- Anzeige -

IPv6-Nutzung geschützt durch privaten Router überhaupt machb

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitragvon Fruchtzwerg » 29.07.2015, 15:07

SpaceRat hat geschrieben:Das funktioniert eben nicht ...

Der OpenWrt-Router benötigt die Angabe der kompletten IPv6 und weil sich das Präfix ändert, ändert sich eben auch diese Ziel-IPv6 immer wieder.


Ich hätte OpenWRT für schlauer gehalten. ;)

Dafür braucht man dann ein Script, das im Hintergrund das aktuelle Präfix überprüft und bei Änderungen die ganzen Firewall-Regeln mit dem neuen Präfix umschreibt ...


Das wäre ja nicht wirklich ein Problem, mehr als 3 Zeilen sollte ein solches Skript in Linux nicht benötigen. Irgend etwas mit "ip -6 addr show dev wan" und dann ein bisschen "cut" und man hat den Präfix.

Aber was viel schlimmer ist: auch mit der kompletten IP-Adresse in der Firewall-Regel leitet der OpenWRT die eingehende Verbindung weiter. Sogar, wenn jeden Verkehr auf Port 22 von WAN nach LAN freigebe, kommt keine Verbindung zustande:

Code: Alles auswählen
config rule
        option target 'ACCEPT'
        option name 'ssh -> pc'
        option family 'ipv6'
        option proto 'tcp'
        option dest_port '22'
        option src '*'
        option dest 'lan'


Entweder mache ich etwas von Grund auf verkehrt, oder OpenWRT hat einen Bug an dieser Stelle.

Es geht nicht um Weiterleitungsregeln im Sinne von NAT/Port-Umadressiererei, sondern um eine reine Verkehrsregel.


Missverstanden. Pardon!

Normal solltest Du den Ziel-Rechner aber auch direkt aus einer Drop-Down-Liste auswählen können wenn ihn die Fritz!Box schon kennt und das sollte sie, wenn der Relay-Modus des OpenWrt richtig funktioniert.


Im Umkehrschluss heißt das: wenn ich den OpenWRT in der Liste auf der Fritzbox nicht sehe, funktioniert der Relay-Modus nicht richtig, oder?

So langsam kommt mir die Galle hoch über diesen Anschluss. Ich habe jetzt 3 Tage meines Urlaubs mit Dutzenden von Versuchen verbracht, um einen Zugriff von außen zu bekommen, alle erfolglos. Jetzt stehe ich so kurz vorm Ziel und komme immer noch nicht rein. Das darf doch nicht wahr sein. :heul:

Andere Idee: wenn das mit der Weiterleitung von außen partout nicht klappt, wie sieht's mit VPN aus?

Der Dienst feste-ip.net, den ich schon mehrfach erwähnt habe, bietet auch VPN an. Wenn ich von dort ein VPN bis zu meinem OpenWRT lege, könnte das funktionieren? Kannst Du dazu etwas sagen?
Fruchtzwerg
Kabelexperte
 
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitragvon Ulimit » 29.07.2015, 18:13

Egal, welchen Netzprefix der Unitymedia TC7200 gerade ausgewürfelt hat, wenn ich generell z.B. Port 22 ohne ansehens einer Ziel-IPv6-Adresse auf dem OpenWrt freischalte, komme ich jederzeit vom Internet auf meine Privatsysteme. Beispiel aus der Firewall:

Code: Alles auswählen
config rule                                     
        option target 'ACCEPT'                 
        option src 'wan'                       
        option name 'Allow-SSH-1'               
        option family 'ipv6'                   
        option proto 'tcp'                     
        option dest 'lan'                       
        option dest_port '22'                   
        option enabled '1'

[...]
config forwarding                               
        option dest 'wan'                       
        option src 'lan'


Das ist jetzt zwar nicht das Ideal einer hunderprozentig spezifischen Firewall-Regel pro Dienst, aber dafür von zufälligen Prefixes unabhängig und auf IPv6-SSH beschränkt. Beachte vielleicht noch, daß der forwarding Eintrag bei mir eine andere Richtung hat, als bei Dir.

Ist natürlich blöd, daß Du auf einen ominösen Portmapper im Internet angewiesen bist, um Deine IPv6-Setups zu testen. Ohne einen echten IPv6-PC als Test-Client hast Du so abermals einen weiteren (potentiellen) Stolperstein eingebaut.

Ich hätte OpenWRT für schlauer gehalten. ;)


Naja, OpenWrt macht eben das, was man ihm sagt, und in diesem Fall soll er eben "nur Relay" spielen und mehr oder weniger durchwinken, was der TC7200 so an Obskurem ins LAN pustet. Netzwerkmonitoring und das selbsttätige Umprogrammieren von Firewalls sehe ich jetzt erstmal nicht als Aufgabe eines Relays an. Dafür lässt sich aber bestimmt noch ein maßgeschneidertes Systemwerkzeug finden oder scripten.

Fruchtzwerg hat geschrieben:Sogar, wenn jeden Verkehr auf Port 22 von WAN nach LAN freigebe, kommt keine Verbindung zustande.


... dann ist vermutlich eher noch etwas mit dem Routing im Argen. Hast Du (neben den genauen Prefixen) auch mal kontrolliert, daß Deine LAN-PCs überhaupt ein default-gateway ::/0 auf den Uplink-Router (hier OpenWrt) gesetzt bekommen? (ein Paket aus dem Internet will ja schließlich auch dahin zurück)
Ulimit
Kabelneuling
 
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitragvon Fruchtzwerg » 29.07.2015, 20:47

Ich danke Euch für Eure Hilfe. Aber ich habe jetzt die Faxen dicke und habe darum soeben die FritzBox aus meinem Vertrag ausgebucht und werde dann über die HorizonBox ins Netz gehen. Mein Sohn ist auch schon am Stöhnen, weil seine Spiele nicht funktionieren, und ich habe genug von meinem Urlaub geopfert, ohne eine funktionierende beidseitige Internetanbindung herstellen zu können. Meine alte FritzBox wird als DECT-Station und Access-Point dienen. Zusätzliche Telefonnummern werden bei einem VoIP-Anbieter dazugebucht. (Kennt jemand einen günstigen Anbieter?) Dann ist Ruhe im Karton.
Fruchtzwerg
Kabelexperte
 
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitragvon fabi280 » 07.10.2015, 10:45

Fruchtzwerg hat geschrieben:Angeblich bekommt mein PC auch eine IP6:

Code: Alles auswählen
ifconfig
eth0      Link encap:Ethernet  Hardware Adresse 00:19:66:99:08:cf 
          inet Adresse:10.10.1.77  Bcast:10.10.1.255  Maske:255.255.255.0
          inet6-Adresse: fd3b:25c9:2d1c:1:219:66ff:fe99:8cf/64 Gültigkeitsbereich:Global
          inet6-Adresse: fd3b:25c9:2d1c:0:219:66ff:fe99:8cf/64 Gültigkeitsbereich:Global
          inet6-Adresse: fd00::219:66ff:fe99:8cf/64 Gültigkeitsbereich:Global
          inet6-Adresse: fe80::219:66ff:fe99:8cf/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX-Pakete:99276 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
          TX-Pakete:89725 Fehler:0 Verloren:0 Überläufe:0 Träger:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX-Bytes:78817223 (78.8 MB)  TX-Bytes:8840261 (8.8 MB)


Ich komme mit meinem PC nach draußen, allerdings nur über IP4:

Code: Alles auswählen
ping6 six.heise.de
connect: Network is unreachable


Ich komme leider alleine nicht weiter.

Die erste Frage, die ich habe: Ulimit, woher hast Du den ULA-Präfix, den Du verwendet hast? Ist das der Präfix, den die FritzBox angibt? Der lautet bei mir fd00::xxx:xxxx:xxxx:xxxx/64 (natürlich nicht mit "xxxx"...) Aber wenn ich den benutze in /etc/config/network, werden keine IP6 mehr verteilt.

Was muss/kann ich tun, damit es weitergeht?


Wie hast du denn den Fehler gefixt, dass du mit der richtigen IPv6 dann auch nach draußen kommst. Ich werde durch die weiteren Posts auch nicht wirklich schlauer.
Bei mir sieht das momentan so aus: http://pastebin.com/mEw1Gj5D

Unter Windows habe ich dadurch das Ergebnis
Code: Alles auswählen
Ethernet-Adapter Ethernet 5:

   Verbindungsspezifisches DNS-Suffix: heim.netz
   Beschreibung. . . . . . . . . . . : Gruppe:  Gruppe #0
   Physische Adresse . . . . . . . . : 74-D4-35-##-##-##
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv6-Adresse. . . . . . . . . . . : 2a02:8071:2482:a300:6d35:44ec:21c:ed55(Bevorzugt)
   Temporäre IPv6-Adresse. . . . . . : 2a02:8071:2482:a300:2ce8:6cea:a5d3:9417(Bevorzugt)
   Verbindungslokale IPv6-Adresse  . : fe80::6d35:44ec:21c:ed55%8(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.1.200(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Mittwoch, 7. Oktober 2015 08:49:11
   Lease läuft ab. . . . . . . . . . : Mittwoch, 7. Oktober 2015 20:49:11
   Standardgateway . . . . . . . . . : fe80::6666:b3ff:fe47:5b9c%8
                                       192.168.1.1
   DHCP-Server . . . . . . . . . . . : 192.168.1.1
   DHCPv6-IAID . . . . . . . . . . . : 460641333
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1D-4A-BE-37-74-D4-35-##-##-##

   DNS-Server  . . . . . . . . . . . : 2001:4860:4860::8888
                                       2001:4860:4860::8844
                                       192.168.1.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Tunneladapter Teredo Tunneling Pseudo-Interface:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft Teredo Tunneling Adapter
   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv6-Adresse. . . . . . . . . . . : 2001:0:9d38:6ab8:147e:1f47:3f57:fe37(Bevorzugt)
   Verbindungslokale IPv6-Adresse  . : fe80::147e:1f47:3f57:fe37%15(Bevorzugt)
   Standardgateway . . . . . . . . . :
   DHCPv6-IAID . . . . . . . . . . . : 134217728
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1D-4A-BE-37-74-D4-35-##-##-##

   NetBIOS über TCP/IP . . . . . . . : Deaktiviert

Tunneladapter isatap.heim.netz:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: heim.netz
   Beschreibung. . . . . . . . . . . : Microsoft ISATAP Adapter #2
   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

C:\Users\Fabian>ping ipv6.google.com

Ping wird ausgeführt für ipv6.l.google.com [2a00:1450:400a:806::1003] mit 32 Byt
es Daten:
Zeitüberschreitung der Anforderung.

Ping-Statistik für 2a00:1450:400a:806::1003:
    Pakete: Gesendet = 1, Empfangen = 0, Verloren = 1
    (100% Verlust),
STRG-C


Unter Linux siehts so aus
Code: Alles auswählen
~ # ifconfig
bond0     Link encap:Ethernet  Hardware Adresse 9c:b6:54:##:##:##
          inet Adresse:192.168.1.254  Bcast:192.168.1.255  Maske:255.255.255.0
          inet6-Adresse: 2a02:8071:2482:a300:795b:959:9d05:c9a/64 Gültigkeitsbereich:Global
          inet6-Adresse: fe80::9eb6:54ff:fe04:4da4/64 Gültigkeitsbereich:Verbindung
          inet6-Adresse: 2a02:8071:2482:a300:9eb6:54ff:fe04:4da4/64 Gültigkeitsbereich:Global
          UP BROADCAST RUNNING MASTER MULTICAST  MTU:1500  Metrik:1
          RX packets:6526542 errors:0 dropped:743921 overruns:0 frame:0
          TX packets:5838311 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0
          RX bytes:5955543733 (5.5 GiB)  TX bytes:6762424591 (6.2 GiB)

eth0      Link encap:Ethernet  Hardware Adresse 00:e0:4c:##:##:##
          UP BROADCAST RUNNING SLAVE MULTICAST  MTU:1500  Metrik:1
          RX packets:1186773 errors:0 dropped:743917 overruns:0 frame:0
          TX packets:2199697 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:902876804 (861.0 MiB)  TX bytes:2891276992 (2.6 GiB)
          Interrupt:18

eth1      Link encap:Ethernet  Hardware Adresse 9c:b6:54:##:##:##
          UP BROADCAST RUNNING SLAVE MULTICAST  MTU:1500  Metrik:1
          RX packets:5339769 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3638614 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:5052666929 (4.7 GiB)  TX bytes:3871147599 (3.6 GiB)

lo        Link encap:Lokale Schleife
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:65536  Metrik:1
          RX packets:646039 errors:0 dropped:0 overruns:0 frame:0
          TX packets:646039 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0
          RX bytes:254311380 (242.5 MiB)  TX bytes:254311380 (242.5 MiB)


~ # ping6 ipv6.google.com
PING ipv6.google.com(zrh04s07-in-x03.1e100.net) 56 data bytes


Am Router (WDR4300) so:
Code: Alles auswählen
root@OpenWrt:~# ifconfig
br-lan    Link encap:Ethernet  HWaddr 64:66:B3:##:##:##
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fd0c:d958:6923::1/64 Scope:Global
          inet6 addr: fe80::6666:b3ff:fe47:5b9c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1106034 errors:0 dropped:13516 overruns:0 frame:0
          TX packets:1809510 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:459742826 (438.4 MiB)  TX bytes:2181114276 (2.0 GiB)

br-wan    Link encap:Ethernet  HWaddr 64:66:B3:##:##:##
          inet addr:192.168.0.10  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::6666:b3ff:fe47:5b9c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1812817 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1081724 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2157857539 (2.0 GiB)  TX bytes:470771454 (448.9 MiB)

eth0      Link encap:Ethernet  HWaddr 64:66:B3:##:##:##
          inet6 addr: fe80::6666:b3ff:fe47:5b9c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2409863 errors:0 dropped:8 overruns:0 frame:0
          TX packets:2182927 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2301102992 (2.1 GiB)  TX bytes:1914631189 (1.7 GiB)
          Interrupt:4

eth0.1    Link encap:Ethernet  HWaddr 64:66:B3:##:##:##
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:596445 errors:0 dropped:21 overruns:0 frame:0
          TX packets:1101109 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:99795964 (95.1 MiB)  TX bytes:1435121496 (1.3 GiB)

eth0.2    Link encap:Ethernet  HWaddr 64:66:B3:##:##:##
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1813356 errors:0 dropped:6 overruns:0 frame:0
          TX packets:1081804 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2157921413 (2.0 GiB)  TX bytes:470776758 (448.9 MiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

wlan0     Link encap:Ethernet  HWaddr 64:66:B3:##:##:##
          inet6 addr: fe80::6666:b3ff:fe47:5b9d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:65017 errors:0 dropped:0 overruns:0 frame:0
          TX packets:125518 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:10438793 (9.9 MiB)  TX bytes:103719485 (98.9 MiB)

wlan0-1   Link encap:Ethernet  HWaddr 66:66:B3:##:##:##
          inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::6466:b3ff:fe47:5b9d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:1312 (1.2 KiB)

wlan1     Link encap:Ethernet  HWaddr 64:66:B3:##:##:##
          inet6 addr: fe80::6666:b3ff:fe47:5b9e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:474734 errors:0 dropped:0 overruns:0 frame:0
          TX packets:664837 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:363523878 (346.6 MiB)  TX bytes:670422209 (639.3 MiB)
         
root@OpenWrt:~# ping6 ipv6.google.com
PING ipv6.google.com (2a00:1450:400a:806::1003): 56 data bytes
ping6: sendto: Permission denied


Bin auf 15.05 stable mit dnsmasq-full
fabi280
Kabelneuling
 
Beiträge: 2
Registriert: 06.10.2015, 18:54

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitragvon Fruchtzwerg » 07.10.2015, 12:16

fabi280 hat geschrieben:Wie hast du denn den Fehler gefixt, dass du mit der richtigen IPv6 dann auch nach draußen kommst.


Gar nicht. :(

Wie ich schon sagte, bin ich jetzt wieder per IP4 im Netz. Und nach gründlicher Überlegung unter Berücksichtigung der Änderungen in meinem Telefonieverhalten während der letzten Jahre wird das auch erst mal so bleiben, denn dank Mobilfunk brauche ich keine 3 Festnetznummern und keine Telefon-Komfortfunktionen mehr.

Sollte UM mich irgendwann zwangsweise auf IPv6 umtopfen, z.B. weil die Firmware der Horizon-Box entsprechend geändert wird, hoffe ich, daß bis dahin der Weg vom Internet ins Heimnetz über IP6v genau so einfach und ohne die Zuhilfenahme von Drittanbietern (Tunnel-Broker-Dienste) möglich sein wird, wie jetzt per IP4. Andernfalls muss dann meinen Vertrag bei UM umgehend kündigen.
Fruchtzwerg
Kabelexperte
 
Beiträge: 112
Registriert: 22.06.2015, 14:08

Vorherige

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: Yahoo [Bot] und 49 Gäste