7590AX an "Deutsche Glasfaser": Fernzugriff

[Rolf Grisu]

Hallo zusammen,

mit einem Neuanschluss liefert "Deutsche Glasfaser" eine 7590AX und hängt diese hinter ein "Modem" (Fiber-Twist GC211OC). Die Version der 7590AX ist V7.81, die Update-Funktion ist blockiert. Die Box erhält am WAN-Anschluss eine private IP-V4 (100.82.x.x) und eine öffentliche IP-V6-Adresse. Da IP-V4 nach außen nicht verfügbar ist, ignoriere ich das im Weiteren.

Für die V6-Adresse ist eine myfritz-Konto registriert und auch eine DynDNS-Adresse erfolgreich angelegt.
Über "Fritzbox-Dienste" ist der "Internetzugriff" aktiviert, darunter werden die Erreichbarkeit der Box aus dem Internet mit verschiedenen URLs dargestellt.
Es sind Fritz-Box-Benutzer eingerichtet, für die auch "Zugang aus dem Internet" freigeschaltet sind.

Der Zugriff auf die URLs aus "Fritzbox-Dienste" funktioniert aus dem internen Netz. Beim Zugriff "von außen" erhalte ich aber keine Verbindung. Die Tests erfolgen von Linux-Clients in mehreren IP-V6-Netzwerken oder aber Handys über 4G.

Im Detail:
in https://myfritz.net/devices ist die Fritzbox mit einem Link auf die myfritz-Adresse:[Port] sichtbar. Ein Klick darauf öffnet eine Warnung, dass die Box mit einer privaten IP-V4-Adresse registriert wurde und bietet "Auf IPv6-Adresse weiterleiten" an. Ein Klick darauf verweist auf einen Link https://[IPv6-Adresse]:[Port]/myfritz, endet aber in "Fehler: Verbindung fehlgeschlagen"...die Website könnte vorübergehend nicht erreichbar sein. Auf dem Linux-Client ergibt ein "ping -6 [IPv6-Adresse]" "Der Name oder der Dienst ist nicht bekannt". Die in myFritz gelistete IPv6-Adresse ist mit im "Online-Monitor" gelisteten IPv6-Adresse identisch - als wäre die IP im DNS nicht registriert.

Beim Zugriff über die DynDNS-Adresse ist das Verhalten nahezu identisch: "Fehler: Verbindung fehlgeschlagen" und "ping -6 [DynDNS-Name]" endet in "ping: connect: Das Netzwerk ist nicht erreichbar". Gleiches Ergebnis bei ping auf die myfritz-Adresse.

Das Ziel ist pimär (und vorübergehend) die Verwaltungsoberfläche der 7590AX von außen erreichbar zu machen und sekundär über den Anschluss einen Wireguard-Tunnel aufzubauen (sofern das mit V7.81 überhaupt mit IPv6 möglich ist)

Wo liegt hier das Problem?

Vielen Dank für die Unterstützung

 

[tango501]

sofern das mit V7.81 überhaupt mit IPv6 möglich ist

"Der Internetzugriff über die entfernte FRITZ!Box ist jedoch nur über IPv4 möglich; ein Zugriff auf IPv6-Internetdienste ist nicht möglich. Wir arbeiten an einer Lösung und werden den IPv6-Internetzugriff über die entfernte FRITZ!Box in einem kommenden FRITZ!OS-Update ermöglichen."
Quelle:

Überträgt die FRITZ!Box IPv6-Netzwerkverkehr über VPN? | FRITZ!Box 7590 AX

avm.de

 

[Rolf Grisu]

In dem von Dir verlinkten Wissensdokument heißt es aktuell: "Die FRITZ!Box kann VPN-Verbindungen (IPSec, WireGuard) sowohl über IPv4 als auch über IPv6 herstellen." Ich glaube, mit V8.x hat sich da etwas geändert.

Das ist aber nicht das Kernproblem. Aktuell komme ich "von außen" überhaupt nicht an das Netz heran. Die externe IPv6-Adresse des Netzes ist nicht erreichbar.

 

[frank_m24]

Auf dem Linux-Client ergibt ein "ping -6 [IPv6-Adresse]" "Der Name oder der Dienst ist nicht bekannt".

Du hast bei dem Versuch aber hoffentlich keine eckigen Klammern um die Adresse gemacht, oder? Ping arbeitet mit der reinen Adresse.

Ein Klick darauf verweist auf einen Link https://[IPv6-Adresse]:[Port]/myfritz, endet aber in "Fehler: Verbindung fehlgeschlagen".

Da würde ich den Zugriff direkt auf die Domain versuchen. Die Eingabe von IPv6 Adressen in Browsern kann problematisch sein, da am Ende Port und Adresse durcheinander geraten können.

Führe auf deinem Linux Client mal ein
mtr -ezbt6 <myfritz-Name>
aus. Lass so etwa 20 Pakete laufen und poste das Ergebnis hier. Gleiches kannst du mit der dyndns Adresse machen. Meinetwegen auch direkt mit der IPv6 Adresse, aber der Mehrwert wird gering sein.

 

[DelNeu]

Oh Gott, das blüht mir auch noch, wenn ich mal endlich meinen Glasfaseranschluss durch DG bekomme.
Dass das wohl nur DS-Lite werden wird, ist mir schon klar. Probiere mal ping ohne eckige Klammern und http mit (also http://[IPv6](Doppelpunkt)Port).
Wireguard kann schon länger über IPv4 und IPv6 aufgebaut werden, neu ist nur, dass der Tunnel nun auch IPv6 transportiert (bisher nur IPv4)

 

[Rolf Grisu]

[Edit Novize: Überflüssiges Fullquote gelöscht - siehe Forumsregeln]

Ja, eckige Klammern wurden genutzt.

Das Tool mtr kannte ich noch nicht. Sehr aufschlussreich!

Aber zwischenzeitlich habe ich ein nutzbares Ergebnis gefunden: das Netz des Client musste modifiziert werden. Hintergrund war ein Test auf IPv6 über https://test-ipv6.com/. Der Test für "Ihre IPv6 Internet-Adresse..." schlug fehl - auch wenn in der 7590AX des Client-Netzes ein funktionierendes IPv6 auf WAN-Seite suggeriert wurde. Ich konfigurierte die Fritzbox gemäß diesem Post aus dem Telekom-Forum. Danach ist das Netz des Glasfaser-Anschluss sowohl über IP als auch über myFritz und DynDNS erreichbar. Selbst Wireguard funktioniert. Lt. AVM-Site soll es Einschränkungen geben, wenn man über den WG-Tunnel auf IPv6-Netze zugreifen möchte. Da das hier aber nicht erforderlich ist, verfolge ich das nicht weiter.

Auch auf dem Handy kann ich per Wireguard und LTE einen funktionierenden Tunnel aufbauen. Weshalb das bei meinem ersten Posting nicht funktionierte, kann ich nicht mehr nachvollziehen.

Was bleibt, ist die Einschränkung, dass man nur aus korrekt konfigurierten IPv6-Netzen auf das eigene Netz zugreifen kann. Damit fallen wohl vorerst sehr viele öffentliche WLANs aus dem Rennen. Vielleicht kann man am Handy einen Tunnel aufbauen und einen Hotspot darüber einrichten - das muss ich mal ausprobieren.

Danke für die Unterstützung!