Eine manuelle Einrichtung wäre zwar möglich (unter "IPv6" bei "Zugangsdaten", ggf,. wird sogar von der 7430 beim DHCPv6 die AFTR-Adresse korrekt mit übermittelt - zumindest nachsehen kann man mal, wenn man einen DS-Lite-Anschluß hat), aber da es keine weiteren, gravierenden Nachteile gibt (z.B. eine noch zusätzlich verringerte MTU), solange zwischen 7430 und 7590 IPv4 verwendet wird, wäre ich da bei eigenen Tests auch einigermaßen vorsichtig, weil das garantiert eine der weniger gut getesteten Konfigurationsmöglichkeiten bei AVM ist.
Wobei die Seite "IPv6" eigentlich auch in der 7430 zugänglich sein müßte für den Kunden und man somit die IPv4-Unterstützung in der 7430 (und damit die Benutzung des AFTR-Servers) auch deaktivieren können sollte - außerdem glaube ich eher nicht, daß es beim Provider da irgendwelche Fehlermeldungen gibt.
Die zweite FRITZ!Box hat ja eine andere IPv6-Adresse, daher müßte der "Address Family Transition Router" (ich schreibe den mal aus, weil einige Leser vielleicht sonst der Ansicht sind, das Protokoll enthielte gleich selbst den Hinweis darauf, daß damit Kunden mit der Notwendigkeit eingehender IPv4-Requests am "After" wären) schon die per DHCP an die Kunden verteilten Präfix-Nummern mit denen der Router selbst abgleichen, um so einen "kaskadierten Router" zu erkennen (und eigentlich ist das Präfix für die Delegierungen ja genau für solche Fälle gedacht) ... da es für den Provider keinen echten Unterschied macht, wo der IPv6-Tunnel beim Kunden endet (die Leitungskapazität wird dadurch nicht geändert) und diese Konstellation mit dem Tunnel-Endpunkt auf einem kaskadierten Router eher selten sein sollte, würde mich da alles einigermaßen überraschen, was über eine Maskierung eines Segments hinausgeht (als "Outgoing Policy").
Wenn diese Überprüfung überhaupt stattfindet ... weil das IPv6-Interface so eines AFTR-Servers nicht unbedingt öffentlich erreichbar sein muß, ist es nicht mal zwingend, daß dieses Interface von außerhalb "mißbraucht" werden kann mit Adressen, die nicht im Provider-Netz liegen. Ich habe bisher noch nichts von einem "real world"-Angriffsszenario gelesen (auch wenn in
RFC 6333 das bei "Security Considerations" tatsächlich thematisiert wird), bei dem ein Angreifer über einen fremden AFTR-Server seine Herkunft zusätzlich verschleiert hätte ... wobei es in
RFC 6908 auch noch ein paar Überlegungen gibt, ob/wie man einen AFTR absichern könnte oder sollte ("Outgoing Policy" und "Tunnel Security"). Aber der eigene B4-Endpunkt sollte auch in solche "Policy Restrictions" fallen (wenn sie denn umgesetzt sind beim eigenen Provider), solange man die vom Provider ausgegebenen IPv6-Adressen benutzt.
Alles in allem ist das aber tatsächlich eine interessante Problemstellung, die man auch nur an einem DS-Lite-Anschluß irgendeines Providers in der "richtigen Welt" sinnvoll testen kann (es nutzt ja nichts, wenn man es mit einem eigenen AFTR macht, dessen Limitierungen man selbst kennt und festgelegt hat) ... wenn die 7430 die IPv6-Registerkarte anbietet (bzw. selbst wenn das nicht so ist), kann man ja tatsächlich mal versuchen, die 7590 selbst auch nur auf "natives IPv6" und DHCP zu konfigurieren - kriegt sie dann einen AFTR-Server von der 7430 übermittelt, sollte sich M-net bei Störungen auch nicht wirklich "verweigern" können.
Wobei man das auch ohne Änderungsmöglichkeiten an der 7430 durchaus mal probieren könnte ... aber man kann es auch von den konkret bereitgestellten Adressbereichen (für die 7430 selbst und für Delegierungen an kaskadierte Router) und damit von der "Wahrscheinlichkeit", daß die am AFTR in dieselbe Policy fallen werden, abhängig machen. Kriegt der Anschluß ein /56-Netz und baut daraus selbst seine Subnetze für Delegierungen, stellt sich die Frage der "gemeinsamen Maskierung" nicht wirklich ... man könnte aber auch mal nachsehen, welche IP-Adresse die Box tatsächlich für die Tunnel zum AFTR benutzt und wenn das eine ist, die ohnehin durch "privacy extensions" gewechselt wird, gäbe es auch in "normalen Betrieb" durchaus Situationen, wo mehr als ein Tunnel von einer FRITZ!Box zum AFTR besteht (eine "Anmeldung" und einen "Tunnelaufbau" gibt es da ja aber nicht wirklich) ... halt mit unterschiedlichen IPv6-Adressen der Box.
Wobei das auch für mich selbst etwas unwahrscheinlich klingt ... vermutlich wird das FRITZ!OS für den Tunnel tatsächlich eine "statische" IPv6-Adresse verwenden, die nicht durch PE gewechselt wird - andererseits protokolliert der Provider ohnehin anhand der "ausmaskierten Adresse", welche Verbindungen der Kunde aufbaut und dagegen helfen auch die PE nicht wirklich weiter; die verhindern nur das Tracking bei Server-Betreibern, wenn der Provider nicht wieder selbst seine Kunden "nackig" macht ggü. dem Internet, weil er IPv6-Adressen nicht ändert und immer dieselben zuweist.
