[Frage] IPv6 - Portfreigabe für Zugriff aus Internet

[musv]

Guten Abend,

seit ein paar Tagen bin ich zweifelhafter Nutzer der Deutschen Glasfaser. D.h. native IPv6 nach außen und CGN-IPv4. Ich hab eine Fritzbox 7590 mit Firmware 7.29 im Einsatz.

Bisher (bei 1&1) kam ich mit Portweiterleitung per SSH auf mein NAS von außen und konnte bei Bedarf auch den Webserver mal freigaben. Bei IPv6 scheiter ich bisher gnadenlos.

Bisherige Erfolge:
Auf dynv6.com hab ich ein Konto angelegt. Die Fritzbox aktualisiert das über Internet -> Freigaben -> DynDNS. Ich kann von außen über die IP und über die angelegte Domain auf die Adminoberfläche meiner Fritzbox zugreifen.

Woran scheiter ich:
Zugriff auf ein dahinterliegendes Gerät: Die Fritzbox blockt offenbar jeglichen Zugriffsversuch auf eine dahinterliegende 2a00-Adresse ab. Das ist ja auch vollkommen korrekt so. Schließlich will ich kein offenes Scheunentor. Und nicht jedes Gerät, was evtl. IPv6-fähig ist, hat vermutlich eine eigene Firewall (TV, AVR, Embedded Devices, usw.). Dass der Traffic nicht durchgeht, hab ich zumindest per TCPDump geprüft. Auf meinem NAS kommt auf Port 22 kein einziges Paket an. Die 2a00-Adresse wurde eth0 allerdings sofort zugewiesen, auch die ULA und die Local-Link-Adresse sind vorhanden.

Jetzt ist die interessante Frage, wo ich die Portfreigabe einstellen kann. Im Grunde genommen geht's mir so ähnlich wie hier.

Internet -> Zugangsdaten -> IPv6
[x] IPv6-Unterstützung aktiv
[x] Native IPv6-Anbindung verwenden.
- [ ] IPv6-Anbindung über DS-Lite herstellen. (Braucht man ja nicht, da DS-Lite ein kompletter Tunnel von IPv4 über IPv6 wäre. Bei Glasfaser bekommt man ja eine IPv4, die halt nur nach außerhalb der DG genattet wird.)

Freigaben -> Portfreigaben:
Bei IP-Adresse seh ich die Interface-ID ( ::6662:66ff:xxxx:xxxx). Aber ich hab keinerlei IPv6-Einträge. Ich kann hier nur ein Portforwarding einrichten, was aber nur IPv4 betrifft. Ich will ja auch kein Portforwarding sondern die Portfreigabe für eine bestimmte Interface-ID.

Heimnetz -> Netzwerkeinstellungen -> IPv6-Einstellungen:
[x] Router Advertisement im LAN aktiv
- [x] ULA zuweisen, wenn keine Internetverbindung aktiv ist (empfohlen) - ist aber hier egal, was ich auswähl.
[x] Fritzbox stellt den Standard-Internetzugang zur Verfügung
[x] DHCPv6-Server im Heimnetz
- [x] DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen
Bei letzterem würde es mir eigentlich auch reichen, wenn der DHCPv6-Server deaktiviert bleibt und die Konfiguration nur per SLAAC stattfindet. Auf meinem NAS läuft ein dnsmasq für DHCPv4 und DNSv4+v6.

Die Anleitung von AVM hab ich natürlich auch gefunden.
1. Klicken Sie auf Internet: check
2. Klicken Sie im Menü "Internet" auf "Freigaben". check
3. Klicken Sie auf die Registerkarte "IPv6". - gibt's bei mir nicht.
-> Falls die Registerkarte nicht angezeigt wird, aktivieren Sie zunächst die Erweiterte Ansicht. - ja, die ist bei mir aktiviert (oben rechts 3 Punkte). Trotzdem gibt's bei den Freigaben kein IPv6.

Was mach ich falsch? Wo hab ich hier was vergessen? Das erste Ziel ist einfach, dass ich von außen per

ssh -6 2a00:xxxx:xxxx::6662:66ff:xxxx:xxxx

auf mein NAS komm.

 

[KunterBunter]

3. Klicken Sie auf die Registerkarte "IPv6". - gibt's bei mir nicht.

Du hast ja auch nicht eine Fritzbox 6360 Cable, wie in der Anleitung.
Was steht in deiner Fritzbox unter IPv6 bei "Bestimmte Länge für das LAN-Präfix anfordern"? 56 Bit?

 

[joesix]

Oh, hier klinke ich mich mal als Beobachter ein. Gleiche Problematik an meiner 7590 am Telekom-VDSL Anschluss

3. Klicken Sie auf die Registerkarte "IPv6". - gibt's bei mir nicht.

genau dieses Karte fehlt bei mir auch. Gut, ich kann noch mit nativem IPv4 arbeiten, aber generell scheint da etwas nicht zu stimmen.

Ich nutze die Default-Einstellungen:
Vollbild(er) gemäß Boardregeln als Vorschau eingebunden by stoney

 

[chrsto]

Freigaben -> Portfreigaben:
Bei IP-Adresse seh ich die Interface-ID ( ::6662:66ff:xxxx:xxxx). Aber ich hab keinerlei IPv6-Einträge. Ich kann hier nur ein Portforwarding einrichten, was aber nur IPv4 betrifft. Ich will ja auch kein Portforwarding sondern die Portfreigabe für eine bestimmte Interface-ID.

Da bist du aber richtig.

Internet -> Freigaben -> Portfreigaben: Gerät für Freigaben hinzufügen *klick*

Gerät auswählen dann unten Neue Freigabe *klick*

Anwendung, Protokoll, Port auswählen, Haken bei Freigabe aktivieren und Internetzugriff über IPv6

3x OK klicken, fertig.

 

[Peter_Lehmann]

Hallo @musv,

im GUI meiner beiden Synology-NAS kann ich nach Belieben IPv6 generell sperren oder zulassen. Und auch in der Firewall der beiden NAS besteht die Möglichkeit relevanter Einschränkungen. Es soll ja Leute geben, die (warum auch immer …) IPv6 gesperrt und das dann vergessen haben.

Zur Nutzung von DynDNS gibt es ja auch zwei Möglichkeiten. Ich favorisiere, dass auf allen meinen Geräten (bei mir nur meine WireGuard-Server) jeweils ein eigener DynDNS-Client läuft, der die IPv6 des jeweiligen Gerätes an den DynDNS-Provider meldet. Also je Gerät ein eigener DynDNS-Name.
Andere User vergeben Unterdomains des Routers und lösen darüber auf. Reine Geschmackssache …
Wichtig ist nur, dass unbedingt letztendlich die eigene IPv6 des betreffenden Gerätes aufgelöst werden muss.

Letztendlich geht das mit der Erreichbarkeit über IPv6 viel einfacher, als über das veraltete IPv4. Schon allein deswegen, weil die alte Krückenlösung "NAT" dazu nicht mehr benötigt wird.

 

[sonyKatze]

Heimnetz -> Netzwerkeinstellungen -> IPv6-Einstellungen

Hier solltest Du nichts verstellen. AVM hat hier ganz gute Voreinstellungen. Du musst IA_NA nur dann aktivieren, wenn der IPv6-Client unbedingt darauf besteht und sonst sein IPv6 nicht startet, also völlig falsch programmiert wurde. Der geht dann an einem Internet-Anschluss mit dynamischen IPv6-Präfix nicht. Aber das ist im Gegensatz zu 1&1 bzw. Telekom Deutschland bei Deutsche Glasfaser glaube ich egal, weil „weitgehend“ statisch.

Internet -> Zugangsdaten -> IPv6

Hier solltest Du ebenfalls nichts verstellen. Das stellt die Deutsche Glasfaser normal für Dich ein; Du hast deren Fernwartung aktiv?

Was steht in deiner Fritzbox unter IPv6 bei "Bestimmte Länge für das LAN-Präfix anfordern"? 56 Bit?

Welchen Zweck hat das … stehe gerade auf dem Schlauch. Der LAN-Client hat bereits eine IPv6. Ist dann das aktuelle Präfix nicht bereits groß genug? Was ich gelernt habe: Vergrößern wäre nur dann sinnvoll, wenn Du

• das Gast-Netz oder
• eine Router-Kaskade

mit IPv6 versorgen willst. Ja, und nur dann, wenn das aktuelle Präfix wirklich zu klein ist.

Freigaben -> Portfreigaben

Das ist Deine Stelle.

1. Hast Du den Punkt „IPv6 Interface-ID“? Falls der gefüllt ist, gehe auf die Taste „Neue Freigabe“.
2. Hast Du dort den Punkt „Internetzugriff über IPv6“? Falls nicht gehe bitte „Internet → Online-Freigabe“.
3. Siehst Du dort „IPv6-Präfix“? Falls ja, wie groß ist es?
4. Hattest Du die FRITZ!Box schonmal auf Werkseinstellungen zurückgesetzt?

Manchmal verrenkt sich eine FRITZ!Box nach einem Provider-Wechsel maßlos.

hier klinke ich mich mal als Beobachter ein. Gleiche Problematik an meiner 7590 am Telekom-VDSL Anschluss

Bitte nicht. Ich schon alles schwer genug. Mach bitte, bitte einen eigenen neuen Thread auf, denn Du hast einen ganz anderen Anschluss (Dual-Stack ohne Lite und auch kein CGN-IPv4). Keiner wird Dich beißen. Wenn schon irgendwo beantwortet, wird der Thread dann einfach verlinkt. Aber auch bei Dir: Hattest Du die FRITZ!Box vorher bei einem anderen Internet-Anbieter laufen ohne zwischendurch zurückzusetzen?

 

[musv]

Danke schon mal für Eure Hilfe. Mit dem Werksreset tu ich mich noch etwas schwer, da ich die ganzen Einstellungen (Telefon, Telefonbuch, Hostnamen der Geräte, IPv4-Einstellungen) nicht verlieren möchte. Deswegen sollte das eine nachgelagerte Option bleiben, wenn wirklich gar nichts mehr übrig bleibt.

Zu den Punkten:
Zugang → IPv6-Einstellungen:
Ist auf "Globale Adresse automatisch aushandeln." Ich bekomme eine IPv6 und auch den Präfix zugewiesen. Und auch meine Clients im Netz bekommen eine globale IPv6. Dürfte also irrelevant sein.

Freigaben → Portfreigaben
Leider steht da gar nichts von IPv6.


Internet → Online Monitor

Internet, IPv4		verbunden seit 18.10.2022, 18:43 Uhr, Deutsche Glasfaser, IPv4-Adresse: 100.xxx.xxx.86
Internet, IPv6		verbunden seit 18.10.2022, 18:49 Uhr, Deutsche Glasfaser, IPv6-Adresse: 2a00:xxxx:xxxx:41::2f4d, Gültigkeit: 2794/2794s, IPv6-Präfix: 2a00:xxxx:xxxx:3d00::/56, Gültigkeit: 2794/2794s

Die Autokonfiguration durch die Anbieterdienste hab ich nicht gefunden. Wenn's unter Internetzugang stehen sollte, da gibt's bei mir nur "Weitere Internetanbieter + Deutsche Glasfaser".

Ich hab auch mal die Config der Fritzbox exportiert. Für meinen freigebenen Host steht da:

        } {
                ip = 192.168.109.10;
                manual_ip = no;
                uniqid = 20430;
                name = "Kobold";
                neighbour_name = "";
                mac = 64:62:66:D0:05:AC;
                auto_etherwake = no;
                ifaceid = ::6662:66ff:fed0:5ac;
                staticlease = no;
                ipv4forwardrules =
                                   "tcp 0.0.0.0:22 192.168.109.10:22 0 mark 1 # SSH";
                ipv4_exposed_host = no;
                allow_pcp_and_upnp = no;
                mesh_possible = no;
                mesh_first_check = "1970-01-01 00:00:00";
        }

IPv6 fehlt hier vollkommen. Was auch noch komisch aussieht:

ipv6 {
…
        firewall {
                enabled = no;
                exposed_host = no;
                ping6_allowed = no;
                fw_open_for_prefix = no;
        }
        aftr = ::;
        manual_aftrfqdn = "";
        use_gw_as_pcpserver = no;
        lan_dns6_server = fd00::6662:66ff:fed0:5ac;
}

Eigentlich sollte die Firewall ja aktiviert sein. Aber eine Einstellung dazu hab ich auch nicht gefunden.

Noch 'ne Idee:
Die Fritzbox hab ich damals von 1&1 bekommen. Kann das sein, dass es da ein "Branding light" gibt? Andere Anbieter kann ich ja auswählen. Aber mir scheinen nicht alle Einstellungen zur Verfügung zu stehen.

**** FRITZ!Box 7590 (UI) CONFIGURATION EXPORT
FirmwareVersion=154.07.29
CONFIG_INSTALL_TYPE=mips34_512MB_grx5_dect446_5geth_2ab_isdn_nt_te_pots_2usb_host3_2wlan11n_hw226_29616
OEM=1und1
Country=049
Language=de

 

[Peter_Lehmann]

Ich vermisse bei deinen (guten) Beschreibungen, ob deine Geräte im Netz (speziell das NAS - Hersteller und Typ?) eine IPv6 erhalten haben. Der Online-Monitor zeigt ja nur die (gemeinsame) IPv4 und die IPv6 der F!B und den Präfix.

Und dann noch einmal die Frage, auf welche Art und Weise du dem DynDns-Provider die IP des NAS mitteilst. Also mit einem DynDNS-Client auf dem einzelnen Gerät oder über Subdomänen der F!B.

 

[musv]

Ja, die erst mal relevanten Rechner im LAN (Desktop + NAS) haben eine IPv6.

ssh root@kobold
ip a
1: lo: blabla
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 64:62:66:d0:05:ac brd ff:ff:ff:ff:ff:ff
    inet 192.168.109.10/24 brd 192.168.109.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 2a00:XXXX:XXXX:XXXX:6662:66ff:fed0:5ac/64 scope global dynamic mngtmpaddr noprefixroute
       valid_lft 6095sec preferred_lft 2764sec
    inet6 fe80::6662:66ff:fed0:5ac/64 scope link
       valid_lft forever preferred_lft forever

Das NAS ist ein Helios 64 mit Debian 11 drauf.

Im DynDNS-Provider hab ich tatsächlich erst mal nur die Fritzbox eingetragen, um DynDNS per IPv6 überhaupt auszuprobieren.

DynDNS ist aber auch der 2. Schritt, wenn der Zugriff per IPv6 funktioniert. Zuerst will ich einfach den Zugriff per SSH über die IP hinbekommen. Innerhalb meines Netzwerks klappt das auch, also

ssh -6 ich@2a00:XXXX:XXXX:XXXX:6662:66ff:fed0:5ac

Nur wenn ich das Smartphone (Termux) von Wlan auf Mobile Daten änder, bekomm ich ein Permission Denied. TCPDump auf dem NAS sieht keine Pakete bei der Verbindung von außen. Also bleibt eigentlich nur die Fritzbox als Problemursache übrig.

Wäre enttäuschend, wenn ich ein Werksreset durchführ und die erwarteten Einstellungen dann doch nicht auftauchen.

 

[Wechseler]

TCPDump auf dem NAS sieht keine Pakete bei der Verbindung von außen. Also bleibt eigentlich nur die Fritzbox als Problemursache übrig.

Bekommt die Fritzbox denn die entsprechenden Packets von außen zugestellt? Was sagt TCPdump auf dem WAN-Interface?

 

[musv]

Das kann ich leider nicht testen. Auf die Fritzbox hab ich keinen Konsolenzugriff. Da aber der Zugriff auf die Adminoberfläche per IPv6 von außen funktioniert, würde ich schon davon ausgehen.

 

[Wechseler]

Auf die Fritzbox hab ich keinen Konsolenzugriff. Da aber der Zugriff auf die Adminoberfläche per IPv6 von außen funktioniert

Auf welche Adminoberfläche?

Ansonsten hilft Handbuch lesen: http://fritz.box/html/capture.html

 

[musv]

Auf welche Adminoberfläche?

Eben die normale Fritzboxoberfläche.

Den Rest teste ich morgen.

 

[sonyKatze]

da ich die ganzen Einstellungen (Telefon, Telefonbuch, Hostnamen der Geräte, IPv4-Einstellungen) nicht verlieren möchte.

Einstellungen exportieren. Und dann Reset. Und dann schauen, ob der Menüpunkt auftaucht. Für mich sieht die Box verrenkt aus. Du könntest Dich auch an den AVM-Support melden. Das ist sehr aufwendig sich dort durchzuboxen, aber so sehen/bestätigt AVM wenigstens, dass die Box sich verrenkt hat.

 

[musv]

Ansonsten hilft Handbuch lesen: http://fritz.box/html/capture.html

Hab ich grad getestet. Wireshark zeigt mir die IP an. Source Address (Smartphone) und Destination Address (Kobold) stimmen.

Type: Destination Unreachable (1)
Code: 1 (Administratively prohibited)
Checksum: 0x4114 [correct]

Und beim nächsten Paket dann:

Destination Port: 22
[Stream index: 2]
[Conversation completeness: Incomplete, SYN_SENT(1)]

Sieht für ich schon so aus, dass die Fritzbox das blockiert.

Einstellungen exportieren. Und dann Reset. Und dann schauen, ob der Menüpunkt auftaucht. Für mich sieht die Box verrenkt aus. Du könntest Dich auch an den AVM-Support melden. Das ist sehr aufwendig sich dort durchzuboxen, aber so sehen/bestätigt AVM wenigstens, dass die Box sich verrenkt hat.

Ja, das werd ich dann wohl machen müssen. Die Fritzbox ist momentan etwas schwieriger zugänglich in einem Wandkasten verbaut. D.h. ich muss dann erst mal das Passwort abfotografieren.

Ich hab jetzt mal den AVM-Support angeschrieben und 2 Screenshots angehangen. Bin mal gespannt.

 

[musv]

Hab 'ne Rückmeldung vom AVM-Support:

Um das Problem mit der Portfreigabe bei IPv6 einzugrenzen, bitte ich Sie, die stabile FRITZ!OS-Labor-Version zu installieren:

• Laden Sie die Labor-Version für Ihr FRITZ!Box-Modell aus dem FRITZ! Labor auf den Computer herunter.
• Entpacken Sie die ZIP-Datei auf Ihrem Computer (z.B. auf dem Desktop).
• Installieren Sie die Labor-Version (Image-Datei) für Ihre FRITZ!Box wie in der infolab.txt beschrieben.

Hinweis:
Sie können jederzeit wieder das reguläre FRITZ!OS für die FRITZ!Box installieren. Hinweise zum Vorgehen finden Sie in der infolab.txt.

Ist das Problem mit der FRITZ!OS-Labor-Version behoben?

Ich wünsche Ihnen noch eine schöne restliche Woche.

Hätte ich zwar jetzt so nicht erwartet. Da ich allerdings sowieso Wireguard benötige und im Gegensatz Wifi, Smarthome und NAS-Funktionalität gar keine Rolle spielen (ist alles deaktiviert), hatte auch schon mit dem Gedanken gespielt, die Beta-Version aufzuspielen.

 

[frank_m24]

Genau das Problem hatten wir vor Kurzem schon mal hier im Forum. Da hat sich irgendwas verheddert, und da hilft am Ende nur der Reset auf Werkseinstellungen.

 

[musv]

Ich bin ein paar Schritte weiter. Da ich noch nie eine Beta-Version auf der Fritzbox laufen hatte, hab ich im Vorfeld erstmal alle Einstellungen exportiert, zusätzlich von den Einstellungen noch Screenshots gemacht und natürlich auch das ganze Telefonzeug exportiert.

Das Flashen hat dann problemlos geklappt. Die Einstellungen konnte ich auch teils über die alte Config, teils durch Neueingabe herstellen. Klasse fand ich dabei die Fritzbox-Tools. Damit hab ich die Telefonpasswörter meiner 1&1-Nummern rausbekommen. Die werden erst im November auf Glasfaser umgestellt.

DynDNS klappt ebenfalls. Ich komm sowohl auf die Fritzbox selbst als auch per Port 22 auf mein NAS.

Wireguard wollte erst nicht so recht. Nachdem ich dann bei dynv6.com die IPv4 gelöscht hab, wurde der Tunnel aufgebaut. Aktuell weigert sich noch die Fritzfon-App, die Verbindung aufzubauen. Update: Das scheint noch etwas instabil zu sein. Aktuell bekomm ich keine VPN-Verbindung zustande.

 

[B612]

Da ich noch nie eine Beta-Version auf der Fritzbox laufen hatte,

Das hättest du auch nicht machen müssen. Einfach Werksreset und dann genau das gleiche was du gemacht hast.

 

[Joe_57]

Damit hab ich die Telefonpasswörter meiner 1&1-Nummern rausbekommen.

Die Passworte hättest du auch im ControlCenter für jede Telefonnummer selbst ändern können.