Server-Betrieb an Deutsche Glasfaser / IPv6?

    Zum Glück gibt es hier ja ein paar Leute, die sich mit TCP/IP erheblich besser auskennen als ich.

    Somit kann ich mir vorstellen, daß ich hier ein paar Antworten zu den Fragen bekomme, die sich mir gerade stellen.

    Kurz und knapp:

    Kann man (und wenn, wie?) an einem Deutsche Glasfaser Home Anschluß sinnvoll einen Mailserver und einen Webserver betreiben?

    Diese Anschlüsse haben keine öffentliche IPv4.

    Die öffentliche/globale IPv6 soll allerdings statisch sein.


    Hintergrund: Aktuell läuft mein Mailserver mit einer statischen IPv4 und wird auch von allen Providern akzeptiert. Ich stehe jetzt aber vor der Entscheidung, auf die bisherige Lösung zu verzichten, oder diese erherblich teurer als bisher weiter zu betreiben. Ohne eine statische IPv4 wird die Akzeptanz wohl dahin sein.

    +++ ATH

    Du könntest Dir für EUR 4,51 pro Monat eine virtuelle Maschine in der Hetzner Cloud klicken, die für Dich die IPv4-Endpunkt bereitstellt und sie über IPv6 zu Dir nach Hause weiterleitet.


    Für den Mailserver sollte das problemlos mit einem Application Level Gateway (z.B. socat) gehen, d.h. die IPv4-Verbindung wird von Deinem Cloud-Server angenommen und im Userspace an eine IPv6-Verbindung zu Dir nach Hause weitergeleitet. Für Deinen Mailserver kommen in dieser Konfiguration dann alle Verbindungen von der IPv6-Adresse von Deinem Cloud-Server, d.h. der Mailserver muss auch IPv6 sprechen.


    Du kannst den Cloud-Server auch als VPN-Gateway konfigurieren mit NAT konfigurieren - Dann würden die IPv4-Pakete über das VPN zu Deinem Mailserver als IPv4-Verbindungen durchgereicht. OpenVPN geht dafür, aber es gibt auch noch performantere Lösungen.

    Die IP--Adresse bei Hetzner ist dynamisch, eine feste kostet EUR 3,57 pro Monat. Für einen Mailserver brauchst Du die aber eigentlich nicht, ein DNS-Eintrag mit einer kurzen TTL tut es auch.

    Zitat von Toast_r

    Um wirklich von den großen akzeptiert zu werden muß auch ein passender reverse DNS Eintrag vorhanden sein

    Den RDNS-Eintrag kann man bei Hetzner über die Konsole und die API konfigurieren.

    Zitat von Toast_r

    Nachdem ich nun einige Zeit im Netz gestöbert habe, weiß ich eins schonmal ziemlich sicher:

    Um das einzurichten werde ich kompetentente Hilfe brauchen... ::matrix::

    Ich schaue mal, dass ich das mit meiner virtuellen Maschine konfiguriere und mitschreibe.

    Gerade bekam ich eine Email vom Telekom-Sicherheitsteam:



    Das trifft sich gut, weil ich mir den Telnet-Zugang zu meinen Retro-Sachen auch auf einer Hetzner-VM einrichten will, um nicht von der Telekom-Sicherheit genervt zu werden. :)

    also "günstige" vm's gibts ab 1 euro.. z.b. bei ionos... sind aber keine "echten vm's" sondern "virtuelle instanzen". bei dem preis aber vollkommen ok.


    bei hetzner würd ich aufpassen. wir haben eine grosse zahl von hetzner server die alle plötzlich geblocked waren. hat sich herausgestellt das hetzner ja ip-netze aufkauft und es war auch mal ein netz dabei das aus einem land stammt das in vielen blacklisten stand.

    netzte=ip-blöcke.


    ich sage nicht das hetzner schlecht ist, ganz im gegenteil bin vollauf begeistert. nur will ich drauf hinweisen das wenn z.b. mal keine emails ankommen man gucken sollte ob die ip die die vm hat nicht geblocked sind.

    Viva forever

    Zitat von hans

    Du könntest Dir für EUR 4,51 pro Monat eine virtuelle Maschine in der Hetzner Cloud klicken

    Jap, das ist der Weg. So kannst du's machen und es funktioniert dann auch ordentlich.

    Disclaimer: Das ist mein aktueller Arbeitgeber, deswegen bin ich etwas parteiisch :) (ist aber auch wirklich ehrlich die richtige Lösung).


    Ich würde vermutlich einen Wireguard-Tunnel aufsetzen. Der ist sehr simpel, funktioniert zuverlässig, sicher und kommt ohne viel Krimskrams aus.

    Da kannst du dann den kompletten IPv4/IPv6-Verkehr deiner Mailserver-Kiste zuhause durchziehen und fuer die andere Richtung die entsprechenden Ports freigeben.


    Du musst bei so einer Aktion ein wenig auf die MTU achten (ich hatte da in RE: HTML aber richtig und Retro! schon mal was zu geschrieben, bei Nutzung von so einem VPN treten die gleichen Problemstellen wieder auf).

    Bei Mailservern muss man noch drauf achten, die IP-Adressen nicht allzusehr zu verfummeln, d.h. beim NAT aufzupassen, damit der Postfix (oder was auch immer) am Ende noch die richtigen IP-Adressen sieht.


    Eine relativ beliebte Lösung ist, einfach OpenWRT (das Router-Betriebssystem) auf einer Hetzner-VM zu installieren. Da kann man dann auch ueber die Weboberflaeche einfach die Tunnel, Firewall-Regeln, Portweiterleitungen, etc. konfigurieren und gluecklich werden ;)

    Zitat von Toast_r

    Um das einzurichten werde ich kompetente Hilfe brauchen... ::matrix::

    Joa, sag halt mal bescheid, das bekommt man an nem Samstag Vormittag hingefummelt ;)

    Zitat von obsd_guru

    aus einem land stammt das in vielen blacklisten stand

    Joa, das passiert leider ab-und-zu mal. (leider auch aus anderen Gründen, siehe Iran-Konflikt, Zensur, etc.)

    Weil die VMs aber stundenweise abgerechnet werden und man die Mailserver-IP ja langfristig nutzen will, kann man dann aber halt mal 2-3 VMs klicken und die mit der "saubersten" IP behalten.

    Man bekommt auch die "schlimmen" IPs aufgeräumt, aber das kann mal nen paar Tage/Wochen dauern.

    Zitat von hans

    weil ich mir den Telnet-Zugang zu meinen Retro-Sachen auch auf einer Hetzner-VM einrichten will

    Das sind diese Sicherheitsmails vom BSI, die bekommst du von Hetzner aber auch weitergeleitet, wenn du einen offenen Telnetd betreibst ;)

    Zitat von hans

    Die IP--Adresse bei Hetzner ist dynamisch

    Oehm, naja! Die "mitgelieferten" IPv4-Adressen sind schon sehr statisch. Die bleiben komplett in deinem Account, sind allerdings auf eine einzelne VM beschraenkt.

    Bei den kostenpflichtigen Zustatz-IPs gibt es das Feature, dass du sie dynamisch auf mehrere VMs umschalten kannst (fuer Lastverteilung/Ausfallsicherheit).


    Aber die normalen IPv4-Adressen sind fuer normale Nutzung komplett ausreichend.