Skip to content
View in the app

A better way to browse. Learn more.

Unraid

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

IPv4 ds-lite

Featured Replies

Hallo liebe Freunde des Internets,

 

ich habe nun vor einiger Zeit einen Auftrag an deutsche Glasfaser gestellt um mir einen Glasfaser Anschluss zu legen. In dem Gespräch damals kam raus das ich dort keine eigene öffentliche ipv4 Adresse zugewiesen bekomme. Mit meinem recht naiven Gedanke dass mein zukünftiges ich das schon irgendwie geregelt bekomme, stehe ich nun da, der Tag der Freischaltung rückt immer näher und ich habe tatsächlich keine Lösung dafür.

 

meine Frage an die Community, habt ihr auch ein solches Problem und habt schon eine Lösung gefunden ?

 

habe schon viel dazu gegoogelt und viele Möglichkeiten gehört wie z.b 6tunnel über einen günstigen vserver, oder von DG Partner festeip 

beides sind sogenannte Portmapper die aber laut meiner Recherche nur TCP Protokolle unterstützen

da ich neben Webseiten (vaultwarden und Plex) auch noch Voice Server und GameServer hoste die teilweise Udp zwingend erfordern sind beide Services für mich nicht brauchbar. 

 

jetzt hab ich gehört dass man per VPN und einen recht günstigen VServer das auch hinbekommen würde.

unraid nutzt ja seit neustem wireshark. Damit kenn ich mich leider nicht so gut aus.
Nur würde ich ungern den gesamten unraid Traffic durch den VPN jagen, sondern z.b nur gezielt ein docker subnet oder eine VM sodass ich Andere docker Instanzen die ich nicht außerhalb des Netzwerks haben will wie z.b Tautulli in einem anderen docker subnet lokal bleibt.

Ist sowas möglich oder habt ihr andere Ideen oder Lösungsvorschläge?

9 minutes ago, Cornflake said:

meine Frage an die Community, habt ihr auch ein solches Problem und habt schon eine Lösung gefunden ?

 

ich nutze im Falle eines Kabel Ausfalls LTE Fallback, was im Endeffekt auf das Gleiche hinaus kommt, DSLite ... kein Zugriff von außen über ipv4.

 

Meine Lösung, vserver Strato und Routing der Dienste dann temporär darüber.

 

Ich hatte Anfangs ssh Tunnel dafür genutzt, bin jetzt aber auf frp gewechselt (für mein usecase die bessere Alternative), beides geht einwandfrei für deine Zwecke.

 

13 minutes ago, Cornflake said:

Nur würde ich ungern den gesamten unraid Traffic durch den VPN jagen, sondern z.b nur gezielt ein docker subnet oder eine VM sodass ich Andere docker Instanzen die ich nicht außerhalb des Netzwerks haben will wie z.b Tautulli in einem anderen docker subnet lokal bleibt.

bei den oben genannten Lösungen wird das nicht passieren, nur der Zugriff über außen läuft dann über den vserver, lokale Adresse bleibt lokal.

 

Wireguard meinst du sicherlich, das wäre die VPN Lösung, einlesen und entscheiden ... oder abwarten was für Vorschläge kommen.

Bisschen offtop, was für Geschwindigkeit hatten die dir versprochen 

  • Author
3 minutes ago, alturismo said:

ich nutze im Falle eines Kabel Ausfalls LTE Fallback, was im Endeffekt auf das Gleiche hinaus kommt, DSLite ... kein Zugriff von außen über ipv4.

 

Meine Lösung, vserver Strato und Routing der Dienste dann temporär darüber.

 

Ich hatte Anfangs ssh Tunnel dafür genutzt, bin jetzt aber auf frp gewechselt (für mein usecase die bessere Alternative), beides geht einwandfrei für deine Zwecke.

 

bei den oben genannten Lösungen wird das nicht passieren, nur der Zugriff über außen läuft dann über den vserver, lokale Adresse bleibt lokal.

 

Wireguard meinst du sicherlich, das wäre die VPN Lösung, einlesen und entscheiden ... oder abwarten was für Vorschläge kommen.


Sorry ja, ich meinte natürlich wireguard.

 

Also du hast einen vserver und zum Routen nutzt du frp

hab ich so noch nirgends gelesen, ich werd mal dannach googeln und mich einlesen danke für dein Hilfe 

  • Author
12 minutes ago, igorekDE said:

Bisschen offtop, was für Geschwindigkeit hatten die dir versprochen 

Hab mir vorerst die große 1gbit Leitung geholt. Mit 500mbit Upload. Werde nach einem Jahr aber dann warscheinlich auf eine kleiner runterwechseln weils zu teuer is. Das schlägt halt um weiten das was ich zurzeit habe. Damals hatte ich die 1gig von kabeldeutschland (Vodafone) mit dem 50mb Upload Upgrade. Jetzt hab ich wegen Umzug nur eine 200er dsl Leitung mit 40mb Upload.

grade weil ich Sachen wie Plex hoste krieg ich bei 500mb Upload bling bling vor den Augen

Edited by Cornflake

20 minutes ago, Cornflake said:

grade weil ich Sachen wie Plex hoste krieg ich bei 500mb Upload bling bling vor den Augen

dann braucht es aber einen stärkeren vserver, die Strato Basic haben "nur" 100mbit ... ;) 

 

frp ist fein einzurichten für RDP remote und co, Trennung http, tcp und udp traffic auf identischen ports, usw usw ... für deinen usecase um es nicht zu kompliziert zu machen, ssh tunnel einrichten mit den ports wo du benötigst und fertig.

 

hier noch eine kleine Anleitunng

https://www.computerbase.de/forum/threads/how-to-zugriff-von-aussen-hinter-doublenat-dslite-firewall-mittels-reverse-ssh-tunnel.1883158/#:~:text=Der Trick eines SSH Reverse,das Heimnetz geschickt werden kann.

  • Author
50 minutes ago, alturismo said:

dann braucht es aber einen stärkeren vserver, die Strato Basic haben "nur" 100mbit ... ;) 

 

frp ist fein einzurichten für RDP remote und co, Trennung http, tcp und udp traffic auf identischen ports, usw usw ... für deinen usecase um es nicht zu kompliziert zu machen, ssh tunnel einrichten mit den ports wo du benötigst und fertig.

 

hier noch eine kleine Anleitunng

https://www.computerbase.de/forum/threads/how-to-zugriff-von-aussen-hinter-doublenat-dslite-firewall-mittels-reverse-ssh-tunnel.1883158/#:~:text=Der Trick eines SSH Reverse,das Heimnetz geschickt werden kann.

Danke für die Info, irgendwas besonderes, was ich im Sicherheitsaspekt drauf achten muss ?

ich meine im Vergleich zu jetzt. Jetzt hab ich kn der FRITZ!Box ein ganz normales port forwarding zu meinem Dienst.

Ist im ssh tunnel alles verschlüsselt ?

 

 

Von Ionos gibts vserver die ne 400er Anbindung haben. Da würd ich schon eher in die Richtung kommen.

 

wobei Plex denke ich am meisten Bandbreite schlucken würde und ich bin mir nicht sicher ob Plex sogar ipv6 unterstützt. Die haben ja quasi bei Plex sowas wie einen relay server. Dann würde ich den Traffic ja schonma einsparen wenn das klappt.

  • Community Expert

Weniger Geschwindigkeit und dafür einen Business Tarif mit öffentlicher IPv4 nehmen? Oder haben die sowas nicht?

13 hours ago, Cornflake said:

Die haben ja quasi bei Plex sowas wie einen relay server. Dann würde ich den Traffic ja schonma einsparen wenn das klappt.

der ist jedoch limitiert auf 2mbit streams wenn ich mich recht erinnere ... lies nochmal nach, außer dir reicht das für deine "Gäste" ;)

  • Author
2 hours ago, mgutt said:

Weniger Geschwindigkeit und dafür einen Business Tarif mit öffentlicher IPv4 nehmen? Oder haben die sowas nicht?

 

soweit ich gelesen habe bekommst du bei denen nicht so einfach den Buisness Vertrag. Bei Vodafone hatte ich den damals, da konnte ich den direkt auswählen und bestellen.

Bei Deutsche Glasfaser kannst du bei den Buisnesstarifen nur eine anfrage starten da musst du dann ein ganzes formular ausfüllen mit firmen details usw. habe auch glaube ich schon gelesen das sie das für Privatkunden nicht machen so wie andere Internet anbieter.

 

Damals war das alles noch einfacher bei Inexio hatte ich damals ach noch eine eigene, bis sie mich von einem auf den anderen tag hinter ein NAT gesetzt haben. nach einem anruf und ein bisschen gejammer habe ich aber dort meine eigene IP wieder zurück bekommen.

 

25 minutes ago, alturismo said:

der ist jedoch limitiert auf 2mbit streams wenn ich mich recht erinnere ... lies nochmal nach, außer dir reicht das für deine "Gäste" ;)

 

Oh ja kann natürlich sein, weis ich garnicht. nutze den momentan nicht.

  • Community Expert
56 minutes ago, Cornflake said:

Bei Deutsche Glasfaser kannst du bei den Buisnesstarifen nur eine anfrage starten da

Laut Foren wohl mehrere hundert Euro pro Monat. Tja, so viel zu dem hohem Upload.

 

Was man evtl versuchen kann ist IPv6 zu erzwingen. Dh die verwendete Domain publiziert ausschließlich die IPv6 vom Server und hat keinen A Eintrag. Das setzt aber natürlich voraus, dass die Applikation das auch kann.

17 hours ago, alturismo said:

dann braucht es aber einen stärkeren vserver, die Strato Basic haben "nur" 100mbit ... ;) 

Ich habe den kleinsten von netcup, nutze da drauf den Mikrotik CHR mit Wireguard.....Gegenstelle ist mein MT RB4011 mit Dual WAN (1G/55M VF Kabel und 55/25LTE congstar)...500-700mBit mit 1 vCore im download... kein Problem.

  • 3 years later...

@Cornflake
Ich habe kürzlich meinen Unraid Server von der Wohnung A mit dem ISP Telekom in eine andere Wohnung B mit 1&1 als ISP umgezogen.
In der Wohnung B habe ich dann wie bisher auch, eine Wireguard VPN Verbindung über die Fritzbox eingerichtet, um von extern Zugriff auf den Unraid Server und die Shares zu erhalten...


Ausgangssituation:

Wireguard VPN zur FritzBox funktionierte, ich kam auf die Weboberfläche von Unraid per IP drauf und auch auf die HTTP/S Urls von Docker Diensten wie z.b. Paperless-ngx.
Was jedoch nicht funktionierte war der Zugriff auf die Shares. Zudem hatte ich ein merkwürdiges Verhalten mit Verbindungsabbrüchen bei Docker & Application Updates (timeouts), die ich mir nicht erklären konnte. SSH Tunnel auf Port 22 ging auch nicht mehr etc...irgendwie war der Wurm drin und ich wusste, dass ich am Unraid selbst nichts geändert habe.

Analyse:

In der Wohnung B wird in der FritzBox 7590 unter Internet --> Online-Monitor --> Verbindungsdetails wird angezeigt, dass die Verbindung
Internet, IPv4 --> verbunden seit xxx Uhr, 1&1 Telecom GmbH FRITZ!Box verwendet einen DS-Lite-Tunnel

Dank Infos wie
https://persoft.de/tipps-tricks/wireguard-vpn-server-auf-fritzboxen-am-ds-lite-anschluss/
https://fritz.com/service/wissensdatenbank/dok/FRITZ-Box-7490/1497_Kann-MyFRITZ-an-einem-Internetzugang-mit-IPv6-DS-Lite-genutzt-werden/
konnte ich das dann besser verstehen was das Problem war.

Hauptproblem:

Beim DS-Lite-Tunnel gibt's Schwierigkeiten bei der "geteilten" IPv4 Adresse und den Default Portfreigaben. Zudem hat anscheinend 1&1 den Port 445 für die Shares blockiert.

Funktionierende Lösung:

Schritt 1) IPv6 für die Wireguard Verbindung verwenden:

Zunächst prüfen ob der FritzBox Zugang unter https://www.myfritz.net/devices/#/ auch IPv6 Adresse anzeigt.
Anschließend in der Wireguard Client Config, sicherstellen, dass auch die IPv6 von der fritz box verwendet wird --> öffentliche Fritzbox url mit eckigen Klammern [ ] schreiben

und die IPv6-Range in den AllowesIPs ergänzen
```
[Peer]

AllowedIPs = 192.168.178.0/24, ::/0
Endpoint = [7p6kyÖffentlicheAdresse3y5n.myfritz.net]:56769
```

::/0 heißt: alles IPv6 durch den Tunnel, kann man wenn's funktioniert weiter einschränken auf die IPv6 range

Neu ins VPN einwählen und dann prüfen mittels:
dig AAAA 7p6kyÖffentlicheAdresse3y5n.myfritz.net
sollte mit der öffentlich IPv6 Adresse antworten (z.b. AAAA 2001:16b8...

==> huhuu, SSH Zugriff geht wieder ;-)

Schritt 2) Unraid SMB IPv6 Interface freischalten

Am Unraid Server unter
Settings → Network Services → SMB → Extra configuration

das IPv6 Interface freischalten:


# Alle Interfaces erlauben (z.b. IPv6 Wireguard Verbindungen über Fritzbox):

bind interfaces only = no

Schritt 3) Alternativer SMB Port wegen ISP 1&1

Anscheinend wird beim DS-Lite-Tunnel vom ISP 1&1 der Standart SMB Port per default 445 blockiert...

daher auch Settings → Network Services → SMB → Extra configuration den smb Port auf einen anderen verlegen, z.b.:
smb ports = 1445

Anschließend einmal in Unraid ins Terminal gehen und den Samba Dienst neustarten:
/etc/rc.d/rc.samba restart

ggf gegencheck ob die Portfreischaltung geklappt hat:
telnet 192.168.178.10 445

Danach funktioniert der Zugriff auf die Shares wieder:
smbclient -L //192.168.178.10 -p 1445 -U username -W Workgroup
bzw über Nemo:

smb://192.168.178.10:1445/


Ich hoffe das kann dem ein oder anderen hier helfen, der in der selben bescheidenen DS-Lite-Tunnel Situation ist :-)

Edited by Asgard

  • Author
6 hours ago, Asgard said:

@Cornflake
Ich habe kürzlich meinen Unraid Server von der Wohnung A mit dem ISP Telekom in eine andere Wohnung B mit 1&1 als ISP umgezogen.
In der Wohnung B habe ich dann wie bisher auch, eine Wireguard VPN Verbindung über die Fritzbox eingerichtet, um von extern Zugriff auf den Unraid Server und die Shares zu erhalten...


Ausgangssituation:

Wireguard VPN zur FritzBox funktionierte, ich kam auf die Weboberfläche von Unraid per IP drauf und auch auf die HTTP/S Urls von Docker Diensten wie z.b. Paperless-ngx.
Was jedoch nicht funktionierte war der Zugriff auf die Shares. Zudem hatte ich ein merkwürdiges Verhalten mit Verbindungsabbrüchen bei Docker & Application Updates (timeouts), die ich mir nicht erklären konnte. SSH Tunnel auf Port 22 ging auch nicht mehr etc...irgendwie war der Wurm drin und ich wusste, dass ich am Unraid selbst nichts geändert habe.

Analyse:

In der Wohnung B wird in der FritzBox 7590 unter Internet --> Online-Monitor --> Verbindungsdetails wird angezeigt, dass die Verbindung
Internet, IPv4 --> verbunden seit xxx Uhr, 1&1 Telecom GmbH FRITZ!Box verwendet einen DS-Lite-Tunnel

Dank Infos wie
https://persoft.de/tipps-tricks/wireguard-vpn-server-auf-fritzboxen-am-ds-lite-anschluss/
https://fritz.com/service/wissensdatenbank/dok/FRITZ-Box-7490/1497_Kann-MyFRITZ-an-einem-Internetzugang-mit-IPv6-DS-Lite-genutzt-werden/
konnte ich das dann besser verstehen was das Problem war.

Hauptproblem:

Beim DS-Lite-Tunnel gibt's Schwierigkeiten bei der "geteilten" IPv4 Adresse und den Default Portfreigaben. Zudem hat anscheinend 1&1 den Port 445 für die Shares blockiert.

Funktionierende Lösung:

Schritt 1) IPv6 für die Wireguard Verbindung verwenden:

Zunächst prüfen ob der FritzBox Zugang unter https://www.myfritz.net/devices/#/ auch IPv6 Adresse anzeigt.
Anschließend in der Wireguard Client Config, sicherstellen, dass auch die IPv6 von der fritz box verwendet wird --> öffentliche Fritzbox url mit eckigen Klammern [ ] schreiben

und die IPv6-Range in den AllowesIPs ergänzen
```
[Peer]

AllowedIPs = 192.168.178.0/24, ::/0
Endpoint = [7p6kyÖffentlicheAdresse3y5n.myfritz.net]:56769
```

::/0 heißt: alles IPv6 durch den Tunnel, kann man wenn's funktioniert weiter einschränken auf die IPv6 range

Neu ins VPN einwählen und dann prüfen mittels:
dig AAAA 7p6kyÖffentlicheAdresse3y5n.myfritz.net
sollte mit der öffentlich IPv6 Adresse antworten (z.b. AAAA 2001:16b8...

==> huhuu, SSH Zugriff geht wieder ;-)

Schritt 2) Unraid SMB IPv6 Interface freischalten

Am Unraid Server unter
Settings → Network Services → SMB → Extra configuration

das IPv6 Interface freischalten:


# Alle Interfaces erlauben (z.b. IPv6 Wireguard Verbindungen über Fritzbox):

bind interfaces only = no

Schritt 3) Alternativer SMB Port wegen ISP 1&1

Anscheinend wird beim DS-Lite-Tunnel vom ISP 1&1 der Standart SMB Port per default 445 blockiert...

daher auch Settings → Network Services → SMB → Extra configuration den smb Port auf einen anderen verlegen, z.b.:
smb ports = 1445

Anschließend einmal in Unraid ins Terminal gehen und den Samba Dienst neustarten:
/etc/rc.d/rc.samba restart

ggf gegencheck ob die Portfreischaltung geklappt hat:
telnet 192.168.178.10 445

Danach funktioniert der Zugriff auf die Shares wieder:
smbclient -L //192.168.178.10 -p 1445 -U username -W Workgroup
bzw über Nemo:

smb://192.168.178.10:1445/


Ich hoffe das kann dem ein oder anderen hier helfen, der in der selben bescheidenen DS-Lite-Tunnel Situation ist :-)

Hey das ist nen guter Ansatz,

Danke für deine ausführliche Beschreibung.

Ich hatte das am Anfang auch mal probiert, nur leider stößt man schnell auf das Problem dass ipv6 noch immer nicht weit verbreitet ist und man bei Kollegen im wlan dann keine Verbindung aufbauen kann.

Das mit dem smb Port wundert mich aber doch sehr stark da du mit dem WireGuard doch nen Tunnel bis zu dir nachhause hat, da kann dein Anbieter nicht den smb Port blocken, der sieht ja nicht was in dem WireGuard Tunnel passiert. Ist alles verschlüsselt.

Sicher das es nicht woanders blockiert wurde ?

Meine Lösung mit der ich immernoch sehr zufrieden bin ist ein Vserver von IONOS, für monatlich 1€. Der muss ja nix können, einfach den kleinsten und der baut dan per WireGuard die Verbindung auf. Im Heimnetz Dan noch bisschen vlans und sicherheit einbauen. Und schon ist die Webseite wieder online

1 hour ago, Cornflake said:

Sicher das es nicht woanders blockiert wurde ?

Nicht zu 100% sicher...habe alles geprüft was mir Eingefallen ist. Automatische Portfreigaben für den Unraid Server in der FritzBox, keine IPTables Firewall Blockaden am Unraid,
Share Zugriff lokal vor Ort funktioniert und SMB Port lief auch am Unraid Server und war für IPv4 und IPv6 für alle Hosts freigeschaltet:

ss -tulpen | grep 445
tcp LISTEN 0 50 127.0.0.1:445 0.0.0.0:* users:(("smbd",pid=3712146,fd=29)) ino:103676453 sk:1010 cgroup:/ <-> tcp
LISTEN 0 50 192.168.178.10:445 0.0.0.0:* users:(("smbd",pid=3712146,fd=31)) ino:103676455 sk:1018 cgroup:/ <->

Andere Ports wie SSH haben nach der Umstellung auf IPv6 in Wireguard auch funktioniert...wüsste nicht wer mir sonst den 445 blocken würde.

Ist der SMB block in der Fritzbox den auch ausgeschaltet?

Edit: Das da.

image.png

Edited by Mainfrezzer

Auf meinem TS3 Server sind wir bis zu 11 Leute, inzwischen haben es sogar die Briten geschafft IPv6 zu aktivieren, d.h. alle verbinden sich über IPv6.

On 6/25/2022 at 7:25 AM, mgutt said:

Weniger Geschwindigkeit und dafür einen Business Tarif mit öffentlicher IPv4 nehmen? Oder haben die sowas nicht?

die Kohle möchtest du nicht bezahlen, nicht mal als Geschäftskunde.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

Account

Navigation

Search

Search

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.