Moin.
Einleitung: Innerhalb von einem Heimnetz habe ich einen Server (welcher sich in einem Subnetz befindet) den Ich aus dem Internet erreichbar machen will. Bei dem "Haupt"router ins internet Handelt es sich um eine Fritz!Box und bei dem Router des Subnetz, der als Gateway in dieses dient handelt es sich um einen älterten Router auf dem OpenWRT läuft.
Der zugriff aus dem Internet muss via IPv6 erfolgen, da ich per IPv4 hinter einem CGNAT (Carrier-Grade NAT) bin. Technisch kann ich dem Server keine Globale Unicast geben weshalb NAT66 erfolderlich ist. Meine Idee war nun, dass ich mit dem dienst MyFritz (DynDNS von AVM) ein AAAA record auf die Globale Unicast des OpenWRT routers zeigt (was bereits klappt) und dieser NAT66 zur ULA des Servers betreibt. Also sollte ein Paket in etwa dieser weg haben (ohne ISP Router)(Öffentliche IPs gekürzt):
Client [...:ebc:c7af]:80 --> Fritz!Box [...:c985:6879]:80 --> OpenWRT [...:fedd:b396]:80 --> Server [fd22:b14f:c1ba::11:80]:8080
Problem: Die DNAT Einstellung im OpenWRT-Router klappt, anfragen an 80, 443 an den Router werden korrekt an den Server geleitet werden und ich ich kriege die Response. Nun allerdings klappt dies nicht wenn ich von außerhalb (aus dem Internet via Mobile Daten) auf diesen Zugreife.
Ins Heimnetz selber kommen die Anfragen, da ich Testweise die UI vom OpenWRT router auf [::]:80 gestellt habe und diese erfolgreich von außerhalb geladen wurde. Mithilfe von tcpdump auf dem Server konnte ich bereits feststellen, dass egal ob von Außen oder innen der Server die Pakete bekommt und Antwortet -> Es muss also auf rückweg etwas schiefgehen.
Nun habe mich per WireShark zwischen FritzBox und OpenWRT-Router geschaltet und den Switch Port des OpenWRT-Routers gemirrored. Dabei habe ich festgestellt, dass Im Fall vom Innenzugriff ganz klar die Pakete zurückkommen, aber von außerhalb, dass die Paketen ankommen aber keine Antwort folgt. Dies ist der WireShark ausschnitt (ober der Blauen Linie Gerät war außerhalb, darunter war es innerhalb):
Es ändert nicht ob ich beim OpenWRT Router extra SNAT Regeln habe oder nicht, da wahrscheinlich Connection Tracking beim DNAT genutzt wird. Die ausschnitte habe ich mit aktivierem manuellem SNAT aufgenommen.
Einstellungen: Die DNAT Einstellungen auf dem OpenWRT sehen folgendermaßen aus:
Sie sind auch erforderlich da, wenn ich diese deaktivieren die Anfragen von innen auch nicht durchkommen.
Dies ist das SNAT (was scheinbar keinen Unterschied macht):
(anstelle von nur "wan" ist dort eigentlich die zone "wan, wan6" eingetragen, das interface eth0.2 ist das welches ins Heimnetz führt).
Ich weiß, dass diese Frage ein ziemlicher Brecher ist, wäre aber sehr dankbar wenn jemand, wenn es auch nur eine wage Vermutung ist diese Posten könnte. Wenn noch weiteres Infos wie configs oder Paket Mitschnitte mit bestimmten Filtern helfen können kann ich diese gerne bereitstellen.
Vielen Dank für jede Idee!
