- Anzeige -

Fritzbox IPv6-Firewall?

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Re: Fritzbox IPv6-Firewall?

Beitragvon SpaceRat » 08.02.2014, 19:13

Leseratte10 hat geschrieben:Na super. Bis AVM kapiert hat was ich will, wird bestimmt schon eine halbe Ewigkeit vergangen sein. Dann nochmal eine halbe Ewigkeit, bis das in irgendeine Firmware eingebaut wird und dann nochmal eine Ewigkeit, bis die von UM verteilt wird. Also kann man wohl frühestens 2015 mit einer vernünftigen Lösung rechnen.

Du bist dann immerhin schon der Zweite, der dieses Problem meldet.
Die Verzögerung durch UM wird das Hauptproblem werden ...

Leseratte10 hat geschrieben:Meint ihr, wenn ich dieses Problem an UM schildere, schicken die mir vielleicht ein 3208 (oder ein anderes "echtes" Modem)?

Leider nein.

Leseratte10 hat geschrieben:In der 6360 lässt sich einer der vier LAN-Anschlüsse zu einer Bridge umfunktionieren, dieser Anschluss hängt dann direkt am Modem. Die entsprechende Einstellungsseite gibt es auch in der 6320, ich kann allerdings nichts anklicken, da die Box verlangt, dass mindestens ein LAN-Anschluss ungebridgt bleibt (zum Zugriff auf die Box). Vielleicht könnte man da ja was basteln dass der (einzige) LAN-Anschluss der 6320 zur Bridge wird und ich diese nur noch über WLAN erreiche?

Das willst Du nicht.
Der Bridge-Modus ist bei Privatkunden nicht vorgesehen und funktioniert auch nur eher zufällig gelegentlich.

Wenn Du wirklich Ruhe haben willst, bleibt Dir nur ein Wechsel zu einem anderen Anbieter oder in einen Geschäftskundentarif.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritzbox IPv6-Firewall?

Beitragvon Leseratte10 » 08.02.2014, 22:21

SpaceRat hat geschrieben:Der Bridge-Modus ist bei Privatkunden nicht vorgesehen und funktioniert auch nur eher zufällig gelegentlich.


Wegen der max. Anzahl an CPE, also solange ich die 6320 nicht neustarte, sollte es laufen? Oder aus einem ganz anderen Grund?
Wäre es denn theoretisch möglich?

Und AVM hat im Moment wohl alle Hände voll zu tun wegen der Sicherheitslücke...
Mal sehen wann und wie die auf meine Mail reagieren.

Es wundert mich aber dass das Problem bisher nur einmal aufgetreten ist. Gibt es denn so wenig Leute die einen eigenen Router hinter der 6320 betreiben und Portfreigaben haben wollen?
Leseratte10
Glasfaserstrecke
 
Beiträge: 1275
Registriert: 07.03.2013, 16:56

Re: Fritzbox IPv6-Firewall?

Beitragvon Egalus » 08.02.2014, 22:32

Oh,
ein Mitstreiter bei dem Problem, wie schön.
Ich bin gespannt wer von uns schnellr den Passierschein AVM38 findet. Wobei ich schon 4 Wochen Vorsprung im AVM Supportdschungel habe.
Vielleicht habe ich dem First und Second Level Support ja schon genug über IPV6 beigebracht (glaube ich zwar nicht, denn bisher versuchen sie immer noch die Lösung für das Problem bei meiner 7390 zu suchen statt bei der 6360) damit du gleich in Level 3 aufsteigen kannst ;)
Über eine Lösung würde ich mich nach wie vor freuen - wobei mir ein reines Modem mit eigenem Router dahinter immer noch besser gefallen würde - wobei es aktuell für viele wohl ganz praktisch war mit der Zwangshardware weil nun wohl definitiv UM auf dem Schaden sitzt und nicht der arme Privatmann.
Die Lösung für den DSLite Murx von Unitymedia: Business-Kunde mit statischer IPv4 Adresse werden.

Spass mit DS-Lite:
- OpenVPN an einen IPv4 Endpoint funktioniert über DSLite wenn man die MTU auf 1380 Bytes reduziert.
- Die Firewall des TC7200 ist binär. Alles an oder alles aus.
- Die FB6360 kann zwar IPv6 Prefix Delegation, AVM ist aber unfähig der Fritte dann beizubringen die Finger vom Prefix zu lassen => eingehender Verbindungsaufbau unmöglich.
Egalus
erfahrener Kabelkunde
 
Beiträge: 67
Registriert: 11.12.2013, 07:38

Re: Fritzbox IPv6-Firewall?

Beitragvon SpaceRat » 08.02.2014, 23:30

Leseratte10 hat geschrieben:
SpaceRat hat geschrieben:Der Bridge-Modus ist bei Privatkunden nicht vorgesehen und funktioniert auch nur eher zufällig gelegentlich.


Wegen der max. Anzahl an CPE, also solange ich die 6320 nicht neustarte, sollte es laufen? Oder aus einem ganz anderen Grund?

Ich kann die max-cpe nur als Ursache für den scheiternden Bridge-Modus vermuten, wissen kann ich das nicht.

Leseratte10 hat geschrieben:Wäre es denn theoretisch möglich?

Ich weiß nicht, ob sich die 6320 austricksen ließe.
Wie Du gesehen hast, überlebt ja nicht einmal das firewall=no einen Neustart ..

Leseratte10 hat geschrieben:Es wundert mich aber dass das Problem bisher nur einmal aufgetreten ist. Gibt es denn so wenig Leute die einen eigenen Router hinter der 6320 betreiben und Portfreigaben haben wollen?

Die 6320 gab es nur als recht kurzes Zwischenspiel, die meisten Kunden sind mit dem noch viel schlimmeren DK7200 geschlagen.

Und naturgemäß dürfte es auch weit mehr Leute geben, die den Rotz anderer Hersteller durch eine Fritz!Box ersetzen wollen, als Kunden, die unbedingt eine Fritz!Box hinter einer Fritz!Box betreiben wollen.
Man kann ja mit der 6360 und auch der 6320 (ggf. ergänzt um einen Switch oder IPv6-fähigen Billigrouter als Switch+AP) recht gut leben.

Es bleibt also wirklich nur ein relativ kleiner Prozentsatz an Power-Usern, die auch bei vorhandener Fritz!Box 63x0 unbedingt ihre eigene Fritz!Box als Router betreiben wollen.
Ich fände übrigens einen Gegentest mit einem anderen IPv6-tauglichen Router (z.B. Asus, D-Link oder TP-Link Archer) mal ganz spannend. Wer weiß, vielleicht liegt es wirklich an der nachgeschalteten Fritz!Box, weil diese z.B. das router-advertisement nicht über den WAN-Port rauskloppt?
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritzbox IPv6-Firewall?

Beitragvon Leseratte10 » 09.02.2014, 12:03

Wieso sollte das am nachgeschalteten Gerät liegen? Das bekommt korrekterweise über die Prefix Delegation ein Präfix. Der Rest (= Firewall für das Präfix öffnen) ist Sache der 6320.

Ich habe mir mal die IPv6-Routing-Tabelle der 6320 angeschaut und folgenden Eintrag entdeckt (7e00 ist das Lan-Präfix der 6320, 7e40 das delegierte):

Code: Alles auswählen
2a02:908:xxxx:7e40::/58 via fe80::be05:43ff:fe2b:972f dev lan metric 128
2a02:908:xxxx:7e40::/58 via fe80::be05:43ff:fe2b:972f dev lan metric 128 mtu 1500 advmss 1440 proto delegated-prefix table main

Die Box hat zumindest schonmal eine korrekte Route für das delegierte Präfix - also wird das wahrscheinlich "nur" von der Firewall blockiert und sollte von AVM leicht zu beheben sein (hoffe ich mal).

Allerdings steht das delegierte Präfix nicht in der Liste der "erlaubten Adressen" (was auch immer das zu bedeuten hat), denn das delegierte Präfix endet auf 7e40. Vielleicht greift die Firewall irgendwie auf diese Liste zu?

Code: Alles auswählen
allowedv6:
 fd00::/64
 fe80::/64
 fd00:0:0:1::/64
 2a02:908:xxxx:7e01::/64
 2a02:908:xxxx:7e00::/64


Außerdem wundert mich das "7e01" in der Liste. Hat AVM da eventuell vergessen, dass sie immer 0x40 zum Präfix addieren und nicht 0x01?

Vom TK7200 hab ich auch schon gehört und bin froh, dass ich den nicht bekommen habe. Dann doch lieber eine Fritzbox.
Leseratte10
Glasfaserstrecke
 
Beiträge: 1275
Registriert: 07.03.2013, 16:56

Re: Fritzbox IPv6-Firewall?

Beitragvon SpaceRat » 09.02.2014, 12:36

Leseratte10 hat geschrieben: 2a02:908:xxxx:7e01::/64
2a02:908:xxxx:7e00::/64[/code]

Außerdem wundert mich das "7e01" in der Liste. Hat AVM da eventuell vergessen, dass sie immer 0x40 zum Präfix addieren und nicht 0x01?

Das ist einfach erklärt:

Die Fritz!Box gönnt sich selber ein /62er Präfix, also 4 Subnetze /64, davon verwendet sie das erste für lan und das zweite für guest.

Da ich bei mir kein "Gast-Zugang an LAN4" aktivieren kann (Das können die Boxen nur, wenn der Zugang über das eingebaute Modem erfolgt und das ist bei meiner 7390 natürlich nicht der Fall), weiß ich nicht, ob dafür evtl. ein drittes Subnet verwendet wird oder ob der Gast-Zugang LAN und WLAN einfach gebridged wird.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritzbox IPv6-Firewall?

Beitragvon Leseratte10 » 09.02.2014, 12:41

Die 6320 hat einen Gastzugang? Wo das denn :P

Die hat nur einen LAN-Port, also nix mit Port 4 und WLAN-Gastzugang unterstützt sie auch nicht. Was soll also das Präfix 7e01?
Die genannten Adressen und Routingtabellen stammen ja von der 6320.
Leseratte10
Glasfaserstrecke
 
Beiträge: 1275
Registriert: 07.03.2013, 16:56

Re: Fritzbox IPv6-Firewall?

Beitragvon CapFloor » 09.02.2014, 14:41

Hi, damit ihr nicht so alleine seid :winken: und ich das Problem auch gelöst sehen will, werde ich mich mit diesem Problem auch an AVM wenden. Ich will eine 7270 mit einer Subnet Delegation von der 6360 betreiben. Hab natürlich auch das Problem, dass kein Gerät im Subnet der 7270 von außen adressiert werden kann. Schade eigentlich, denn ansonsten kann die Fritzbox IPv6 mäßig (fast) alles - für meinen Anspruch...
Bild
CapFloor
erfahrener Kabelkunde
 
Beiträge: 52
Registriert: 15.09.2011, 18:44

Re: Fritzbox IPv6-Firewall?

Beitragvon SpaceRat » 09.02.2014, 15:19

Leseratte10 hat geschrieben:Die 6320 hat einen Gastzugang? Wo das denn :P

Die hat nur einen LAN-Port, also nix mit Port 4 und WLAN-Gastzugang unterstützt sie auch nicht. Was soll also das Präfix 7e01?
Die genannten Adressen und Routingtabellen stammen ja von der 6320.

Vielleicht wurde er auch nur im Auftrag von UM rausgeschnippelt und ist halt in Grundzügen noch vorhanden ... wer weiß?
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritzbox IPv6-Firewall?

Beitragvon Leseratte10 » 09.02.2014, 15:25

Dann würde er in der von AVM veröffentlichten Bedienungsanleitung drin stehen - genau wie Anrufbeantworter und Fax.

Da aber die Box eine korrekte Route anlegt, kann doch das Problem nur noch an der Firewall liegen, die allen Zugriff in das delegierte Präfix nicht zulässt oder?

EDIT: Den Gastzugang gibt es doch - man muss nur die Adresse von Hand eingeben. Wäre also möglich, dass das Präfix dafür ist. Ich probier das mal eben aus.
EDIT 2: Der Gastzugang ist in Teilen noch vorhanden (und hat eine Sicherheitslücke). Der verteilt dann das Präfix 7e41.
Aber egal, was man für eine Verschlüsselung einstellt, der Gastzugang ist komplett unverschlüsselt...
Leseratte10
Glasfaserstrecke
 
Beiträge: 1275
Registriert: 07.03.2013, 16:56

VorherigeNächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: Bing [Bot] und 68 Gäste

cron