- Anzeige -

IPV6 Connectivity (DS-Lite-Tunnel AFTR-Gateway)

In diesem Forum geht es um die Router für Kabel Internet FRITZ!Box 6320, FRITZ!Box 6340, FRITZ!Box 6360 und FRITZ!Box 6490 der Firma AVM.

IPV6 Connectivity (DS-Lite-Tunnel AFTR-Gateway)

Beitragvon x11max » 04.06.2014, 20:24

Ich habe wie viele andere auch eine Fritzbox 6360 und kann seit dem 27.05.2014 keinen externen Server mehr per IPV6 erreichen.
Sowohl der Zugriff von Extern auf die FritzBox selbst als auch Zugriffe auf Geräte, die an der FB angeschlossen und für den Zugriff aus dem Internet über MyFritz freigegeben sind können nicht erreicht werden.

Symptom: http://ipv6-test.com sagt, dass keine funktionierende IPv6 Verbindung vorliegt. Letzte Woche war noch alles gut.
Veruche, IPV6 Anwendungen über den Browser aufzurufen schlagen genauso fehl wie ein traceroute auf IPV6 Adressen.
(traceroute -A inet6 http://www.heise.de oder traceroute -A inet6 http://www.heise.de ipv6.google.com).
Umgekehrt komme ich von Extern nicht auf die FB oder die dahinterliegenen freigeschalteten Ports.

Pakete die von remote an die FB geschickt werden, kommen nicht an und bleiben irgendwo im UM Netz hängen, so sagen tcpdump und wireshark.Von lokal in die weite Welt sieht es nicht anders aus. Die Pakete gehen über die FB raus und bleiben im UM Netz hängen.

Ein Techniker war schon vorort und hat die Leitung gemessen. Die UM-Tante vom Dienst hat wohl gedacht, "och der hat nicht allzugute Leitungsdaten, da schicken wir mal jemand vorbei."
Auch die FB wurde komplett resettet, geändert hat sich nix. Das sieht für mich so aus, als würde UM kein IPV6 routen oder die FB spricht kein IPV6 mehr oder UM hat alle Ports dicht gemacht.

Ausgabe von http://test-ipv6.com:
    Your IPv4 address on the public Internet appears to be 37.201.227.238
    Your Internet Service Provider (ISP) appears to be UNITYMEDIA Unitymedia NRW GmbH,DE
    No IPv6 address detected [more info]
    Good news! Your current configuration will continue to work as web sites enable IPv6.
    When a publisher offers both IPv4 and IPv6, your browser appears to be happy to take the IPv4 site without delay.
    Connections to IPv6-only sites are timing out. Any web site that is IPv6 only, will appear to be down to you.
    Your DNS server (possibly run by your ISP) appears to have IPv6 Internet access.
    Your readiness score
    0/10 for your IPv6 stability and readiness, when publishers are forced to go IPv6 only
x11max
Kabelneuling
 
Beiträge: 20
Registriert: 23.03.2009, 14:10

Re: IPV6 Connectivity (DS-Lite-Tunnel AFTR-Gateway)

Beitragvon x11max » 05.06.2014, 20:00

Problem behoben. Tut wieder so wie es sein soll.
Es gab mehrere Merkwürdigkeiten, die ein Wireshark Trace offenbarte:

1) Internetverbindung IPv6 konnte nicht aufgebaut werden: Keine Antwort vom DHCPv6-Server (SOL), (Kind 4 : TCP SACK Option: permitted, ICMPv6 Time Exceeded Messages TTL Messeges ). Oder anders gesagt ring routing im UM Netz. Router R1 sagt, R2 kennt den Weg, R2 zeigt auf R4, R4 zeigt auf R1. Ende Gelände. Daher konnte man keine externen Server per IPv6 erreichen.
Folgende Grafik beschreibt einen DS-Lite Anschuss doch ziemlich gut: http://de.wikipedia.org/wiki/IPv6#media ... DSLite.svg

2) Der Zugriff auf die FB Box funktionierte nicht, weil das AVM DynDNS update (gescheitert) nicht funktionierte. (Über den Dynamic DNS-Domainnamen ist kein Zugriff auf Anwendungen und Dienste der FRITZ!Box und im Heimnetz möglich.) Evt. hat diese Funktion die eigentliche Ursache und hat den Router (die FBox) selbst blockiert.

Lösung war, alle Portfreigaben und den Myfritz Account komplett zu löschen, die FB auf Werkseinstellung zu bringen und das letzte Backup einzuspielen. Damit war der Zugriff von extern auf die FB und die dahinterliegenden lokalen Systeme wieder möglich.

IPV6 Dienste sind wieder erreichbar, per http, traceroute oder wie auch immer.

mac02disp:~ stefanev$ traceroute6 -n six.heise.de
traceroute6 to six.heise.de (2a02:2e0:3fe:1001:302::) from 2a02:908:f768:c780:b9b4:aadd:e1ee:bace, 64 hops max, 12 byte packets
1 2a02:908:f768:c780:9ec7:a6ff:febf:be89 0.817 ms 0.758 ms 0.917 ms
2 * * *
3 2a02:908:0:25b::1 14.428 ms 12.850 ms 12.308 ms
4 2a02:908::2:2 21.750 ms 31.333 ms 13.630 ms
5 2a02:908::9:2 13.923 ms 11.798 ms 13.320 ms
6 2a02:908::9:1 12.475 ms 12.266 ms 14.390 ms
7 2001:7f8:8::3012:0:1 16.445 ms 19.681 ms 17.166 ms
8 2a02:2e0:12:6::1 18.745 ms 19.626 ms 16.040 ms
9 2a02:2e0:3fe:ff21:c::2 16.643 ms 15.953 ms 14.990 ms
10 2a02:2e0:3fe:ff21:c::2 16.381 ms !P 15.957 ms !P 16.574 ms !P

3) ich möchte nicht ausschliessen, dass UM hier evtl. auch Hand an irgendwelche Schaltstellen, Netzgeräte gelegt hat. Denn meine FB sagt mir nun: Senderichtung 1 Kanal, Empfangsrichtung 4 Kanäle.
Zuletzt geändert von x11max am 06.06.2014, 07:42, insgesamt 3-mal geändert.
x11max
Kabelneuling
 
Beiträge: 20
Registriert: 23.03.2009, 14:10

Re: IPV6 Connectivity (DS-Lite-Tunnel AFTR-Gateway)

Beitragvon x11max » 05.06.2014, 20:19

So sieht das Ergebnis aus, wenn UM über eine FRITZ!Box 6360 mit Dual-Stack Lite (IPv4 über DS-Lite) anbindet.

http://ipv6-test.kabelbw.de

IPV6 TEST
Sie haben diese Seite über IPv6 aufgerufen!
IPv4: OK. Ihre IPv4-Adresse: 37.201.224.190
IPv6: OK. Ihre IPv6-Adresse: 2a02:908:f768:c780:b9b4:aadd:e1ee:bace

http://test-ipv6.com

Your IPv4 address on the public Internet appears to be 37.201.224.190
Your IPv6 address on the public Internet appears to be 2a02:908:f768:c780:b9b4:aadd:e1ee:bace
Your Internet Service Provider (ISP) appears to be UNITYMEDIA Unitymedia NRW GmbH,DE
Since you have IPv6, we are including a tab that shows how well you can reach other IPv6 sites. [more info]
Good news! Your current configuration will continue to work as web sites enable IPv6.
Your DNS server (possibly run by your ISP) appears to have IPv6 Internet access.
Your readiness score
10/10 for your IPv6 stability and readiness, when publishers are forced to go IPv6 only

http://ipv6-test.com

IPv4 connectivity
IPv4 Supported
Address 37.201.224.190
Hostname aftr-37-201-224-190.unity-media.net
ISP Unitymedia Germany
IPv6 connectivity
IPv6 Supported
Address 2a02:908:f768:c780:b9b4:aadd:e1ee:bace
Type Native IPv6
SLAAC No
ICMP Not tested
Hostname None
ISP Unitymedia Germany
Score
17 / 20
Browser
Default IPv6
Fallback to IPv4 in < 1 second
DNS
DNS4 + IP6 Reachable
DNS6 + IP4 Reachable
DNS6 + IP6 Reachable
x11max
Kabelneuling
 
Beiträge: 20
Registriert: 23.03.2009, 14:10

Re: IPV6 Connectivity (DS-Lite-Tunnel AFTR-Gateway)

Beitragvon x11max » 06.06.2014, 09:11

Nachtrag:

Aufgefallen ist mir das Problem nur dadurch, dass ich keine Verbindung mehr von remote aus per IPv4 Client auf die FBox und meinen lokalen Server herstellen konnte. Im Prinzip wäre es mir ja schnurzpiepegal, ob nun IPv6 tut oder nicht. Aber da DS-Lite nun mal eine IPv6 bereitstellt und alle Ports der IPv4 Adresse für einen externen Zugriff geblockt sind, sollte die bereitgestelle IPv6 Adresse nach Möglichkeit auch uneingeschränkt erreichbar sein. Ausserdem ist mein Heimnetz eh schon auf IPv6 ausgelegt.

Auf die MyFritz Dienste kann man ja nur zugreifen, wenn man auch einen IPv6 Client hat. Wer einen lokalen Fileserver oder Webserver oder... hinter einem DS-Lite Anschluss betreibt sollte sich den Portmapper Dienst feste-ip.net anschauen. Damit wird einem IPv4 Client die Möglichkeit gegeben von extern auf lokale Ressourcen zuzugreifen. DynDns.org und andere solche Dienste gehören damit der Vergangenheit an.
Zuletzt geändert von x11max am 06.06.2014, 09:28, insgesamt 2-mal geändert.
x11max
Kabelneuling
 
Beiträge: 20
Registriert: 23.03.2009, 14:10

Re: IPV6 Connectivity (DS-Lite-Tunnel AFTR-Gateway)

Beitragvon Leseratte10 » 06.06.2014, 09:15

Das ist genau das Problem an DS Lite - dich können nur Server erreichen, die IPv6 sprechen. Trotzdem ist dein (IPv6-) Anschluss vollwertig.
Leseratte10
Glasfaserstrecke
 
Beiträge: 1274
Registriert: 07.03.2013, 16:56

Re: IPV6 Connectivity (DS-Lite-Tunnel AFTR-Gateway)

Beitragvon x11max » 06.06.2014, 11:53

Ich lach mich schlapp: gute 16 Stunden hat die Verbindung nun gehalten. Um 11:15 ging wieder das Licht aus, nachdem die Internet Verbindung erneut aufgebaut war, liegt gleiches Problem wieder vor: externe Server via IPv6 nicht erreichbar. Alle IPv6 Tests schlagen fehl.

Wieder stomlos gemacht und und und...
FBox sagt dazu:

06.06.14 11:47:50 Der Dienstanbieter hat erfolgreich Einstellungen an dieses Gerät übertragen.
06.06.14 11:47:37 Internetverbindung wurde erfolgreich hergestellt. IPv4 wird über DS-Lite genutzt. AFTR-Gateway: (de-dus01a-aftr1.unity-media.net), IPv4-MTU: (1460).
06.06.14 11:47:32 IPv6-Präfix wurde erfolgreich bezogen. Neues Präfix: 2a02:908:f761:580::/59
06.06.14 11:47:32 Internetverbindung IPv6 wurde erfolgreich hergestellt. IP-Adresse: 2a02:908:f700:6:11e9:4b15:67ad:ef56
06.06.14 11:46:47 Internetverbindung IPv6 konnte nicht aufgebaut werden: Keine Antwort auf Router Solicitation. Möglicherweise bietet Ihr Internetanbieter kein natives IPv6 an.
06.06.14 11:46:47 Internetverbindung IPv6: DHCPv6-Fehler mit Fehlergrund 7 (got no aftr)
x11max
Kabelneuling
 
Beiträge: 20
Registriert: 23.03.2009, 14:10

Re: IPV6 Connectivity (DS-Lite-Tunnel AFTR-Gateway)

Beitragvon x11max » 07.06.2014, 22:28

Wieder ein Schritt weiter:

1) Erreichbarkeit der FBox aus dem Internet mit einem IPv6 Client:
1.1) DNS Auflösung tut, sprich die AVM DynDNS gibt entsprechende Host-IP Namen bekannt.

Server: 192.168.xxxx
Address: 192.168.xxxx#53

soxhvxvlldubatr3.myfritz.net has AAAA address 2a02:908:f700:6:6462:e90:22fe:a086

Von extern einen Traceroute auf die IP Adresse meiner FBox gemacht:
Ergebnis: FBox wird gefunden, sprich auch der Zugriff auf den HTTPS Port der FB für Fernwartung tut.

Dieses Netzgerät lässt Requests passieren:
6 13noc-mx960-02.krp.unity-media.net (2a02:908::2:2)

1.2) TraceRoute IPv6 Output:
traceroute to 2a02:908:f700:6:6462:e90:22fe:a086 (2a02:908:f700:6:6462:e90:22fe:a086), 30 hops max, 40 byte packets
1 2a02:348:82::1 (2a02:348:82::1) 0.473 ms 0.459 ms 0.358 ms
2 xl-internetservices.nl.ip6.jointtransit.nl (2a02:10:0:1::e:3) 7.507 ms 7.454 ms 0.643 ms
3 2a02:10:1:1::5 (2a02:10:1:1::5) 15.237 ms 15.193 ms 15.189 ms
4 2001:7f8:8::5159:0:1 (2001:7f8:8::5159:0:1) 19.126 ms 19.139 ms 19.105 ms
5 1411g-mx960-02.nss.unity-media.net (2a02:908::9:2) 19.154 ms 19.081 ms 19.138 ms
6 13noc-mx960-02.krp.unity-media.net (2a02:908::2:2) 20.008 ms 19.987 ms 20.012 ms
7 2a02:908:f700:6:6462:e90:22fe:a086 (2a02:908:f700:6:6462:e90:22fe:a086) 28.495 ms !X 27.910 ms !X 26.855 ms !X

2) Erreichbarkeit einer FBox Freigabe aus dem Internet mit einem IPv6 Client:
2.1) DNS Auflösung tut, sprich die AVM DynDNS gibt entsprechende Host-IP Namen bekannt.

nslookup -query=AAAA
> openindiana.soxhvxvlldubatr3.myfritz.net
Server: 192.168.xxxx
Address: 192.168.xxxx#53

openindiana.soxhvxvlldubatr3.myfritz.net has AAAA address 2a02:908:f762:bfa0:225:22ff:feeb:bff1

2.2) Traceroute tut nicht: sprich Request kommt nicht an der FBox an. Genausowenig kommt eine ssh Verbindung zu stande, die als MyFRITZ!-Freigabe konfiguriert ist. Und genau hier liegt das Problem, dass die Requests entweder geblockt oder nicht geroutet werden.
Ebensowenig kann ich auch keine externen IPv6 Webseiten wie http://www.six.heise.de via IPv6 erreichen.

Das Netzgerät, welches den Zugriff auf meine FBox erlaubt, blockiert hier den Zugang auf meinen Rechner im Heimnetz.
Wenn ein Traceroute geblockt wird, kann ich das verstehen. Aber wenn über „Dual Stack Lite“ eine native IPv6-Verbindung zum UM-Netz aufgebaut wird und via DHCPv6 ein global gültiges Präfix für das Heimnetzwerk angefragt und auch bereitgestellt wird, so dass ein lokales System via IPv6 aus dem Internet erreichbar sein kann, verstehe ich nicht warum Zugriffe nicht ankommen, wenn sie denn über die MyFRITZ!-Freigabe konfiguriert und freigegeben sind. Genusowenig kann ich nachvollziehen, warum es mal funktioniert und dann wieder nicht. Und jetzt tut es schon seit zwei Wochen nicht mehr.

Dieses Netzgerät blockiert Requests aus dem Internet ins lokale Netz:
6 13noc-mx960-02.krp.unity-media.net (2a02:908::2:2)

Please be patient and wait for the task to finish!

TraceRoute IPv6 Output:
traceroute to openindiana.soxhvxvlldubatr3.myfritz.net (2a02:908:f762:bfa0:225:22ff:feeb:bff1), 30 hops max, 40 byte packets
1 2a02:348:82::1 (2a02:348:82::1) 0.397 ms 0.337 ms 0.222 ms
2 xl-internetservices.nl.ip6.jointtransit.nl (2a02:10:0:1::e:3) 0.804 ms 8.899 ms 9.511 ms
3 2a02:10:1:1::5 (2a02:10:1:1::5) 15.243 ms 15.217 ms 15.171 ms
4 2001:7f8:8::5159:0:1 (2001:7f8:8::5159:0:1) 19.114 ms 19.267 ms 19.164 ms
5 1411g-mx960-02.nss.unity-media.net (2a02:908::9:2) 19.324 ms 19.215 ms 19.082 ms
6 13noc-mx960-02.krp.unity-media.net (2a02:908::2:2) 19.971 ms 19.895 ms 19.979 ms
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *

---- Finished ------

Rquest timed out.

Nach jedem Ticket, was ich bis lang zu dem Problem aufgemacht habe, kommt anschliessend ein Techniker vorbei und misst die Leitung durch.
Die UM-Hotline ist nicht in der Lage, eine detaillierte Problembeschreibung auf zu nehmen und an die richtige Stelle weiter zu reichen.
Wie schön wäre hier ein Anruf von einem UM-Mitarbeiter, der das Problem erkennt und bearbeiten kann, denn ein Leitungsproblem liegt hier nicht vor.
x11max
Kabelneuling
 
Beiträge: 20
Registriert: 23.03.2009, 14:10

Re: IPV6 Connectivity (DS-Lite-Tunnel AFTR-Gateway)

Beitragvon x11max » 08.06.2014, 20:30

Ich bin doch nicht alleine mit meinem Problem und habe Leidensgenossen gefunden:

http://unitymedia-kabelbw-helpdesk.de/f ... =24&t=5588

Wenn ich das zitieren darf:

-----------------
Ich habe auch probleme mit IPv6 Kabelbw scheint im Moment (seit midestens 3 Wochen) die IPV6 Präfix vergebene IPs nicht an meine Anschluss zu Routen was zur Folge hat das IPV6 anfragen raus gehen aber die Antwort Pakete nicht mehr zu mir zurückfinden. Web Seits die auf IPv4 und IPv6 gehostet sind sind dadurch nur sehr langsam zu ereichen grund ist das erst IPv6 versucht wird und dann IPv4 nach einigen Sekunden.

Habe bereits 3 Störungen aufgemacht ohne erfolg, Testen kann mann ob man IPV6 systeme ereicht wenn mann auf ipv6.google.com geht wenn die seite sich nicht aufbaut habt ihr das gleiche problem

Wenn ich mit dem Problem nicht alleine bin würde ich mich über antworten hier freuen.
-----------------

Anmerkung meinerseits:

Es gibt Möglichkeiten, seinen Anschluss zu auf IPv6 zu prüfen:

http://www.subnetonline.com/pages/ipv6- ... canner.php

Das Test Gateway prüft, ob der eigene Anschluss (FritzBox) oder die in den MyFritz-Freigaben konfigurierten Systeme via IPv6 erreichbar sind.
x11max
Kabelneuling
 
Beiträge: 20
Registriert: 23.03.2009, 14:10

Re: IPV6 Connectivity (DS-Lite-Tunnel AFTR-Gateway)

Beitragvon x11max » 09.06.2014, 12:43

UM hatte heute einen Totalausfall im Grossraum Düren. So gegen 12:00 Uhr konnte man wieder Internetten.

Und siehe da, IPv6 läuft seitdem wieder.

Ich hab das aktuelle Ergebnis von Leitung und IPv6 mal festgehalten. - UM-IPv6.pdf

- nur eine Sende Kanal vorhanden
- IPv6 wird nicht nur angezeigt, sondern die ist auch tatsächlich erreichbar
- Zugriffe von intern auf externe IPv6 Adressen funktionieren
- Zugriffe von extern auf das Heimnetz funktioniert
x11max
Kabelneuling
 
Beiträge: 20
Registriert: 23.03.2009, 14:10

Re: IPV6 Connectivity (DS-Lite-Tunnel AFTR-Gateway)

Beitragvon GoaSkin » 20.06.2014, 06:30

Ich habe auch Probleme damit, meine Geräte per IPv6 "nachhaltig" von außen zu erreichen.

Ist die Fritzbox mit dem Internet verbunden, dann funktionieren die IPv6-Freigaben wenige Stunden bis wenige Tage. Irgendwann fängt die Fritzbox an, den eingehenden Traffic zu filtern (Pings werden von der FB-IP mit "Administratively Prohibited" beantwortet, eingehende TCP- und UDP-Anfragen gehen nicht mehr durch.

Logge ich mich auf der Fritzbox ein, öffne eine beliebige IPv6-Freigabe, ändere nichts und klicke auf übernehmen, dann funktionieren die Freigaben wieder ordnungsgemäß - aber nur für eine Weile, dann wieder dasselbe Spiel.

Die AVM-Hotline ist diesbezüglich leider nicht kooperativ und verzapft einen ziemlichen Stuss "kann sein, dass Unity Media die Freigaben aufgrund der jüngsten FB-Hack Problematik sperrt". Dem FB-Log ist allerdings nicht zu entnehmen, dass UM Konfigurationsdaten übermittelt. Viel mehr scheint es ein Bug in den Netzwerkskripten der Box zu sein.
Es gibt drei Fleischsorten: Beef, Chicken und Veggie. Von welchem Tier die kommen? Von garkeinem, sondern aus der Packung.
GoaSkin
Glasfaserstrecke
 
Beiträge: 1094
Registriert: 12.12.2009, 17:25


Zurück zu FRITZ!Box für Kabel Internet

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 14 Gäste