[Problem] IPv6 Portfreigabe (1&1/DTAG DSL, Firmware 7.12, 7362SL) funktioniert nicht mehr nach Präfixwechsel

[docbrown8]

Hallo,

ich habe eine 7362SL an einem DTAG/1&1 DSL Anschluß.

Wenn ich eine v6 Freigabe einrichte (egal ob exposed host oder nur port) dann funktioniert die nur bis zum nächsten Präfix wechsel. v4 Portweiterleitungen "überleben" den Wechsel der v4 Adresse.

Gehört das so?

Hat jemand v6 Freigaben die den Präfixwechsel überstehen?

Viele Grüße

Thomas

 

[sonyKatze]

Ja, ebenfalls hier mit einer FRITZ!Box und 1&1.

1. fritz.box → Internet → Freigaben: Siehst Du dort die EUI-64 Deines Host?
2. Hat Dein Host (wenigstens) eine IPv6-Adresse deren Ende stabil ist?
3. Hast Du ULA aktiv: Heimnetz → Netz → Netz-Einstellungen → (Taste) Weitere Einstellungen → (Taste) IPv6-Einstellungen
   a) ULA immer zuweisen, wenn (meine Einstellung) … oder wenigstens
   c) ULA immer zuweisen? Ob es ganz ohne ULA geht – also (b) –, habe ich noch nicht getestet.

 

[HabNeFritzbox]

Hast Gerät manuell ausgewählt für Freigabe oder selbst was eingetragen?

 

[docbrown8]

in Internet-> Freigaben sehe ich die vom Host gewürfelten 64 bit der IPv6 Adresse.

Der Host hat keine IPv6 Privacy an, diese 64bit sind stabil aus der Mac Adresse des Interfaces gewürfelt

ULA: eingestellt auf "Unique Local Addresses (ULA) zuweisen, solange keine IPv6-Internetverbindung besteht (empfohlen)"

DHCPv6 ist wie folgt auf der FB konfiguriert:
DHCPv6-Server in der FRITZ!Box deaktivieren: Es sind keine anderen DHCPv6-Server im Heimnetz vorhanden.

Im Dialog für die Firewall habe ich das Gerät aus der Dropdownbox ausgewählt, damit wurde dann auch die Interface id gefüllt.

 

[HabNeFritzbox]

Unter Diagnose->Sicherheit kannst sehen ob Port geöffnet ist seitens der FB, dort sollte dein Gerät auch aufgelistet werden.

Ich kann keine Probleme mit Portfreigaben feststellen.

Ich weiß nicht wieso DHCPv6 ausmachst, würde den aktivieren und "DNS-Server und IPv6-Präfix (IA_PD) zuweisen" wählen.

Wie hast ganze getestet dass es nicht mehr klappt?

 

[docbrown8]

Danke für den Tipp mit Diagnose/Sicherheit.

Wegen testen: Ich logge mich per ssh/v4 auf die Kiste ein. Dann sehe ich die v6 Adresse. Dann probiere ich von einem v6 connectierten Gerät "draußen" mich per ssh einzuloggen. "permission denied". Ich ändere "was" an dem FWregelsatz in der FB, nochmal probieren ssh auf v6 Adresse: zack, es geht.

DHCPv6 kann ich ja mal anmachen, mal sehen ob OmniOS/Opensolaris eine brauchbar DHCPv6 Implementierung hat

 

[HabNeFritzbox]

Geräte können so RA oder DHCPv6 nutzen, stört also nicht wenn es aktiv hast. Spätestens wenn eigene Subnet für nachgelagerten Router oder VPN Dienst möchtest, würdest so nen Präfix anfordern.

Die IP bleibt aber die gleiche beim testen? Klingt wirklich komisch bei dir.

 

[sonyKatze]

DHCPv6 würde ich aus lassen, besonders zum Debuggen (außer man hat noch Windows 8.1 oder nutzt wirklich die Präfix-Delegation für einen nachgeschalteten IPv6-Router). Die Einstellung, die HabNeFritzbox empfiehlt, gibt gar keine IPv6-Adresse aus, sondern bietet lediglich den DNS-Server und eben ein Präfix, wenn man danach fragt. Wie geschildert, betrifft nur noch nachgeschaltete Router mit eigener Firewall, Schrott-Geräte oder Windows 8.1.

Ich ändere "was" an dem FWregelsatz in der FB, nochmal probieren ssh auf v6 Adresse: zack, es geht.

Hast Du die FRITZ!Box schonmal neu aufgebaut, also zurückgesetzt und nicht aus einer gespeicherten Konfiguration sondern einzeln alles wieder eingetragen? FRITZ!OS war bei mir auch schon mal ganz verdreht, auch in dem Punkt IPv6-Freigabe. Und mir blieb nur neu aufbauen.

 

[HabNeFritzbox]

Die FB muss auch keine IP verteilen, können Geräte selbst, entsprechend reicht DNS und Präfix aus.

 

[sonyKatze]

mal sehen ob OmniOS/Opensolaris eine brauchbar DHCPv6 Implementierung hat

@HabNeFritzbox , daher erwähnte ich das. Ich würde zum Debuggen es trotzdem aus lassen, weil manche Betriebsysteme wegen dem Other-Flag in den Router-Advertisements (IPv6-RAs) auf wilde Ideen kommen.