlich dämlicher Begriff.
Ich glaube lsof -i ist was du suchst. Aber prinzipell listet dir das nichts was sein Layer-4 Protokoll selbst implementiert.

[FabiUnne]

also erstaml musste ich verauskriegen, dass ncat unter Debian netcat heißt und die Abkürzung nc hat. Dieses Paket hebe ich installiert aber offensichtlich ohne ipv6 unterstützung ( forward host lookup failed: Unknown host). Dann habe ich dieses netcat Paket ( netcat-openbsd) installiert. Das hat aber jetzt eine ganz andere Syntax. Testweise habe ich auf dem V-Server nun den Port 8123 für HTTP genommen, damit APache nicht blockiert.

geändert auf netcat ( kein openbsd)

Code: Alles auswählen

netcat -c "netcat 5.9.157.144 80" -l -s 81.169.167.133 -p 8123 -k

läuft, aber auf den falschen Server und vor allem IPv4 only.

nach den netcat Installation

Code: Alles auswählen

netcat --sh-exec "netcat 2a02:908:d928:3200:922b:34ff:fe1a:5274 80" -l 81.169.167.133 8123 --keep-open
netcat: invalid option -- '-'
usage: nc [-46bCDdhjklnrStUuvZz] [-I length] [-i interval] [-O length]
          [-P proxy_username] [-p source_port] [-q seconds] [-s source]
          [-T toskeyword] [-V rtable] [-w timeout] [-X proxy_protocol]
          [-x proxy_address[:port]] [destination] [port]

[Cae]

Da ist nicht netcat/nc gemeint, sondern wirklich ncat aus nmap.

Gruss Cae

[FabiUnne]

vielleicht klappts ja. Sicher, dass das 60 MB Pakete sind?

[wanne]

vielleicht klappts ja. Sicher, dass das 60 MB Pakete sind?

15MiB.
Aber ja. Das ist eigentlich ein portscanner der halt noch ein netcat beinhaltet.

Das OpenBSD-Teil kann's auf jeden Fall nicht.
Gibt da aber noch einige andere. netcat6 Hört sich ganz gut an.
Das dürfte dann der syntax von netcat-traditional, die du schon gepostet hat ziemlich ähnlich sein.
Mit dem sollte das so funktionieren:

Code: Alles auswählen

nc6 -l -p PORT --continuous -e "nc6 Home-Server PORT" -s IPv4-Adresse2

[FabiUnne]

IT WORKS!!!!!

danke euch allen! Ich werde nur ein paar Tests machen. Aber es funktioniert auf jeden Fall schon mal, so wie es soll!

[catdog2]

Ansonsten wäre socat noch eine alternative für solche Spielereien. Das dürfte auch nicht ganz so fett sein wie nmap.

[FabiUnne]

naja, ich werd von 60MB da nicht sterben. Jetzt habe ich sagen wir 6 Ports. Ich pack jetzt jeden netcat in nen screen... oder gibts noch ne andere Möglichkeit daraus einen Daemon zu machen???

Am Ende soll ein Skript rauskommen, was startet stoppt und updatet...

[wanne]

&

In der shell kannst du mit & den vorherigen Befehl in den Hintergrund schicken.

z.B. so

Code: Alles auswählen

ncat --sh-exec "ncat Home-Server 80" -l IPv4-Adresse2 80 --keep-open &
ncat --sh-exec "ncat Home-Server 22" -l IPv4-Adresse2 22 --keep-open &
ncat --sh-exec "ncat Home-Server 443" -l IPv4-Adresse2 443 --keep-open &

Script kommt...

PS: Weiß nicht mehr warum ich --sh-exec statt --exec. Genutzt habe im Prinzip ist das unnötig kompliziert und damit unnötig gefählich. Aber vielleicht habe ich auch nen Grund gehabt, der mir jetzt nicht mehr einfällt..

[wanne]

Code: Alles auswählen

p1=0 #pid0 gibt es nicht. Die kann man immer killen.
while [ 1 ]
do if lsof -n -i6TCP@Home-Server # Wenn keine Verbindung zum Home-Server besteht
then kill $p1 $p2 $p3 #Alle prozesse killen und Verbindung neu aufbauen aufbauen
ncat --sh-exec "ncat Home-Server 80" -l IPv4-Adresse2 80 --keep-open & p1=$!
ncat --sh-exec "ncat Home-Server 22" -l IPv4-Adresse2 22 --keep-open & p2=$!
ncat --sh-exec "ncat Home-Server 443" -l IPv4-Adresse2 443 --keep-open & p3=$!
fi
sleep 120 # Das ganze alle 2 Minuten.
done&

Noch schöner ist das natürlich, wenn du immer nach der Zwangstrennung direkt deine IP an ein Programm auf dem Server schickst und dann die 3 Befehle ausgeführt werden.

[FabiUnne]

eigentlich wollte ich es selbst umsetzen, aber danke.

[burnout666]

ankommende IPv4 Pakete auf IPv6 weiterleiten

Bei Linux sind einfache Netzwerkfunktionalitäten dokumentarisch sehr zersetzt. Für´s Socket punktet eindeutig Winsock!

Klar , CPU´s programmieren ausserhalb x86 x64 ist Linux kompatibler aber für konventionelle PC Funktionen ist die MSDN unschlagbar!

Gruß
brunout666

[syssi]

Darf ich den Thread fuer eine neugierige Frage missbrauchen? Ich gehe davon aus, dass man hinter einem IPv6(-only) Anschluss trotzdem IPv4-Adressen erreichen kann... schliesslich gibt es noch viele Anbieter / Dienste (Amazon EC2, halb Hosteurope, Twitter, eBay etc.), welche nicht ueber IPv6 erreichbar sind. Weiss jemand, wie UM das umgesetzt hat? Liefer UM einfach auf jeden DNS-Request eine umgeschriebene IPv4-Adresse und schickt allen Traffic ueber einen transparenten Proxy?

[catdog2]

https://en.wikipedia.org/wiki/IPv6_tran ... DS-Lite.29

[syssi]

https://en.wikipedia.org/wiki/IPv6_tran ... DS-Lite.29

Hach, gewusst wie/wo! Danke!

[wanne]

Darf ich den Thread fuer eine neugierige Frage missbrauchen? Ich gehe davon aus, dass man hinter einem IPv6(-only) Anschluss trotzdem IPv4-Adressen erreichen kann... schliesslich gibt es noch viele Anbieter / Dienste (Amazon EC2, halb Hosteurope, Twitter, eBay etc.), welche nicht ueber IPv6 erreichbar sind.

https://en.wikipedia.org/wiki/IPv6_tran ... DS-Lite.29

Nja, DS-Lite ist in erster Linie für Endkunden-Provider ganz nett.
Wer wirklcih nut ne IPv6 Adresse hat nutz im Normalfall eher NAT64 oder AYIYA .
Hier ne Liste von welchen die sowas anbieten:
https://en.wikipedia.org/wiki/List_of_I ... el_brokers