Router hinter Fritzbox! ICMPv6 klappt nicht.

Knogle

Neuer User
Mitglied seit
12 Mrz 2020
Beiträge
54
Punkte für Reaktionen
4
Punkte
8
Hallo Freunde.
Ich habe eine Fritzbox 6591, und meinen OpenWrt Router direkt dahinter sitzen. Jedoch macht der Kabelanschluss Probleme. Obwohl ich das OpenWrt Gerät in der Fritzbox für IPv4 und IPv6 als exposed Host eingetragen habe, kommen IPv6 Pings nicht an.
Folgendes passiert dann.


Code:
ping: unknown host 2a02:908:230:e00:e65f:1ff:fe05:d38c


The response for '2a02:908:230:e00:e65f:1ff:fe05:d38c' using IPv6 is:

PING 2a02:908:230:e00:e65f:1ff:fe05:d38c(2a02:908:230:e00:e65f:1ff:fe05:d38c) 56 data bytes
From 2a02:908:200:3:393e:de17:f1f8:ddcc icmp_seq=1 Destination unreachable: Administratively prohibited

--- 2a02:908:230:e00:e65f:1ff:fe05:d38c ping statistics ---
5 packets transmitted, 0 received, +1 errors, 100% packet loss, time 4036ms

Ich bin auf ICMPv6 auf meinem Router angewiesen da ich mit meinen anderen 2 DSL Anschlüssen auf dem OpenWrt Router Loadbalancing betreibe. Bei den beiden anderen Anschlüssen klappt das, nur hier macht das Probleme.
Woran kann das liegen?

ipv6-test.com sagt auch dass ICMPv6 gefiltert wird.
 

Anhänge

  • Screenshot from 2021-04-08 16-17-17.png
    Screenshot from 2021-04-08 16-17-17.png
    90.9 KB · Aufrufe: 17
  • Screenshot from 2021-04-08 16-17-51.png
    Screenshot from 2021-04-08 16-17-51.png
    159 KB · Aufrufe: 18
Ohne das jetzt selbst getestet zu haben ... aber wo in der IPv6-Adresse, die da angepingt werden soll, ist denn die freigegebene Interface-ID zu sehen?

Es würde mich zumindest nicht wundern, wenn auch das bei IPv6 von AVM anders umgesetzt wurde ... im Gegensatz zu IPv4 steht bei "exposed host" ja auch nicht, daß nur ein einziger Host dafür festgelegt werden kann. Solange AVM da nicht die Weiterleitung des kompletten (eigenen) Präfix-Bereichs an diesen Host macht (wofür es bei IPv6 m.E. keine Gründe gibt, schließlich gibt es ja "delegations"), muß auch nicht jedes eingehende IPv6-Paket an einen "undefinierten Host" an diesen IPv6-Host weitergegeben werden (wie das bei IPv4 der Fall ist).

Man kann auch nicht erkennen, welche Präfixe da delegiert wurden und wie lang die Maske dafür ist ... aber wenn der Router der Ansicht ist, seine IPv6-Adresse hätte 2a02:908:230:e14 als "Host-Teil" (eben mit unbekannter Maske) und das ping geht an 2a02:908:230:e00, dann müßte der delegierte Präfix sich ja schon mal in mind. 5 Bit von der eigentlichen Adresse unterscheiden.

"Normal" wäre es hier jedenfalls, daß der Router einen eigenen, delegierten IPv6-Präfix anfordert und dann mit diesem selbst arbeitet ... sprich, aus diesem Bereich auch die Adressen an seine Clients zuteilt, etc. - und für diesen delegierten Präfix sollte dann die FRITZ!Box auch die IPv6-Pakete ungehindert passieren lassen, wenn die zweite Freigabe-Option (bei IPv6) angehakt ist. Die erste Option bei der Freigabe (PING6) bezieht sich (meiner Meinung nach, ich habe aber mal wieder keine Lust, das zu testen, daher lieber als "These") eben darauf, ob die freigegebene IPv6-Adresse des Routers (und das ist dann die, welche sich auch dem Host-Teil (der 6591) und der angegebenen Interface-ID für die Freigabe zusammensetzt) per ICMPv6 (bzw. per PING6, denn ICMPv6 wird auch für andere Zwecke unbedingt benötigt) erreichbar sein soll oder nicht.

Und der dritte Punkt (exposed host) MÜSSTE sich auch nur auf diese Adresse beziehen ... anstatt da nur einzelne Ports/Dienste freizugeben, werden dann eben alle einkommenden Verbindungen (aber eben nur für diese Adresse) zugelassen - so zumindest meine Interpretation, mein Verständnis und auch meine bisherigen Erfahrungen mit solchen IPv6-Freigaben, wobei das bei mir meist nur mit kaskadierten FRITZ!Boxen getestet wurde. Das würde auch weiterhin dazu passen, daß bei IPv6 die "Warnung", es könne nur einen Host treffen, daß er als Exhibitionist im Internet erscheint, auch nicht aufgeführt ist. Theoretisch sollte sich JEDES IPv6-Gerät als Client einer FRITZ!Box auch als "exposed host" einrichten lassen, in der Online-Hilfe steht dazu sogar ausdrücklich:
Die komplette Freigabe für den Internetzugriff über IPv6 kann für jedes Netzwerkgerät eingerichtet werden.
Wobei ich ohnehin mal den Blick in diese Online-Hilfe empfehlen würde ... dann sind vielleicht auch ein paar andere "Mißverständnisse" schnell(er) und ohne Warten auf Reaktionen im IPPF zu beseitigen. In neuerer Firmware sieht dann die "Freigabe"-Seite auch wieder etwas anders aus - hier steht aber auch nicht im Thread, über welche FRITZ!OS-Version wir eigentlich reden.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Knogle
VIelen Dank für deine Antwort.
Aktuell schaut es so aus, hier ist mal der Teil in OpenWrt, Prefix-Delegation klappt soweit, Clients bekommen auch einen entsprechenden IPv6 Lease zugewiesen. Ich werde mal weiterschauen.

Meine Fritzbox hat auch noch einen Bridge-Mode der aktiviert werden kann, darüber kann ich das auch mal probieren.

Screenshot from 2021-04-08 17-16-47.png

Bild gemäß Boardregeln als Vorschaubild eingebunden by stoney
 
Zuletzt bearbeitet von einem Moderator:
Also wird ein /60-Präfix delegiert, wo die FRITZ!Box dann vermutlich vom Provider einen /56 (oder mindestens /59) bezogen hat, aus dem sie den "ersten" separaten Bereich, der sich bei /60 ergibt (weil e00 ja ihre eigenen Adressen beinhaltet), dann delegiert hat (also ...e10/60).

Der OpenWRT-Router hat aber selbst die angezeigte IPv6-Adresse gesetzt (bei WAN6) und für die hat die FRITZ!Box (meines Erachtens, das kann man aber selbst in der Support-Datei jederzeit nachlesen) GAR KEINE Freigaben (auch wenn das Gerät die per DHCP erhalten hat von der FRITZ!Box).

Für mich stellt sich da eher die Frage, warum in der FRITZ!Box diese "komische" Interface-ID für den OpenWRT-Router eingetragen ist, die ja offensichtlich nicht zur MAC-Adresse des Gerätes paßt und daher keine EUI-64 ist.

Wenn das als Erstes korrigiert wird, klappt sicherlich auch das PING6 schon und wenn dann weiterhin "exposed host" gesetzt ist, sollten auch alle anderen Ports (ohne explizite Freigaben) aus dem Internet erreichbar sein, wenn der OpenWRT-Router bei DHCPv6-Adressen auch immer brav seine EUI-64 für den eigenen Interface-Teil verwendet.

PS: Bridge-Mode der 6591 ist hier wohl Unsinn (falls er sich tatsächlich beim Provider irgendwo aktivieren läßt) ... bitte erst schlau machen und DANACH damit experimentieren.
 
  • Like
Reaktionen: Knogle und frank_m24
Hey Freunde ihr hattet recht!! Ich danke recht herzlich. Undzwar habe ich jetzt einfach mal die Fritzbox resettet, und dann nochmal die Freigabe für den Router erstellt, jetzt passt auch die Interface ID.
Der Ping geht jetzt auch durch!! Vielen Dank. Ich frage mich jedoch wie das zustande gekommen ist.

Code:
The response for '2a02:908:239:f1c0:e65f:1ff:fe05:d38c' using IPv6 is:

PING 2a02:908:239:f1c0:e65f:1ff:fe05:d38c(2a02:908:239:f1c0:e65f:1ff:fe05:d38c) 56 data bytes
64 bytes from 2a02:908:239:f1c0:e65f:1ff:fe05:d38c: icmp_seq=1 ttl=238 time=160 ms
64 bytes from 2a02:908:239:f1c0:e65f:1ff:fe05:d38c: icmp_seq=2 ttl=238 time=158 ms
64 bytes from 2a02:908:239:f1c0:e65f:1ff:fe05:d38c: icmp_seq=3 ttl=238 time=161 ms
64 bytes from 2a02:908:239:f1c0:e65f:1ff:fe05:d38c: icmp_seq=4 ttl=238 time=159 ms
64 bytes from 2a02:908:239:f1c0:e65f:1ff:fe05:d38c: icmp_seq=5 ttl=238 time=159 ms

--- 2a02:908:239:f1c0:e65f:1ff:fe05:d38c ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 158.714/159.959/161.804/1.122 ms

Das hat noch ne ganze Reihe anderer ungeklärter NAT und UPnP Probleme gelöst die ich monatelang hatte!!! Danke.
 

Anhänge

  • Screenshot from 2021-04-08 18-18-44.png
    Screenshot from 2021-04-08 18-18-44.png
    129.6 KB · Aufrufe: 24
  • Screenshot from 2021-04-08 18-18-28.png
    Screenshot from 2021-04-08 18-18-28.png
    99.6 KB · Aufrufe: 21
  • Like
Reaktionen: sonyKatze
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.