[Frage] Ipv6 im ip-client Modus

[horsti1]

Leute, ihr gebt euch ja wirklich viel Mühe!
wo soll ich zum Teufel die Portweiterleitung einrichten? In der 6360 sehe ich keine Möglichkeit.
Ein zweites Problem habe ich gerade festgestellt: Zugriff auf Myfritz der 7270, was ja eigentlich Sinn der ganzen Sache ist, ist ebenfalls nicht möglich. 6360 problemlos erreichbar.
Auf der Anmeldeseite steht bei 6360 IPv6 an der 7270 steht nichts.
Ich glaube bald ich stelle wieder auf Client, da läuft alles, bis auf den Zugriff auf die Oberfläche der 7270, einwandfrei.

 

[PeterPawn]

wo soll ich zum Teufel die Portweiterleitung einrichten? In der 6360 sehe ich keine Möglichkeit.

Ok, wie sollen wir denn jetzt sehen, warum Du dort keine Möglichkeit siehst ? Wie wäre es denn mal mit Screenshots o.ä. ?
Es gibt in der 6360 die Möglichkeit, IPv6-Freigaben einzurichten, wenn die 6360 für IPv6 vom Provider konfiguriert ist. Vielleicht schaust Du mal nach der Expertenansicht ?

Zugriff auf Myfritz der 7270, was ja eigentlich Sinn der ganzen Sache ist, ist ebenfalls nicht möglich. 6360 problemlos erreichbar.

Auch hier gilt eindeutig: Mehr Informationen ... wenn die 7270 Dir unter MyFRITZ! oder im Event-Log nichts zu ihrer Anmeldung beim MyFRITZ!-Service erzählen sollte, wäre das ein Novum.

Ich glaube bald ich stelle wieder auf Client, da läuft alles, bis auf den Zugriff auf die Oberfläche der 7270, einwandfrei.

Vielleicht solltest Du das tatsächlich tun. Ich bin zwar der Meinung, man sollte hier gestellte Fragen beantworten ... aber man darf ja auch mal selbst fragen: Warum machst Du / machen wir das hier denn überhaupt ?

Was sind das überhaupt für "Netze" (Plural, eines ist das Client-Network an der 6360, welches soll denn das andere sein ?), die Du da miteinander verbinden willst ? Ich habe auf die entsprechende Frage eigentlich das hier

Nein, ich möchte hinter der 7270 auf keinen anderen Clienten zugreifen. Ich möchte lediglich auf den USB-Speicher sowie auf die Telefonie, also die Web-Oberfläche.

gelesen. Je nachdem, wozu der USB-Speicher dient (als NAS oder nur als Ablage für AB-Nachrichten u.ä.), hast Du eigentlich alle Antworten und alle Bausteine, die Du brauchst.

Ein richtig konfigurierter MyFRITZ!-Account in der 7270 sollte die IPv6 der 7270 beim AVM-Service registrieren und dann sollte der Zugriff aus dem Internet per IPv6 darauf auch klappen. Wenn es da irgendwo klemmt, mußt Du schon systematisch sagen, wo Du Deine Bauchschmerzen hast und was genau nicht funktioniert. Wir können nur mit Deinen Angaben arbeiten ... die Aussage "geht nicht" ist da eindeutig nicht hilfreich.

 

[horsti1]

Hallo peterpawn,
zuerst einmal weiß ich sehr wohl wie schwierig es für euch ist an diesem Problem zu arbeiten.
Desweiteren versuch ich wirklich die mir bekannten Informationen weiter zu geben.
Zur Portfreigabe der Screenshot, eine Expertenansicht gibt es definitiv nicht!
Zur Anmeldung bei MYFritz noch einmal: Ich sehe im Anmeldefenster die beiden Boxen, an der 6360 steht ipv6, an der 7270 nichts.
Die Registrierung bei MyFritz in der 7270 steht auf grün, also ok. Den log habe ich in der Tat noch nicht nachgeschaut. Sofern ich da was sehe, kommt das nach.
So, vielleicht habe ich mich falsch ausgedrückt: Ich kann jetzt im Netzwerk nur die PCs der Box sehen, wo ich mit meinem PC im Moment drann arbeite..
Ich möchte aber, wenn ich an einem Rechner, der an der 6360 per Lan angeschlossen ist auf einen der an der 7270 hängt zugreifen können.
Auf den USB Speicher muß ich, weil dort Daten drauf liegen, von allen angeschlossenen Pcs, egal ob6360 oder7270 zugreifen können.

 

[Tieflieger]

Ipv6 muss man in der Box einstellen in der Erwiterten Ansicht unter Netztwerk

 

[andiling]

Und für die erweiterten Einstellungen gibt es ganz unten rechts ein Link mit "Ansicht".

 

[horsti1]

Danke Tieflieger,
aber das ist aktiviert.
Hier noch das log und ein Screenshot für den Zugriff auf myFritz, da ist noch etwas faul.

 

[horsti1]

andiling,
danke für den Tipp, das weicht ja komplett von anderen Fritzen ab, habe ich wirklich nicht gesehen!
Dadurch habe ich jetzt auch die Portweiterleitung und kann alle PCs sowie die USB-Platte (NAS erreichen)
Wenn nicht noch was verstecktes ist, fehlt jetzt noch der Zugriff auf myFritz.

 

[horsti1]

Leider alles zurück, hatte ein Lan Kabel vertauscht, sehe nur das was an der gleichen Box angeschlossen ist von der ich gerade arbeite.
Es wäre auch zu schön gewesen!

 

[PeterPawn]

Es wäre auch zu schön gewesen!

Es wird auch - abhängig vom gewünschten Dienst auf einem Client an der 7270 - entweder gar nicht oder nur mit individuellen Freigaben für jeden Dienst auf einem an der 7270 per LAN-Kabel oder über WLAN angemeldeten Client funktionieren.

Das ist ja gerade der Sinn des Router-Modus, da eine Trennung zwischen dem externen Netz (aus Sicht der 7270 im Router-Mode ist das alles, was über LAN1 von der 6360 kommt, also auch jeder andere Client an der 6360) und dem internen Netz (ihr eigenes WLAN bzw. an den Anschlüssen LAN2-LAN4 - auch wenn LAN4 Guest sein sollte - angeschlossene Geräte) zu schaffen.

Daher habe ich auch am Anfang danach gefragt, ob Du auf Clients "hinter der 7270" zugreifen willst. Nun magst Du mich ja falsch verstanden haben (auch wenn ich nicht begreife, was Du dann meintest) ... aber in diesem Falle ist dann der Router-Modus nicht das Richtige für Dich und im IP-Client-Mode scheint (das ist für mich derzeit nicht zu verifizieren auf einer 7270 - ich hätte ohnehin nur eine V3, die etwas anders arbeiten könnte als eine V2) die MyFRITZ!-Anmeldung - als Voraussetzung für den externen Zugriff durch die 6360 hindurch auf die 7270 - nicht zu funktionieren.

Also hat die ganze Bastelei eher nichts gebracht. Du könntest Dich nur noch entscheiden, alle anderen Geräte auch "hinter die 7270" zu ziehen ... dann sind sie wenigstens auch gleich noch vor dem Zugriff durch Deinen Kabelanbieter geschützt, was hinter der 6360 schon mal definitiv nicht der Fall ist. Aber eine 7270v2 dürfte an einem 100MBit-Anschluß auch von vorneherein überfordert sein, das ist also wahrscheinlich keine sinnvolle Option.

 

[horsti1]

Hallo PeterPawn,
das Thema ist ja nun auch sehr komplex und deshalb gab es wahrscheinlich auch einige Missverständnisse.
Ich sehe die beste Lösung für mich einfach (vielleicht vorerst) wieder auf den Client-Modus um zu steigen.
Dort hat alles, bis auf den Zugriff aus dem Internet, sehr gut funktioniert.
Es ist schade, aber wenn es keine praktikable Lösung gibt, halt nicht zu ändern. Vielleicht gibt es ja irgendwann doch einen Weg.
Wenn ich Dich richtig verstehe, könnte die Möglichkeit jedoch eventuell mit einer anderen Box bestehen?? Solltest Du da noch etwas rauß bekommen wäre ich dankbar.
Ich möchte mich noch einmal bei Allen bedanken!
Viele Grüße
Horsti

 

[andiling]

Ein Workaround wäre ja, wenn Du VPN auf der 6360 einrichtest und darauf feste-ip.net mappst. Wenn Du Dich per VPN verbindest, kannst Du alle Geräte im Heimnetz mit IPv4 erreichen.

 

[PeterPawn]

Wenn ich Dich richtig verstehe, könnte die Möglichkeit jedoch eventuell mit einer anderen Box bestehen?

Nein, sorry, das hast Du falsch verstanden. Das Trennen der Netze ist die Aufgabe der Box im Router-Modus, dann meldet sie sich auch ordentlich beim Provider (der in Deinem Falle für die 7270 eben die 6360 ist) und registriert auch ihre (aus ihrer Sicht dann öffentlichen) Adressen bei MyFRITZ!.

Läuft sie im Client-Modus, ist sie ohnehin nur über den vorgeschalteten Router und dessen Portweiterleitung zu erreichen ... da kenne ich keine AVM-Firmware, die dort eine Anmeldung bei einem DynDNS-Service (etwas anderes ist MyFRITZ! in diesem Falle ja auch nicht) vornimmt. Da in so einem Szenario i.d.R. ohnehin intern private IPv4-Adressen verwendet werden, macht das keinen Sinn und die getrennte IPv6-Registrierung funktioniert offenbar abhängig von der Firmware auch nicht ... in einigen Versionen (s. andiling und meine Einlassungen zu meiner 7370) geht das soweit, daß im Client-Betrieb offenbar noch nicht einmal der "IPv6-only"-Betrieb so richtig funktioniert (jedenfalls fehlt die IPv6-Anzeige im GUI und wahrscheinlich ist es auch so geplant von AVM, es gibt dazu ja keine explizite Dokumentation meines Wissens).

 

[horsti1]

Problem gelöst

Hallo,
ich möchte doch nur kurz mitteilen das wohl die einfachste Lösung ein Raspberry und die Firma mit dem "IP" ist.
Die ganze Geschichte hat mit neu aufgesetztem Raspi sowie Konfiguration keine 30 Minuten gedauert. Fritz Client Oberfläche sowie angeschlossene NAS-Platte ist problemlos zu erreichen.
Ich denke die geringe Jahresgebühr ist es auf jeden Fall wert.
Grüße
horsti1

 

[linuzer]

Hallo Experten-Gemeinde,

sorry, dass ich den Thread wieder ausgrabe, aber ich habe genau das gleiche Problem und die Lösung von horsti1 möchte ich eigentlich erst übernehmen, wenn ich wirklich verstanden habe, warum alles andere nicht geht.

Also meine Situation ist die gleiche: DS-Lite Anschluss von UnityMedia mit einer 6360 als Router, dahinter eine gefreetze 7390 mit OpenVPN-Paket als Server im IP-Client Modus.
Ziel ist eine VPN-Verbindung vom (iOS-)Handy zu machen, um dann auf alle Geräte im LAN zuzugreifen.

Das Problem ist, dass der Client mit NETWORK_EOF_ERROR abbricht und ein Portscan von Aussen (z.b. über http://www.ipv6tech.ch/?tcpportscan) auf kryptname.myfritz.net:1194 zeigt den Port als gefiltert an. Das heißt der Traffic erreicht meinen OpenVPN-Server gar nicht.

Hier mein bisheriges Verständnis (bitte korrigiert mich, wenn ich falsch liege...)

* Zur IPv4 -> IPv6 Übertragung nehme ich den Dienst von Feste-IP.net: meinhost.feste-ip.net:34212 wird umgesetzt auf kryptname.myfritz.net:1194
* Fritz-VPN fällt leider flach, weil das auf UDP aufbaut, Feste-IP.net aber nur TCP weiterleitet -> deswegen muss ein OpenVPN-Server ins eigene Netz.
* somit kommt die VPN als IPv6 auf Port 1194 an meiner 6360 an.
* ich muss also auf der 6360 eine IPv6-Freigabe auf die 7390 für TCP Port 1194 einrichten

​

Jetzt meine Fragen/Unsicherheiten:
* Macht die 6360 dabei eine Rückkonvertierung auf IPv4? Ich denke nicht, somit kommt die VPN auf der 7390 auch als IPv6 an, oder?
* der OpenVPN auf der 7390 ist für IPv6 auf Port 1194 konfiguriert

​

* Bekommt der OpenVPN die IPv6-Pakete jetzt automatisch? Oder muss auf der 7390 auch noch irgend eine Port-Freigabe/Weiterleitung/Route, etc. eingerichtet werden?
* Hat die 7390 denn im Client-Modus eine ordentliche IPv6-Adresse? Auf dem UI ist nichts davon zu erkennen. Ein ifconfig zeigt aber eine "ordentlich" aussehende IPv6-Adresse an:

lan       Link encap:Ethernet  HWaddr 00:24:FE:ED:11:4F  
          inet addr:192.168.2.2  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::***:****:****:****/64 Scope:Link
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:12160 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8604 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:2290565 (2.1 MiB)  TX bytes:2219145 (2.1 MiB)

* Wie kann ich herausfinden, ob auf der 6360 (leider ziemlich verrammelte Box) überhaupt etwas ankommt?

Ich wäre Euch sehr verbunden, wenn mir irgendjemand von Euch bei meinem gefährlichen Halbwissen etwas auf die Sprünge helfen könnte!

Vielen Dank!

Grüße, linuzer

 

[PeterPawn]

@linuzer:
Da bei Dir auch die Frage auftaucht, ob und wo eine IPv6-zu-IPv4-Konvertierung stattfindet, solltest Du Dir noch einmal den Punkt "DS-Lite / IPv6-Portmapper" auf feste-ip.net durchlesen und am besten auch das dort verlinkte PDF zur Einrichtung (heißt "FIP-Book" oder so ähnlich) verstehen.

Es braucht schon noch einen "Umsetzer" von eingehendem IPv6-Verkehr auf IPv4, wenn der Client im LAN nur IPv4 "spricht".

Der Service von feste-ip.net beinhaltet nur die Umsetzung von IPv4 auf IPv6 und das Relaying zum DS-Lite-Anschluß. Dort braucht es dann wieder einen Mapper, notfalls diese "FIP-Box".

Ob jemand schon mal versucht hat, ein Freetz-Paket für dieses Reverse-Mapping zu bauen oder ein vorhandenes Paket zu verwenden, weiß ich nicht ... eigentlich sollte es kein Problem sein, wenn man denn weiß, wie FIP das Mapping macht und dabei OSS zum Einsatz kommt.

Läuft es mit proprietärer Software, wird es schwieriger ... auch ansonsten werden viele Leute den Aufwand eines zusätzlichen RasPi mit diesem Portmapper im Vergleich zur Modifikation der FRITZ!Box-Firmware mit Freetz abwägen und bei vielen wird die Entscheidung sicherlich "pro FIP-Box" lauten, wenn das tatsächlich als "set and forget" funktioniert (habe ich selbst noch nie getestet), wobei auch diese "FIP-Box" die grundsätzlichen Probleme eines kaskadierten Routers (nichts anderes wäre sie ja dann) erben müßte, angefangen beim DynDNS und der richtigen Reaktion auf RAs des Border-Routers beim Wechsel des externen IPv6-Präfix.

 

[linuzer]

Hallo PeterPawn,

vielen Dank für Deine Hilfe! Die beiden Dokumente auf feste-ip.net kannte ich schon, sie tragen aber nicht wirklich zu meinem besseren Verständnis bei.
Genauso verwirrt mich Dein Satz:

Es braucht schon noch einen "Umsetzer" von eingehendem IPv6-Verkehr auf IPv4...

Wenn Du damit meinst, dass die 6360 per se nichts von IPv6 auf IPv4 "zurückübersetzt", dann entspricht das ja auch meiner Vermutung/Verständnis. Aber der 2. Teil

wenn der Client im LAN nur IPv4 "spricht".

passt so überhaupt nicht dazu, denn mein "Client" ist zwar mein Handy, das im Mobilfunk tatsächlich nur IPv4 spricht, aber das geht ja deswegen über feste-ip.net und kommt somit als eingehende IPv6 Verbindung an meiner 6360 an. Alles, was dahinter kommt - als mein LAN und insbesondere die 7390 mit dem OpenVPN Server - spricht ja IPv6. Nur der Traffic bleibt unterwegs irgendwo stecken und ich möchte herausfinden, an welcher Stelle und warum.

Deswegen ist im Moment meine brennendste Frage: Wie bekomme ich heraus, ob der VPN-Verbindungsversuch überhaupt bis zu meiner 6360 von aussen durchkommt?

Viele Grüße,
linuzer

 

[PeterPawn]

Genauso verwirrt mich Dein Satz:

Der "Client" im LAN ist in diesem Fall das per VPN zu erreichende Gerät ... wenn Deine OpenVPN-Installation auch "extern" IPv6-fähig ist, ist ja erst mal alles gut. Spannend wird es dann erst wieder, wenn Du "hinter" dem OpenVPN-Server liegende Clients im LAN erreichen willst.

Wenn Du die Anleitung auf feste-ip.net gelesen und verstanden hast, weißt Du ja inzwischen, daß dort von feste-ip.net eigentlich nur ein Port-/Protokoll-Mapper betrieben wird, der aus dem ankommenden IPv4-Verkehr passende IPv6-Pakete macht (das kann u.U. bis auf Layer4/5 gehen/erforderlich sein, je nach umgesetztem Protokoll) und daß jeder Zugriff auf ein "nicht IPv6-fähiges Gerät" im LAN hinter der FRITZ!Box noch die "FIP-Box" erfordert (mit FIRTZ!Box als V3 im "FIP-Book" beschrieben und ohne als V4). Das hast Du also tatsächlich richtig verstanden ... wenn ich die Frage richtig interpretiere.

Wie bekomme ich heraus, ob der VPN-Verbindungsversuch überhaupt bis zu meiner 6360 von aussen durchkommt?

In Abhängigkeit von Branding und Firmware-Version bietet die 6360 noch einen Packetdump an (die 6490 nicht mehr) und Du kannst Dir diesen unter der Adresse "fritz.box/capture.lua" erstellen lassen, um ihn nach dem Ende des Mitschnitts mit dem Programm "WireShark" (oder einem anderen Programm Deiner Wahl) auf eingehende OpenVPN-Pakete auf Port 1194 zu untersuchen. Je nach Quell-Interface für den Packetdump sehen die eingehenden Pakete (und der gesamte Umfang des Mitschnitts) etwas anders aus .. aber den Traffic auf dem "dsl"-Interface (hinter dem sich in Wirklichkeit dann das DOCSIS-Interface minus DOCSIS-Management-Interface verbirgt) konnte man bis zur 06.05 m.W. bei jedem Branding mitschneiden, das Management-Interface nur bei KBW/UM.

 

[linuzer]

Vielen Dank!!! Das mit "fritz.box/capture.lua" war genau was ich gesucht hatte!

Also, jetzt bin ich einen Schritt weiter: Die VPN-Pakete kommen an der Fritzbox tatsächlich an, es hapert "danach": Ich muss meine Aussage von oben korrigieren, die 7390 hat i.d.T. KEINE richtige IPv6-Adresse von der 6360 bekommen, weshalb logischerweise auch der OpenVPN nicht die VPN annehmen kann. Nach ein bisschen Googeln scheint das ein generelles (fehl-) Verhalten von Fritzboxen im IP-Client Modus zu sein, dass sie nämlich keine IPv6 Adressen beziehen.
Möglicherweise war das auch hier im Thread schon der Kenntnisstand -- nur mir war's halt noch nicht ganz klar.

Also muss ich jetzt die 7390 mit irgendeinem Freetz-Voodoo dazu überreden doch noch eine richtige IPv6-Adresse zu bekommen, oder mein Vorhaben scheitert an dieser Stelle, womit dann tatsächlich nur noch die Lösung von horsti1 bleibt.

Falls noch jemand eine gute Idee hat, bin ich sehr aufgeschlossen...

Vielen Dank!
Güsse,
linuzer

 

[PeterPawn]

Sag doch mal klar, was Du am Ende erreichen willst .. wenn Du die 7390 als IPv6-zu-IPv4-Gateway benutzen willst, ist es ja problemlos möglich, sie sowohl mit dem LAN- als auch dem WAN-Anschluß (das ist dann LAN1 bei Dir) mit LAN der 6360 zu verbinden. Wenn auf dem WAN-Interface nur eine IPv6-Adresse konfiguriert wird (also IPv4 WAN-seitig abgeschaltet wird), dann ergibt sich auch kein Konflikt zwischen LAN und WAN bei der FRITZ!Box. Wenn Du also irgendwo anders eine passende Gegenstelle hast, die ihrerseits den dortigen IPv4-Verkehr in OpenVPN kapselt (die könnte dann natürlich auch gleich selbst IPv6 senden und sich den Weg über feste-ip.net sparen), dann könnte das für eine LAN-LAN-Kopplung über OpenVPN schon ausreichend sein.

Vielleicht testest Du die prinzipielle Funktion des OpenVPN-Servers in Zusammenarbeit mit feste-ip.net ja erst mal mit einer FRITZ!Box im Router-Mode ... wenn das tatsächlich klappt (ich kenne den Portmapper von feste-ip.net nicht und bin erst mal skeptisch), dann kannst Du Dir über die weitere Vorgehensweise ja immer noch Gedanken machen. Bei einem richtig konfigurierten OpenVPN-Server-/Client-Gespann würde ja Dein iOS-Handy eine lokale Adresse (meinetwegen 192.168.178.201/24) haben und den Traffic an 192.168.178.0/24 über OpenVPN an den Server senden. Das sollte am Ende ja aus dem OpenVPN-Server auch wieder als IPv4-Traffic "rauskommen" ... der ließe sich dann - wenn kein (Adress-)Konflikt vorliegt - ja problemlos im LAN hinter der 6360 weiter verarbeiten.

 

[linuzer]

Mein Ziel habe ich doch oben beschrieben:

Ziel ist eine VPN-Verbindung vom (iOS-)Handy zu machen, um dann auf alle Geräte im LAN zuzugreifen.

Was ich nicht explizit erwähnt habe, aber logisch ist: Ich werde natürlich nur auf IPv6-fähige Geräte zugreifen können.

Im Moment "hängt" das ganze aber daran, dass die 7390 im IP-Client Modus keine IPv6 Adresse bezieht.

Ich versuche mich jetzt erstmal daran, was "gauner" schon im Post #16 beschrieben hat, nämlich eine IPv6-Adresse manuell einzutragen, bin mir aber nicht sicher welches Interface ich nehmen muss.