IPv6 Portfreigaben auf Fritzbox funktioniert nur für HTTPS Port 443 und WireGuard.

R0cket

Mitglied
Mitglied seit
20 Sep 2009
Beiträge
458
Punkte für Reaktionen
8
Punkte
18
Hallo,


ich habe seit einer Woche nun IPv6 DS-Lite und versuche u.a. meine SSH Server von aussen über IPv6 zugreiffbar zu machen.

Ich habe nach dieser Anleitung: https://www.ip-phone-forum.de/threads/port-freigabe-für-openvpn.278890/#post-2091637

IPv6 Freigaben für meine Dienstei eingereichtet. Unter Diagnose-Sicherheit zeigt mir die Box auch an, dass bspw. Port
22 für TCP (IPv4/v6) offen ist.

Nur von aussen, einem externen IPv6 Netz, werden die Verbindungen immer "refused". Von einem externen Netz habe ich bisher nur auf den WebUI der Fritzbox über den Port 443 und mit Wireguard erfolgreich zugreiffen können. Dies sind beide DIenste, die die Fritzbox selber bereitstellt. Alle anderen Zugriffe über andere Ports, die ich selber freigegeben habe gehen aus einen externen Netzwerk heraus nicht. Innerhalb des Netzwerkes hingegen kann ich auch darauf über IPv6 auf diese Dienste zugreiffen.

Ich habe auch einen PC innerhalb des Netzwerkes über die FB Freigaben Option als exposed Host erklärt, aber kann trotzdem nicht auf die Dienste die darauf laufen wie SSH Server zugreiffen. Ich habe hier sichgestellt, dass ich die Korrekte IPv6 Adresse dieses PC's nutze.


Weiß einer was hier das Problem ist und was die Lösung ist? Warum ist der Zugriff über IPv6 nur auf die WebUI der Box und mit WireGuard möglich, nicht aber auf alle andere Ports?
 
Ja, ich nutze die gleiche DynDNS und IP Adresse wie ich für die WebUI und WireGuard benutze.
 
Dein ssh-Server hat doch sicher eine andere öffentliche IPv6-Adresse als deine FB.
Diese solltest du für einen Verbindungsaufbau nutzen.
 
die gleiche DynDNS und IP Adresse
Du denkst noch in IPv4 mit seiner rudimentären Portfreigabe, das ist falsch:
Jedes IPv6-Gerät in Deinem LAN bekommt seine eigene öffentliche IPv6-Adresse. Die FB dient "nur noch" als Firewall, um die Kontaktaufnahme zu zu den einzelnen Geräten mit dem jeweiligen Port zu verhindern oder zu erlauben.
Um Deinen Server zu kontaktieren, musst du zwingend die IPv6-Adresse des Servers nutzen.
Gehst Du über den AVM-DDNS-Dienst, solltest Du auch diese MyFritz-Freigabe der Fritzbox nutzen, der SSH-Server bekommt dann z.B. den (D)DNS-Namen
ssh.<DeinFritzDDNS-Name>.myfritz.net
 
  • Like
Reaktionen: prisrak1
Ja das habe ich schon verstanden. Und nutze deshalb auch die lange separate öffentliche ( nicht lokale) IPv6 des SSH Servers der hinter der Fritzbox läuft. Diese ermittle ich durch Aufruf von ipconfig /all und nehme die dort angegebene lange " IPv6 Address. . . . . . . . . . . : "

Deshalb klappt ja die Verbindung zu diesem SSH Server, da ich die richtige IP nutze, wenn ich mich mit dieser IPv6 verbinde, aber nur wenn ich innerhalb des Netzwerkes bin. Wenn ich von aussen darauf zugreiffe, lässt mich wohl die FB Firewall nicht drauf, obwohl ich den ganzen PC als exposed Host in der Fritzbox freigebe.

Durch diesen Test habe ich ausgeschlossen, dass ich die falschen IP's verwende. Ich nutze die öffentliche IPv6 der Fritzbox über Port 443 und lande auf der WebUI der Box. Die gleiche IP an Port der WireGuard Session und ich verbinde mich mit WireGuard VPN. Genauso wollte ich mich dann mit SSH auf der Fritzbox an Port 22 verbinden, und scheitere damit von aussen. VOn aussen kalppt nur Port 443 und der WIreGuard Port, aber kein anderer Port.

Den exposed Host auf den PC hinter der Box habe ich testhalber erstellt. Aber die Box lässt nichtmal Verbindungen zu dem Exposed Host zu, geschweige denn zu Diensten die ich auf der Fritzbox laufen habe.

Deshalb ist hier die Frage zu klären, warum die Fritzbox firewall trotz Exposed Host die Verbindungen nicht durchlässt?

Ich kann mir nicht vorstellen, dass die Firewall in der Original Firmware nicht funktioniert, dann wären da viel mehr Beschwerden dazu aufgetreten. Ich vermute das ist ein Bug in der freetz-NG die ich nutze. Ich nutze aktuell: freetz-ng-22375M. Diese hat bisher mit IPv4 zumindets problemlos funktioniert. Ich hatte letzte Woche mal die neueste Version ausgecheckt aber die hatte so viele bugs, die hat nichtmal die dynds aktualisert, da bin ich zurück auf die freetz-ng-22375M.
 
Zuletzt bearbeitet:
Wie sieht den der Beginn Deiner sshd_config aus?
Code:
#Port 
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::
 
Die Listen IP ist nicht das Problem. SSHD ist für IPV6 konfiguriert. Und laut Netstat hört der sshd auch auf die IPv6.

Was gebe ich denn bei "Schema" an, wenn ich eine MyFritz Freigabe für eine SSH oder x-beliebige Protfreigabe Verbindung haben will?
 
Ich habe das Ganze gerade ein mal durchgespielt und bin dabei zunächst auf ein Problem mit meinem Raspberry gestoßen, dort war eigenartigerweise IPv6 deaktiviert.

Nachdem dieser nun auch wieder eine passende IPv6 hat, konnte ich problemlos über IPv4 und IPv6 über die WAN-Adressen zugreifen.

Bei der MyFRITZ!Freigabe gibst Du einfach irgendetwas an, Du benötigst dann ja eh nur den Hostnamen.myfritz.net und gibst den Port seperat an, von daher spielt es keine Rolle (ich hab es jetzt mal mit ssh:// eingerichtet und eben das Präfix sowie das Suffix weggelassen, in Putty kopiert, SSH ausgwählt und meinen gewünschten Port > Verbindung möglich.

Ob dies nun ein Problem von Freetz oder Deinen Einstellungen ist, kann ich nicht beurteilen, an F!OS liegt's definitiv nicht.
 
Nur Freigaben, die von der Box selber angelegt wurden, wie https und WireGuard, werden erlaubt alles andere nicht.

Hat vermutlich was mit dem freetz-ng zu tun. Nur wie jetzt feststelle, welche Freetz version funktioniert. Die ich jetzt nutze ist aus 3.2023. Und die aktuelle Verison ist viel zu verbuggt. Jetzt muss ich Freetz Versionen durchprobieren, bis ich eine funktionierende finde.
 
Flashe doch einfach mal ein originales Image und schau ob es dann überhaupt funktioniert, nicht dass Du doch ein anderes Problem, als die Firewall der F!Box hast.

Tu dies aber dann auch bitte bei den anderen plötzlich von Dir festgestellten Problemen, es ist ja schon überdurchschnittlich, was Du auf ein mal an Problemen/Threads hast.
 
Hat alles mit der Umstellung auf IPv6 letzte Woche begonnen. Davor lief alles mit IPv4 problemlos.

Ich gehe davon aus, dass mit der original Frtiz OS alles problemlos laufen wird. Das werde ich mal testen um es sicherzustellen.

Das hilft mir aber nicht, da ich Fritzboxen wegen Freetz habe und umbedingt Freetz nutzen muss.
 
Ich würde Dir empfehlen zu schauen, dass zunächst alles mit dem offiziellen F!OS funktioniert - dann kannst Du ja wieder Dein freetz-image flashen und prüfen ob es weiterhin funktioniert.

Falls es nur mit freetz Probleme geben sollte, wäre dies zumindest geklärt und eventuelle stille Mitleser werden interessiert und melden sich dann doch hier.

Anderenfalls wünsche ich Dir einfach viel Erfolg bei der Einarbeitung mit IPv6 - aber als Basis solltest Du wirklich ein "geprüftes" OS einsetzten, welches in der breiten Masse problemlos das tut, was es soll.
 
  • Like
Reaktionen: prisrak1
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.