Fritzbox IPv6-Firewall?

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
Leseratte10
Glasfaserstrecke
Beiträge: 1424
Registriert: 07.03.2013, 15:56

Fritzbox IPv6-Firewall?

Beitrag von Leseratte10 » 06.02.2014, 20:54

Hallo,

ich bekomme es einfach nicht hin, in der 6320 und der nachgeschalteten 7270 den Port 80 über IPv6 freizugeben, damit ein laufender Webserver von außerhalb erreichbar ist.

In der 6320 steht unter IPv6-Portfreigaben sowohl für die 7270 als auch für den Rechner selbst ein Eintrag mit "Firewall komplett öffnen", ebenso steht nochmal in der 7270 ein Eintrag für den Rechner. Aber sogar eingehende Pings werden an der Public-IPv6 der 6320 (nicht im eigenen Präfix) abgewiesen:

Code: Alles auswählen

PING meinrechner.xxxxxxxxxxxxxx.myfritz.net(2a02:908:xxxx:59c0:xxxx:xxff:fexx:xxxx) 32 data bytes
From 2a02:908:xxxx:4:31f6:xxxx:6a58:xxxx icmp_seq=0 Destination unreachable: Administratively prohibited
From 2a02:908:xxxx:4:31f6:xxxx:6a58:xxxx icmp_seq=1 Destination unreachable: Administratively prohibited
From 2a02:908:xxxx:4:31f6:xxxx:6a58:xxxx icmp_seq=2 Destination unreachable: Administratively prohibited
From 2a02:908:xxxx:4:31f6:xxxx:6a58:xxxx icmp_seq=3 Destination unreachable: Administratively prohibited

--- meinrechner.xxxxxxxxxxxxxx.myfritz.net ping statistics ---
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 3011ms
Eigentlich hätte ich sogar gern in der 6320 die ganze IPv6-Firewall abgeschaltet, da dahinter eh eine 7270 mit eigener Firewall steht.

Kann mir jemand erklären, was ich tun muss, damit ich von außerhalb über eine (funktionierende!) IPv6-Verbindung auf einen Webserver auf meinem Rechner zugreifen kann?
Auf dem Rechner selber komme ich mit meinrechner.xxxxxxxxxxxxxx.myfritz.net problemlos auf meinen Webserver - über IPv6.

Leseratte10

hajodele
Kabelkopfstation
Beiträge: 4819
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Fritzbox IPv6-Firewall?

Beitrag von hajodele » 06.02.2014, 20:58

Du machst eine IPv6-Freigabe (Internet - Freigaben - IPv6)

Leseratte10
Glasfaserstrecke
Beiträge: 1424
Registriert: 07.03.2013, 15:56

Re: Fritzbox IPv6-Firewall?

Beitrag von Leseratte10 » 06.02.2014, 21:03

Leseratte10 hat geschrieben:In der 6320 steht unter IPv6-Portfreigaben sowohl für die 7270 als auch für den Rechner selbst ein Eintrag mit "Firewall komplett öffnen", ebenso steht nochmal in der 7270 ein Eintrag für den Rechner.
Sowohl auf der 6320 als auch auf der 7270 sind schon IPv6-Portfreigaben eingerichtet. In der 6320 steht die 7270 und der Rechner selbst als "komplett offen" drin, in der 7270 der Rechner selbst. Trotzdem kommt kein Ping durch.

Bild Bild Bild

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox IPv6-Firewall?

Beitrag von SpaceRat » 07.02.2014, 06:38

Leseratte10 hat geschrieben:ich bekomme es einfach nicht hin, in der 6320 und der nachgeschalteten 7270 den Port 80 über IPv6 freizugeben, damit ein laufender Webserver von außerhalb erreichbar ist.
Du hast die Router kaskadiert, also die 7270 im Betriebsmodus "Internet über LAN1" bzw. "Anbieter: Unitymedia"?
Leseratte10 hat geschrieben:Kann mir jemand erklären, was ich tun muss, damit ich von außerhalb über eine (funktionierende!) IPv6-Verbindung auf einen Webserver auf meinem Rechner zugreifen kann?
Auf dem Rechner selber komme ich mit meinrechner.xxxxxxxxxxxxxx.myfritz.net problemlos auf meinen Webserver - über IPv6.
Man kann theoretisch tatsächlich im IPv6-Betrieb einen anderen Router hinter einer 63x0 kaskadieren und dabei dem zweiten Router sein eigenes Präfix delegieren.
Die Anleitung dazu findet sich hier.

Es gibt allerdings ein klitzekleines Problem an der Sache:
Die delegierende Fritz!Box routet eingehende IPv6-Pakete für das Subnetz der zweiten Fritz!Box bzw. des nachgeschalteten IPv6-Routers nicht durch.
Der Benutzer "Egalus" hat genau das selbe Problem mit einer Fritz!Box 7390, die von einer Fritz!Box 6360 ein Präfix delegiert bekommt.

Schuld ist wohl tatsächlich die Firewall der delegierenden Fritz!Box, Verbindungen über conntrack (Also Antwortpakete auf Anfragen aus dem delegierten Subnetz) funktionieren nämlich, nicht aber von außen initiierte, also auf Server im delegierten Subnetz.

AVM kennt das Problem (Siehe verlinktes Posting), es kann aber nicht schaden, es ihnen noch einmal in Erinnerung zu rufen :)
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Leseratte10
Glasfaserstrecke
Beiträge: 1424
Registriert: 07.03.2013, 15:56

Re: Fritzbox IPv6-Firewall?

Beitrag von Leseratte10 » 07.02.2014, 09:51

Genau so hab ich es gemacht - die 7270 bekommt ein Präfix von der 6320. Kann man denn irgendwie (in der config-Datei oder so) die Ipv6 Firewall komplett abschalten? Die können uns doch kein IPv4-CGN zusammen mit nicht funktionierenden IPv6 - Portfreigaben andrehen?!

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox IPv6-Firewall?

Beitrag von SpaceRat » 07.02.2014, 10:17

Leseratte10 hat geschrieben:Genau so hab ich es gemacht - die 7270 bekommt ein Präfix von der 6320. Kann man denn irgendwie (in der config-Datei oder so) die Ipv6 Firewall komplett abschalten? Die können uns doch kein IPv4-CGN zusammen mit nicht funktionierenden IPv6 - Portfreigaben andrehen?!
Mir fiele da schon was ein ...

Exportier mal Deine Config (Mit Passwort) aus der 63x0, mache eine Sicherheitskopie davon und schick sie mir (Ziggy Punkt Spacerat bei gmx Pünktchen de).
Ich möchte meine Idee jetzt nicht im ganzen Internet ausbreiten, weil sie schon link ist.

Leseratte10
Glasfaserstrecke
Beiträge: 1424
Registriert: 07.03.2013, 15:56

Re: Fritzbox IPv6-Firewall?

Beitrag von Leseratte10 » 07.02.2014, 12:09

Mail ist raus.

Wäre schön wenn das klappen würde.

Leseratte10
Glasfaserstrecke
Beiträge: 1424
Registriert: 07.03.2013, 15:56

Re: Fritzbox IPv6-Firewall?

Beitrag von Leseratte10 » 07.02.2014, 21:07

SpaceRat hat mir nun zwei verschiedene Config-Dateien zugeschickt die aber beide nicht das gewünschte Ergebnis gebracht haben. Eine Mail an AVM habe ich auch mal verfasst, vielleicht bringts ja was.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox IPv6-Firewall?

Beitrag von SpaceRat » 07.02.2014, 22:23

Leseratte10 hat geschrieben:SpaceRat hat mir nun zwei verschiedene Config-Dateien zugeschickt die aber beide nicht das gewünschte Ergebnis gebracht haben. Eine Mail an AVM habe ich auch mal verfasst, vielleicht bringts ja was.
Die Mail an AVM hätte ich Dir sowieso nahegelegt, denn was ich da bastle wären bestenfalls Workarounds.

Nach den zwei Varianten fällt mir aber auch nix mehr ein, ich passe.

Leseratte10
Glasfaserstrecke
Beiträge: 1424
Registriert: 07.03.2013, 15:56

Re: Fritzbox IPv6-Firewall?

Beitrag von Leseratte10 » 08.02.2014, 08:00

Na super. Bis AVM kapiert hat was ich will, wird bestimmt schon eine halbe Ewigkeit vergangen sein. Dann nochmal eine halbe Ewigkeit, bis das in irgendeine Firmware eingebaut wird und dann nochmal eine Ewigkeit, bis die von UM verteilt wird. Also kann man wohl frühestens 2015 mit einer vernünftigen Lösung rechnen.

Meint ihr, wenn ich dieses Problem an UM schildere, schicken die mir vielleicht ein 3208 (oder ein anderes "echtes" Modem)?

Aber noch ein Ansatz:
In der 6360 lässt sich einer der vier LAN-Anschlüsse zu einer Bridge umfunktionieren, dieser Anschluss hängt dann direkt am Modem. Die entsprechende Einstellungsseite gibt es auch in der 6320, ich kann allerdings nichts anklicken, da die Box verlangt, dass mindestens ein LAN-Anschluss ungebridgt bleibt (zum Zugriff auf die Box). Vielleicht könnte man da ja was basteln dass der (einzige) LAN-Anschluss der 6320 zur Bridge wird und ich diese nur noch über WLAN erreiche?

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox IPv6-Firewall?

Beitrag von SpaceRat » 08.02.2014, 18:13

Leseratte10 hat geschrieben:Na super. Bis AVM kapiert hat was ich will, wird bestimmt schon eine halbe Ewigkeit vergangen sein. Dann nochmal eine halbe Ewigkeit, bis das in irgendeine Firmware eingebaut wird und dann nochmal eine Ewigkeit, bis die von UM verteilt wird. Also kann man wohl frühestens 2015 mit einer vernünftigen Lösung rechnen.
Du bist dann immerhin schon der Zweite, der dieses Problem meldet.
Die Verzögerung durch UM wird das Hauptproblem werden ...
Leseratte10 hat geschrieben:Meint ihr, wenn ich dieses Problem an UM schildere, schicken die mir vielleicht ein 3208 (oder ein anderes "echtes" Modem)?
Leider nein.
Leseratte10 hat geschrieben:In der 6360 lässt sich einer der vier LAN-Anschlüsse zu einer Bridge umfunktionieren, dieser Anschluss hängt dann direkt am Modem. Die entsprechende Einstellungsseite gibt es auch in der 6320, ich kann allerdings nichts anklicken, da die Box verlangt, dass mindestens ein LAN-Anschluss ungebridgt bleibt (zum Zugriff auf die Box). Vielleicht könnte man da ja was basteln dass der (einzige) LAN-Anschluss der 6320 zur Bridge wird und ich diese nur noch über WLAN erreiche?
Das willst Du nicht.
Der Bridge-Modus ist bei Privatkunden nicht vorgesehen und funktioniert auch nur eher zufällig gelegentlich.

Wenn Du wirklich Ruhe haben willst, bleibt Dir nur ein Wechsel zu einem anderen Anbieter oder in einen Geschäftskundentarif.

Leseratte10
Glasfaserstrecke
Beiträge: 1424
Registriert: 07.03.2013, 15:56

Re: Fritzbox IPv6-Firewall?

Beitrag von Leseratte10 » 08.02.2014, 21:21

SpaceRat hat geschrieben:Der Bridge-Modus ist bei Privatkunden nicht vorgesehen und funktioniert auch nur eher zufällig gelegentlich.
Wegen der max. Anzahl an CPE, also solange ich die 6320 nicht neustarte, sollte es laufen? Oder aus einem ganz anderen Grund?
Wäre es denn theoretisch möglich?

Und AVM hat im Moment wohl alle Hände voll zu tun wegen der Sicherheitslücke...
Mal sehen wann und wie die auf meine Mail reagieren.

Es wundert mich aber dass das Problem bisher nur einmal aufgetreten ist. Gibt es denn so wenig Leute die einen eigenen Router hinter der 6320 betreiben und Portfreigaben haben wollen?

Egalus
erfahrener Kabelkunde
Beiträge: 59
Registriert: 11.12.2013, 06:38

Re: Fritzbox IPv6-Firewall?

Beitrag von Egalus » 08.02.2014, 21:32

Oh,
ein Mitstreiter bei dem Problem, wie schön.
Ich bin gespannt wer von uns schnellr den Passierschein AVM38 findet. Wobei ich schon 4 Wochen Vorsprung im AVM Supportdschungel habe.
Vielleicht habe ich dem First und Second Level Support ja schon genug über IPV6 beigebracht (glaube ich zwar nicht, denn bisher versuchen sie immer noch die Lösung für das Problem bei meiner 7390 zu suchen statt bei der 6360) damit du gleich in Level 3 aufsteigen kannst ;)
Über eine Lösung würde ich mich nach wie vor freuen - wobei mir ein reines Modem mit eigenem Router dahinter immer noch besser gefallen würde - wobei es aktuell für viele wohl ganz praktisch war mit der Zwangshardware weil nun wohl definitiv UM auf dem Schaden sitzt und nicht der arme Privatmann.
Die Lösung für den DSLite Murx von Unitymedia: Business-Kunde mit statischer IPv4 Adresse werden.

Spass mit DS-Lite:
- OpenVPN an einen IPv4 Endpoint funktioniert über DSLite wenn man die MTU auf 1380 Bytes reduziert.
- Die Firewall des TC7200 ist binär. Alles an oder alles aus.
- Die FB6360 kann zwar IPv6 Prefix Delegation, AVM ist aber unfähig der Fritte dann beizubringen die Finger vom Prefix zu lassen => eingehender Verbindungsaufbau unmöglich.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox IPv6-Firewall?

Beitrag von SpaceRat » 08.02.2014, 22:30

Leseratte10 hat geschrieben:
SpaceRat hat geschrieben:Der Bridge-Modus ist bei Privatkunden nicht vorgesehen und funktioniert auch nur eher zufällig gelegentlich.
Wegen der max. Anzahl an CPE, also solange ich die 6320 nicht neustarte, sollte es laufen? Oder aus einem ganz anderen Grund?
Ich kann die max-cpe nur als Ursache für den scheiternden Bridge-Modus vermuten, wissen kann ich das nicht.
Leseratte10 hat geschrieben:Wäre es denn theoretisch möglich?
Ich weiß nicht, ob sich die 6320 austricksen ließe.
Wie Du gesehen hast, überlebt ja nicht einmal das firewall=no einen Neustart ..
Leseratte10 hat geschrieben:Es wundert mich aber dass das Problem bisher nur einmal aufgetreten ist. Gibt es denn so wenig Leute die einen eigenen Router hinter der 6320 betreiben und Portfreigaben haben wollen?
Die 6320 gab es nur als recht kurzes Zwischenspiel, die meisten Kunden sind mit dem noch viel schlimmeren DK7200 geschlagen.

Und naturgemäß dürfte es auch weit mehr Leute geben, die den Rotz anderer Hersteller durch eine Fritz!Box ersetzen wollen, als Kunden, die unbedingt eine Fritz!Box hinter einer Fritz!Box betreiben wollen.
Man kann ja mit der 6360 und auch der 6320 (ggf. ergänzt um einen Switch oder IPv6-fähigen Billigrouter als Switch+AP) recht gut leben.

Es bleibt also wirklich nur ein relativ kleiner Prozentsatz an Power-Usern, die auch bei vorhandener Fritz!Box 63x0 unbedingt ihre eigene Fritz!Box als Router betreiben wollen.
Ich fände übrigens einen Gegentest mit einem anderen IPv6-tauglichen Router (z.B. Asus, D-Link oder TP-Link Archer) mal ganz spannend. Wer weiß, vielleicht liegt es wirklich an der nachgeschalteten Fritz!Box, weil diese z.B. das router-advertisement nicht über den WAN-Port rauskloppt?

Leseratte10
Glasfaserstrecke
Beiträge: 1424
Registriert: 07.03.2013, 15:56

Re: Fritzbox IPv6-Firewall?

Beitrag von Leseratte10 » 09.02.2014, 11:03

Wieso sollte das am nachgeschalteten Gerät liegen? Das bekommt korrekterweise über die Prefix Delegation ein Präfix. Der Rest (= Firewall für das Präfix öffnen) ist Sache der 6320.

Ich habe mir mal die IPv6-Routing-Tabelle der 6320 angeschaut und folgenden Eintrag entdeckt (7e00 ist das Lan-Präfix der 6320, 7e40 das delegierte):

Code: Alles auswählen

2a02:908:xxxx:7e40::/58 via fe80::be05:43ff:fe2b:972f dev lan metric 128
2a02:908:xxxx:7e40::/58 via fe80::be05:43ff:fe2b:972f dev lan metric 128 mtu 1500 advmss 1440 proto delegated-prefix table main
Die Box hat zumindest schonmal eine korrekte Route für das delegierte Präfix - also wird das wahrscheinlich "nur" von der Firewall blockiert und sollte von AVM leicht zu beheben sein (hoffe ich mal).

Allerdings steht das delegierte Präfix nicht in der Liste der "erlaubten Adressen" (was auch immer das zu bedeuten hat), denn das delegierte Präfix endet auf 7e40. Vielleicht greift die Firewall irgendwie auf diese Liste zu?

Code: Alles auswählen

allowedv6:
 fd00::/64
 fe80::/64
 fd00:0:0:1::/64
 2a02:908:xxxx:7e01::/64
 2a02:908:xxxx:7e00::/64
Außerdem wundert mich das "7e01" in der Liste. Hat AVM da eventuell vergessen, dass sie immer 0x40 zum Präfix addieren und nicht 0x01?

Vom TK7200 hab ich auch schon gehört und bin froh, dass ich den nicht bekommen habe. Dann doch lieber eine Fritzbox.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox IPv6-Firewall?

Beitrag von SpaceRat » 09.02.2014, 11:36

Leseratte10 hat geschrieben: 2a02:908:xxxx:7e01::/64
2a02:908:xxxx:7e00::/64[/code]

Außerdem wundert mich das "7e01" in der Liste. Hat AVM da eventuell vergessen, dass sie immer 0x40 zum Präfix addieren und nicht 0x01?
Das ist einfach erklärt:

Die Fritz!Box gönnt sich selber ein /62er Präfix, also 4 Subnetze /64, davon verwendet sie das erste für lan und das zweite für guest.

Da ich bei mir kein "Gast-Zugang an LAN4" aktivieren kann (Das können die Boxen nur, wenn der Zugang über das eingebaute Modem erfolgt und das ist bei meiner 7390 natürlich nicht der Fall), weiß ich nicht, ob dafür evtl. ein drittes Subnet verwendet wird oder ob der Gast-Zugang LAN und WLAN einfach gebridged wird.

Leseratte10
Glasfaserstrecke
Beiträge: 1424
Registriert: 07.03.2013, 15:56

Re: Fritzbox IPv6-Firewall?

Beitrag von Leseratte10 » 09.02.2014, 11:41

Die 6320 hat einen Gastzugang? Wo das denn :P

Die hat nur einen LAN-Port, also nix mit Port 4 und WLAN-Gastzugang unterstützt sie auch nicht. Was soll also das Präfix 7e01?
Die genannten Adressen und Routingtabellen stammen ja von der 6320.

CapFloor
erfahrener Kabelkunde
Beiträge: 52
Registriert: 15.09.2011, 18:44

Re: Fritzbox IPv6-Firewall?

Beitrag von CapFloor » 09.02.2014, 13:41

Hi, damit ihr nicht so alleine seid :winken: und ich das Problem auch gelöst sehen will, werde ich mich mit diesem Problem auch an AVM wenden. Ich will eine 7270 mit einer Subnet Delegation von der 6360 betreiben. Hab natürlich auch das Problem, dass kein Gerät im Subnet der 7270 von außen adressiert werden kann. Schade eigentlich, denn ansonsten kann die Fritzbox IPv6 mäßig (fast) alles - für meinen Anspruch...
Bild

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox IPv6-Firewall?

Beitrag von SpaceRat » 09.02.2014, 14:19

Leseratte10 hat geschrieben:Die 6320 hat einen Gastzugang? Wo das denn :P

Die hat nur einen LAN-Port, also nix mit Port 4 und WLAN-Gastzugang unterstützt sie auch nicht. Was soll also das Präfix 7e01?
Die genannten Adressen und Routingtabellen stammen ja von der 6320.
Vielleicht wurde er auch nur im Auftrag von UM rausgeschnippelt und ist halt in Grundzügen noch vorhanden ... wer weiß?

Leseratte10
Glasfaserstrecke
Beiträge: 1424
Registriert: 07.03.2013, 15:56

Re: Fritzbox IPv6-Firewall?

Beitrag von Leseratte10 » 09.02.2014, 14:25

Dann würde er in der von AVM veröffentlichten Bedienungsanleitung drin stehen - genau wie Anrufbeantworter und Fax.

Da aber die Box eine korrekte Route anlegt, kann doch das Problem nur noch an der Firewall liegen, die allen Zugriff in das delegierte Präfix nicht zulässt oder?

EDIT: Den Gastzugang gibt es doch - man muss nur die Adresse von Hand eingeben. Wäre also möglich, dass das Präfix dafür ist. Ich probier das mal eben aus.
EDIT 2: Der Gastzugang ist in Teilen noch vorhanden (und hat eine Sicherheitslücke). Der verteilt dann das Präfix 7e41.
Aber egal, was man für eine Verschlüsselung einstellt, der Gastzugang ist komplett unverschlüsselt...

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox IPv6-Firewall?

Beitrag von SpaceRat » 10.02.2014, 09:09

Leseratte10 hat geschrieben:Da aber die Box eine korrekte Route anlegt, kann doch das Problem nur noch an der Firewall liegen, die allen Zugriff in das delegierte Präfix nicht zulässt oder?
Würde ich mal annehmen, ja.

Den Fehler wird aber wohl AVM beheben müssen und wir wissen ja alle, wie schnell Du als Unitymedia-Kunde die dann gefixte Version bekommst ...

Egalus
erfahrener Kabelkunde
Beiträge: 59
Registriert: 11.12.2013, 06:38

Re: Fritzbox IPv6-Firewall?

Beitrag von Egalus » 10.02.2014, 09:29

SpaceRat hat geschrieben:
Leseratte10 hat geschrieben:Da aber die Box eine korrekte Route anlegt, kann doch das Problem nur noch an der Firewall liegen, die allen Zugriff in das delegierte Präfix nicht zulässt oder?
Würde ich mal annehmen, ja.

Den Fehler wird aber wohl AVM beheben müssen und wir wissen ja alle, wie schnell Du als Unitymedia-Kunde die dann gefixte Version bekommst ...
Um so ärgerlicher, dass der AVM Support so Begriffsstutzig ist. Hätten die Anfang Januar meine Supportanfrage verstanden gäbe es bestimmt schon einen fix (dürfte ja vermutlich nur eine automatisch erstellte Firewallausnahme beim Vergeben eines Prefix sein) und der hätte wahrscheinlich große Chancen gehabt zügig bei den Endkunden zu landen - Sicherheitsleck sei dank.
Das ganze wird sich aber nun vermutlich um Monate verzögern wenn Unitymedia jetzt irgendwann erstmal die kastrierte Sicherheitspatchfirmware für die 6360 pushed haben die Ihr Firmwareupdatesoll für die nächsten 2 Jahre doch schon erfüllt...
Die Lösung für den DSLite Murx von Unitymedia: Business-Kunde mit statischer IPv4 Adresse werden.

Spass mit DS-Lite:
- OpenVPN an einen IPv4 Endpoint funktioniert über DSLite wenn man die MTU auf 1380 Bytes reduziert.
- Die Firewall des TC7200 ist binär. Alles an oder alles aus.
- Die FB6360 kann zwar IPv6 Prefix Delegation, AVM ist aber unfähig der Fritte dann beizubringen die Finger vom Prefix zu lassen => eingehender Verbindungsaufbau unmöglich.

Leseratte10
Glasfaserstrecke
Beiträge: 1424
Registriert: 07.03.2013, 15:56

Re: Fritzbox IPv6-Firewall?

Beitrag von Leseratte10 » 10.02.2014, 16:39

Und - wie schon erwartet - von AVM kommt natürlich eine Antwort wie "im IP-Client Modus unterstützt die 7270 kein IPv6 - bitte in den NAT-Modus schalten"

In meiner Mail stand erstens erwähnt dass die 7270 sich bereits im NAT-Modus befindet und dass zweitens die FW der 6320 blockiert, das Endgerät also total egal ist...

Aber nee, meine 7270 ist falsch eingestellt blablabla...

Eine Mail an Unitymedia ist auch raus - vielleicht bekomme ich auf diesem Weg ja IPv4 oder Full-DS.
Zuletzt geändert von Leseratte10 am 10.02.2014, 17:04, insgesamt 1-mal geändert.

Egalus
erfahrener Kabelkunde
Beiträge: 59
Registriert: 11.12.2013, 06:38

Re: Fritzbox IPv6-Firewall?

Beitrag von Egalus » 10.02.2014, 16:49

Leseratte10 hat geschrieben:Und - wie schon erwartet - von AVM kommt natürlich eine Antwort wie "im IP-Client Modus unterstützt die 7270 kein IPv6 - bitte in den NAT-Modus schalten"

In meiner Mail stand erstens erwähnt dass die 7270 sich bereits im NAT-Modus befindet und dass zweitens die FW der 6320 blockiert, das Endgerät also total egal ist...

Aber nee, meine 7270 ist falsch eingestellt blablabla...
Ah, immerhin ist der Support konsistent, die Antwort kommt mir bekannt vor ;)
Hat dir zufällig ein Herr zurückgeschrieben der nach Weglassen des zweiten Buchstabens im Nachnamen ein Fisch ist?
Wenn ja, dann erklär ihm das nochmal, dann kommst du in der nächsten Runde zu zum zweiten Level und erhälst die gleiche IP-Client Modus Frage dann erneut ;)

Willkommen beim Passierschein AVM38 Adventure.
Die Lösung für den DSLite Murx von Unitymedia: Business-Kunde mit statischer IPv4 Adresse werden.

Spass mit DS-Lite:
- OpenVPN an einen IPv4 Endpoint funktioniert über DSLite wenn man die MTU auf 1380 Bytes reduziert.
- Die Firewall des TC7200 ist binär. Alles an oder alles aus.
- Die FB6360 kann zwar IPv6 Prefix Delegation, AVM ist aber unfähig der Fritte dann beizubringen die Finger vom Prefix zu lassen => eingehender Verbindungsaufbau unmöglich.

Leseratte10
Glasfaserstrecke
Beiträge: 1424
Registriert: 07.03.2013, 15:56

Re: Fritzbox IPv6-Firewall?

Beitrag von Leseratte10 » 10.02.2014, 17:42

Egalus hat geschrieben:Hat dir zufällig ein Herr zurückgeschrieben der nach Weglassen des zweiten Buchstabens im Nachnamen ein Fisch ist?
Nö. Mir hat ein Herr zurückgeschrieben von dessen Nachnamen ich noch nichtmal weiß wie man den aussprechen soll ^^

Mal sehen, was als nächste Antwort kommt. Und mal sehen, was Unitymedia dazu sagt.

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste