- Anzeige -

Fritzbox IPv6-Firewall?

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Re: Fritzbox IPv6-Firewall?

Beitragvon SpaceRat » 17.02.2014, 15:51

Leseratte10 hat geschrieben:Ich habe eine Freigabe auf meinen PC in der 6320 angelegt (manuell über die ID), und dann (nach Defekt der 7270) den PC direkt an die 6320 gehangen. Dann stand er mir im Freigaben-Menü erneut zur Auswahl.

Könnte mal jemand mit einer zweiten Fritzbox (Egalus?) testen, ob die Freigabe funktioniert, wenn zuerst alle Freigaben in der 6320 gelöscht werden, dann die nachgeschaltete Box ab- und der PC direkt angeklemmt wird, dann die Freigabe über die Auswahl in der Liste erstellt wird und dann die zweite Box wieder angeschlossen wird?

Das eine hat mit dem anderen nichts zu tun.

Daß das Gerät neu auftaucht, hat folgende Bewandnis:
Wenn Du zwei Router kaskadierst, dann befinden sich alle Clients dahinter in einem anderen IPv4-Subnet (und zuerst einmal gar keinem IPv6-Netz)
Kommt die Prefix Delegation hinzu, dann kriegen sie auch noch ihr eigenes IPv6-Subnet.

Schaust Du Dir nun mal eine exportierte Fritz!Box-Konfiguration an, dann wirst Du darin einen Block von "landevices" finden, wobei jeder Block in etwa so aussieht:
Code: Alles auswählen
                ip = 192.168.1.17;
                name = "Blah";
                mac = 00:3E:9E:12:34:56;
                medium = medium_unknown;
                auto_etherwake = no;
                ifaceid = ::23e:9eff:fe12:3456;
                type = neightype_unknown;
                staticlease = no;
                ipv4forwardrules =
                                ...
                ipv6firewall { ...
                }


Die Fritz!Box speichert hier also zu allen bekannten Geräten
- die Interface-ID (Die Modified EUI-64)
- die MAC
- den (Host-)Name
- die IPv4-Adresse
- die IPv4-Weiterleitungs-Regeln
- die IPv6-Firewall-Regeln
- div. anderen Krempel

Normalerweise legt man ja eine Freigabe für ein tatsächlich angeschlossenes Gerät an, so daß die Fritz!Box alle der o.g. Angaben füllen kann.

Eure (sinnlose) IPv6-Freigabe in der vorderen Fritz!Box (Also der 63x0) hingegen habt Ihr manuell gemacht. Zu diesem Zeitpunkt hat die erste Fritz!Box das Gerät ja nicht wirklich gekannt, so daß sie hier nur die eingegebene ifaceid und die IPv6-Firewall-Regel, aber weder MAC, noch IPv4, noch einen Hostname, einfügen konnte.

In dem Moment, in dem das Gerät nun aber tatsächlich in die erste Fritz!Box gesteckt wird, erhält es nun auch eine IPv4 von dieser Fritz!Box (Und nicht mehr der kaskadierten ...) und die erste Fritz!Box erfährt die MAC sowie den Hostname.
Dieses tatsächlich erkannte Gerät stimmt aber nur in einem einzigen Punkt mit dem vorher angelegten überein, der Interface-ID.
Die sollte sich zwar nicht ändern, kann es aber (Sch... privacy extensions). Somit ist nicht 100%ig sicher, daß hinter dem eingestöpselten Gerät auch wirklich das Gerät steckt, welches vorher manuell definiert worden war, also entsteht ein Duplikat.

Was aber ganz sicher ist:
Bei der Konfiguration der IPv6-Firewall kommt es nun zu Kollisionen zwischen dem manuell zugefügten und dem erkannten Gerät mit den identischen Interface-IDs. Deshalb muß die manuell angelegte Freigabe auch spätestens jetzt entfernt werden.

Daher würde ich auch nicht empfehlen, irgendwelche IPv6-Freigaben anzulegen, solange das Gerät nicht dort auch in der Auswahl erscheint.
Wenn die Interface-ID von Hand eingegeben werden müßte, dann ist schon vorher irgendwas gründlich schief gelaufen.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritzbox IPv6-Firewall?

Beitragvon Renover99 » 20.02.2014, 10:48

Hallo zusammen,

ich habe mich zwar gerade eben erst registriert, bin aber schon lange ein stiller Mitleser da ich auch ein Opfer des Unitymedia mit IPv6 nach Anbieterwechsel geworden bin.

Ich lese mich eigentlich immer durch etliche Foren kreuz und quer und habe den Ehrgeiz dadurch selbst meine Probleme zu lösen, aber jetzt weiß ich nicht mehr weiter und benötige Hilfe.
Aber vorher noch ein großes Dankeschön an SpaceRat. Du hast mir schon sehr oft weitergeholfen, nur bisher wusstest du das nicht. Jetzt aber!

Meine Konstellation sieht folgendermaßen aus:

Ich habe eine Fritzbox 6320 Cable. Mit Internetanschluß über Lan1 habe ich eine zweite Fritzbox 7270 V2 wegen dem schlechten Wlan-Signal der 6320 angeschlossen. An der 7270 habe ich eine Dreambox, Synology NAS, MediaCenter PC etc laufen. Jetzt will ich von meinem S2 von außen z.B. auf das NAS zugreifen.
Einen Sixxs-Tunnel Ayiya habe ich mir auch schon zugelegt, und funktioniert. Ich komme über das Smartphone dank MyFritz über die 6320 auf die 7270, aber nicht weiter.

Das ist die Ist-Situation.

Jetzt benötige ich eure Hilfe: Kann ich die dahinterliegenden Geräte auch noch irgendwie erreichen? Ich möchte aber ungern die Konstellation mit den zwei Netzwerken aufgeben, da ich diese so schön von einander abgegrenzt habe. Fitz 6320 dient nur für die Bereitstellung des Internets und telefonieren und die 7270 für alles andere.

Und noch eine Bitte. Könnt Ihr mir Antworten, wenn es denn welche gibt, in Laiensprache geben. Ich bin gelernter Kaufmann und kein ITler.

Bei Rückfragen… fragen!
Renover99
Kabelneuling
 
Beiträge: 4
Registriert: 20.02.2014, 10:23

Re: Fritzbox IPv6-Firewall?

Beitragvon Egalus » 20.02.2014, 13:19

@Renover99

Aus deiner Beschreibung wird nicht klar wie genau du die 7270 hinter die 6320 gehangen hast?
Per IPv6 Prefix Delegation oder rein im Client Mode (also IPV4 only)?

Falls du Prefix Delegation nutzt gibt es dank AVMs Unvermögen (es sei denn die 6360 unterscheidet sich da grundlegend von der 6320 Firmware) eigentlich nur eine Möglichkeit:
Jedes Gerät, dass du von Extern erreichen willst muss einen Reverse Tunnel (Stichwort autossh) ins Internet aufbauen - an einen Server auf dem Du SSH Zugang mit Portforwarding Möglichkeiten hast.
Das müsste rein theoretisch sogar mit einem Gerät (wie z.B. einer RaspberryPI) gehen, dass direkt über die 6320 ins Internet geht, denn für selbiges kannst du ja IPV6 Freigaben auf der 6320 einrichten - für Geräte hinter der 6320 aber nicht.

Die Konstellation des Zugriffs mit deinem S2 sähe denn etwa so aus:

Code: Alles auswählen
           Aufbau eines ssh reverse Tunnels (über 7270 und 6320)
Ziel  <------------------------------------------------------------------> Sever mit SSH, der über ipv6 erreichbar ist
         
      Ayaya                             SSH
S2   ------>   Server mit SSH ----------->  Ziel

Dazu muss auf deinem Ziel nichts umkonfiguriert werden außer, dass es einen autossh client mit Zugangsdaten für deinen Server hat.

Alternativ müsste es auch funktionieren können auf die 7270 zu freezen und dann per "socat" ein ipv6 portforwarding von einem ipv6 Port der 7270 auf dein Ziel zu erstellen. Den Weg werde ich demnächst mal ausprobieren.
Dann müsste nicht noch ein Gerät zusätzlich mithelfen ;)
Die Lösung für den DSLite Murx von Unitymedia: Business-Kunde mit statischer IPv4 Adresse werden.

Spass mit DS-Lite:
- OpenVPN an einen IPv4 Endpoint funktioniert über DSLite wenn man die MTU auf 1380 Bytes reduziert.
- Die Firewall des TC7200 ist binär. Alles an oder alles aus.
- Die FB6360 kann zwar IPv6 Prefix Delegation, AVM ist aber unfähig der Fritte dann beizubringen die Finger vom Prefix zu lassen => eingehender Verbindungsaufbau unmöglich.
Egalus
erfahrener Kabelkunde
 
Beiträge: 67
Registriert: 11.12.2013, 07:38

Re: Fritzbox IPv6-Firewall?

Beitragvon SpaceRat » 20.02.2014, 17:22

Renover99 hat geschrieben:Ich habe eine Fritzbox 6320 Cable. Mit Internetanschluß über Lan1 habe ich eine zweite Fritzbox 7270 V2 wegen dem schlechten Wlan-Signal der 6320 angeschlossen. An der 7270 habe ich eine Dreambox, Synology NAS, MediaCenter PC etc laufen. Jetzt will ich von meinem S2 von außen z.B. auf das NAS zugreifen.
Einen Sixxs-Tunnel Ayiya habe ich mir auch schon zugelegt, und funktioniert. Ich komme über das Smartphone dank MyFritz über die 6320 auf die 7270, aber nicht weiter.

Das ist die Ist-Situation.

Jetzt benötige ich eure Hilfe: Kann ich die dahinterliegenden Geräte auch noch irgendwie erreichen? Ich möchte aber ungern die Konstellation mit den zwei Netzwerken aufgeben, da ich diese so schön von einander abgegrenzt habe. Fitz 6320 dient nur für die Bereitstellung des Internets und telefonieren und die 7270 für alles andere.

Prinzipiell würde diese Konstellation so wie hier beschrieben funktionieren. Die 7270 erhielte dann ein eigenes IPv6-Subnetz von der 6320 delegiert und könnte darin schalten und walten, wie Du willst.

Wie aber Egalus schon angedeutet hat, funktioniert das zumindest mit der 6360 nicht so wie gedacht: Das Prefix wird an sich fehlerfrei delegiert und kommt auch an der 7270 bzw. einem anderen nachgeschalteten Router an. Die dort angeschlossenen Geräte erhalten auch IPv6-Adressen aus diesem delegierten Subnetz und können darüber ausgehend kommunizieren (inkl. der Antworten). Eingehend jedoch geht es nicht, Zugriffe von außen werden von der delegierenden Fritz!Box nicht an den Router mit dem delegierten Subnet weitergereicht.

Es gibt nun drei Möglichkeiten:
1. Du gibst die Trennung der Netzwerke auf.
Das ist die sauberere, denn eben diese Trennung stört Dich ja eigentlich doch irgendwie. Wenn Du die 7270 als IP-Client, also als reinen Switch+WLAN Access Point, betreibst, dann erhalten die angeschlossenen Geräte wieder IPv6-Adressen aus dem Netz der 6320. Unter diesen können sie dann wie im Workshop beschrieben direkt über IPv6 erreichbar gemacht werden (Konfiguration der Freigaben in der 6320).

2. Du behältst die Trennung bei und greifst indirekt über die 7270 auf hinter ihr angeschlossene Geräte zu
In diesem Fall ist die 7270v2 das einzige Gerät "im" zweiten Netzwerk, das noch eine IPv6-Adresse erhält. Unter dieser ist die 7270 auch von außen erreichbar (Sie muß aber, genauso wie jedes andere Gerät auch, in der IPv6-Firewall der 6320 noch für jeden zu öffnenden Port freigegeben werden).
Wie schon von Egalus angedeutet kann man dann auf der 7270 selber mit diversen Tools sowas ähnliches wie Port-Weiterleitungen einrichten, indem man von Port x der IPv6-Adresse der 7270 auf Port y der lokalen IPv4-Adresse eines an ihr angeschlossenen Gerätes proxied (6tunnel, HAproxy, socat wären mögliche Tools für diesen Zweck). Dafür würdest Du aber vermutlich die 7270 mit Freetz bestücken müssen, um erstens die Tools zur Verfügung zu haben und um eine halbwegs manierliche Methode nutzen zu können, diese auch bei jedem (Neu-)Start der 7270 wieder zu laden.

3. Du behältst die Trennung bei, deaktivierst die Prefix Delegation auf der 6320 und verwendest auf der 7270 einen SixXS-ayiya-Tunnel
Nach meinem derzeitigen Kenntnisstand würde das gehen. D.h. die 7270 erhält IPv4-Konnektivität von der 6320, aber keine IPv6-Konnektivität. Über einen SixXS-ayiya-Tunnel (Und nur diesen, alle anderen Tunnel werden nicht funktionieren) beschafft sich die Fritz!Box 7270 dann eine eigene IPv6-Anbindung.
Mit dieser könntest Du ganz normal arbeiten, also genauso wie mit der nativen IPv6-Anbindung an der 6320/6360.
Der Nachteil wäre: Das wäre ein Tunnel im Tunnel. Die 6320 hat bei Dir eine native IPv6-Verbindung und baut auf dieser einen Tunnel für IPv4 auf (Das ist das "lite" in DS-lite). Die 7270 würde dann durch eben diesen Tunnel ihren IPv6-Tunnel aufbauen ...
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritzbox IPv6-Firewall?

Beitragvon Renover99 » 20.02.2014, 21:46

Hallo,
Erst einmal vielen Dank für die schnellen Antworten.
Eine Antwort hat mir zu Denken gegeben.


SpaceRat hat geschrieben:Es gibt nun drei Möglichkeiten:
1. Du gibst die Trennung der Netzwerke auf.
Das ist die sauberere, denn eben diese Trennung stört Dich ja eigentlich doch irgendwie. Wenn Du die 7270 als IP-Client, also als reinen Switch+WLAN Access Point, betreibst, dann erhalten die angeschlossenen Geräte wieder IPv6-Adressen aus dem Netz der 6320. Unter diesen können sie dann wie im Workshop beschrieben direkt über IPv6 erreichbar gemacht werden (Konfiguration der Freigaben in der 6320).


Ich habe das mit dem Access Point immer so verstanden, dass der Point immer sein eigenen Netzwerkbereich hat und nicht auf das "Hauptnetzwerk" zugreifen kann. Richtig? Das war immer der Grund warum ich alle Geräte in das Netzwerk der 7270er gepackt habe. Ich will im Wlan mit dem Tablet oder Handy auf das Nas etc. zugreifen.
Aber wenn es möglich ist mit dem Access Point trotzdem sich im Hauptnetzwerk zu bewegen, dann sind ja alle meine Probleme gelöst.

Oder bin ich auf dem Holzweg.

Von der 6320 bekommen dann alle eine Ipv6 Adresse und durch die myfritz Freigabe kann ich mit dem Tunnel auf alles zugreifen, richtig?
Renover99
Kabelneuling
 
Beiträge: 4
Registriert: 20.02.2014, 10:23

Re: Fritzbox IPv6-Firewall?

Beitragvon CapFloor » 20.02.2014, 22:23

Renover99 hat geschrieben:Ich habe das mit dem Access Point immer so verstanden, dass der Point immer sein eigenen Netzwerkbereich hat und nicht auf das "Hauptnetzwerk" zugreifen kann. Richtig?

Notwendig ist das nicht, hat in Deiner Umgebung auch wenig Sinn, da ja anscheinend alle Deine Geräte in dem von der 7270 aufgespannten Netz sind. Jedenfalls hast Du nicht erwähnt, ob Du aktuell überhaupt ein Gerät an Deiner 6360 dran hast. Damit ist die Netzwerk-Trennung bei Dir einfach nur zusätzliche Komplexität.

Renover99 hat geschrieben:Von der 6320 bekommen dann alle eine Ipv6 Adresse und durch die myfritz Freigabe kann ich mit dem Tunnel auf alles zugreifen, richtig?

Ja. Manchmal kann das Leben soooo leicht sein. :winken:
Bild
CapFloor
erfahrener Kabelkunde
 
Beiträge: 52
Registriert: 15.09.2011, 18:44

Re: Fritzbox IPv6-Firewall?

Beitragvon Renover99 » 21.02.2014, 12:05

Hallo,

kennt denn jemand ein How To Do eine 7270 als Access Point bei einer 6320 einzurichten?
An die 6320, da nur ein Lan-Port vorhanden, kommt ein Switch an dem ich die 7270 hänge.
Ich möchte dann mit dem Tab oder Phone über Wlan auf die Geräte, die auch am Switch der 6320 angeschlossen sind.

Ich finde keine Anleitung dafür.
Renover99
Kabelneuling
 
Beiträge: 4
Registriert: 20.02.2014, 10:23

Re: Fritzbox IPv6-Firewall?

Beitragvon Leseratte10 » 21.02.2014, 15:31

Einfach anschließen an LAN1 und dann unter Internet -> Zugangsdaten auf "Internet über LAN1" und "IP-Client" einstellen.
Leseratte10
Glasfaserstrecke
 
Beiträge: 1275
Registriert: 07.03.2013, 16:56

Re: Fritzbox IPv6-Firewall?

Beitragvon Egalus » 04.06.2014, 12:52

Nach langer Zeit habe ich nun eine ziemlich definitiv klingende Antwort vom AVM Support zur IPv6 Prefix Delegation und der fehlenden Ausnahmeregel in der deligierenden Fritzbox Firewall.
Die Antwort habe ich übrigens nur weil ich nach 4 Monaten Funkstille mein Ticket nochmal getriggert habe.

Meine erneute Anfrage an den Support sah (ich habe Anrede und Zusammenfassung wie lange das Thema nun schon im AVM Support kreis weggelassen) wie folgt aus:
...

Auch mit den Firmwares mit den Sicherheitspatches für die 6360 und 7390
ist es an einem DS Lite Anschluss nach wie vor zwar möglich eine IPV6
Prefix Delegation an die 7390 durchzuführen, es ist aber nach wie vor
nicht möglich der 6360 beizubringen eingehende Pakete an dieses Prefix
unbehandelt an die 7390 weiterzuleiten.

Damit wird die beworbene IPv6 Prefix Delegation natürlich unnütz, da ich
zwar IPv6 Freigaben in der 7390 für dort angeschlossene Geräte
einrichten kann, eingehende Verbindungsanfragen aus dem Internet aber an
der nicht konfigurierbaren (für den deligierten Prefix) Firewall der
6360 verworfen werden.

Die Lösung des Problems dürften nur wenige Zeilen Quelltext für die 6360:
if (ipv6 destination address is in delegated prefix) forward packet to
the router that is responsible for the delegated prefix

Bisher warte ich geschlagene 6,5 Monate darauf, dass jemand in Ihrem
Unternehmen diese Problembeschreibung nachvollziehen kann, wie viele
Jahre entfernt mag da eine Lösung sein? Die 7390 ist mir deutlich zu
teuer für einen ipv4 (denn etwas anderes kann die 7390 im ip client
Modus ja nicht) 5GHz Accesspoint, denn als mehr kann ich sie ja aktuell
nicht einsetzen.
...


Und die Antwort die ich erhalten habe (auch wieder um Anrede und Verspätungsentschuldigung gekürzt) sieht so aus:
...
Was den beschriebenen Sachverhalt angeht, so ist diese Funktionalität im
allgemeinen in den FRITZ!Boxen gegenwärtig nicht gegeben und stellt keine
zugesicherte Funktion dar. Wir planen aber das Feature in Zukunft in einer
künftigen Firmwareversion zu implementieren. Es wird nach jetziger
Schätzung allerdings nicht im kommenden Firmware-Release sein, sondern eher
später. Wann genau, lässt sich derzeit aber leider noch nicht sagen.
...


Fazit:
Auf absehbare Zeit ist darauf Verlass, dass diese Ausnahmeregel für AVM zu hoch ist...

Leider verliefen auch meine Versuche der ipv6 Firewall auf der gefreezten 7390 mit deligiertem Prefix beizubringen IPV6 Pakete an den auf der 7390 laufenden openvpn Server durchzulassen im Sande.
Die FB7390 ist mir USB Root deutlich zickiger als es noch meine 7270 war.
Warum man mit USB-Root einen Bootloop (weil irgendwas auf dem USB Stick nicht passt) nicht wieder verlassen kann indem man den Stick entfernt ist mir schleierhaft.

Es gibt aber auch eine gute Nachricht: Nachdem Vodafone mehrere Jahre lang nicht wusste, dass sie ein Ortsnetz bei uns haben und wir daher nicht von dem DSL6000 wegkamen (die Telekom rüstet das ehemalige ISIS/Arcor Netz halt nicht hoch) hat Vodafone das Ortsnetz jetzt wieder auf dem Schirm und gerade auf VDSL 50MBit aufgerüstet - dummerweise bin ich noch bis Ende nächsten Jahres ans Kabel gebunden, aber die Vorfreude auf funktionierendes IPV4 oder gar echten DS kann ich jetzt 1,5 Jahre genießen...
Die Lösung für den DSLite Murx von Unitymedia: Business-Kunde mit statischer IPv4 Adresse werden.

Spass mit DS-Lite:
- OpenVPN an einen IPv4 Endpoint funktioniert über DSLite wenn man die MTU auf 1380 Bytes reduziert.
- Die Firewall des TC7200 ist binär. Alles an oder alles aus.
- Die FB6360 kann zwar IPv6 Prefix Delegation, AVM ist aber unfähig der Fritte dann beizubringen die Finger vom Prefix zu lassen => eingehender Verbindungsaufbau unmöglich.
Egalus
erfahrener Kabelkunde
 
Beiträge: 67
Registriert: 11.12.2013, 07:38

Re: Fritzbox IPv6-Firewall?

Beitragvon SpaceRat » 06.06.2014, 16:16

Hmmmm ...

Weitere Verbesserungen und Fehlerbehebungen in FRITZ!OS 6.05
Heimnetz: Verbessertes Zusammenspiel mit nachgelagerten IPv6-Routern
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

VorherigeNächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 20 Gäste