- Anzeige -

IPv6-Nutzung geschützt durch privaten Router überhaupt machb

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitragvon Fruchtzwerg » 27.07.2015, 20:43

Ulimit hat geschrieben:OpenWrt ist nach der Erstinstallation so voreingestellt, daß alle Zugriffe von der WAN-Seite aus geblockt werden
(siehe Menue Firewall--> Zone wan-->reject). Demzufolge dürftest Du gar nicht in Dein LAN kommen. Und per IPv4 doch eigentlich auch nicht, da Unitymedia im LAN doch nur "unroutbare" IPv4-Adressen verteilt. Allerdings kenne ich "feste-ip.de" auch nicht und in meinem Browser erscheint die Seite auch nicht.


Vertippt: ich meinte "feste-ip.net". Die bieten Portmapper an, mit denen man aus einem reinen IP4-Netz auf ein IP6-Netz zugreifen kann.


Eine Firewall auf Durchzug zu stellen ist speziell bei IPv6 recht fatal, da dann jedes IPv6- Gerät mit öffentlicher IPv6-Adresse sofort blank im Internet steht, aber weißt Du wohl selbst und war ja auch nur Diagnose. Lass das Ding besser an, Du musst sowieso eine Lösung mit ordentlicher Firewall suchen - das ist ja gerade das, woran es dem TC7200 mangelt.


Klar. Das war auch nur ein Versuch, nichts dauerhaftes. :)

Die Bridge benötige ich, um verschiedene Interfaces gemeinsam auf der geschützten LAN-Seite benutzen zu können. Sprich die vier Kupferports und das Wireless-Interface. So habe ich die Möglichkeit vier Endgeräte und ein eigenes WLAN direkt im Heimbereich nutzen zu können. Diese bridge ist bei OpenWrt (und auch vielen anderen Routern) der default.


Ah, verstehe. Ich habe dagegen jeden der 4 Ports in ein eigenes VLAN verwandelt, weil ich später, wenn alles läuft, 4 verschiedene Netze betreiben will.

Ich habe für den Test seinerzeit eine Traffic Rule in OpenWrt angelegt, die Port 22 vom WAN aus zunächst auf jeden host im LAN durchlässt, und das aber auch nur für IPv6-TCP. Alle anderen Traffic Rules hatte ich auf default belassen.



Code: Alles auswählen
IPv6-TCP
Von beliebiger Rechner in wan
Zu beliebiger Rechner, port 22 in lan           Accept forward


Die habe ich jetzt auch, aber die alleine bringt es noch nicht. :(

"MyFritz" und sowas sagt mir leider nichts, sorry.


Das ist ein Dienst von AVM, der sowohl DynDNS als auch Portöffnung beinhaltet. Funktioniert, wie der Name schon vermuten lässt, nur mit einer FritzBox.
Fruchtzwerg
Kabelexperte
 
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitragvon Fruchtzwerg » 27.07.2015, 21:24

SpaceRat hat geschrieben:Der Stolperstein ist die Fritz!Box ...

Also:
Eigentlich kannst Du mit der Fritz!Box auch sauber ein Präfix delegieren, so daß der OpenWrt-Router mit seinen ganz normalen Standardeinstellungen ein eigenes Präfix von der Fritz!Box bekäme.


Hm, ich dachte, das hätte ich jetzt erreicht, aber je länger ich darüber nachdenke und mir die Nummern angucke, desto weniger verstehe ich den Zusammenhang zwischen dem Präfix, den meine FB meldet, und der IP meines PC am anderen Ende. Und ich dachte, ich hätte es verstanden.

Wie muss ich das mit dem "sauberen Deligieren" denn machen?

Alternativ kannst Du den OpenWrt-Router auch so betreiben, wie es hier im Thread beschrieben ist, dann "teilt" sich der OpenWrt-Router das Präfix mit der Fritz!Box.


In Ordnung, dann werde ich jetzt mal die von Dir bzw Ulimit beschriebene Konfiguration eins zu eins übernehmen, mal sehen, was dann passiert.

Das bedeutet dann allerdings auch daß Du alle Freigaben doppelt anlegen mußt, einmal in der Fritz!Box und einmal im OpenWrt-Router ...

Also damit kann ich leben. Hauptsache, es funktioniert. :)

Wenn Du hingegen unbedingt den OpenWrt-Router als Router betreiben willst, kriegst Du Probleme mit der für delegierte Präfixe geschlossenen Firewall oder bei einem "geteilten" (relayed) Präfix mit der nur einzeln zu öffnenden Firewall der Fritz!Box.


Ich will den zweiten Router aus zwei Gründen: erstens kann ich nicht sicher sein, ob die FritzBox noch zum Netz von UM oder schon zu meinem Netz gehört, wer die wirkliche Herrschaft darüber hat. Zweitens will ich meinen Heimserver in eine DMZ stecken, um das Risiko zu minimieren.

Außerdem mußt Du Freigaben dann immer auch im OpenWrt-Router machen und der kommt nicht wirklich gut mit den wechselnden Präfixes klar (Was die Fritz!Box aus dem eff-eff kann).

Dazu habe ich schon ein Skript gefunden, das den aktuellen Präfix des in Frage kommenden Interface ausließt, in diesem Fall wäre das jetzt eth1.1, und ihn an den DynDNS-Dienst von feste-ip.net übermittelt. Das funktioniert sogar, nur dieser Stolperstein mit dem richtigen Präfix liegt mir noch im Wege.


Nachtrag:

Also das mit dem Delegieren des Präfix scheint zu klappen, denn ich finde auf meinen PC in der IP den Präfix wieder, den mir die FritzBox angibt, bis auf eine Kleinigkeit: die FB sagt, sie habe z.B. Präfix 2a02:9:22:33e0::/59, dann beginnt die IP meines Rechners mit 2a02:9:22:33f8: gefolgt vom privaten Teil.

Ist diese Veränderung Schuld daran, daß die FB keine Freigaben für den PC erstellen kann?
Fruchtzwerg
Kabelexperte
 
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitragvon Fruchtzwerg » 28.07.2015, 08:18

Ich habe jetzt die von Euch empfohlenen Optionen umgesetzt:

/etc/config/network:

Code: Alles auswählen
config interface 'lan'
       option ip6assign '64'
        option delegate '0'
      ...

config interface 'wan'
   option reqprefix 'no'
   option reqaddress 'none'
   ...


/etc/config/dhcp:
Code: Alles auswählen
config dhcp 'lan'
        option ra 'relay'
        option dhcpv6 'relay'
        option ndp 'relay'
       ...

config dhcp 'wan'
        option interface 'wan'
        option ignore '1'

config dhcp 'wan6'
        option dhcpv6 'relay'
        option ra 'relay'
        option ndp 'relay'
        option interface 'wan'
        option ignore '1'
        option ra_management '1'


Der Rest ist bis auf verwendete IP und Netzwerknamen gleich.

Ergebnis: nach dem Neustart des Netzwerks bekommt die Schnittstelle LAN keine IP6 mehr, und auch mein PC guckt in die Röhre. (Bzw ins Netzwerkkabel...) Beide haben dann nur noch die lokal erzeugte IP, die mit "fd" beginnt. Damit LAN und mein PC wieder IP6 bekommen, muss ich diese Optionen wieder rausnehmen und, wie auch Ulimit schon sagte, die Optionen "relay" gegen "server" tauschen.

Da scheint also wirklich etwas absolut nicht in Ordnung zu sein. Wenn bei einer von Euch wirklich ein funktionierendes Setup hat, bei dem der OpenWRT von der FritzBox erkannt wird und "Freigaben" darauf erstellt werden können, würde ich mich wirklich freuen, wenn Ihr noch einmal überprüft, ob Ihr in den auf den ersten beiden Seiten wiedergegeben Settings alles drin ist, was drin sein muss, und keine Fehler enthalten sind. Fipptehler machen wir schließlich alle mal. :zwinker:

SpaceRat: hast Du vielleicht noch zusätzlich Pakete auf Deinem OpenWRT installiert, die bei mir noch fehlen? Oder hast Du noch weitere Optionen benutzt, die Du hier nicht hingeschrieben hast?

Was mich wirklich wundert: aus Sicht der FritzBox ist das WAN-Interface des Routers eigentlich nichts anderes wie ein angeschlossener Rechner. Warum behandelt sie ihn dann nicht auch so, sprich: erkennt ihn und erstellt Freigaben dafür? Irgendwie drängt sich mir der Verdacht auf, dass dies der eigentliche Kern des Problems ist, den es zu knacken gilt. Kann man dagegen nichts per telnet auf der FritzBox machen?
Fruchtzwerg
Kabelexperte
 
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitragvon Ulimit » 28.07.2015, 08:21

Fruchtzwerg hat geschrieben:Also das mit dem Delegieren des Präfix scheint zu klappen, denn ich finde auf meinen PC in der IP den Präfix wieder, den mir die FritzBox angibt, bis auf eine Kleinigkeit: die FB sagt, sie habe z.B. Präfix 2a02:9:22:33e0::/59, dann beginnt die IP meines Rechners mit 2a02:9:22:33f8: gefolgt vom privaten Teil.

Ist diese Veränderung Schuld daran, daß die FB keine Freigaben für den PC erstellen kann?


Ich vermute mal. Ich hatte seinerzeit ein ähnliches Problem. daß zwar anscheinend ein /62 vom TC7200 delegiert wurde, dieser Prefix dann aber vom TC7200 nicht "weitergeroutet" wurde. Vielleicht ist die Fritzbox in dieser Hinsicht ja zu beeinflussen. - Welche Netzmaske gehört denn eigentlich zu Deiner zweitgenannten IP?

PS: Ups, hatte Deinen Beitrag von gerade noch nicht gesehen, schaue heute abend mal drüber.
Zuletzt geändert von Ulimit am 28.07.2015, 09:19, insgesamt 1-mal geändert.
Ulimit
Kabelneuling
 
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitragvon Fruchtzwerg » 28.07.2015, 08:46

Ulimit hat geschrieben:Welche Netzmaske gehört denn eigentlich zu Deiner zweitgenannten IP?


Welche IP meinst Du jetzt? Die von meinem PC? Die endet mit /64.
Fruchtzwerg
Kabelexperte
 
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitragvon Ulimit » 28.07.2015, 09:47

Fruchtzwerg hat geschrieben:Welche IP meinst Du jetzt? Die von meinem PC? Die endet mit /64.


Dann liegt die 2a02:9:22:33f8:x/64 immerhin schonmal innerhalb von 2a02:9:22:33e0::/59, also
2a02:0009:0022:33e0:0000:0000:0000:0000-
2a02:0009:0022:33ff:ffff:ffff:ffff:ffff

FWIW
Ulimit
Kabelneuling
 
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitragvon Fruchtzwerg » 28.07.2015, 10:38

Ulimit hat geschrieben:Dann liegt die 2a02:9:22:33f8:x/64 immerhin schonmal innerhalb von 2a02:9:22:33e0::/59, also
2a02:0009:0022:33e0:0000:0000:0000:0000-
2a02:0009:0022:33ff:ffff:ffff:ffff:ffff


Ist das jetzt gut oder schlecht? ;)

SpaceRat: als Du sagtest, ich könne mit der FB einen Präfix sauber delegieren, meintest Du damit durch Einstellungen an der FB oder durch Parameter beim OpenWRT?

Nachtrag:

Nach der 3 Tasse Kaffee sehe ich, dass mit Euren Einstellungen jetzt tatsächlich der von FB genannte Präfix an der Schnittstelle WAN6 ankommt: FB sagt "IPv6-Präfix: 2a02:9:22:3e0::/59", OpenWRT sagt "2A02:9:22:3E0:..." an WAN. Juhu! :)

Nur LAN und damit mein PC bekommen noch keine IPv6.
Fruchtzwerg
Kabelexperte
 
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitragvon Ulimit » 28.07.2015, 21:56

Fruchtzwerg hat geschrieben:Der Rest ist bis auf verwendete IP und Netzwerknamen gleich.


Deine gekürzten Konfigs tragen eher zur Verwirrung bei, da ein Mischmasch aus Abweichungen und Übereinstimmungen vorliegt.

Fruchtzwerg hat geschrieben:Ist das jetzt gut oder schlecht? ;)


Ist bei mir jedenfalls genauso. Vielleicht ist es für Dich nützlich zu wissen, daß in meinem Setup auf allen Interfaces globale IPv6-Adressen aus demselben /64 liegen. Also auf dem LAN-IF des TC7200, auf dem WAN- und LAN-IF des OpenWrt und auf dem LAN-IF des angeschlossenen Linux DHCP-Client-PC.
Ulimit
Kabelneuling
 
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitragvon Fruchtzwerg » 29.07.2015, 11:53

Ich bin jetzt so weit, dass der Präfix der FB im Heimnetz richtig verteilt wird, inklusive der einzelnen VLAN-Zonen des OpenWRT. Einer der Stolpersteine war, dass bei Benutzung der GUI von OpenWRT manchmal bestimmte Argumente aus der Konfiguration gelöscht werden. Ich kann da aber leider kein Muster erkennen.

Was mir jetzt noch fehlt, ist die richtige Einrichtung der Firewall. In der FritzBox habe ich den internen Teil der ipv6 meines PC (fd00::a:b:c:d) als Freigabe mit Port 22 definiert. In OpenWRT gibt es diese Regel:

Code: Alles auswählen
/etc/config/firewall

config rule
        option target 'ACCEPT'
        option dest 'lan'
        option name 'ssh -> pc'
        option family 'ipv6'
        option proto 'tcp'
        option dest_port '22'
        option src 'wan'
        option dest_ip '::a:b:c:d'

config forwarding
        option dest 'lan'
        option src 'wan'



Ich habe einen "universellen Portmapper" bei feste-ip.net eingerichtet und dort die komplette ipv6 meines PC eingetragen. Aber wenn ich auf "Erreichbarkeit prüfen" klicke, heißt es, der Port sei nicht erreichbar. (Der sshd läuft natürlich.)

An dieser Stelle verlässt mich so langsam mein Glauben, denn mit derselben Regel, angepasst auf IP4, klappt es bei einem IP4-Anschluss tadellos. Irgend etwas mache ich da noch falsch, aber ich weiß nicht was. :confused:


SpaceRat: Du erwähntest, dass es auch mich zwei Weiterleitungen funktioniert, erst von der FB zu OpenWRT und dann von OpenWRT zum Zielrechner. Portweiterleitungen auf OpenWRT sind nur für IP4 möglich. Mit IP6 geht das nicht, habe ich jedenfalls nicht hinbekommen. Kannst Du mir erklären, wie das geht? Ob da eine oder zwei Weiterleitungen laufen habe, ist mir egal, wichtig ist, dass der Zugriff funktioniert.
Fruchtzwerg
Kabelexperte
 
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitragvon SpaceRat » 29.07.2015, 13:57

Fruchtzwerg hat geschrieben: option dest_ip '::a:b:c:d'

Das funktioniert eben nicht ...

Der OpenWrt-Router benötigt die Angabe der kompletten IPv6 und weil sich das Präfix ändert, ändert sich eben auch diese Ziel-IPv6 immer wieder.
Dafür braucht man dann ein Script, das im Hintergrund das aktuelle Präfix überprüft und bei Änderungen die ganzen Firewall-Regeln mit dem neuen Präfix umschreibt ...
... deshalb bin ich froh, nicht mit einem wechselnden Präfix in Verbindung mit einem OpenWrt-Router geschlagen zu sein.

Für Kunden der Glasfaser Deutschland funktioniert dieser Aufbau recht gut, weil die auch ein statisches Präfix haben, d.h. man kann ohne solche Tricksereien Firewall-Ausnahmen anlegen.
Dynamische Präfixe sind aber eben etwas, was nur die Fritz!Box gut kann.


Fruchtzwerg hat geschrieben:SpaceRat: Du erwähntest, dass es auch mich zwei Weiterleitungen funktioniert, erst von der FB zu OpenWRT und dann von OpenWRT zum Zielrechner. Portweiterleitungen auf OpenWRT sind nur für IP4 möglich. Mit IP6 geht das nicht, habe ich jedenfalls nicht hinbekommen. Kannst Du mir erklären, wie das geht? Ob da eine oder zwei Weiterleitungen laufen habe, ist mir egal, wichtig ist, dass der Zugriff funktioniert.

Es geht nicht um Weiterleitungsregeln im Sinne von NAT/Port-Umadressiererei, sondern um eine reine Verkehrsregel.
Der Fritz!Box reicht dazu - siehe oben - das Suffix, also der "Hostteil" der IPv6, die Fritz!Box ergänzt den selber mit dem jeweils gültigen Präfix zu einer kompletten Adresse. Normal solltest Du den Ziel-Rechner aber auch direkt aus einer Drop-Down-Liste auswählen können wenn ihn die Fritz!Box schon kennt und das sollte sie, wenn der Relay-Modus des OpenWrt richtig funktioniert.
OpenWrt braucht leider die vollständige Ziel-Adresse und das ist bei dynamischen Präfixen eine Qual.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

VorherigeNächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: Yahoo [Bot] und 15 Gäste