Fritzbox IPv6-Firewall?

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox IPv6-Firewall?

Beitrag von SpaceRat » 08.02.2014, 18:13

Leseratte10 hat geschrieben:Na super. Bis AVM kapiert hat was ich will, wird bestimmt schon eine halbe Ewigkeit vergangen sein. Dann nochmal eine halbe Ewigkeit, bis das in irgendeine Firmware eingebaut wird und dann nochmal eine Ewigkeit, bis die von UM verteilt wird. Also kann man wohl frühestens 2015 mit einer vernünftigen Lösung rechnen.
Du bist dann immerhin schon der Zweite, der dieses Problem meldet.
Die Verzögerung durch UM wird das Hauptproblem werden ...
Leseratte10 hat geschrieben:Meint ihr, wenn ich dieses Problem an UM schildere, schicken die mir vielleicht ein 3208 (oder ein anderes "echtes" Modem)?
Leider nein.
Leseratte10 hat geschrieben:In der 6360 lässt sich einer der vier LAN-Anschlüsse zu einer Bridge umfunktionieren, dieser Anschluss hängt dann direkt am Modem. Die entsprechende Einstellungsseite gibt es auch in der 6320, ich kann allerdings nichts anklicken, da die Box verlangt, dass mindestens ein LAN-Anschluss ungebridgt bleibt (zum Zugriff auf die Box). Vielleicht könnte man da ja was basteln dass der (einzige) LAN-Anschluss der 6320 zur Bridge wird und ich diese nur noch über WLAN erreiche?
Das willst Du nicht.
Der Bridge-Modus ist bei Privatkunden nicht vorgesehen und funktioniert auch nur eher zufällig gelegentlich.

Wenn Du wirklich Ruhe haben willst, bleibt Dir nur ein Wechsel zu einem anderen Anbieter oder in einen Geschäftskundentarif.

Leseratte10
Glasfaserstrecke
Beiträge: 1425
Registriert: 07.03.2013, 15:56

Re: Fritzbox IPv6-Firewall?

Beitrag von Leseratte10 » 08.02.2014, 21:21

SpaceRat hat geschrieben:Der Bridge-Modus ist bei Privatkunden nicht vorgesehen und funktioniert auch nur eher zufällig gelegentlich.
Wegen der max. Anzahl an CPE, also solange ich die 6320 nicht neustarte, sollte es laufen? Oder aus einem ganz anderen Grund?
Wäre es denn theoretisch möglich?

Und AVM hat im Moment wohl alle Hände voll zu tun wegen der Sicherheitslücke...
Mal sehen wann und wie die auf meine Mail reagieren.

Es wundert mich aber dass das Problem bisher nur einmal aufgetreten ist. Gibt es denn so wenig Leute die einen eigenen Router hinter der 6320 betreiben und Portfreigaben haben wollen?

Egalus
erfahrener Kabelkunde
Beiträge: 59
Registriert: 11.12.2013, 06:38

Re: Fritzbox IPv6-Firewall?

Beitrag von Egalus » 08.02.2014, 21:32

Oh,
ein Mitstreiter bei dem Problem, wie schön.
Ich bin gespannt wer von uns schnellr den Passierschein AVM38 findet. Wobei ich schon 4 Wochen Vorsprung im AVM Supportdschungel habe.
Vielleicht habe ich dem First und Second Level Support ja schon genug über IPV6 beigebracht (glaube ich zwar nicht, denn bisher versuchen sie immer noch die Lösung für das Problem bei meiner 7390 zu suchen statt bei der 6360) damit du gleich in Level 3 aufsteigen kannst ;)
Über eine Lösung würde ich mich nach wie vor freuen - wobei mir ein reines Modem mit eigenem Router dahinter immer noch besser gefallen würde - wobei es aktuell für viele wohl ganz praktisch war mit der Zwangshardware weil nun wohl definitiv UM auf dem Schaden sitzt und nicht der arme Privatmann.
Die Lösung für den DSLite Murx von Unitymedia: Business-Kunde mit statischer IPv4 Adresse werden.

Spass mit DS-Lite:
- OpenVPN an einen IPv4 Endpoint funktioniert über DSLite wenn man die MTU auf 1380 Bytes reduziert.
- Die Firewall des TC7200 ist binär. Alles an oder alles aus.
- Die FB6360 kann zwar IPv6 Prefix Delegation, AVM ist aber unfähig der Fritte dann beizubringen die Finger vom Prefix zu lassen => eingehender Verbindungsaufbau unmöglich.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox IPv6-Firewall?

Beitrag von SpaceRat » 08.02.2014, 22:30

Leseratte10 hat geschrieben:
SpaceRat hat geschrieben:Der Bridge-Modus ist bei Privatkunden nicht vorgesehen und funktioniert auch nur eher zufällig gelegentlich.
Wegen der max. Anzahl an CPE, also solange ich die 6320 nicht neustarte, sollte es laufen? Oder aus einem ganz anderen Grund?
Ich kann die max-cpe nur als Ursache für den scheiternden Bridge-Modus vermuten, wissen kann ich das nicht.
Leseratte10 hat geschrieben:Wäre es denn theoretisch möglich?
Ich weiß nicht, ob sich die 6320 austricksen ließe.
Wie Du gesehen hast, überlebt ja nicht einmal das firewall=no einen Neustart ..
Leseratte10 hat geschrieben:Es wundert mich aber dass das Problem bisher nur einmal aufgetreten ist. Gibt es denn so wenig Leute die einen eigenen Router hinter der 6320 betreiben und Portfreigaben haben wollen?
Die 6320 gab es nur als recht kurzes Zwischenspiel, die meisten Kunden sind mit dem noch viel schlimmeren DK7200 geschlagen.

Und naturgemäß dürfte es auch weit mehr Leute geben, die den Rotz anderer Hersteller durch eine Fritz!Box ersetzen wollen, als Kunden, die unbedingt eine Fritz!Box hinter einer Fritz!Box betreiben wollen.
Man kann ja mit der 6360 und auch der 6320 (ggf. ergänzt um einen Switch oder IPv6-fähigen Billigrouter als Switch+AP) recht gut leben.

Es bleibt also wirklich nur ein relativ kleiner Prozentsatz an Power-Usern, die auch bei vorhandener Fritz!Box 63x0 unbedingt ihre eigene Fritz!Box als Router betreiben wollen.
Ich fände übrigens einen Gegentest mit einem anderen IPv6-tauglichen Router (z.B. Asus, D-Link oder TP-Link Archer) mal ganz spannend. Wer weiß, vielleicht liegt es wirklich an der nachgeschalteten Fritz!Box, weil diese z.B. das router-advertisement nicht über den WAN-Port rauskloppt?

Leseratte10
Glasfaserstrecke
Beiträge: 1425
Registriert: 07.03.2013, 15:56

Re: Fritzbox IPv6-Firewall?

Beitrag von Leseratte10 » 09.02.2014, 11:03

Wieso sollte das am nachgeschalteten Gerät liegen? Das bekommt korrekterweise über die Prefix Delegation ein Präfix. Der Rest (= Firewall für das Präfix öffnen) ist Sache der 6320.

Ich habe mir mal die IPv6-Routing-Tabelle der 6320 angeschaut und folgenden Eintrag entdeckt (7e00 ist das Lan-Präfix der 6320, 7e40 das delegierte):

Code: Alles auswählen

2a02:908:xxxx:7e40::/58 via fe80::be05:43ff:fe2b:972f dev lan metric 128
2a02:908:xxxx:7e40::/58 via fe80::be05:43ff:fe2b:972f dev lan metric 128 mtu 1500 advmss 1440 proto delegated-prefix table main
Die Box hat zumindest schonmal eine korrekte Route für das delegierte Präfix - also wird das wahrscheinlich "nur" von der Firewall blockiert und sollte von AVM leicht zu beheben sein (hoffe ich mal).

Allerdings steht das delegierte Präfix nicht in der Liste der "erlaubten Adressen" (was auch immer das zu bedeuten hat), denn das delegierte Präfix endet auf 7e40. Vielleicht greift die Firewall irgendwie auf diese Liste zu?

Code: Alles auswählen

allowedv6:
 fd00::/64
 fe80::/64
 fd00:0:0:1::/64
 2a02:908:xxxx:7e01::/64
 2a02:908:xxxx:7e00::/64
Außerdem wundert mich das "7e01" in der Liste. Hat AVM da eventuell vergessen, dass sie immer 0x40 zum Präfix addieren und nicht 0x01?

Vom TK7200 hab ich auch schon gehört und bin froh, dass ich den nicht bekommen habe. Dann doch lieber eine Fritzbox.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox IPv6-Firewall?

Beitrag von SpaceRat » 09.02.2014, 11:36

Leseratte10 hat geschrieben: 2a02:908:xxxx:7e01::/64
2a02:908:xxxx:7e00::/64[/code]

Außerdem wundert mich das "7e01" in der Liste. Hat AVM da eventuell vergessen, dass sie immer 0x40 zum Präfix addieren und nicht 0x01?
Das ist einfach erklärt:

Die Fritz!Box gönnt sich selber ein /62er Präfix, also 4 Subnetze /64, davon verwendet sie das erste für lan und das zweite für guest.

Da ich bei mir kein "Gast-Zugang an LAN4" aktivieren kann (Das können die Boxen nur, wenn der Zugang über das eingebaute Modem erfolgt und das ist bei meiner 7390 natürlich nicht der Fall), weiß ich nicht, ob dafür evtl. ein drittes Subnet verwendet wird oder ob der Gast-Zugang LAN und WLAN einfach gebridged wird.

Leseratte10
Glasfaserstrecke
Beiträge: 1425
Registriert: 07.03.2013, 15:56

Re: Fritzbox IPv6-Firewall?

Beitrag von Leseratte10 » 09.02.2014, 11:41

Die 6320 hat einen Gastzugang? Wo das denn :P

Die hat nur einen LAN-Port, also nix mit Port 4 und WLAN-Gastzugang unterstützt sie auch nicht. Was soll also das Präfix 7e01?
Die genannten Adressen und Routingtabellen stammen ja von der 6320.

CapFloor
erfahrener Kabelkunde
Beiträge: 52
Registriert: 15.09.2011, 18:44

Re: Fritzbox IPv6-Firewall?

Beitrag von CapFloor » 09.02.2014, 13:41

Hi, damit ihr nicht so alleine seid :winken: und ich das Problem auch gelöst sehen will, werde ich mich mit diesem Problem auch an AVM wenden. Ich will eine 7270 mit einer Subnet Delegation von der 6360 betreiben. Hab natürlich auch das Problem, dass kein Gerät im Subnet der 7270 von außen adressiert werden kann. Schade eigentlich, denn ansonsten kann die Fritzbox IPv6 mäßig (fast) alles - für meinen Anspruch...
Bild

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox IPv6-Firewall?

Beitrag von SpaceRat » 09.02.2014, 14:19

Leseratte10 hat geschrieben:Die 6320 hat einen Gastzugang? Wo das denn :P

Die hat nur einen LAN-Port, also nix mit Port 4 und WLAN-Gastzugang unterstützt sie auch nicht. Was soll also das Präfix 7e01?
Die genannten Adressen und Routingtabellen stammen ja von der 6320.
Vielleicht wurde er auch nur im Auftrag von UM rausgeschnippelt und ist halt in Grundzügen noch vorhanden ... wer weiß?

Leseratte10
Glasfaserstrecke
Beiträge: 1425
Registriert: 07.03.2013, 15:56

Re: Fritzbox IPv6-Firewall?

Beitrag von Leseratte10 » 09.02.2014, 14:25

Dann würde er in der von AVM veröffentlichten Bedienungsanleitung drin stehen - genau wie Anrufbeantworter und Fax.

Da aber die Box eine korrekte Route anlegt, kann doch das Problem nur noch an der Firewall liegen, die allen Zugriff in das delegierte Präfix nicht zulässt oder?

EDIT: Den Gastzugang gibt es doch - man muss nur die Adresse von Hand eingeben. Wäre also möglich, dass das Präfix dafür ist. Ich probier das mal eben aus.
EDIT 2: Der Gastzugang ist in Teilen noch vorhanden (und hat eine Sicherheitslücke). Der verteilt dann das Präfix 7e41.
Aber egal, was man für eine Verschlüsselung einstellt, der Gastzugang ist komplett unverschlüsselt...

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox IPv6-Firewall?

Beitrag von SpaceRat » 10.02.2014, 09:09

Leseratte10 hat geschrieben:Da aber die Box eine korrekte Route anlegt, kann doch das Problem nur noch an der Firewall liegen, die allen Zugriff in das delegierte Präfix nicht zulässt oder?
Würde ich mal annehmen, ja.

Den Fehler wird aber wohl AVM beheben müssen und wir wissen ja alle, wie schnell Du als Unitymedia-Kunde die dann gefixte Version bekommst ...

Egalus
erfahrener Kabelkunde
Beiträge: 59
Registriert: 11.12.2013, 06:38

Re: Fritzbox IPv6-Firewall?

Beitrag von Egalus » 10.02.2014, 09:29

SpaceRat hat geschrieben:
Leseratte10 hat geschrieben:Da aber die Box eine korrekte Route anlegt, kann doch das Problem nur noch an der Firewall liegen, die allen Zugriff in das delegierte Präfix nicht zulässt oder?
Würde ich mal annehmen, ja.

Den Fehler wird aber wohl AVM beheben müssen und wir wissen ja alle, wie schnell Du als Unitymedia-Kunde die dann gefixte Version bekommst ...
Um so ärgerlicher, dass der AVM Support so Begriffsstutzig ist. Hätten die Anfang Januar meine Supportanfrage verstanden gäbe es bestimmt schon einen fix (dürfte ja vermutlich nur eine automatisch erstellte Firewallausnahme beim Vergeben eines Prefix sein) und der hätte wahrscheinlich große Chancen gehabt zügig bei den Endkunden zu landen - Sicherheitsleck sei dank.
Das ganze wird sich aber nun vermutlich um Monate verzögern wenn Unitymedia jetzt irgendwann erstmal die kastrierte Sicherheitspatchfirmware für die 6360 pushed haben die Ihr Firmwareupdatesoll für die nächsten 2 Jahre doch schon erfüllt...
Die Lösung für den DSLite Murx von Unitymedia: Business-Kunde mit statischer IPv4 Adresse werden.

Spass mit DS-Lite:
- OpenVPN an einen IPv4 Endpoint funktioniert über DSLite wenn man die MTU auf 1380 Bytes reduziert.
- Die Firewall des TC7200 ist binär. Alles an oder alles aus.
- Die FB6360 kann zwar IPv6 Prefix Delegation, AVM ist aber unfähig der Fritte dann beizubringen die Finger vom Prefix zu lassen => eingehender Verbindungsaufbau unmöglich.

Leseratte10
Glasfaserstrecke
Beiträge: 1425
Registriert: 07.03.2013, 15:56

Re: Fritzbox IPv6-Firewall?

Beitrag von Leseratte10 » 10.02.2014, 16:39

Und - wie schon erwartet - von AVM kommt natürlich eine Antwort wie "im IP-Client Modus unterstützt die 7270 kein IPv6 - bitte in den NAT-Modus schalten"

In meiner Mail stand erstens erwähnt dass die 7270 sich bereits im NAT-Modus befindet und dass zweitens die FW der 6320 blockiert, das Endgerät also total egal ist...

Aber nee, meine 7270 ist falsch eingestellt blablabla...

Eine Mail an Unitymedia ist auch raus - vielleicht bekomme ich auf diesem Weg ja IPv4 oder Full-DS.
Zuletzt geändert von Leseratte10 am 10.02.2014, 17:04, insgesamt 1-mal geändert.

Egalus
erfahrener Kabelkunde
Beiträge: 59
Registriert: 11.12.2013, 06:38

Re: Fritzbox IPv6-Firewall?

Beitrag von Egalus » 10.02.2014, 16:49

Leseratte10 hat geschrieben:Und - wie schon erwartet - von AVM kommt natürlich eine Antwort wie "im IP-Client Modus unterstützt die 7270 kein IPv6 - bitte in den NAT-Modus schalten"

In meiner Mail stand erstens erwähnt dass die 7270 sich bereits im NAT-Modus befindet und dass zweitens die FW der 6320 blockiert, das Endgerät also total egal ist...

Aber nee, meine 7270 ist falsch eingestellt blablabla...
Ah, immerhin ist der Support konsistent, die Antwort kommt mir bekannt vor ;)
Hat dir zufällig ein Herr zurückgeschrieben der nach Weglassen des zweiten Buchstabens im Nachnamen ein Fisch ist?
Wenn ja, dann erklär ihm das nochmal, dann kommst du in der nächsten Runde zu zum zweiten Level und erhälst die gleiche IP-Client Modus Frage dann erneut ;)

Willkommen beim Passierschein AVM38 Adventure.
Die Lösung für den DSLite Murx von Unitymedia: Business-Kunde mit statischer IPv4 Adresse werden.

Spass mit DS-Lite:
- OpenVPN an einen IPv4 Endpoint funktioniert über DSLite wenn man die MTU auf 1380 Bytes reduziert.
- Die Firewall des TC7200 ist binär. Alles an oder alles aus.
- Die FB6360 kann zwar IPv6 Prefix Delegation, AVM ist aber unfähig der Fritte dann beizubringen die Finger vom Prefix zu lassen => eingehender Verbindungsaufbau unmöglich.

Leseratte10
Glasfaserstrecke
Beiträge: 1425
Registriert: 07.03.2013, 15:56

Re: Fritzbox IPv6-Firewall?

Beitrag von Leseratte10 » 10.02.2014, 17:42

Egalus hat geschrieben:Hat dir zufällig ein Herr zurückgeschrieben der nach Weglassen des zweiten Buchstabens im Nachnamen ein Fisch ist?
Nö. Mir hat ein Herr zurückgeschrieben von dessen Nachnamen ich noch nichtmal weiß wie man den aussprechen soll ^^

Mal sehen, was als nächste Antwort kommt. Und mal sehen, was Unitymedia dazu sagt.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox IPv6-Firewall?

Beitrag von SpaceRat » 10.02.2014, 21:54

Leseratte10 hat geschrieben:
Egalus hat geschrieben:Hat dir zufällig ein Herr zurückgeschrieben der nach Weglassen des zweiten Buchstabens im Nachnamen ein Fisch ist?
Nö. Mir hat ein Herr zurückgeschrieben von dessen Nachnamen ich noch nichtmal weiß wie man den aussprechen soll ^^
Ah, das Modell "Konsonantensteinbruch" ... :D

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox IPv6-Firewall?

Beitrag von SpaceRat » 11.02.2014, 09:38

Egalus hat geschrieben:Um so ärgerlicher, dass der AVM Support so Begriffsstutzig ist. Hätten die Anfang Januar meine Supportanfrage verstanden gäbe es bestimmt schon einen fix (dürfte ja vermutlich nur eine automatisch erstellte Firewallausnahme beim Vergeben eines Prefix sein) und der hätte wahrscheinlich große Chancen gehabt zügig bei den Endkunden zu landen - Sicherheitsleck sei dank.
Ihr habt AVM bestimmt mit Details überfordert ;)
"Wenn eine Fritz!Box ein IPv6-Prefix delegiert, so können Geräte im delegierten Subnet nicht von außen erreichbar gemacht werden, da die Fritz!Box das delegierte Subnet in ihrer Firewall nicht freigibt."
Egalus hat geschrieben:Das ganze wird sich aber nun vermutlich um Monate verzögern wenn Unitymedia jetzt irgendwann erstmal die kastrierte Sicherheitspatchfirmware für die 6360 pushed haben die Ihr Firmwareupdatesoll für die nächsten 2 Jahre doch schon erfüllt...
Monate?
Seit wann bist Du Optimist?

Es dauert jetzt bestimmt noch 10 Monate, in denen Unitymedia die Firmware 06.04 ausführlich testet, bevor sie sie dann ausrollen.
Just 2 Tage bevor AVM mit Firmware 06.50 neue sensationelle Features und wichtiges Fixes ausliefert.

Wer den schwarzen Peter hat, sollte ja inzwischen klipp und klar sein, nachdem die 06.04 bei mehr UM-Kunden auf der Platte liegt, als CMTSen sie in der Ausrollung haben ...

Egalus
erfahrener Kabelkunde
Beiträge: 59
Registriert: 11.12.2013, 06:38

Re: Fritzbox IPv6-Firewall?

Beitrag von Egalus » 11.02.2014, 10:05

SpaceRat hat geschrieben: Es dauert jetzt bestimmt noch 10 Monate, in denen Unitymedia die Firmware 06.04 ausführlich testet, bevor sie sie dann ausrollen.
Ich glaube so lange können sie sich schon der Presse wegen mit dem Testen nicht Zeit lassen sonst müssen sie sich garantiert die Routerzwangdiskussion nicht nur von Kunden sondern auch noch von der Fachpresse anhören - und vielleicht kämen die Politiker dann ja sogar mal in die Puschen.
Die Lösung für den DSLite Murx von Unitymedia: Business-Kunde mit statischer IPv4 Adresse werden.

Spass mit DS-Lite:
- OpenVPN an einen IPv4 Endpoint funktioniert über DSLite wenn man die MTU auf 1380 Bytes reduziert.
- Die Firewall des TC7200 ist binär. Alles an oder alles aus.
- Die FB6360 kann zwar IPv6 Prefix Delegation, AVM ist aber unfähig der Fritte dann beizubringen die Finger vom Prefix zu lassen => eingehender Verbindungsaufbau unmöglich.

Leseratte10
Glasfaserstrecke
Beiträge: 1425
Registriert: 07.03.2013, 15:56

Re: Fritzbox IPv6-Firewall?

Beitrag von Leseratte10 » 16.02.2014, 21:17

Meine 7270 ist heute abgeraucht, also bestelle ich mir jetzt die 6360 bei UM und habe das Problem dann nicht mehr.

Aber jemand, der noch eine Fritzbox hinter der 6320 betreibt, könnte mal folgendes ausprobieren, mir ist nämlich was aufgefallen:

Ich habe eine Freigabe auf meinen PC in der 6320 angelegt (manuell über die ID), und dann (nach Defekt der 7270) den PC direkt an die 6320 gehangen. Dann stand er mir im Freigaben-Menü erneut zur Auswahl.

Könnte mal jemand mit einer zweiten Fritzbox (Egalus?) testen, ob die Freigabe funktioniert, wenn zuerst alle Freigaben in der 6320 gelöscht werden, dann die nachgeschaltete Box ab- und der PC direkt angeklemmt wird, dann die Freigabe über die Auswahl in der Liste erstellt wird und dann die zweite Box wieder angeschlossen wird?

Egalus
erfahrener Kabelkunde
Beiträge: 59
Registriert: 11.12.2013, 06:38

Re: Fritzbox IPv6-Firewall?

Beitrag von Egalus » 16.02.2014, 21:23

Hab ich alles schon durch.
Die Fritte 6360 lässt einfach nicht die Stateful Finger von unbekannten Paketen.
Die Lösung für den DSLite Murx von Unitymedia: Business-Kunde mit statischer IPv4 Adresse werden.

Spass mit DS-Lite:
- OpenVPN an einen IPv4 Endpoint funktioniert über DSLite wenn man die MTU auf 1380 Bytes reduziert.
- Die Firewall des TC7200 ist binär. Alles an oder alles aus.
- Die FB6360 kann zwar IPv6 Prefix Delegation, AVM ist aber unfähig der Fritte dann beizubringen die Finger vom Prefix zu lassen => eingehender Verbindungsaufbau unmöglich.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox IPv6-Firewall?

Beitrag von SpaceRat » 17.02.2014, 14:51

Leseratte10 hat geschrieben:Ich habe eine Freigabe auf meinen PC in der 6320 angelegt (manuell über die ID), und dann (nach Defekt der 7270) den PC direkt an die 6320 gehangen. Dann stand er mir im Freigaben-Menü erneut zur Auswahl.

Könnte mal jemand mit einer zweiten Fritzbox (Egalus?) testen, ob die Freigabe funktioniert, wenn zuerst alle Freigaben in der 6320 gelöscht werden, dann die nachgeschaltete Box ab- und der PC direkt angeklemmt wird, dann die Freigabe über die Auswahl in der Liste erstellt wird und dann die zweite Box wieder angeschlossen wird?
Das eine hat mit dem anderen nichts zu tun.

Daß das Gerät neu auftaucht, hat folgende Bewandnis:
Wenn Du zwei Router kaskadierst, dann befinden sich alle Clients dahinter in einem anderen IPv4-Subnet (und zuerst einmal gar keinem IPv6-Netz)
Kommt die Prefix Delegation hinzu, dann kriegen sie auch noch ihr eigenes IPv6-Subnet.

Schaust Du Dir nun mal eine exportierte Fritz!Box-Konfiguration an, dann wirst Du darin einen Block von "landevices" finden, wobei jeder Block in etwa so aussieht:

Code: Alles auswählen

                ip = 192.168.1.17;
                name = "Blah";
                mac = 00:3E:9E:12:34:56;
                medium = medium_unknown;
                auto_etherwake = no;
                ifaceid = ::23e:9eff:fe12:3456;
                type = neightype_unknown;
                staticlease = no;
                ipv4forwardrules =
                                ...
                ipv6firewall { ...
                }
Die Fritz!Box speichert hier also zu allen bekannten Geräten
- die Interface-ID (Die Modified EUI-64)
- die MAC
- den (Host-)Name
- die IPv4-Adresse
- die IPv4-Weiterleitungs-Regeln
- die IPv6-Firewall-Regeln
- div. anderen Krempel

Normalerweise legt man ja eine Freigabe für ein tatsächlich angeschlossenes Gerät an, so daß die Fritz!Box alle der o.g. Angaben füllen kann.

Eure (sinnlose) IPv6-Freigabe in der vorderen Fritz!Box (Also der 63x0) hingegen habt Ihr manuell gemacht. Zu diesem Zeitpunkt hat die erste Fritz!Box das Gerät ja nicht wirklich gekannt, so daß sie hier nur die eingegebene ifaceid und die IPv6-Firewall-Regel, aber weder MAC, noch IPv4, noch einen Hostname, einfügen konnte.

In dem Moment, in dem das Gerät nun aber tatsächlich in die erste Fritz!Box gesteckt wird, erhält es nun auch eine IPv4 von dieser Fritz!Box (Und nicht mehr der kaskadierten ...) und die erste Fritz!Box erfährt die MAC sowie den Hostname.
Dieses tatsächlich erkannte Gerät stimmt aber nur in einem einzigen Punkt mit dem vorher angelegten überein, der Interface-ID.
Die sollte sich zwar nicht ändern, kann es aber (Sch... privacy extensions). Somit ist nicht 100%ig sicher, daß hinter dem eingestöpselten Gerät auch wirklich das Gerät steckt, welches vorher manuell definiert worden war, also entsteht ein Duplikat.

Was aber ganz sicher ist:
Bei der Konfiguration der IPv6-Firewall kommt es nun zu Kollisionen zwischen dem manuell zugefügten und dem erkannten Gerät mit den identischen Interface-IDs. Deshalb muß die manuell angelegte Freigabe auch spätestens jetzt entfernt werden.

Daher würde ich auch nicht empfehlen, irgendwelche IPv6-Freigaben anzulegen, solange das Gerät nicht dort auch in der Auswahl erscheint.
Wenn die Interface-ID von Hand eingegeben werden müßte, dann ist schon vorher irgendwas gründlich schief gelaufen.

Renover99
Kabelneuling
Beiträge: 4
Registriert: 20.02.2014, 09:23

Re: Fritzbox IPv6-Firewall?

Beitrag von Renover99 » 20.02.2014, 09:48

Hallo zusammen,

ich habe mich zwar gerade eben erst registriert, bin aber schon lange ein stiller Mitleser da ich auch ein Opfer des Unitymedia mit IPv6 nach Anbieterwechsel geworden bin.

Ich lese mich eigentlich immer durch etliche Foren kreuz und quer und habe den Ehrgeiz dadurch selbst meine Probleme zu lösen, aber jetzt weiß ich nicht mehr weiter und benötige Hilfe.
Aber vorher noch ein großes Dankeschön an SpaceRat. Du hast mir schon sehr oft weitergeholfen, nur bisher wusstest du das nicht. Jetzt aber!

Meine Konstellation sieht folgendermaßen aus:

Ich habe eine Fritzbox 6320 Cable. Mit Internetanschluß über Lan1 habe ich eine zweite Fritzbox 7270 V2 wegen dem schlechten Wlan-Signal der 6320 angeschlossen. An der 7270 habe ich eine Dreambox, Synology NAS, MediaCenter PC etc laufen. Jetzt will ich von meinem S2 von außen z.B. auf das NAS zugreifen.
Einen Sixxs-Tunnel Ayiya habe ich mir auch schon zugelegt, und funktioniert. Ich komme über das Smartphone dank MyFritz über die 6320 auf die 7270, aber nicht weiter.

Das ist die Ist-Situation.

Jetzt benötige ich eure Hilfe: Kann ich die dahinterliegenden Geräte auch noch irgendwie erreichen? Ich möchte aber ungern die Konstellation mit den zwei Netzwerken aufgeben, da ich diese so schön von einander abgegrenzt habe. Fitz 6320 dient nur für die Bereitstellung des Internets und telefonieren und die 7270 für alles andere.

Und noch eine Bitte. Könnt Ihr mir Antworten, wenn es denn welche gibt, in Laiensprache geben. Ich bin gelernter Kaufmann und kein ITler.

Bei Rückfragen… fragen!

Egalus
erfahrener Kabelkunde
Beiträge: 59
Registriert: 11.12.2013, 06:38

Re: Fritzbox IPv6-Firewall?

Beitrag von Egalus » 20.02.2014, 12:19

@Renover99

Aus deiner Beschreibung wird nicht klar wie genau du die 7270 hinter die 6320 gehangen hast?
Per IPv6 Prefix Delegation oder rein im Client Mode (also IPV4 only)?

Falls du Prefix Delegation nutzt gibt es dank AVMs Unvermögen (es sei denn die 6360 unterscheidet sich da grundlegend von der 6320 Firmware) eigentlich nur eine Möglichkeit:
Jedes Gerät, dass du von Extern erreichen willst muss einen Reverse Tunnel (Stichwort autossh) ins Internet aufbauen - an einen Server auf dem Du SSH Zugang mit Portforwarding Möglichkeiten hast.
Das müsste rein theoretisch sogar mit einem Gerät (wie z.B. einer RaspberryPI) gehen, dass direkt über die 6320 ins Internet geht, denn für selbiges kannst du ja IPV6 Freigaben auf der 6320 einrichten - für Geräte hinter der 6320 aber nicht.

Die Konstellation des Zugriffs mit deinem S2 sähe denn etwa so aus:

Code: Alles auswählen

           Aufbau eines ssh reverse Tunnels (über 7270 und 6320)
Ziel  <------------------------------------------------------------------> Sever mit SSH, der über ipv6 erreichbar ist 
          
      Ayaya                             SSH
S2   ------>   Server mit SSH ----------->  Ziel
Dazu muss auf deinem Ziel nichts umkonfiguriert werden außer, dass es einen autossh client mit Zugangsdaten für deinen Server hat.

Alternativ müsste es auch funktionieren können auf die 7270 zu freezen und dann per "socat" ein ipv6 portforwarding von einem ipv6 Port der 7270 auf dein Ziel zu erstellen. Den Weg werde ich demnächst mal ausprobieren.
Dann müsste nicht noch ein Gerät zusätzlich mithelfen ;)
Die Lösung für den DSLite Murx von Unitymedia: Business-Kunde mit statischer IPv4 Adresse werden.

Spass mit DS-Lite:
- OpenVPN an einen IPv4 Endpoint funktioniert über DSLite wenn man die MTU auf 1380 Bytes reduziert.
- Die Firewall des TC7200 ist binär. Alles an oder alles aus.
- Die FB6360 kann zwar IPv6 Prefix Delegation, AVM ist aber unfähig der Fritte dann beizubringen die Finger vom Prefix zu lassen => eingehender Verbindungsaufbau unmöglich.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox IPv6-Firewall?

Beitrag von SpaceRat » 20.02.2014, 16:22

Renover99 hat geschrieben:Ich habe eine Fritzbox 6320 Cable. Mit Internetanschluß über Lan1 habe ich eine zweite Fritzbox 7270 V2 wegen dem schlechten Wlan-Signal der 6320 angeschlossen. An der 7270 habe ich eine Dreambox, Synology NAS, MediaCenter PC etc laufen. Jetzt will ich von meinem S2 von außen z.B. auf das NAS zugreifen.
Einen Sixxs-Tunnel Ayiya habe ich mir auch schon zugelegt, und funktioniert. Ich komme über das Smartphone dank MyFritz über die 6320 auf die 7270, aber nicht weiter.

Das ist die Ist-Situation.

Jetzt benötige ich eure Hilfe: Kann ich die dahinterliegenden Geräte auch noch irgendwie erreichen? Ich möchte aber ungern die Konstellation mit den zwei Netzwerken aufgeben, da ich diese so schön von einander abgegrenzt habe. Fitz 6320 dient nur für die Bereitstellung des Internets und telefonieren und die 7270 für alles andere.
Prinzipiell würde diese Konstellation so wie hier beschrieben funktionieren. Die 7270 erhielte dann ein eigenes IPv6-Subnetz von der 6320 delegiert und könnte darin schalten und walten, wie Du willst.

Wie aber Egalus schon angedeutet hat, funktioniert das zumindest mit der 6360 nicht so wie gedacht: Das Prefix wird an sich fehlerfrei delegiert und kommt auch an der 7270 bzw. einem anderen nachgeschalteten Router an. Die dort angeschlossenen Geräte erhalten auch IPv6-Adressen aus diesem delegierten Subnetz und können darüber ausgehend kommunizieren (inkl. der Antworten). Eingehend jedoch geht es nicht, Zugriffe von außen werden von der delegierenden Fritz!Box nicht an den Router mit dem delegierten Subnet weitergereicht.

Es gibt nun drei Möglichkeiten:
1. Du gibst die Trennung der Netzwerke auf.
Das ist die sauberere, denn eben diese Trennung stört Dich ja eigentlich doch irgendwie. Wenn Du die 7270 als IP-Client, also als reinen Switch+WLAN Access Point, betreibst, dann erhalten die angeschlossenen Geräte wieder IPv6-Adressen aus dem Netz der 6320. Unter diesen können sie dann wie im Workshop beschrieben direkt über IPv6 erreichbar gemacht werden (Konfiguration der Freigaben in der 6320).

2. Du behältst die Trennung bei und greifst indirekt über die 7270 auf hinter ihr angeschlossene Geräte zu
In diesem Fall ist die 7270v2 das einzige Gerät "im" zweiten Netzwerk, das noch eine IPv6-Adresse erhält. Unter dieser ist die 7270 auch von außen erreichbar (Sie muß aber, genauso wie jedes andere Gerät auch, in der IPv6-Firewall der 6320 noch für jeden zu öffnenden Port freigegeben werden).
Wie schon von Egalus angedeutet kann man dann auf der 7270 selber mit diversen Tools sowas ähnliches wie Port-Weiterleitungen einrichten, indem man von Port x der IPv6-Adresse der 7270 auf Port y der lokalen IPv4-Adresse eines an ihr angeschlossenen Gerätes proxied (6tunnel, HAproxy, socat wären mögliche Tools für diesen Zweck). Dafür würdest Du aber vermutlich die 7270 mit Freetz bestücken müssen, um erstens die Tools zur Verfügung zu haben und um eine halbwegs manierliche Methode nutzen zu können, diese auch bei jedem (Neu-)Start der 7270 wieder zu laden.

3. Du behältst die Trennung bei, deaktivierst die Prefix Delegation auf der 6320 und verwendest auf der 7270 einen SixXS-ayiya-Tunnel
Nach meinem derzeitigen Kenntnisstand würde das gehen. D.h. die 7270 erhält IPv4-Konnektivität von der 6320, aber keine IPv6-Konnektivität. Über einen SixXS-ayiya-Tunnel (Und nur diesen, alle anderen Tunnel werden nicht funktionieren) beschafft sich die Fritz!Box 7270 dann eine eigene IPv6-Anbindung.
Mit dieser könntest Du ganz normal arbeiten, also genauso wie mit der nativen IPv6-Anbindung an der 6320/6360.
Der Nachteil wäre: Das wäre ein Tunnel im Tunnel. Die 6320 hat bei Dir eine native IPv6-Verbindung und baut auf dieser einen Tunnel für IPv4 auf (Das ist das "lite" in DS-lite). Die 7270 würde dann durch eben diesen Tunnel ihren IPv6-Tunnel aufbauen ...

Renover99
Kabelneuling
Beiträge: 4
Registriert: 20.02.2014, 09:23

Re: Fritzbox IPv6-Firewall?

Beitrag von Renover99 » 20.02.2014, 20:46

Hallo,
Erst einmal vielen Dank für die schnellen Antworten.
Eine Antwort hat mir zu Denken gegeben.

SpaceRat hat geschrieben:Es gibt nun drei Möglichkeiten:
1. Du gibst die Trennung der Netzwerke auf.
Das ist die sauberere, denn eben diese Trennung stört Dich ja eigentlich doch irgendwie. Wenn Du die 7270 als IP-Client, also als reinen Switch+WLAN Access Point, betreibst, dann erhalten die angeschlossenen Geräte wieder IPv6-Adressen aus dem Netz der 6320. Unter diesen können sie dann wie im Workshop beschrieben direkt über IPv6 erreichbar gemacht werden (Konfiguration der Freigaben in der 6320).
Ich habe das mit dem Access Point immer so verstanden, dass der Point immer sein eigenen Netzwerkbereich hat und nicht auf das "Hauptnetzwerk" zugreifen kann. Richtig? Das war immer der Grund warum ich alle Geräte in das Netzwerk der 7270er gepackt habe. Ich will im Wlan mit dem Tablet oder Handy auf das Nas etc. zugreifen.
Aber wenn es möglich ist mit dem Access Point trotzdem sich im Hauptnetzwerk zu bewegen, dann sind ja alle meine Probleme gelöst.

Oder bin ich auf dem Holzweg.

Von der 6320 bekommen dann alle eine Ipv6 Adresse und durch die myfritz Freigabe kann ich mit dem Tunnel auf alles zugreifen, richtig?

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 8 Gäste