- Anzeige -

Fritzbox IPv6-Firewall?

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Fritzbox IPv6-Firewall?

Beitragvon Leseratte10 » 06.02.2014, 21:54

Hallo,

ich bekomme es einfach nicht hin, in der 6320 und der nachgeschalteten 7270 den Port 80 über IPv6 freizugeben, damit ein laufender Webserver von außerhalb erreichbar ist.

In der 6320 steht unter IPv6-Portfreigaben sowohl für die 7270 als auch für den Rechner selbst ein Eintrag mit "Firewall komplett öffnen", ebenso steht nochmal in der 7270 ein Eintrag für den Rechner. Aber sogar eingehende Pings werden an der Public-IPv6 der 6320 (nicht im eigenen Präfix) abgewiesen:

Code: Alles auswählen
PING meinrechner.xxxxxxxxxxxxxx.myfritz.net(2a02:908:xxxx:59c0:xxxx:xxff:fexx:xxxx) 32 data bytes
From 2a02:908:xxxx:4:31f6:xxxx:6a58:xxxx icmp_seq=0 Destination unreachable: Administratively prohibited
From 2a02:908:xxxx:4:31f6:xxxx:6a58:xxxx icmp_seq=1 Destination unreachable: Administratively prohibited
From 2a02:908:xxxx:4:31f6:xxxx:6a58:xxxx icmp_seq=2 Destination unreachable: Administratively prohibited
From 2a02:908:xxxx:4:31f6:xxxx:6a58:xxxx icmp_seq=3 Destination unreachable: Administratively prohibited

--- meinrechner.xxxxxxxxxxxxxx.myfritz.net ping statistics ---
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 3011ms


Eigentlich hätte ich sogar gern in der 6320 die ganze IPv6-Firewall abgeschaltet, da dahinter eh eine 7270 mit eigener Firewall steht.

Kann mir jemand erklären, was ich tun muss, damit ich von außerhalb über eine (funktionierende!) IPv6-Verbindung auf einen Webserver auf meinem Rechner zugreifen kann?
Auf dem Rechner selber komme ich mit meinrechner.xxxxxxxxxxxxxx.myfritz.net problemlos auf meinen Webserver - über IPv6.

Leseratte10
Leseratte10
Glasfaserstrecke
 
Beiträge: 1274
Registriert: 07.03.2013, 16:56

Re: Fritzbox IPv6-Firewall?

Beitragvon hajodele » 06.02.2014, 21:58

Du machst eine IPv6-Freigabe (Internet - Freigaben - IPv6)
hajodele
Kabelkopfstation
 
Beiträge: 3961
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Fritzbox IPv6-Firewall?

Beitragvon Leseratte10 » 06.02.2014, 22:03

Leseratte10 hat geschrieben:In der 6320 steht unter IPv6-Portfreigaben sowohl für die 7270 als auch für den Rechner selbst ein Eintrag mit "Firewall komplett öffnen", ebenso steht nochmal in der 7270 ein Eintrag für den Rechner.

Sowohl auf der 6320 als auch auf der 7270 sind schon IPv6-Portfreigaben eingerichtet. In der 6320 steht die 7270 und der Rechner selbst als "komplett offen" drin, in der 7270 der Rechner selbst. Trotzdem kommt kein Ping durch.

Bild Bild Bild
Leseratte10
Glasfaserstrecke
 
Beiträge: 1274
Registriert: 07.03.2013, 16:56

Re: Fritzbox IPv6-Firewall?

Beitragvon SpaceRat » 07.02.2014, 07:38

Leseratte10 hat geschrieben:ich bekomme es einfach nicht hin, in der 6320 und der nachgeschalteten 7270 den Port 80 über IPv6 freizugeben, damit ein laufender Webserver von außerhalb erreichbar ist.

Du hast die Router kaskadiert, also die 7270 im Betriebsmodus "Internet über LAN1" bzw. "Anbieter: Unitymedia"?

Leseratte10 hat geschrieben:Kann mir jemand erklären, was ich tun muss, damit ich von außerhalb über eine (funktionierende!) IPv6-Verbindung auf einen Webserver auf meinem Rechner zugreifen kann?
Auf dem Rechner selber komme ich mit meinrechner.xxxxxxxxxxxxxx.myfritz.net problemlos auf meinen Webserver - über IPv6.

Man kann theoretisch tatsächlich im IPv6-Betrieb einen anderen Router hinter einer 63x0 kaskadieren und dabei dem zweiten Router sein eigenes Präfix delegieren.
Die Anleitung dazu findet sich hier.

Es gibt allerdings ein klitzekleines Problem an der Sache:
Die delegierende Fritz!Box routet eingehende IPv6-Pakete für das Subnetz der zweiten Fritz!Box bzw. des nachgeschalteten IPv6-Routers nicht durch.
Der Benutzer "Egalus" hat genau das selbe Problem mit einer Fritz!Box 7390, die von einer Fritz!Box 6360 ein Präfix delegiert bekommt.

Schuld ist wohl tatsächlich die Firewall der delegierenden Fritz!Box, Verbindungen über conntrack (Also Antwortpakete auf Anfragen aus dem delegierten Subnetz) funktionieren nämlich, nicht aber von außen initiierte, also auf Server im delegierten Subnetz.

AVM kennt das Problem (Siehe verlinktes Posting), es kann aber nicht schaden, es ihnen noch einmal in Erinnerung zu rufen :)
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritzbox IPv6-Firewall?

Beitragvon Leseratte10 » 07.02.2014, 10:51

Genau so hab ich es gemacht - die 7270 bekommt ein Präfix von der 6320. Kann man denn irgendwie (in der config-Datei oder so) die Ipv6 Firewall komplett abschalten? Die können uns doch kein IPv4-CGN zusammen mit nicht funktionierenden IPv6 - Portfreigaben andrehen?!
Leseratte10
Glasfaserstrecke
 
Beiträge: 1274
Registriert: 07.03.2013, 16:56

Re: Fritzbox IPv6-Firewall?

Beitragvon SpaceRat » 07.02.2014, 11:17

Leseratte10 hat geschrieben:Genau so hab ich es gemacht - die 7270 bekommt ein Präfix von der 6320. Kann man denn irgendwie (in der config-Datei oder so) die Ipv6 Firewall komplett abschalten? Die können uns doch kein IPv4-CGN zusammen mit nicht funktionierenden IPv6 - Portfreigaben andrehen?!

Mir fiele da schon was ein ...

Exportier mal Deine Config (Mit Passwort) aus der 63x0, mache eine Sicherheitskopie davon und schick sie mir (Ziggy Punkt Spacerat bei gmx Pünktchen de).
Ich möchte meine Idee jetzt nicht im ganzen Internet ausbreiten, weil sie schon link ist.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritzbox IPv6-Firewall?

Beitragvon Leseratte10 » 07.02.2014, 13:09

Mail ist raus.

Wäre schön wenn das klappen würde.
Leseratte10
Glasfaserstrecke
 
Beiträge: 1274
Registriert: 07.03.2013, 16:56

Re: Fritzbox IPv6-Firewall?

Beitragvon Leseratte10 » 07.02.2014, 22:07

SpaceRat hat mir nun zwei verschiedene Config-Dateien zugeschickt die aber beide nicht das gewünschte Ergebnis gebracht haben. Eine Mail an AVM habe ich auch mal verfasst, vielleicht bringts ja was.
Leseratte10
Glasfaserstrecke
 
Beiträge: 1274
Registriert: 07.03.2013, 16:56

Re: Fritzbox IPv6-Firewall?

Beitragvon SpaceRat » 07.02.2014, 23:23

Leseratte10 hat geschrieben:SpaceRat hat mir nun zwei verschiedene Config-Dateien zugeschickt die aber beide nicht das gewünschte Ergebnis gebracht haben. Eine Mail an AVM habe ich auch mal verfasst, vielleicht bringts ja was.

Die Mail an AVM hätte ich Dir sowieso nahegelegt, denn was ich da bastle wären bestenfalls Workarounds.

Nach den zwei Varianten fällt mir aber auch nix mehr ein, ich passe.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritzbox IPv6-Firewall?

Beitragvon Leseratte10 » 08.02.2014, 09:00

Na super. Bis AVM kapiert hat was ich will, wird bestimmt schon eine halbe Ewigkeit vergangen sein. Dann nochmal eine halbe Ewigkeit, bis das in irgendeine Firmware eingebaut wird und dann nochmal eine Ewigkeit, bis die von UM verteilt wird. Also kann man wohl frühestens 2015 mit einer vernünftigen Lösung rechnen.

Meint ihr, wenn ich dieses Problem an UM schildere, schicken die mir vielleicht ein 3208 (oder ein anderes "echtes" Modem)?

Aber noch ein Ansatz:
In der 6360 lässt sich einer der vier LAN-Anschlüsse zu einer Bridge umfunktionieren, dieser Anschluss hängt dann direkt am Modem. Die entsprechende Einstellungsseite gibt es auch in der 6320, ich kann allerdings nichts anklicken, da die Box verlangt, dass mindestens ein LAN-Anschluss ungebridgt bleibt (zum Zugriff auf die Box). Vielleicht könnte man da ja was basteln dass der (einzige) LAN-Anschluss der 6320 zur Bridge wird und ich diese nur noch über WLAN erreiche?
Leseratte10
Glasfaserstrecke
 
Beiträge: 1274
Registriert: 07.03.2013, 16:56

Nächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: Bing [Bot] und 9 Gäste