IPv6-Nutzung geschützt durch privaten Router überhaupt machb

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
adn77
Kabelneuling
Beiträge: 10
Registriert: 15.05.2014, 19:17

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von adn77 » 19.07.2015, 14:04

Hallo Zusammen,

bisher benutze ich OpenWRT als Firewalled Bridge für IPv6 ( http://www.unitymediakabelbwforum.de/vi ... hp?t=29597 ) aber da ich dort lokale DNS Anfragen via IPv6 nicht vernünftig abgefangen bekomme, wollte ich die Lösung von SpaceRat und ulimit ausprobobieren.

Ich habe das aktuelle Chaos Calmer rc3 installiert und die Einstellungen wie oben geschrieben eingetragen.
(Da mein DK7200 irgendwann keine IPv4 Verbindungen von Hosts übersetzt, die ihre Adresse nicht per DHCP bekommen haben, habe ich an Stelle der statischen IPv4 Konfiguration für's WAN Interface dort auch dhcp stehen.)

Leider funktionieren die Einstellungen so nicht - ich komme nicht per IPv6 nach draußen.
Wenn ich mir den Neighbor Cache und die Routen anschaue, so ist das auch nicht weiter verwunderlich:

Code: Alles auswählen

ip -6 neigh

fe80::290:a9ff:xxxx:xxxx dev br-lan lladdr 00:90:a9:xx:xx:xx STALE				# Debian Box
fe80::20e:a6ff:yyyy:yyyy dev eth0.2 lladdr 00:0e:a6:yy:yy:yy STALE				# OpenWRT Router
fe80::5a23:8cff:zzzz:zzzz dev eth0.2 lladdr 58:23:8c:zz:zz:zz router REACHABLE	# DK7200
2a02:8070:e1b5:8400:290:a9ff:xxxx:xxxx dev eth0.2  FAILED						# Debian Box public IPv6

Code: Alles auswählen

ip -6 route

default from 2a02:8070:e1b5:8400::/64 via fe80::5a23:8cff:zzzz:zzzz dev eth0.2  proto static  metric 512
2a02:8070:e1b5:8400::/56 from 2a02:8070:e1b5:8400::/64 via fe80::5a23:8cff:zzzz:zzzz dev eth0.2  proto static  metric 512
2a02:8070:e1b5:8400::/64 from 2a02:8070:e1b5:8400::/64 dev eth0.2  proto static  metric 256
2a02:8070:e1b5:8400::/64 dev eth0.2  proto static  metric 256
2a02:8070:e1b5:8400:20e:a6ff:yyyy:yyyy dev br-lan  proto static  metric 1024
fe80::/64 dev eth0  proto kernel  metric 256
fe80::/64 dev br-lan  proto kernel  metric 256
fe80::/64 dev eth0.2  proto kernel  metric 256
fe80::/64 dev wlan0  proto kernel  metric 256
Könntet ihr mal bitte euren Neighbor Cache bzw. die Routen posten!

Wie verhält sich in eurem Setup die DNS-Auflösung für lokale Geräte (z.B. SAT-Box). Mein Nexus7 scheint immer erstmal ein DNSv6 Lookup zu versuchen...

Fruchtzwerg
Kabelexperte
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Fruchtzwerg » 22.07.2015, 12:09

Fruchtzwerg hat geschrieben:Jetzt ist der Widerruf raus und ich sage "tschüss, UM!"
Tja, so kann's gehen: Widerruf zwecklos, weil der Vertrag im Ladengeschäft abgeschlossen wurde. :(

Also heißt es jetzt "Augen zu und durch!". Naja, 24 Monat sind auch schneller um, als man denkt. Bis dahin habe ich hoffentlich eine Sat-Antenne.

Fruchtzwerg
Kabelexperte
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Fruchtzwerg » 24.07.2015, 14:42

Ich versuche jetzt auch, die Konfiguration von Ulimit auf der zweiten Seite dieses Themas zu realisieren, aber bei mir klappt's noch nicht so ganz. Ich würde mich wirklich über Hilfe freuen, denn leider ist IPv6 noch Neuland für mich. :smt009 (Nein, mein Nachname beginnt nicht mit "M"! ;) )

Ich habe einen Router, auf dem OpenWRT 15.05 rc3 läuft, also die letzte verfügbare Version. Die Zusätzlichen Pakte, die sich im Zuge der Anleitung ergeben, sind installiert. Auf dem Router sind zunächst zwei VLAN errichtet, für LAN und DMZ, später sollen es evtl noch mehr werden. Die beiden Zonen sollen während der Experimentierphase noch beide von außen erreichbar sein, später soll es natürlich nur noch die DMZ sein.

Der Router ist per WiFi im Client-Modus mit der FritzBox verbunden. (Schnittstelle wwan.) Anders geht es auch nicht, sonst müsste ich Kabel durch's Wohnzimmer legen. Das ist keine gute Idee...

Meine /etc/config/network:

Code: Alles auswählen


config globals 'globals'
        option ula_prefix 'fd3b:25c9:2d1c::/48'

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config interface 'wan'
        option proto 'static'
        option netmask '255.255.255.0'
        option ipaddr '10.10.10.10'
        option metric '1'
        option gateway '10.10.10.1'
        option dns '10.10.10.1'
        option ifname 'eth0'
        option type 'bridge'
        option ip6assign '64'

config interface 'wan6'
        option ifname 'eth0'
        option _orig_ifname 'eth0'
        option _orig_bridge 'false'
        option proto 'dhcpv6'
        option peerdns '0'
        option reqprefix 'no'
        option reqaddress 'none'

config interface 'lan'
        option proto 'static'
        option ifname 'eth1.1'
        option ipaddr '10.10.1.1'
        option netmask '255.255.255.0'
        option ip6assign '64'
        option delegate '0'
        option force_link '1'

config interface 'dmz'
        option ifname 'eth1.3'
        option proto 'static'
        option ipaddr '10.10.3.1'
        option netmask '255.255.255.0'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan 'eth1_1'
        option device 'switch0'
        option vlan '1'
        option ports '0t 1'

config switch_vlan 'eth1_3'
        option device 'switch0'
        option vlan '3'
        option ports '0t 3'


config interface 'wwan'
        option _orig_ifname 'wlan0'
        option _orig_bridge 'false'
        option proto 'static'
        option ipaddr '10.10.10.11'
        option netmask '255.255.255.0'
        option gateway '10.10.10.1'
        option ip6assign '64'
Daraus ergibt sich:

Code: Alles auswählen

root@netgear:/etc/config# ifconfig 
br-wan    Link encap:Ethernet  HWaddr 08:BD:43:B0:1C:49  
          inet addr:10.10.10.10  Bcast:10.10.10.255  Mask:255.255.255.0
          inet6 addr: fd3b:25c9:2d1c:1::1/64 Scope:Global
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

eth0      Link encap:Ethernet  HWaddr 08:BD:43:B0:1C:49  
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          Interrupt:4 


eth1      Link encap:Ethernet  HWaddr 08:BD:43:B0:1C:48  
          inet6 addr: fe80::abd:43ff:feb0:1c48/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:62087 errors:0 dropped:0 overruns:0 frame:0
          TX packets:64424 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:6896974 (6.5 MiB)  TX bytes:37442070 (35.7 MiB)
          Interrupt:5 

eth1.1    Link encap:Ethernet  HWaddr 08:BD:43:B0:1C:48  
          inet addr:10.10.1.1  Bcast:10.10.1.255  Mask:255.255.255.0
          inet6 addr: fd3b:25c9:2d1c::1/64 Scope:Global
          inet6 addr: fe80::abd:43ff:feb0:1c48/64 Scope:Link
          inet6 addr: fd3b:25c9:2d1c:1::1/64 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3580 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3510 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:342050 (334.0 KiB)  TX bytes:1114655 (1.0 MiB)

eth1.3    Link encap:Ethernet  HWaddr 08:BD:43:B0:1C:48  
          inet addr:10.10.3.1  Bcast:10.10.3.255  Mask:255.255.255.0
          inet6 addr: fe80::abd:43ff:feb0:1c48/64 Scope:Link
          inet6 addr: fd3b:25c9:2d1c:1::1/64 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:976 (976.0 B)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:795 errors:0 dropped:0 overruns:0 frame:0
          TX packets:795 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:57288 (55.9 KiB)  TX bytes:57288 (55.9 KiB)

wlan0     Link encap:Ethernet  HWaddr DE:10:C0:CE:9D:A4  
          inet addr:10.10.10.11  Bcast:10.10.10.255  Mask:255.255.255.0
          inet6 addr: fe80::dc10:c0ff:fece:9da4/64 Scope:Link
          inet6 addr: fd3b:25c9:2d1c:2::1/64 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:967 errors:0 dropped:0 overruns:0 frame:0
          TX packets:832 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:396264 (386.9 KiB)  TX bytes:132241 (129.1 KiB)
Angeblich bekommt mein PC auch eine IP6:

Code: Alles auswählen

ifconfig 
eth0      Link encap:Ethernet  Hardware Adresse 00:19:66:99:08:cf  
          inet Adresse:10.10.1.77  Bcast:10.10.1.255  Maske:255.255.255.0
          inet6-Adresse: fd3b:25c9:2d1c:1:219:66ff:fe99:8cf/64 Gültigkeitsbereich:Global
          inet6-Adresse: fd3b:25c9:2d1c:0:219:66ff:fe99:8cf/64 Gültigkeitsbereich:Global
          inet6-Adresse: fd00::219:66ff:fe99:8cf/64 Gültigkeitsbereich:Global
          inet6-Adresse: fe80::219:66ff:fe99:8cf/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX-Pakete:99276 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
          TX-Pakete:89725 Fehler:0 Verloren:0 Überläufe:0 Träger:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX-Bytes:78817223 (78.8 MB)  TX-Bytes:8840261 (8.8 MB)
Ich komme mit meinem PC nach draußen, allerdings nur über IP4:

Code: Alles auswählen

ping6 six.heise.de
connect: Network is unreachable
Ich komme leider alleine nicht weiter.

Die erste Frage, die ich habe: Ulimit, woher hast Du den ULA-Präfix, den Du verwendet hast? Ist das der Präfix, den die FritzBox angibt? Der lautet bei mir fd00::xxx:xxxx:xxxx:xxxx/64 (natürlich nicht mit "xxxx"...) Aber wenn ich den benutze in /etc/config/network, werden keine IP6 mehr verteilt.

Was muss/kann ich tun, damit es weitergeht?

Fruchtzwerg
Kabelexperte
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Fruchtzwerg » 24.07.2015, 21:27

So, ich hatte gerade einen Anfall von Masochismus und habe noch mal 2 Stunden drangehangen, leider auch erfolglos. Laut http://www.wieistmeineip.de/ipv6/ habe ich keine IPv6, es wird nur die IP4 von UM angezeigt (37.201.215.119).

Das kann ich nicht wirklich verstehen, weil ich doch dieselbe Konfiguration wie die von Ulimit benutze, die er am 02.06.2015 22:48 beschrieben hat. :kratz:


Nachtrag:

es würde mich sehr interessiert, wer von den hier Mitlesenden einen zweiten Router mit OpenWRT hinter der FritzBox von UM betreibt, und wer es geschafft hat, diesen Router so zu konfigurieren, daß die daran angeschlossenen Geräte von der FB eine IPv6 weitergeleitet bekommen, die auch ins Netz geroutet wird.

ollivong01
Kabelneuling
Beiträge: 10
Registriert: 12.07.2015, 22:28

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von ollivong01 » 24.07.2015, 22:17

Ich bin ja kein Fachmann aber wenn ich auf wieistmeineip einen speedtest mache dann sehe ich die ipv6 und manchmal nicht. Wenn ich die ipv6 nicht sehe und dann im tc7200 nachschaue im lokallog sehe ich was von IP provisoring und habe nur eine v4. Das liegt wohl so denke im am diesem dslite

Fruchtzwerg
Kabelexperte
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Fruchtzwerg » 25.07.2015, 12:30

Ulimit hat geschrieben: Angelehnt an Deine Konfigs, SpaceRat, habe ich mich jetzt durchgewurschtelt und nun ebenfalls ein funktionierendes Setup!
Hinter dem TC7200 habe ich nun einen WR1043NDv1 mit OpenWrt Chaos Calmer 15.05-rc1 (r45695) und dnsmasq-full. IPv4 und IPv6 "Schutz" auf dem TC7200 ist deaktiviert.

Da ich leichte Abwandlungen habe, hier meine essentiellen Konfigs:
...

Das Endergebnis von dem ganzen Aufriss sieht nun so aus, daß ich jetzt WAN- und LAN-seitig den gleichen globalen /64 Prefix auf dem OpenWrt-Router und auf dem dahinter angeschlossenen Test-PC habe.
Auch, wenn ich Deine Konfiguration 1:1 übernehme, kriege ich auf meinem an "lan" angeschlossenen PC keine IPv6 zugewiesen, mit der der Rechner etwas anfangen könnte:

Code: Alles auswählen

ping6 ipv6.google.com
connect: Network is unreachable
Auf dem Router selber passiert dagegen das hier:

Code: Alles auswählen

ping6 ipv6.google.com
PING ipv6.google.com (2a00:1450:4001:806::1001): 56 data bytes
ping6: sendto: Permission denied
Zumindest scheint schon mal die Namensauflösung für IPv6 zu funktionieren, aber etwas im Routing oder der Firewall verhindert den Ping.

Der einzige Unterschied zwischen Deiner und meiner Konfiguration ist die verwendete OpenWRT-Version: ich habe 15.05 RC3 drauf. Dabei fallen mir zwei Dinge auf:

1. Laut /etc/opkg.conf lädt opkg seine Pakete von http://downloads.openwrt.org/chaos_calmer/15.05-rc2/..., obwohl dort auch ein Verzeichnis für rc3 existiert. Könnte ein Bug sein.

2. Das Paket radvd fehlt:

Code: Alles auswählen

opkg install radvd
Unknown package 'radvd'.
Collected errors:
 * opkg_install_cmd: Cannot install package radvd.
Das ändert sich auch nicht, wenn ich in /etc/opkg.conf das Paketverzeichnis auf http://downloads.openwrt.org/chaos_calmer/15.05-rc3/... ändere. Der Befehl "opkg list | grep radvd" liefert zwar in beiden Fällen viele Sprachpakete für luci, die zu radvd gehören, aber nicht das Paket selber. Gibt es in Deiner Version das Paket radvd? Wird das überhaupt benötigt?

Ich werde in den nächsten Tagen noch mal einen Downgrade auf OpenWRT 14.07 machen, mal sehen, ob es damit funktioniert. Falls noch jemand eine bessere Idee oder hilfreichen Tip hat: bitte her damit! :)

Ulimit
Kabelneuling
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Ulimit » 26.07.2015, 10:09

Hallo Fruchtzwerg,

woher nimmst Du die Gewissheit, daß es hinter einer Fritzbox überhaupt funktionieren sollte? Mein Beispiel-Setup bezog sich einzig auf den TC7200. Wer weiß, wie die Fritzbox wieder eingestellt ist.
Fruchtzwerg hat geschrieben: Ich habe einen Router, auf dem OpenWRT 15.05 rc3 läuft, also die letzte verfügbare Version.
Sehr gut. Was für ein Modell genau?
Fruchtzwerg hat geschrieben: Angeblich bekommt mein PC auch eine IP6.
Ja, aber die IPv6-Adressen beginnend mit fd oder fe sind alles keine öffenlichen IPs, sondern spezielle lokale Bereiche (Details https://de.wikipedia.org/wiki/IPv6#Adressbereiche).
Fruchtzwerg hat geschrieben: Die erste Frage, die ich habe: Ulimit, woher hast Du den ULA-Präfix, den Du verwendet hast?
... den habe ich nicht selbst eingetragen, den hat der OpenWrt-Router selbständig gewählt. Hat auch nur was mit lokal generierten IPv6-Adressen zu tun, spielt hier keine Rolle. Für eine Erreichbarkeit von extern interessieren uns nur öffentliche Adressbereiche.
Fruchtzwerg hat geschrieben: Das kann ich nicht wirklich verstehen, weil ich doch dieselbe Konfiguration wie die von Ulimit benutze, die er am 02.06.2015 22:48 beschrieben hat.
Wie bitte? "dieselbe Konfiguration"? Deine /etc/config/network hat mit meiner so gut, wie nichts, gemeinsam. Und Deine /etc/config/dhcp hast Du nichtmal gepostet. So wird das nichts.
Fruchtzwerg hat geschrieben: Gibt es in Deiner Version das Paket radvd? Wird das überhaupt benötigt?
Das Paket radvd wird überhaupt nicht benötigt. Im Gegenteil.
Fruchtzwerg hat geschrieben: Ich werde in den nächsten Tagen noch mal einen Downgrade auf OpenWRT 14.07 machen, mal sehen, ob es damit funktioniert. Falls noch jemand eine bessere Idee oder hilfreichen Tip hat: bitte her damit!
Keine gute Idee, Chaos Calmer 15.x ist bei IPv6 bereits viel weiter.
Mein Tip wäre, vom Kleinen ins Große zu gehen. Also nicht gleich mit Wireless-LAN und DMZs herumzumachen, noch bevor ein Minimal-Setup hinter einer Fritzbox bei Dir funktioniert. Ob es hinter einer Fritzbox (anstelle TC7200) überhaupt möglich ist, habe ich bisher noch nicht gelesen, vielleicht wirst Du der Erste sein, der die Machbarkeit zeigt. Das ist der Titel dieses Threads.

Viel Erfolg!

Fruchtzwerg
Kabelexperte
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Fruchtzwerg » 27.07.2015, 15:37

So, habe den stürmischen Samstag für weitere Versuche genutzt. Ich bin von vorne angefangen, und wie ich glaube, recht weit gekommen: die IP6 werden verteilt, inkl. richtigem Präfix. Sowohl auf dem OpenWRT als auch auf dem Arbeitsrechner im LAN kann ich "ping6" benutzen und erhalte entsprechende Echos. Die Seite "test-ipv6.com" sagt:
Ihre IPv6 Internet-Adresse ist höchstwahrscheinlich 2a02:...:8cf


So weit, so gut. :)

Was aber partout nicht klappen will, ist der Zugriff von außen. Ich habe aber schon herausgefunden, dass es wohl am OpenWRT liegen muss: klemme ich meinen Arbeitsrechner direkt an die FB, kann ich mit einem entsprechenden Portmapper bei "feste-ip.de" auf Port 22 meines Rechners zugreifen, auch aus reinem IP4-Netz.

Kommt aber der OpenWRT dazwischen, sagt "feste-ip.de" beim Klick auf "Erreichbarkeit prüfen": Firewall-Sperre! Das finde ich in sofern sehr merkwürdig, als das auch passiert, wenn ich die Firewall auf dem OpenWRT austelle und jeden Verkehr von überall nach überall komplett freigebe.

Ulimit: ich hätte da ein paar Fragen an Dich...

Ulimit hat geschrieben:

Code: Alles auswählen

config interface 'lan'
        option ifname 'eth0.1'
        option force_link '1'
        option type 'bridge'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
        option ip6assign '64'
        option delegate '0'

[/quote]

Warum hast Du dieses Schnittstelle als Brücke eingerichtet, und "wan" dagegen nicht? Welchen Vorteil bringt das jeweils, wozu ist die Brücke an dieser Stelle wichtig?

[quote]

Das Endergebnis von dem ganzen Aufriss sieht nun so aus, daß ich jetzt WAN- und LAN-seitig den gleichen globalen /64 Prefix auf dem OpenWrt-Router und auf dem dahinter angeschlossenen Test-PC habe. Will ich per IPv6 aus dem Internet auf den PC zugreifen, muß ich auf dem OpenWrt eine zusätzliche Firewall-Regel anlegen, die das zulässt. Ich habe das exemplarisch für SSH einmal gemacht und das hat funktioniert.
[/quote]

Diese FW-Regel interessiert mich: kannst Du mir die bitte nennen? Ich spüre, dass ich ganz dicht am Ziel bin, aber irgend wo liegt da noch ein Stolperstein in Form der FW herum. Das wird auch sicher der Grund dafür sein, dass MyFritz den Router, wenn ich ihn damit freigebe, mit keiner IP ausweist, weder IP4 noch IP6. Diesen letzten Stein muss ich noch wegbekommen.  :kratz:

Ulimit
Kabelneuling
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Ulimit » 27.07.2015, 18:38

Fruchtzwerg hat geschrieben:Ihre IPv6 Internet-Adresse ist höchstwahrscheinlich 2a02:...:8cf


Gut.
Fruchtzwerg hat geschrieben: Was aber partout nicht klappen will, ist der Zugriff von außen. Ich habe aber schon herausgefunden, dass es wohl am OpenWRT liegen muss: klemme ich meinen Arbeitsrechner direkt an die FB, kann ich mit einem entsprechenden Portmapper bei "feste-ip.de" auf Port 22 meines Rechners zugreifen, auch aus reinem IP4-Netz.
OpenWrt ist nach der Erstinstallation so voreingestellt, daß alle Zugriffe von der WAN-Seite aus geblockt werden
(siehe Menue Firewall--> Zone wan-->reject). Demzufolge dürftest Du gar nicht in Dein LAN kommen. Und per IPv4 doch eigentlich auch nicht, da Unitymedia im LAN doch nur "unroutbare" IPv4-Adressen verteilt. Allerdings kenne ich "feste-ip.de" auch nicht und in meinem Browser erscheint die Seite auch nicht.
Fruchtzwerg hat geschrieben: Kommt aber der OpenWRT dazwischen, sagt "feste-ip.de" beim Klick auf "Erreichbarkeit prüfen": Firewall-Sperre! Das finde ich in sofern sehr merkwürdig, als das auch passiert, wenn ich die Firewall auf dem OpenWRT austelle und jeden Verkehr von überall nach überall komplett freigebe.
Eine Firewall auf Durchzug zu stellen ist speziell bei IPv6 recht fatal, da dann jedes IPv6- Gerät mit öffentlicher IPv6-Adresse sofort blank im Internet steht, aber weißt Du wohl selbst und war ja auch nur Diagnose. Lass das Ding besser an, Du musst sowieso eine Lösung mit ordentlicher Firewall suchen - das ist ja gerade das, woran es dem TC7200 mangelt.
fruchtzwerg hat geschrieben: Ulimit: ich hätte da ein paar Fragen an Dich...
Warum hast Du dieses Schnittstelle als Brücke eingerichtet, und "wan" dagegen nicht? Welchen Vorteil bringt das jeweils, wozu ist die Brücke an dieser Stelle wichtig?
Die Bridge benötige ich, um verschiedene Interfaces gemeinsam auf der geschützten LAN-Seite benutzen zu können. Sprich die vier Kupferports und das Wireless-Interface. So habe ich die Möglichkeit vier Endgeräte und ein eigenes WLAN direkt im Heimbereich nutzen zu können. Diese bridge ist bei OpenWrt (und auch vielen anderen Routern) der default.

Auf der WAN-Seite brauche ich keine bridge, da habe ich nur das einzelne WAN-Interface des OpenWrt, welches direkt mit dem TC7200 als Uplink verbunden ist.
Fruchtzwerg hat geschrieben: Diese FW-Regel interessiert mich: kannst Du mir die bitte nennen? Ich spüre, dass ich ganz dicht am Ziel bin, aber irgend wo liegt da noch ein Stolperstein in Form der FW herum. Das wird auch sicher der Grund dafür sein, dass MyFritz den Router, wenn ich ihn damit freigebe, mit keiner IP ausweist, weder IP4 noch IP6. Diesen letzten Stein muss ich noch wegbekommen. :kratz:
Ich habe für den Test seinerzeit eine Traffic Rule in OpenWrt angelegt, die Port 22 vom WAN aus zunächst auf jeden host im LAN durchlässt, und das aber auch nur für IPv6-TCP. Alle anderen Traffic Rules hatte ich auf default belassen.

"MyFritz" und sowas sagt mir leider nichts, sorry.
Zuletzt geändert von Ulimit am 27.07.2015, 19:08, insgesamt 4-mal geändert.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von SpaceRat » 27.07.2015, 18:55

Der Stolperstein ist die Fritz!Box ...

Also:
Eigentlich kannst Du mit der Fritz!Box auch sauber ein Präfix delegieren, so daß der OpenWrt-Router mit seinen ganz normalen Standardeinstellungen ein eigenes Präfix von der Fritz!Box bekäme.
Dann hast Du aber den Effekt, daß es gar nicht möglich ist, dafür Freigaben zu definieren (Die Fritz!Box-Firewall gibt die delegierten Präfixe nicht richtig frei) ...

Alternativ kannst Du den OpenWrt-Router auch so betreiben, wie es hier im Thread beschrieben ist, dann "teilt" sich der OpenWrt-Router das Präfix mit der Fritz!Box.
Das bedeutet dann allerdings auch daß Du alle Freigaben doppelt anlegen mußt, einmal in der Fritz!Box und einmal im OpenWrt-Router ...


Normalerweise würde ich grundsätzlich zwar die Fritz!Box empfehlen, dann aber eben auch, sie wirklich als Router zu benutzen, denn IPv6 kann sie alleine sehr gut ...
Wenn Du hingegen unbedingt den OpenWrt-Router als Router betreiben willst, kriegst Du Probleme mit der für delegierte Präfixe geschlossenen Firewall oder bei einem "geteilten" (relayed) Präfix mit der nur einzeln zu öffnenden Firewall der Fritz!Box.
Außerdem mußt Du Freigaben dann immer auch im OpenWrt-Router machen und der kommt nicht wirklich gut mit den wechselnden Präfixes klar (Was die Fritz!Box aus dem eff-eff kann).
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Fruchtzwerg
Kabelexperte
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Fruchtzwerg » 27.07.2015, 20:43

Ulimit hat geschrieben: OpenWrt ist nach der Erstinstallation so voreingestellt, daß alle Zugriffe von der WAN-Seite aus geblockt werden
(siehe Menue Firewall--> Zone wan-->reject). Demzufolge dürftest Du gar nicht in Dein LAN kommen. Und per IPv4 doch eigentlich auch nicht, da Unitymedia im LAN doch nur "unroutbare" IPv4-Adressen verteilt. Allerdings kenne ich "feste-ip.de" auch nicht und in meinem Browser erscheint die Seite auch nicht.
Vertippt: ich meinte "feste-ip.net". Die bieten Portmapper an, mit denen man aus einem reinen IP4-Netz auf ein IP6-Netz zugreifen kann.

Eine Firewall auf Durchzug zu stellen ist speziell bei IPv6 recht fatal, da dann jedes IPv6- Gerät mit öffentlicher IPv6-Adresse sofort blank im Internet steht, aber weißt Du wohl selbst und war ja auch nur Diagnose. Lass das Ding besser an, Du musst sowieso eine Lösung mit ordentlicher Firewall suchen - das ist ja gerade das, woran es dem TC7200 mangelt.
Klar. Das war auch nur ein Versuch, nichts dauerhaftes. :)
Die Bridge benötige ich, um verschiedene Interfaces gemeinsam auf der geschützten LAN-Seite benutzen zu können. Sprich die vier Kupferports und das Wireless-Interface. So habe ich die Möglichkeit vier Endgeräte und ein eigenes WLAN direkt im Heimbereich nutzen zu können. Diese bridge ist bei OpenWrt (und auch vielen anderen Routern) der default.
Ah, verstehe. Ich habe dagegen jeden der 4 Ports in ein eigenes VLAN verwandelt, weil ich später, wenn alles läuft, 4 verschiedene Netze betreiben will.
Ich habe für den Test seinerzeit eine Traffic Rule in OpenWrt angelegt, die Port 22 vom WAN aus zunächst auf jeden host im LAN durchlässt, und das aber auch nur für IPv6-TCP. Alle anderen Traffic Rules hatte ich auf default belassen.

Code: Alles auswählen

IPv6-TCP
Von beliebiger Rechner in wan
Zu beliebiger Rechner, port 22 in lan           Accept forward

Die habe ich jetzt auch, aber die alleine bringt es noch nicht. :(
"MyFritz" und sowas sagt mir leider nichts, sorry.
Das ist ein Dienst von AVM, der sowohl DynDNS als auch Portöffnung beinhaltet. Funktioniert, wie der Name schon vermuten lässt, nur mit einer FritzBox.

Fruchtzwerg
Kabelexperte
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Fruchtzwerg » 27.07.2015, 21:24

SpaceRat hat geschrieben:Der Stolperstein ist die Fritz!Box ...

Also:
Eigentlich kannst Du mit der Fritz!Box auch sauber ein Präfix delegieren, so daß der OpenWrt-Router mit seinen ganz normalen Standardeinstellungen ein eigenes Präfix von der Fritz!Box bekäme.
Hm, ich dachte, das hätte ich jetzt erreicht, aber je länger ich darüber nachdenke und mir die Nummern angucke, desto weniger verstehe ich den Zusammenhang zwischen dem Präfix, den meine FB meldet, und der IP meines PC am anderen Ende. Und ich dachte, ich hätte es verstanden.

Wie muss ich das mit dem "sauberen Deligieren" denn machen?
Alternativ kannst Du den OpenWrt-Router auch so betreiben, wie es hier im Thread beschrieben ist, dann "teilt" sich der OpenWrt-Router das Präfix mit der Fritz!Box.
In Ordnung, dann werde ich jetzt mal die von Dir bzw Ulimit beschriebene Konfiguration eins zu eins übernehmen, mal sehen, was dann passiert.
Das bedeutet dann allerdings auch daß Du alle Freigaben doppelt anlegen mußt, einmal in der Fritz!Box und einmal im OpenWrt-Router ...
Also damit kann ich leben. Hauptsache, es funktioniert. :)
Wenn Du hingegen unbedingt den OpenWrt-Router als Router betreiben willst, kriegst Du Probleme mit der für delegierte Präfixe geschlossenen Firewall oder bei einem "geteilten" (relayed) Präfix mit der nur einzeln zu öffnenden Firewall der Fritz!Box.
Ich will den zweiten Router aus zwei Gründen: erstens kann ich nicht sicher sein, ob die FritzBox noch zum Netz von UM oder schon zu meinem Netz gehört, wer die wirkliche Herrschaft darüber hat. Zweitens will ich meinen Heimserver in eine DMZ stecken, um das Risiko zu minimieren.
Außerdem mußt Du Freigaben dann immer auch im OpenWrt-Router machen und der kommt nicht wirklich gut mit den wechselnden Präfixes klar (Was die Fritz!Box aus dem eff-eff kann).
Dazu habe ich schon ein Skript gefunden, das den aktuellen Präfix des in Frage kommenden Interface ausließt, in diesem Fall wäre das jetzt eth1.1, und ihn an den DynDNS-Dienst von feste-ip.net übermittelt. Das funktioniert sogar, nur dieser Stolperstein mit dem richtigen Präfix liegt mir noch im Wege.


Nachtrag:

Also das mit dem Delegieren des Präfix scheint zu klappen, denn ich finde auf meinen PC in der IP den Präfix wieder, den mir die FritzBox angibt, bis auf eine Kleinigkeit: die FB sagt, sie habe z.B. Präfix 2a02:9:22:33e0::/59, dann beginnt die IP meines Rechners mit 2a02:9:22:33f8: gefolgt vom privaten Teil.

Ist diese Veränderung Schuld daran, daß die FB keine Freigaben für den PC erstellen kann?

Fruchtzwerg
Kabelexperte
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Fruchtzwerg » 28.07.2015, 08:18

Ich habe jetzt die von Euch empfohlenen Optionen umgesetzt:

/etc/config/network:

Code: Alles auswählen

config interface 'lan'
       option ip6assign '64'
        option delegate '0'
      ...

config interface 'wan'
   option reqprefix 'no'
   option reqaddress 'none'
   ...
/etc/config/dhcp:

Code: Alles auswählen

config dhcp 'lan'
        option ra 'relay'
        option dhcpv6 'relay'
        option ndp 'relay'
       ...

config dhcp 'wan'
        option interface 'wan'
        option ignore '1'

config dhcp 'wan6'
        option dhcpv6 'relay'
        option ra 'relay'
        option ndp 'relay'
        option interface 'wan'
        option ignore '1'
        option ra_management '1'
Der Rest ist bis auf verwendete IP und Netzwerknamen gleich.

Ergebnis: nach dem Neustart des Netzwerks bekommt die Schnittstelle LAN keine IP6 mehr, und auch mein PC guckt in die Röhre. (Bzw ins Netzwerkkabel...) Beide haben dann nur noch die lokal erzeugte IP, die mit "fd" beginnt. Damit LAN und mein PC wieder IP6 bekommen, muss ich diese Optionen wieder rausnehmen und, wie auch Ulimit schon sagte, die Optionen "relay" gegen "server" tauschen.

Da scheint also wirklich etwas absolut nicht in Ordnung zu sein. Wenn bei einer von Euch wirklich ein funktionierendes Setup hat, bei dem der OpenWRT von der FritzBox erkannt wird und "Freigaben" darauf erstellt werden können, würde ich mich wirklich freuen, wenn Ihr noch einmal überprüft, ob Ihr in den auf den ersten beiden Seiten wiedergegeben Settings alles drin ist, was drin sein muss, und keine Fehler enthalten sind. Fipptehler machen wir schließlich alle mal. :zwinker:

SpaceRat: hast Du vielleicht noch zusätzlich Pakete auf Deinem OpenWRT installiert, die bei mir noch fehlen? Oder hast Du noch weitere Optionen benutzt, die Du hier nicht hingeschrieben hast?

Was mich wirklich wundert: aus Sicht der FritzBox ist das WAN-Interface des Routers eigentlich nichts anderes wie ein angeschlossener Rechner. Warum behandelt sie ihn dann nicht auch so, sprich: erkennt ihn und erstellt Freigaben dafür? Irgendwie drängt sich mir der Verdacht auf, dass dies der eigentliche Kern des Problems ist, den es zu knacken gilt. Kann man dagegen nichts per telnet auf der FritzBox machen?

Ulimit
Kabelneuling
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Ulimit » 28.07.2015, 08:21

Fruchtzwerg hat geschrieben: Also das mit dem Delegieren des Präfix scheint zu klappen, denn ich finde auf meinen PC in der IP den Präfix wieder, den mir die FritzBox angibt, bis auf eine Kleinigkeit: die FB sagt, sie habe z.B. Präfix 2a02:9:22:33e0::/59, dann beginnt die IP meines Rechners mit 2a02:9:22:33f8: gefolgt vom privaten Teil.

Ist diese Veränderung Schuld daran, daß die FB keine Freigaben für den PC erstellen kann?
Ich vermute mal. Ich hatte seinerzeit ein ähnliches Problem. daß zwar anscheinend ein /62 vom TC7200 delegiert wurde, dieser Prefix dann aber vom TC7200 nicht "weitergeroutet" wurde. Vielleicht ist die Fritzbox in dieser Hinsicht ja zu beeinflussen. - Welche Netzmaske gehört denn eigentlich zu Deiner zweitgenannten IP?

PS: Ups, hatte Deinen Beitrag von gerade noch nicht gesehen, schaue heute abend mal drüber.
Zuletzt geändert von Ulimit am 28.07.2015, 09:19, insgesamt 1-mal geändert.

Fruchtzwerg
Kabelexperte
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Fruchtzwerg » 28.07.2015, 08:46

Ulimit hat geschrieben:Welche Netzmaske gehört denn eigentlich zu Deiner zweitgenannten IP?
Welche IP meinst Du jetzt? Die von meinem PC? Die endet mit /64.

Ulimit
Kabelneuling
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Ulimit » 28.07.2015, 09:47

Fruchtzwerg hat geschrieben:Welche IP meinst Du jetzt? Die von meinem PC? Die endet mit /64.
Dann liegt die 2a02:9:22:33f8:x/64 immerhin schonmal innerhalb von 2a02:9:22:33e0::/59, also
2a02:0009:0022:33e0:0000:0000:0000:0000-
2a02:0009:0022:33ff:ffff:ffff:ffff:ffff

FWIW

Fruchtzwerg
Kabelexperte
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Fruchtzwerg » 28.07.2015, 10:38

Ulimit hat geschrieben: Dann liegt die 2a02:9:22:33f8:x/64 immerhin schonmal innerhalb von 2a02:9:22:33e0::/59, also
2a02:0009:0022:33e0:0000:0000:0000:0000-
2a02:0009:0022:33ff:ffff:ffff:ffff:ffff
Ist das jetzt gut oder schlecht? ;)

SpaceRat: als Du sagtest, ich könne mit der FB einen Präfix sauber delegieren, meintest Du damit durch Einstellungen an der FB oder durch Parameter beim OpenWRT?

Nachtrag:

Nach der 3 Tasse Kaffee sehe ich, dass mit Euren Einstellungen jetzt tatsächlich der von FB genannte Präfix an der Schnittstelle WAN6 ankommt: FB sagt "IPv6-Präfix: 2a02:9:22:3e0::/59", OpenWRT sagt "2A02:9:22:3E0:..." an WAN. Juhu! :)

Nur LAN und damit mein PC bekommen noch keine IPv6.

Ulimit
Kabelneuling
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Ulimit » 28.07.2015, 21:56

Fruchtzwerg hat geschrieben: Der Rest ist bis auf verwendete IP und Netzwerknamen gleich.
Deine gekürzten Konfigs tragen eher zur Verwirrung bei, da ein Mischmasch aus Abweichungen und Übereinstimmungen vorliegt.
Fruchtzwerg hat geschrieben: Ist das jetzt gut oder schlecht? ;)
Ist bei mir jedenfalls genauso. Vielleicht ist es für Dich nützlich zu wissen, daß in meinem Setup auf allen Interfaces globale IPv6-Adressen aus demselben /64 liegen. Also auf dem LAN-IF des TC7200, auf dem WAN- und LAN-IF des OpenWrt und auf dem LAN-IF des angeschlossenen Linux DHCP-Client-PC.

Fruchtzwerg
Kabelexperte
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Fruchtzwerg » 29.07.2015, 11:53

Ich bin jetzt so weit, dass der Präfix der FB im Heimnetz richtig verteilt wird, inklusive der einzelnen VLAN-Zonen des OpenWRT. Einer der Stolpersteine war, dass bei Benutzung der GUI von OpenWRT manchmal bestimmte Argumente aus der Konfiguration gelöscht werden. Ich kann da aber leider kein Muster erkennen.

Was mir jetzt noch fehlt, ist die richtige Einrichtung der Firewall. In der FritzBox habe ich den internen Teil der ipv6 meines PC (fd00::a:b:c:d) als Freigabe mit Port 22 definiert. In OpenWRT gibt es diese Regel:

Code: Alles auswählen

/etc/config/firewall

config rule
        option target 'ACCEPT'
        option dest 'lan'
        option name 'ssh -> pc'
        option family 'ipv6'
        option proto 'tcp'
        option dest_port '22'
        option src 'wan'
        option dest_ip '::a:b:c:d'

config forwarding
        option dest 'lan'
        option src 'wan'

Ich habe einen "universellen Portmapper" bei feste-ip.net eingerichtet und dort die komplette ipv6 meines PC eingetragen. Aber wenn ich auf "Erreichbarkeit prüfen" klicke, heißt es, der Port sei nicht erreichbar. (Der sshd läuft natürlich.)

An dieser Stelle verlässt mich so langsam mein Glauben, denn mit derselben Regel, angepasst auf IP4, klappt es bei einem IP4-Anschluss tadellos. Irgend etwas mache ich da noch falsch, aber ich weiß nicht was. :confused:


SpaceRat: Du erwähntest, dass es auch mich zwei Weiterleitungen funktioniert, erst von der FB zu OpenWRT und dann von OpenWRT zum Zielrechner. Portweiterleitungen auf OpenWRT sind nur für IP4 möglich. Mit IP6 geht das nicht, habe ich jedenfalls nicht hinbekommen. Kannst Du mir erklären, wie das geht? Ob da eine oder zwei Weiterleitungen laufen habe, ist mir egal, wichtig ist, dass der Zugriff funktioniert.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von SpaceRat » 29.07.2015, 13:57

Fruchtzwerg hat geschrieben: option dest_ip '::a:b:c:d'
Das funktioniert eben nicht ...

Der OpenWrt-Router benötigt die Angabe der kompletten IPv6 und weil sich das Präfix ändert, ändert sich eben auch diese Ziel-IPv6 immer wieder.
Dafür braucht man dann ein Script, das im Hintergrund das aktuelle Präfix überprüft und bei Änderungen die ganzen Firewall-Regeln mit dem neuen Präfix umschreibt ...
... deshalb bin ich froh, nicht mit einem wechselnden Präfix in Verbindung mit einem OpenWrt-Router geschlagen zu sein.

Für Kunden der Glasfaser Deutschland funktioniert dieser Aufbau recht gut, weil die auch ein statisches Präfix haben, d.h. man kann ohne solche Tricksereien Firewall-Ausnahmen anlegen.
Dynamische Präfixe sind aber eben etwas, was nur die Fritz!Box gut kann.

Fruchtzwerg hat geschrieben:SpaceRat: Du erwähntest, dass es auch mich zwei Weiterleitungen funktioniert, erst von der FB zu OpenWRT und dann von OpenWRT zum Zielrechner. Portweiterleitungen auf OpenWRT sind nur für IP4 möglich. Mit IP6 geht das nicht, habe ich jedenfalls nicht hinbekommen. Kannst Du mir erklären, wie das geht? Ob da eine oder zwei Weiterleitungen laufen habe, ist mir egal, wichtig ist, dass der Zugriff funktioniert.
Es geht nicht um Weiterleitungsregeln im Sinne von NAT/Port-Umadressiererei, sondern um eine reine Verkehrsregel.
Der Fritz!Box reicht dazu - siehe oben - das Suffix, also der "Hostteil" der IPv6, die Fritz!Box ergänzt den selber mit dem jeweils gültigen Präfix zu einer kompletten Adresse. Normal solltest Du den Ziel-Rechner aber auch direkt aus einer Drop-Down-Liste auswählen können wenn ihn die Fritz!Box schon kennt und das sollte sie, wenn der Relay-Modus des OpenWrt richtig funktioniert.
OpenWrt braucht leider die vollständige Ziel-Adresse und das ist bei dynamischen Präfixen eine Qual.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Fruchtzwerg
Kabelexperte
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Fruchtzwerg » 29.07.2015, 15:07

SpaceRat hat geschrieben: Das funktioniert eben nicht ...

Der OpenWrt-Router benötigt die Angabe der kompletten IPv6 und weil sich das Präfix ändert, ändert sich eben auch diese Ziel-IPv6 immer wieder.
Ich hätte OpenWRT für schlauer gehalten. ;)
Dafür braucht man dann ein Script, das im Hintergrund das aktuelle Präfix überprüft und bei Änderungen die ganzen Firewall-Regeln mit dem neuen Präfix umschreibt ...
Das wäre ja nicht wirklich ein Problem, mehr als 3 Zeilen sollte ein solches Skript in Linux nicht benötigen. Irgend etwas mit "ip -6 addr show dev wan" und dann ein bisschen "cut" und man hat den Präfix.

Aber was viel schlimmer ist: auch mit der kompletten IP-Adresse in der Firewall-Regel leitet der OpenWRT die eingehende Verbindung weiter. Sogar, wenn jeden Verkehr auf Port 22 von WAN nach LAN freigebe, kommt keine Verbindung zustande:

Code: Alles auswählen

config rule
        option target 'ACCEPT'
        option name 'ssh -> pc'
        option family 'ipv6'
        option proto 'tcp'
        option dest_port '22'
        option src '*'
        option dest 'lan'
Entweder mache ich etwas von Grund auf verkehrt, oder OpenWRT hat einen Bug an dieser Stelle.
Es geht nicht um Weiterleitungsregeln im Sinne von NAT/Port-Umadressiererei, sondern um eine reine Verkehrsregel.
Missverstanden. Pardon!
Normal solltest Du den Ziel-Rechner aber auch direkt aus einer Drop-Down-Liste auswählen können wenn ihn die Fritz!Box schon kennt und das sollte sie, wenn der Relay-Modus des OpenWrt richtig funktioniert.
Im Umkehrschluss heißt das: wenn ich den OpenWRT in der Liste auf der Fritzbox nicht sehe, funktioniert der Relay-Modus nicht richtig, oder?

So langsam kommt mir die Galle hoch über diesen Anschluss. Ich habe jetzt 3 Tage meines Urlaubs mit Dutzenden von Versuchen verbracht, um einen Zugriff von außen zu bekommen, alle erfolglos. Jetzt stehe ich so kurz vorm Ziel und komme immer noch nicht rein. Das darf doch nicht wahr sein. :heul:

Andere Idee: wenn das mit der Weiterleitung von außen partout nicht klappt, wie sieht's mit VPN aus?

Der Dienst feste-ip.net, den ich schon mehrfach erwähnt habe, bietet auch VPN an. Wenn ich von dort ein VPN bis zu meinem OpenWRT lege, könnte das funktionieren? Kannst Du dazu etwas sagen?

Ulimit
Kabelneuling
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Ulimit » 29.07.2015, 18:13

Egal, welchen Netzprefix der Unitymedia TC7200 gerade ausgewürfelt hat, wenn ich generell z.B. Port 22 ohne ansehens einer Ziel-IPv6-Adresse auf dem OpenWrt freischalte, komme ich jederzeit vom Internet auf meine Privatsysteme. Beispiel aus der Firewall:

Code: Alles auswählen

config rule                                     
        option target 'ACCEPT'                  
        option src 'wan'                        
        option name 'Allow-SSH-1'               
        option family 'ipv6'                    
        option proto 'tcp'                      
        option dest 'lan'                       
        option dest_port '22'                   
        option enabled '1'

[...]
config forwarding                               
        option dest 'wan'                       
        option src 'lan'
Das ist jetzt zwar nicht das Ideal einer hunderprozentig spezifischen Firewall-Regel pro Dienst, aber dafür von zufälligen Prefixes unabhängig und auf IPv6-SSH beschränkt. Beachte vielleicht noch, daß der forwarding Eintrag bei mir eine andere Richtung hat, als bei Dir.

Ist natürlich blöd, daß Du auf einen ominösen Portmapper im Internet angewiesen bist, um Deine IPv6-Setups zu testen. Ohne einen echten IPv6-PC als Test-Client hast Du so abermals einen weiteren (potentiellen) Stolperstein eingebaut.
Ich hätte OpenWRT für schlauer gehalten. ;)
Naja, OpenWrt macht eben das, was man ihm sagt, und in diesem Fall soll er eben "nur Relay" spielen und mehr oder weniger durchwinken, was der TC7200 so an Obskurem ins LAN pustet. Netzwerkmonitoring und das selbsttätige Umprogrammieren von Firewalls sehe ich jetzt erstmal nicht als Aufgabe eines Relays an. Dafür lässt sich aber bestimmt noch ein maßgeschneidertes Systemwerkzeug finden oder scripten.
Fruchtzwerg hat geschrieben: Sogar, wenn jeden Verkehr auf Port 22 von WAN nach LAN freigebe, kommt keine Verbindung zustande.
... dann ist vermutlich eher noch etwas mit dem Routing im Argen. Hast Du (neben den genauen Prefixen) auch mal kontrolliert, daß Deine LAN-PCs überhaupt ein default-gateway ::/0 auf den Uplink-Router (hier OpenWrt) gesetzt bekommen? (ein Paket aus dem Internet will ja schließlich auch dahin zurück)

Fruchtzwerg
Kabelexperte
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Fruchtzwerg » 29.07.2015, 20:47

Ich danke Euch für Eure Hilfe. Aber ich habe jetzt die Faxen dicke und habe darum soeben die FritzBox aus meinem Vertrag ausgebucht und werde dann über die HorizonBox ins Netz gehen. Mein Sohn ist auch schon am Stöhnen, weil seine Spiele nicht funktionieren, und ich habe genug von meinem Urlaub geopfert, ohne eine funktionierende beidseitige Internetanbindung herstellen zu können. Meine alte FritzBox wird als DECT-Station und Access-Point dienen. Zusätzliche Telefonnummern werden bei einem VoIP-Anbieter dazugebucht. (Kennt jemand einen günstigen Anbieter?) Dann ist Ruhe im Karton.

fabi280
Kabelneuling
Beiträge: 2
Registriert: 06.10.2015, 18:54

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von fabi280 » 07.10.2015, 10:45

Fruchtzwerg hat geschrieben:Angeblich bekommt mein PC auch eine IP6:

Code: Alles auswählen

ifconfig 
eth0      Link encap:Ethernet  Hardware Adresse 00:19:66:99:08:cf  
          inet Adresse:10.10.1.77  Bcast:10.10.1.255  Maske:255.255.255.0
          inet6-Adresse: fd3b:25c9:2d1c:1:219:66ff:fe99:8cf/64 Gültigkeitsbereich:Global
          inet6-Adresse: fd3b:25c9:2d1c:0:219:66ff:fe99:8cf/64 Gültigkeitsbereich:Global
          inet6-Adresse: fd00::219:66ff:fe99:8cf/64 Gültigkeitsbereich:Global
          inet6-Adresse: fe80::219:66ff:fe99:8cf/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX-Pakete:99276 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
          TX-Pakete:89725 Fehler:0 Verloren:0 Überläufe:0 Träger:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX-Bytes:78817223 (78.8 MB)  TX-Bytes:8840261 (8.8 MB)
Ich komme mit meinem PC nach draußen, allerdings nur über IP4:

Code: Alles auswählen

ping6 six.heise.de
connect: Network is unreachable
Ich komme leider alleine nicht weiter.

Die erste Frage, die ich habe: Ulimit, woher hast Du den ULA-Präfix, den Du verwendet hast? Ist das der Präfix, den die FritzBox angibt? Der lautet bei mir fd00::xxx:xxxx:xxxx:xxxx/64 (natürlich nicht mit "xxxx"...) Aber wenn ich den benutze in /etc/config/network, werden keine IP6 mehr verteilt.

Was muss/kann ich tun, damit es weitergeht?
Wie hast du denn den Fehler gefixt, dass du mit der richtigen IPv6 dann auch nach draußen kommst. Ich werde durch die weiteren Posts auch nicht wirklich schlauer.
Bei mir sieht das momentan so aus: http://pastebin.com/mEw1Gj5D

Unter Windows habe ich dadurch das Ergebnis

Code: Alles auswählen

Ethernet-Adapter Ethernet 5:

   Verbindungsspezifisches DNS-Suffix: heim.netz
   Beschreibung. . . . . . . . . . . : Gruppe:  Gruppe #0
   Physische Adresse . . . . . . . . : 74-D4-35-##-##-##
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv6-Adresse. . . . . . . . . . . : 2a02:8071:2482:a300:6d35:44ec:21c:ed55(Bevorzugt)
   Temporäre IPv6-Adresse. . . . . . : 2a02:8071:2482:a300:2ce8:6cea:a5d3:9417(Bevorzugt)
   Verbindungslokale IPv6-Adresse  . : fe80::6d35:44ec:21c:ed55%8(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.1.200(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Mittwoch, 7. Oktober 2015 08:49:11
   Lease läuft ab. . . . . . . . . . : Mittwoch, 7. Oktober 2015 20:49:11
   Standardgateway . . . . . . . . . : fe80::6666:b3ff:fe47:5b9c%8
                                       192.168.1.1
   DHCP-Server . . . . . . . . . . . : 192.168.1.1
   DHCPv6-IAID . . . . . . . . . . . : 460641333
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1D-4A-BE-37-74-D4-35-##-##-##

   DNS-Server  . . . . . . . . . . . : 2001:4860:4860::8888
                                       2001:4860:4860::8844
                                       192.168.1.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Tunneladapter Teredo Tunneling Pseudo-Interface:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft Teredo Tunneling Adapter
   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv6-Adresse. . . . . . . . . . . : 2001:0:9d38:6ab8:147e:1f47:3f57:fe37(Bevorzugt)
   Verbindungslokale IPv6-Adresse  . : fe80::147e:1f47:3f57:fe37%15(Bevorzugt)
   Standardgateway . . . . . . . . . :
   DHCPv6-IAID . . . . . . . . . . . : 134217728
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1D-4A-BE-37-74-D4-35-##-##-##

   NetBIOS über TCP/IP . . . . . . . : Deaktiviert

Tunneladapter isatap.heim.netz:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: heim.netz
   Beschreibung. . . . . . . . . . . : Microsoft ISATAP Adapter #2
   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

C:\Users\Fabian>ping ipv6.google.com

Ping wird ausgeführt für ipv6.l.google.com [2a00:1450:400a:806::1003] mit 32 Byt
es Daten:
Zeitüberschreitung der Anforderung.

Ping-Statistik für 2a00:1450:400a:806::1003:
    Pakete: Gesendet = 1, Empfangen = 0, Verloren = 1
    (100% Verlust),
STRG-C
Unter Linux siehts so aus

Code: Alles auswählen

~ # ifconfig
bond0     Link encap:Ethernet  Hardware Adresse 9c:b6:54:##:##:##
          inet Adresse:192.168.1.254  Bcast:192.168.1.255  Maske:255.255.255.0
          inet6-Adresse: 2a02:8071:2482:a300:795b:959:9d05:c9a/64 Gültigkeitsbereich:Global
          inet6-Adresse: fe80::9eb6:54ff:fe04:4da4/64 Gültigkeitsbereich:Verbindung
          inet6-Adresse: 2a02:8071:2482:a300:9eb6:54ff:fe04:4da4/64 Gültigkeitsbereich:Global
          UP BROADCAST RUNNING MASTER MULTICAST  MTU:1500  Metrik:1
          RX packets:6526542 errors:0 dropped:743921 overruns:0 frame:0
          TX packets:5838311 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0
          RX bytes:5955543733 (5.5 GiB)  TX bytes:6762424591 (6.2 GiB)

eth0      Link encap:Ethernet  Hardware Adresse 00:e0:4c:##:##:##
          UP BROADCAST RUNNING SLAVE MULTICAST  MTU:1500  Metrik:1
          RX packets:1186773 errors:0 dropped:743917 overruns:0 frame:0
          TX packets:2199697 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:902876804 (861.0 MiB)  TX bytes:2891276992 (2.6 GiB)
          Interrupt:18

eth1      Link encap:Ethernet  Hardware Adresse 9c:b6:54:##:##:##
          UP BROADCAST RUNNING SLAVE MULTICAST  MTU:1500  Metrik:1
          RX packets:5339769 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3638614 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:5052666929 (4.7 GiB)  TX bytes:3871147599 (3.6 GiB)

lo        Link encap:Lokale Schleife
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:65536  Metrik:1
          RX packets:646039 errors:0 dropped:0 overruns:0 frame:0
          TX packets:646039 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0
          RX bytes:254311380 (242.5 MiB)  TX bytes:254311380 (242.5 MiB)


~ # ping6 ipv6.google.com
PING ipv6.google.com(zrh04s07-in-x03.1e100.net) 56 data bytes
Am Router (WDR4300) so:

Code: Alles auswählen

root@OpenWrt:~# ifconfig
br-lan    Link encap:Ethernet  HWaddr 64:66:B3:##:##:##
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fd0c:d958:6923::1/64 Scope:Global
          inet6 addr: fe80::6666:b3ff:fe47:5b9c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1106034 errors:0 dropped:13516 overruns:0 frame:0
          TX packets:1809510 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:459742826 (438.4 MiB)  TX bytes:2181114276 (2.0 GiB)

br-wan    Link encap:Ethernet  HWaddr 64:66:B3:##:##:##
          inet addr:192.168.0.10  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::6666:b3ff:fe47:5b9c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1812817 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1081724 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2157857539 (2.0 GiB)  TX bytes:470771454 (448.9 MiB)

eth0      Link encap:Ethernet  HWaddr 64:66:B3:##:##:##
          inet6 addr: fe80::6666:b3ff:fe47:5b9c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2409863 errors:0 dropped:8 overruns:0 frame:0
          TX packets:2182927 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2301102992 (2.1 GiB)  TX bytes:1914631189 (1.7 GiB)
          Interrupt:4

eth0.1    Link encap:Ethernet  HWaddr 64:66:B3:##:##:##
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:596445 errors:0 dropped:21 overruns:0 frame:0
          TX packets:1101109 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:99795964 (95.1 MiB)  TX bytes:1435121496 (1.3 GiB)

eth0.2    Link encap:Ethernet  HWaddr 64:66:B3:##:##:##
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1813356 errors:0 dropped:6 overruns:0 frame:0
          TX packets:1081804 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2157921413 (2.0 GiB)  TX bytes:470776758 (448.9 MiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

wlan0     Link encap:Ethernet  HWaddr 64:66:B3:##:##:##
          inet6 addr: fe80::6666:b3ff:fe47:5b9d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:65017 errors:0 dropped:0 overruns:0 frame:0
          TX packets:125518 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:10438793 (9.9 MiB)  TX bytes:103719485 (98.9 MiB)

wlan0-1   Link encap:Ethernet  HWaddr 66:66:B3:##:##:##
          inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::6466:b3ff:fe47:5b9d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:1312 (1.2 KiB)

wlan1     Link encap:Ethernet  HWaddr 64:66:B3:##:##:##
          inet6 addr: fe80::6666:b3ff:fe47:5b9e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:474734 errors:0 dropped:0 overruns:0 frame:0
          TX packets:664837 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:363523878 (346.6 MiB)  TX bytes:670422209 (639.3 MiB)
          
root@OpenWrt:~# ping6 ipv6.google.com
PING ipv6.google.com (2a00:1450:400a:806::1003): 56 data bytes
ping6: sendto: Permission denied
Bin auf 15.05 stable mit dnsmasq-full

Fruchtzwerg
Kabelexperte
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Fruchtzwerg » 07.10.2015, 12:16

fabi280 hat geschrieben: Wie hast du denn den Fehler gefixt, dass du mit der richtigen IPv6 dann auch nach draußen kommst.
Gar nicht. :(

Wie ich schon sagte, bin ich jetzt wieder per IP4 im Netz. Und nach gründlicher Überlegung unter Berücksichtigung der Änderungen in meinem Telefonieverhalten während der letzten Jahre wird das auch erst mal so bleiben, denn dank Mobilfunk brauche ich keine 3 Festnetznummern und keine Telefon-Komfortfunktionen mehr.

Sollte UM mich irgendwann zwangsweise auf IPv6 umtopfen, z.B. weil die Firmware der Horizon-Box entsprechend geändert wird, hoffe ich, daß bis dahin der Weg vom Internet ins Heimnetz über IP6v genau so einfach und ohne die Zuhilfenahme von Drittanbietern (Tunnel-Broker-Dienste) möglich sein wird, wie jetzt per IP4. Andernfalls muss dann meinen Vertrag bei UM umgehend kündigen.

Antworten

Wer ist online?

Mitglieder in diesem Forum: MaXX und 3 Gäste