Keine ssh/serververbindung teils nicht mehr möglich

[kabelchris]

Hallo,

es ist neuerdings keine Verbindung auf einen Server hinter der Fritzbox mehr möglich.
Ich bin mir nicht sicher, ob das mit einer vor kurzem erfolgten Vertragsverlängerung zusammenhängen könnte.
Die Box zeigt sowohl eine IPv4 und eine IPv6-Verbindung an, Adminzugriff auf die Box via Fritz-Remote funktioniert noch, aber ssh geht nicht mehr, obwohl die Box bei Dyndns angemeldet ist.
Danke.

[robert_s]

Da wirst Du bei der Verlängerung wohl auf DS-Lite umgestellt worden sein.

Versuch mal den ssh-Server über IPv6 anzusprechen. Das sollte gehen.

Edit: Achso Fritzbox. Da musst Du den IPv6-Zugriff noch explizit freigeben.

[kabelchris]

Und was ist das für eine IPv4-Ip, die meinem DynDNS mitgeteilt wird?
Laut nmap läuft da irgend ein Boa-Webserver (bzw. ein uralt OpenWRT bzw. Netgear-Router), keine Ahnung wo der herkommt. Auch nur auf Port 80, ohne Verschlüsselung. Sollte ja vielleicht auch nicht sein. Wie kommt man denn wieder an ein IPv4-Adresse? Ist in diesem Fall wegen einiger laufender Dienste zwingend erforderlich.

[reneromann]

IPv4 gibt's nur noch mit Betteln (da vertraglich nicht geschuldet und mittlerweile wohl der Adresspool so klein ist, dass man da wirklich kaum noch Ausnahmen macht) -oder- im Business-Vertrag mit der Option "statische IP-Adresse"...

Ansonsten generell über v6 arbeiten, dann gibt's kein Problem.

Nachtrag: Die IPv4, die du siehst, ist die vom CGNAT-Gateway (auch als AFTR-Server bezeichnet), d.h. der Server, welcher die IPv4-Anfragen vieler Kunden bündelt. Im Prinzip ist das nichts anderes als das NAT was dein Router bisher schon gemacht hat - nur das diesmal dein Router quasi einers von vielen ge-NAT-teten Endgeräten ist.

[Bonzo]

Laut nmap läuft da irgend ein Boa-Webserver (bzw. ein uralt OpenWRT bzw. Netgear-Router), keine Ahnung wo der herkommt. Auch nur auf Port 80, ohne Verschlüsselung. Sollte ja vielleicht auch nicht sein.

Was nmap anzeigt darf man nicht für bare Münze nehmen. Nmap versucht auch nur so gut wie möglich zu raten. Wenn das Muster des gescannten Rechners auf einen Boa-Webserver passt, zeigt nmap den an. Port 80 alleine sagt auch noch nichts über eine Verschlüsselung aus oder nicht. Port 80 bedeutet nur da lauscht einer. Viele Webserver bieten Port 80 an, weil es eben lange Zeit der Standard war und schalten auf eine verschlüsselte Verbindung um, sobald sensible Daten übertragen werden.

Wie kommt man denn wieder an ein IPv4-Adresse? Ist in diesem Fall wegen einiger laufender Dienste zwingend erforderlich.

Ich frage mich immer wieder, wieso um drei Teufelsnamen ein Privatanwender sein Heimnetz öffentlich im Internet erreicht haben möchte? Meist ist es entweder um irgendwelche banalen Fotos mit Freuden zu teilen, oder um irgendwelche Spiele zu spielen, oder um mit IoT-Geräten (Heizung, Webcam, ...) zu kommunizieren, die 3 Tage nach Verkaufsstart sowieso keine Sicherheitspatches mehr erhalten. Egal was es ist, das rechtfertigt nicht dass ich mein Heimnetz von außen ansprechbar machen möchte.

In deinem Fall (Serverbetrieb), frage ich mich wieso du dir nicht gleich einen V-Server kaufst? Im Netz bekommst du die Teile für 10 Euro im Monat nachgeschmissen incl. vollwertiger IPv4 Adresse, Uptimes von 99% und zum Teil Gigabit-Anbindung. Du mußt dich halt selber um das Patchen des Servers kümmern, aber das machst du mit deinem Heimserver sicher auch, weil alles andere wäre unverantwortlich. Wenn du von ssh sprichst, scheinst du mir nicht ganz unbedarft mit Linux zu sein.

[reneromann]

Laut nmap läuft da irgend ein Boa-Webserver (bzw. ein uralt OpenWRT bzw. Netgear-Router), keine Ahnung wo der herkommt. Auch nur auf Port 80, ohne Verschlüsselung. Sollte ja vielleicht auch nicht sein.

Was nmap anzeigt darf man nicht für bare Münze nehmen. Nmap versucht auch nur so gut wie möglich zu raten. Wenn das Muster des gescannten Rechners auf einen Boa-Webserver passt, zeigt nmap den an. Port 80 alleine sagt auch noch nichts über eine Verschlüsselung aus oder nicht. Port 80 bedeutet nur da lauscht einer. Viele Webserver bieten Port 80 an, weil es eben lange Zeit der Standard war und schalten auf eine verschlüsselte Verbindung um, sobald sensible Daten übertragen werden.

Der erste Teil ist richtig - nmap versucht aus den Informationen, die es bekommt, gegen eine interne Datenbank zu raten, etwas abzuleiten. Die Informationen dabei sind aber meist nur mit äußerster Vorsicht zu genießen...
Und was Port 80/TCP anbetrifft: Kein Wunder, dass das "unverschlüsselt" ist - Port 80/TCP ist für unverschlüsseltes HTTP reserviert. Und Port 80/TCP ist noch immer der Standard für unverschlüsselte HTTP-Verbindungen im Internet.
Wenn man verschlüsselte Verbindungen verwenden will, muss man schon über HTTPs und damit über Port 443/TCP kommen - der Server selbst schaltet übrigens auch nicht auf eine verschlüsselte Verbindung um, viel mehr muss die (ausgeführte) Seite -oder- der Browser eine verschlüsselte Verbindung anfordern. "Automatisch" von sich aus macht der Server da definitiv nichts.

Wie kommt man denn wieder an ein IPv4-Adresse? Ist in diesem Fall wegen einiger laufender Dienste zwingend erforderlich.

Ich frage mich immer wieder, wieso um drei Teufelsnamen ein Privatanwender sein Heimnetz öffentlich im Internet erreicht haben möchte? Meist ist es entweder um irgendwelche banalen Fotos mit Freuden zu teilen, oder um irgendwelche Spiele zu spielen, oder um mit IoT-Geräten (Heizung, Webcam, ...) zu kommunizieren, die 3 Tage nach Verkaufsstart sowieso keine Sicherheitspatches mehr erhalten. Egal was es ist, das rechtfertigt nicht dass ich mein Heimnetz von außen ansprechbar machen möchte.

In deinem Fall (Serverbetrieb), frage ich mich wieso du dir nicht gleich einen V-Server kaufst? Im Netz bekommst du die Teile für 10 Euro im Monat nachgeschmissen incl. vollwertiger IPv4 Adresse, Uptimes von 99% und zum Teil Gigabit-Anbindung. Du mußt dich halt selber um das Patchen des Servers kümmern, aber das machst du mit deinem Heimserver sicher auch, weil alles andere wäre unverantwortlich. Wenn du von ssh sprichst, scheinst du mir nicht ganz unbedarft mit Linux zu sein.

Na ja, ich würde zumindest meine privaten Daten nicht auf irgendeinem vServer zu liegen haben wollen - da sind sie bei mir zu Hause doch deutlich besser aufgehoben...
Mal davon abgesehen, dass man auch mit IPv6 ganz gut klarkommt - wenn man denn von einem anderen IPv6-fähigen Anschluss kommt. Zur Not helfen da aber auch IPv6-Tunneldienste wie Teredo (bei Windows standardmäßig enthalten), um von einem Nicht-IPv6-Anschluss doch auf IPv6-"Server" zugreifen zu können...

[kabelchris]

Laut nmap läuft da irgend ein Boa-Webserver (bzw. ein uralt OpenWRT bzw. Netgear-Router), keine Ahnung wo der herkommt. Auch nur auf Port 80, ohne Verschlüsselung. Sollte ja vielleicht auch nicht sein.

Was nmap anzeigt darf man nicht für bare Münze nehmen. Nmap versucht auch nur so gut wie möglich zu raten. Wenn das Muster des gescannten Rechners auf einen Boa-Webserver passt, zeigt nmap den an. Port 80 alleine sagt auch noch nichts über eine Verschlüsselung aus oder nicht. Port 80 bedeutet nur da lauscht einer. Viele Webserver bieten Port 80 an, weil es eben lange Zeit der Standard war und schalten auf eine verschlüsselte Verbindung um, sobald sensible Daten übertragen werden.

Ich kann micht auch auf Port 80 verbinden und sehe dort dann einen Login-Prompt. 443 geht nicht. Den Boa-Webserver verrät mir nmap, und das system ist ein 90% Match beim Fingerprinting von nmap, muss aber natürlich nicht stimmten.

Wie kommt man denn wieder an ein IPv4-Adresse? Ist in diesem Fall wegen einiger laufender Dienste zwingend erforderlich.

Ich frage mich immer wieder, wieso um drei Teufelsnamen ein Privatanwender sein Heimnetz öffentlich im Internet erreicht haben möchte? Meist ist es entweder um irgendwelche banalen Fotos mit Freuden zu teilen, oder um irgendwelche Spiele zu spielen, oder um mit IoT-Geräten (Heizung, Webcam, ...) zu kommunizieren, die 3 Tage nach Verkaufsstart sowieso keine Sicherheitspatches mehr erhalten. Egal was es ist, das rechtfertigt nicht dass ich mein Heimnetz von außen ansprechbar machen möchte.

Dir sollte aber klar sein dass ipv6 nicht vor Angriffen aus dem Netz schützt, sondern, ganz im Gegenteil, sogar jedes interne Gerät eine eindeutige IP hat (die zwar von der Fritzbox geblockt werden kann)? Wer sich den IoT-Schrott ins Haus holt hat eh nicht alle Latten am Zaun. Schön aber, dass Du gleich meinst zu wissen was mit einem Internetanschluss gemacht werden soll, und was nicht. In diesem Fall geht es um einen Hardwaregateway, der unter einem aktuellen Debian läuft und natürlich mit Updates versorgt wird.
Werde mal schauen was sich da machen lässt, vielleicht stellen die ja zurück auf IPv4, wenn man lieb fragt.

In deinem Fall (Serverbetrieb), frage ich mich wieso du dir nicht gleich einen V-Server kaufst? Im Netz bekommst du die Teile für 10 Euro im Monat nachgeschmissen incl. vollwertiger IPv4 Adresse, Uptimes von 99% und zum Teil Gigabit-Anbindung. Du mußt dich halt selber um das Patchen des Servers kümmern, aber das machst du mit deinem Heimserver sicher auch, weil alles andere wäre unverantwortlich. Wenn du von ssh sprichst, scheinst du mir nicht ganz unbedarft mit Linux zu sein.

Abgesehen davon, dass ein Vserver Geld kosten würde, wäre somit ein Betrieb über diesen auch überhaupt nicht möglich, da ich zumindest keinen VServer-Anbieter kenne der Modifikationen an der Hardware erlaubt. Dann bliebe noch der Betrieb eines Portmappers, kostet auch Geld. Und vorher ging es doch auch mit der externen IP, sollte doch eigentlich wieder konfigurierbar sein.
Für 10 Euro mehr in Monat könnte man auch gleich zu jedem anderen, vernünftigen Anbieter wechseln, der IPv4-Adressen verteilt.

[reneromann]

Ich verweise nochmal auf die AGB - du hast den AGB beI Vertragsschluss/Änderung zugestimmt, und damit hast du auch zugestimmt, dass du keine öffentliche IPv4 mehr erhältst.

Die einzig vernünftige Variante ist der Wechsel in einen Business-Tarif mit der Option "statische IP-Adresse", da dort eine öffentliche IPv4 Vertragsbestandteil ist. In allen anderen Konstellationen (Hotline nachfragen, Bridge-Modus bei Nicht-Fritzboxen, eigenes Endgerät) in denen bei "normLen" Anschlüssen noch eine IPv4 ergattert werden kann, ist nicht sicher, dass VF die nicht in naher Zukunft wieder abschaltet, weil sie schlichtweg nicht geschuldet ist -und- VF (wie den anderen ISP auch) die IPv4-Adressen zur Neige gehen.

Weiterhin ist IPv6 nicht sicherer oder unsicherer als IPv6, eine vernünftige Konfiguration des Routers und dessen Firewall vorausgesetzt. Jedoch hast du mit IPv6 den Vorteil, dass man sich den ganzen NAT-Rotz sparen kann.

By the Way: Wenn du dir die AGB von deinem Anschluss mal weiter durchgelesen hättest, wüsstest du auch, dass ein Serverbetrieb am Anschluss nicht gestattet ist - und die technische Hotline wird dein Anliegen auf Rückumstellung mit dem Verweis auf die Möglichkeit der Nutzung der Dienste über IPv6 ziemlich sicher ablehnen.

[kabelchris]

Tja, wenn das so ist hilft wohl nur ein Anbieterwechsel.
Ich las mal, dass zumindest anfangs relativ problemlos auf IPv4 umgestellt wurde (auf Nachfrage). Ist dann wohl nicht mehr so?

[Menne]

da stehst du vor dem gleichen Problem, vielleicht nicht gleich, aber in 6 oder 12 Monaten gehts dann wieder los!

Und wenn man eine Sache nutzen will die einem laut Vertrag nicht zusteht muss man halt Geld in die Hand nehmen!