IPv6 adresa od ISP a přístup do LAN zvenčí

IPv6 adresa od ISP a přístup do LAN zvenčí
« kdy: 03. 12. 2024, 17:26:18 »
ahoj, ako hovori moj nick, co sa sieti tyka, som priemerny pouzivatel, preto prosim o toleranciu. Jedna sa mi o toto: moj ISP (Orange Slovensko) mi poskytuje internet cez optiku a prideluje mi IPv6 adresu. ja som uz nejaku chvilu snazim sprevadzkovat si pristup do mojej LAN "zvonku", ale zatial marne.

Co sa mi na mojom Huawei HG8245W5 podarilo, je prostrednictvom "Forward rules" -> "PCP Configuration" namapovat urcitu internu IPv4 adresu a port na automaticky pridelenu IPv4 globalnu adresu a port a riesenie aj fungovalo, ale iba asi 1 den, potom sa globalna IPv4 adresa zmenila.

Pokusil som sa preto pristupit priamo na IPv6 adresu mojho virtualneho servra, kde bezim SSH (ako test, cielom je pripojit sa nakoniec k VPN servru) a o toto som sa snazil takto:

"IPv6" tab -> Enable the IPv6 firewall control on packet forwarding - zaskrtnute

"IPv6" -> "Port Mapping Configuration" -> "Enable port mapping";
"WAN Name" -> "1_INTERNET_R_VID_837";
"Internal Host" -> "2a01:c846:XXXX:XXXX:XXXX:XXXX:XXXX:9e77" (hodnota korespondujuca s listingom inet6 scopeid global cez ifconfig -a)
"External Source IP Address" -> PRAZDNE
"Protocol" -> "TCP", "Port Number" -> "22" - "22";

"IPv6" tab  -> "IP Filter Configuration";
"Protocol"  -> "TCP"
"LAN Side IP Address" -> "2a01:c846:XXXX:XXXX:XXXX:XXXX:XXXX:9e77"/64
"Wan Side IP Address" -> PRAZDNE
"LAN-Side TCP Port" -> "22"
"WAN-Side TCP Port" -> "22";

Pripojenie na tuto IP adresu z mojho klienta (Termius na Android 15) funguje, pokial som v rovnakej LAN ako je server. Akonahle vsak prepnem na mobilne data, teda snazim sa dostat na SSH zvonka, dostavam "Network is unreachable".

Niekde som sa docital, ze pripojenie znovka moze byt ISP blokovane, inde zase, ze sa neda nakonfigurovat na tomto konkretnom routri a ze riesenim je prepnut router do rezimu bridge a pouzit tak iba na prevedenie optickeho signalu, zvysok nakonfigutovat na routri vlastnom. tohoto kroku sa vsak obavam a chcel by som sa mu vyhnut.

Dalsia vec je, ze prispevky, v ktorych sa vyssie zmenene spominalo, boli 6 rokov stare. Preto by som sa chcel obratit na niekoho kto ma internet cez optiku od Orange + IPv6 adresu v r. 2024 a riesil dostupnost nejakej sluzby vo svojej LAN z internetu ..

Dakujem za kazdu snahu pomoct.
S pozdravom,
BFU


Re:IPv6 adresa od ISP a přístup do LAN zvenčí
« Odpověď #1 kdy: 03. 12. 2024, 18:04:42 »
Zdá se mi divné IPv6 port mapping - proč?
Na všech modemech/routerech, co jsem s IPv6 měl, vždycky bylo jen potřeba povolit přístup na protokol, port a adresu.
Teda Vodafone Station má v pravidlech firewallu protokol, port a MAC adresu (to je docela pěkná varianta), ale výsledek stejný.

Re:IPv6 adresa od ISP a přístup do LAN zvenčí
« Odpověď #2 kdy: 04. 12. 2024, 06:50:07 »
Ahoj, skúšal som to s port mappingom aj bez (t.j. iba otvoriť firewall), výsledok bol však stále rovnaký ..

jjrsk

  • *****
  • 568
    • Zobrazit profil
Re:IPv6 adresa od ISP a přístup do LAN zvenčí
« Odpověď #3 kdy: 04. 12. 2024, 08:39:29 »
1) zadny portmaping ...

2) pingnes si tu adresu zvenku ? (na webu najdes pingatory) - treba https://dnschecker.org/ping-ipv6.php

3) pokud ne, muzes pro test na chvilu shodit vsechny firewally ? (pripadne vypni tohle "Enable the IPv6 firewall control on packet forwarding")
« Poslední změna: 04. 12. 2024, 08:42:03 od jjrsk »

Re:IPv6 adresa od ISP a přístup do LAN zvenčí
« Odpověď #4 kdy: 04. 12. 2024, 08:47:06 »
ISP vám pravděpodobně neposkytuje jednu IPv6 adresu, ale celou síť. Může být různě velká. Pokud by vám poskytoval jedinou IPv6 adresu, má to hrozně špatně a berte to tak, že vám IPv6 neposkytuje.

Pokud vám poskytuje síť, záleží na její velikosti – buď ji prakticky nemůžete dál dělit a do té sítě přidáte všechna svá domácí zařízení. Každé tedy bude mít svou IPv6 adresu, na které bude dostupné z venku. Pokud by ta síť poskytnutá ISP byla dost velká (tak, jak by podle standardů měla být), můžete si dokonce doma těch sítí udělat několik (hodně), zvlášť třeba pro domácí počítače, notebooky a telefony, zvlášť pro IoT, zvlášť pro návštěvy.

Ale předpokládám, že to větší množství sítí není potřeba řešit. Že vám stačí jedna síť. Pak by mělo stačit na domácím routeru povolit IPv6 a on bude tu síť propagovat dál do vaší domácí sítě, takže zařízení v síti dostanou přidělenu IPv6 adresu (pokud tam nemáte IPv6 zakázané). Možná bude potřeba na routeru nějakou konfiguraci doladit, aby tu sí´t propagoval správně, ale určitě se tam nebude nastavovat žádné mapování a už vůbec ne na IPv4.


Re:IPv6 adresa od ISP a přístup do LAN zvenčí
« Odpověď #5 kdy: 04. 12. 2024, 09:16:14 »
Z orange.sk to vypadá na obdobu našeho O2 protože vaše IPv6 je veřejná dynamická (nazývají to stejně a ještě oba špatně) - slova Orange viz příloha.

Tam bude stejný problém jaku u nás s O2, ta IPv6 je za firewallem a nelze se na ni z venku připojit (jen určité porty) a pokud se to podaří tak spojení většinou vypadne.

Prvně se obrátit zda Vám Orange poskytne statickou IPv6 s prefixem aspoň /60 lépe pak /56 (pochybuji že to vůbec půjde ale zeptat se můžete), tam by pak fungovalo vše. Záleží také za kolik.

Nejlevnější je si koupit veřejnou dynamickou IPv4 za 4 Eura jednorázově a s pomocí DDNS se pak připojovat.

Pevná IP adresa za 8 eur/měsíčně asi není to co chcete slyšet ale zase by to fungovalo bez problému a přímo. Zda tam bude IPv4 nebo IPv6 se nezmiňují. Opět zavolat na Orange jak to přesně je.

Bez podrobností je to pouze obecně na základě údajů z Orange.

Re:IPv6 adresa od ISP a přístup do LAN zvenčí
« Odpověď #6 kdy: 04. 12. 2024, 10:33:51 »
Z orange.sk to vypadá na obdobu našeho O2 protože vaše IPv6 je veřejná dynamická (nazývají to stejně a ještě oba špatně) - slova Orange viz příloha.

Tam bude stejný problém jaku u nás s O2, ta IPv6 je za firewallem a nelze se na ni z venku připojit (jen určité porty) a pokud se to podaří tak spojení většinou vypadne.
Jak přesně to u O2 vypadá? Je to jedna IPv6 adresa nebo celá síť? Dynamická znamená, že nezaručují, že se to jednou za několik let při změnách v síťové topologii nezmění (to je za mne OK), nebo se změní při každém připojení modemu, třeba když modem vypnete a zapnete (to by mělo být trestné…)?

Automaticky zapnutý firewall na straně ISP si dovedu představit, pokud to bude jasně uvedené v informačních materiálech a pokud to půjde vypnout „jedním kliknutím“ v nějaké administraci ISP, tj. určitě o to nebude nutné žádat přes support.

Re:IPv6 adresa od ISP a přístup do LAN zvenčí
« Odpověď #7 kdy: 04. 12. 2024, 11:02:31 »
O2 má na mobilních datech s výchozím APN "internet" implicitně zapnutý IPv6 firewall a vypnout to nejde. (Na alternativních APN, kde je firewall vypnutý, zase nemají IPv6.) Prefix se mění při každém odpojení/připojení mobilních dat.
Na pevné síti mají dynamické prefixy, které se ale moc nemění. A nemají tam firewall na straně sítě, jen v routerech (a ten jde překonfigurovat).

Orange na pevné síti používá DS-Lite a přiděluje tuším /56, takže s tím by problém být neměl. Chybí tu ale několik informací:
- co je zač ten "server"?
- jaký je na něm firewall a je ve firewallu povolen přístup na SSH?
- jak vypadá traceroute na IPv6 adresu toho serveru? (traceroute tool online třeba zde https://netactuate.com/lg?type=traceroute6&location=frankfurt&host=)
- jde na routeru povolit přístup z Internetu kamkoli do LAN na port 22/tcp, bez zadávání IPv6 adres?
- nastavil OP takové pravidlo ve firewallu?
- když se na serveru spustí `tcpdump -i any 'ip6 and tcp port 22'` a z Internetu se OP pokusí o přístup k serveru, jsou vidět příchozí pakety z Internetu? odpovídá na ně SSH server? jak? (ideálně copy & paste z terminálu)

Re:IPv6 adresa od ISP a přístup do LAN zvenčí
« Odpověď #8 kdy: 04. 12. 2024, 13:17:38 »
dobry den vsetkym,
-jedna sa o Debian 12, na ktorom nebezi ziadny lokalny firewall:
root@XYZ:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

-po vypnuti "Enable the IPv6 firewall control on packet forwarding" na routri je IP adresa dosazitelna cez ping aj traceroute, avsak SSH stale nie je

-router umoznuje nastavit aj pravidlo, v ktorom nie je uvedena ziadna IP adresa, iba port 22, avsak konektivita ani pri takomto nastaveni nie je mozna

vystup z "tcpdump":
root@XYZ:~# tcpdump -i any 'ip6 and tcp port 22' -v
tcpdump: data link type LINUX_SLL2
tcpdump: listening on any, link-type LINUX_SLL2 (Linux cooked v2), snapshot length 262144 bytes
^C
0 packets captured
3 packets received by filter
0 packets dropped by kernel

Predpokladam, ze mam verejnu dynamicku IP adresu (resp. rozsah), kedze po vypnuti firewallu je konkretna adresa dosazitelna cez ping a traceroute.

Preco ale nefunguje konektivita cez SSH? Moze ISP blokovat specificke porty?

jjrsk

  • *****
  • 568
    • Zobrazit profil
Re:IPv6 adresa od ISP a přístup do LAN zvenčí
« Odpověď #9 kdy: 04. 12. 2024, 14:07:22 »
Preco ale nefunguje konektivita cez SSH? Moze ISP blokovat specificke porty?
Technicky samozrejme muze, a nekteri retardovani takyisp to bohuzel i delaji.

Ses schopen se na to v6 ssh pripojit lokalne? Tim myslim z jineho stroje ve stejne lan. Pripadne si over, ze ti to ssh vubec na v6 posloucha.

Kód: [Vybrat]
netstat -nlp |grep 22
melo by vratit neco jako:

Kód: [Vybrat]
tcp        0      0 0.0.0.0:22           0.0.0.0:*               LISTEN      ...sshd:
tcp6       0      0 :::22                :::*                    LISTEN      ...sshd:

Re:IPv6 adresa od ISP a přístup do LAN zvenčí
« Odpověď #10 kdy: 04. 12. 2024, 15:42:17 »
ano, SSH pocuva:

root@XYZ:~# netstat -nlp|grep 22
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      792/sshd: /usr/sbin
tcp6       0      0 :::22                   :::*                    LISTEN      792/sshd: /usr/sbin

a v ramci LAN sa dokazem na tu IPv6 adresu aj pripojit.

Re:IPv6 adresa od ISP a přístup do LAN zvenčí
« Odpověď #11 kdy: 04. 12. 2024, 23:44:48 »
V tom firewallu na routeru bych
"WAN-Side TCP Port" -> "22";
nahradil timhle
"WAN-Side TCP Port" -> "(libovony port/prazdne/1-65535)";

Protoze tak, jak je to pravidlo napsane, by musel zdrojovy i cilovy port paketu mit port 22.

Re:IPv6 adresa od ISP a přístup do LAN zvenčí
« Odpověď #12 kdy: Dnes v 08:36:06 »
V tom firewallu na routeru bych
"WAN-Side TCP Port" -> "22";
nahradil timhle
"WAN-Side TCP Port" -> "(libovony port/prazdne/1-65535)";

Protoze tak, jak je to pravidlo napsane, by musel zdrojovy i cilovy port paketu mit port 22.
Ježkovy voči, no jasně.
Všichni na to čumíme a nikdo si nevšimne, stydím se.
A možná je problém vyřešen.

Re:IPv6 adresa od ISP a přístup do LAN zvenčí
« Odpověď #13 kdy: Dnes v 09:23:37 »
ahoj, skusil som "WAN side TCP port" zmenit na "2022", ale stale sa nepripojim (network is unreachable).
mozno som mimo, ale co zabezpeci, aby sluzba na WAN strane pocuvala na tomto porte? Myslel som si, ze toto nie je uloha firewallu ..


Re:IPv6 adresa od ISP a přístup do LAN zvenčí
« Odpověď #14 kdy: Dnes v 09:37:41 »
ahoj, skusil som "WAN side TCP port" zmenit na "2022", ale stale sa nepripojim

Vidím, že jsi radu moc nepochopil.