UDM Pro an Deutsche Glasfaser

  • Hallo in die Runde,


    vielleicht findet sich ja hier noch jemand, der eine Idee hat.


    Ich habe eine UDM Pro an einem Anschluss der Deutschen Glasfaser (DG).


    Soweit läuft der Anschluß, nur an einem Punkt hakt es dann doch.


    Im Nachbarforum habe ich mich mit einem User schon sehr intensiv mit dem Thema beschäftigt, aber wir kommen nicht weiter.


    Es ist so, dass man von aussen über einen IPV6 unterstützeten Anschluß nicht auf die IPV6-Geräte an der UDM-Pro kommt.

    Problem ist, dass man selbst die an den WAN-Port vergebene IPV6-Adresse der UDM Pro nicht erreicht.

    Gibts man an einem IPV6-Gerät eines anderen Anschlusses den traceroute6-Befehl gefolgt von der IPV6-Adresse des WAN-Port ein,

    müsste in Zeile 8 dann Schluß sein.

    Das ist in meinem Fall aber nicht so. Hier kommen dann nur Sternchen und der Befehl läuft weiter.

    Ein Werksreset der UDM-Pro bringt keinen Erfolg. Firmware ist aktuell.


    Komischerweise funktioniert es mit einer Fritzbox, wenn man die an den Anschluss hängt.


    Viel falsch kann man ja eigentlich nicht bei der Konfiguration für IPV6 in der UDMPro machen.


    DHCP für IPV6 ist an, Präfix auf 56 gesetzt.


    Wan-Port bekommt IPV6 Adresse.


    Auch die Geräte im Netzwerk bekommen IPV6 Adressen zugewiesen, wenn man das in den Netzwerken freigibt.


    Die Fritzbox wollte ich jetzt eigentlich nicht unbegdingt gerne noch vor die UDM Pro setzen, wenn es nicht sein muss.


    Hat jemand eine Idee??



    Grüße,

    Bräuni

  • Gibts man an einem IPV6-Gerät eines anderen Anschlusses den traceroute6-Befehl gefolgt von der IPV6-Adresse des WAN-Port ein,

    müsste in Zeile 8 dann Schluß sein.

    Das ist in meinem Fall aber nicht so. Hier kommen dann nur Sternchen und der Befehl läuft weiter.

    Offenbar blockt deine UDM ICMPv6 Nachrichten auf dem WAN Port, entweder ein- oder ausgehend (oder beides). Ich vermute das Problem also in der Firewallkonfiguration. Was hast du denn dort getan, um den Zugriff von außen zu mit ICMPv6 ermöglichen?


    Hast du es mal mit "echten" Diensten probiert?

  • Hallo,


    über den Versuch, einen VPN-Server einzurichten, sind wir ja über das Problem gestolpert.


    In der Firewall habe ich nichts weiter eingestellt. Müsste ich das denn? Würde dann so manches erklären, aber warum kommt man dann an die anderen

    Geräte nicht ran?


    Grüße

  • In der Firewall habe ich nichts weiter eingestellt. Müsste ich das denn

    Oh ja, und das war irgendwie komisch. Ist lange her. Es gab einen Unterschied zwischen "ICMPv6" und "IPv6-ICMP", kann ich mich erinnern. Und man muss sauber unterscheiden zwischen dem Traffic für die UDM und dem fürs Netzwerk ("local", "in"). Insgesamt war das schon tricky, wenn man die Geräte nicht kennt. Man sollte definitiv mehr als nur Routing-Grundlagenwissen haben, um sich mit den Geräten auseinanderzusetzen.


    aber warum kommt man dann an die anderen Geräte nicht ran?

    Man kommt erst mal nirgendwo dran, es sei denn, man erlaubt es explizit. Eingehender Traffic sowohl auf "local" als auch auf "in" wird verworfen. Also: Ja, du musst definitiv erst mal dafür sorgen, dass der Datenverkehr deine Endgeräte erreichen kann.

  • Man kommt erst mal nirgendwo dran, es sei denn, man erlaubt es explizit. Also: Ja, du musst definitiv erst mal dafür sorgen, dass der Datenverkehr deine Endgeräte erreichen kann.

    Das haben wir ja freigegeben gehabt, aber da ging gar nichts.


    Der Kollege aus dem Nachbarforum kannte das Problem auch schon, nur leider funktionieren die ganzen Lösungsansätze nicht.


    Gestern Abend habe ich mal folgendes Szenario durchgespielt:


    ONT - FB 7590 - UDMPro


    FB bekommt IPV6 und man kann den WAN-Port der FB über traceroute6 ansprechen.

    FB so eingestellt, dass auch die UDMPro an Ihrem WAN-Port und die Geräte an der UDMPro IPV6-Adressen bekommen.

    Wenn man jetzt mit traceroute6 die IPV6-Adresse des WAN-Port der UDMPro oder die IPV6-Adresse eines der Geräte an der UDMPro mit

    mit traceroute6 anspricht, ist am WAN-Port der FB nach Zeile 8 Schluss, so wie es sein soll.

    Die Firewall der UDMPro habe ich da nicht verändert.

  • Das haben wir ja freigegeben gehabt, aber da ging gar nichts.

    Was habt ihr denn da gemacht?


    Der Kollege aus dem Nachbarforum kannte das Problem auch schon, nur leider funktionieren die ganzen Lösungsansätze nicht.

    Und wieder: Was genau habt ihr da gemacht? Wir können nicht hellsehen.


    FB so eingestellt, dass auch die UDMPro an Ihrem WAN-Port und die Geräte an der UDMPro IPV6-Adressen bekommen.

    Das heißt Prefix Delegeation, oder was?


    Wenn man jetzt mit traceroute6 die IPV6-Adresse des WAN-Port der UDMPro oder die IPV6-Adresse eines der Geräte an der UDMPro mit

    mit traceroute6 anspricht, ist am WAN-Port der FB nach Zeile 8 Schluss, so wie es sein soll.

    Naja, ob das so sein soll, darf bezweifelt werden. Aber gut, wenn man nichts weiter macht, dann ist das so.

  • Wenn du zwischen mehreren Routern am DG-Anschluss hin und her wechselst, solltest du eine Pause von ca. einer Stunde machen. Wenn es Probleme mit der Adressvergabe gibt, renken die sich dann meistens wieder ein.


    Aus dem Verhalten eines Routers mit geschlossener Firewall Rückschlüsse zu ziehen, ist schwierig. Wenn du sowieso schon eine Fritzbox testweise vor der UDM Pro hast und die Adressvergabe soweit funktioniert, dann kannst du zunächst versuchen, die Geräte hinter der UDM Pro aus dem LAN der Fritzbox (=WAN-Seite der UDM Pro) erreichbar zu machen. Wenn das klappt, kannst du die UDM Pro wieder (ggf. mit 1 Std. Pause) direkt an den Anschluss hängen und dann aus dem Internet auf die Geräte hinter der UDM Pro zugreifen.

  • Was habt ihr denn da gemacht?

    https://ubiquiti-networks-foru…r-zugriff-%C3%BCber-ipv6/


    ab Punkt 3.7


    Firewall-Regeln ensprechend angepasst.


    Und wieder: Was genau habt ihr da gemacht? Wir können nicht hellsehen.

    z. B. Werksreset


    Das heißt Prefix Delegeation, oder was?

    Ja.

    Naja, ob das so sein soll, darf bezweifelt werden. Aber gut, wenn man nichts weiter macht, dann ist das so.

    Hier war ja auch nur erstmal der Versuch, ob sich am WAN-Port überhaupt was tut.


    Übringens: Wenn man die Standard-Regeln der Firewall bei IPV6 nicht ändert, ist das Netzwerk offen.

  • alfalfa


    Moin!


    Danke für die Rückmeldung. Das mit der Pause ist bekannt.


    Da ich noch ein Ticket bei der DG habe, habe ich jetzt erstmal alles wieder so zurückgebaut, dass die den Fehler evtl. auch finden, wenn es

    an deren Netz liegen sollte.

    Der Kollege aus dem Nachbarforum hat schon einige andere Teilnehmer gehabt, bei denen es nicht funktioniert hat.

    Er konnte aber keine genaue Bestimmung machen, warum das so ist und woran es lag.

    Da gibt es nur folgende Kreis:

    - User, bei denen ohne Probleme schon immer funktionierte

    - User, die durch den ip flush Befehl hinterher funktionierte

    - User, bei denen man es nicht zum Laufen bekam

    Alles User, an Anschlüssen der DG


    Und glaubt mir, wir beschäftigen uns jetzt schon über sieben Wochen mit dem Problem!!! Der Kollege

    aus dem Nachbarforum ist echt fit, aber er wweiß auch nicht mehr weiter.


    Daher unsere Vermutung, dass es am Netzt liegen könnte.

  • Übringens: Wenn man die Standard-Regeln der Firewall bei IPV6 nicht ändert, ist das Netzwerk offen.

    Falsch. Default policy ist "drop".

    https://help.ui.com/hc/en-us/a…duction-to-Firewall-Rules


    Zitat
    WAN v6 Local Applies to IPv6 traffic that is destined for the UDM/USG itself on the WAN network (default drop).<br><br>
    Zitat
    WAN v6 In Applies to IPv6 traffic that enters the WAN (ingress), destined for other networks (default drop).


    ab Punkt 3.7


    Firewall-Regeln ensprechend angepasst.

    Gerade der Bereich "Firewall" ist sehr stiefmütterlich beschrieben, und gerade darauf kommt es ja an. Außerdem lässt er Interpretationsspielraum, vor allem für die zweite Regel. Lange Rede, kurzer Sinn: Nach der Anleitung ist die Wahrscheinlichkeit hoch, dass ihr die Firewall falsch konfiguriert habt.


    Also: Was genau habt ihr da getan? Welche Geräte und welche Dienste wolltet ihr erreichen, und wie habt ihr diese Geräte vorbereitet?


    z. B. Werksreset

    Das kann ja nicht alles gewesen sein. Welche Ansätze habt ihr denn sonst noch verfolgt?



    Daher unsere Vermutung, dass es am Netzt liegen könnte.

    Das halte ich für recht unwahrscheinlich, da ihr bei der Fritzbox die WAN Adresse pingen könnt. Zumindest das müsste auf der UDM auch gehen. Da du in deinen bisherigen Beiträgen sehr viel Halbwissen und noch mehr falsche Annahmen präsentiert hast, ist es wahrscheinlich, dass ihr die Geräte falsch konfiguriert habt.

  • Du findest dieses Forum hier toll und möchtest es unterstützen? Großartig! Hier zeigen wir dir eine Möglichkeit, wie du uns supporten kannst. Es kostet dich keinen Cent mehr und das Forum bleibt hiermit weiter werbefrei.

    Amazon Link

    Nutze diesen Button um bei Amazon einzukaufen. Das kostet dich keinen Cent mehr, jedoch bekommen wir eine kleine Provision.
    Bei Amazon einkaufen und das GF unterstützen
    Mehr Infos gibt es in diesem Thread
  • frank_m


    Ich finde es sehr aufbauend und unterstützend, wenn jemandem mit viel Halbwiesen so entgegen gekommen wird.


    Das macht richtig Spaß, wenn man versucht sich Hilfe zu holen und eingetlich nur als dummer Junge abgestempelt wird.

    Ist halt nicht jeder so schlau...


    Ich glaube, dass der Kollege aus dem Nachbarforum schon ziemlich fit ist, nicht dass ich Deine Kompetenz anzweifle.

    Wenn ich so blöd wäre, wie ich mich gerade fühle, hätte er es glaube ich nicht schon die besagten sieben Wochen

    mit mir versucht zu lösen. Der lange Zeitraum liegt daran, dass die DG sich nicht gemeldet hat auf das Ticket.


    Sorry, aber mit dem Ton komme ich hier nicht klar.

  • Was bei der DG schon mehrfach nicht funktioniert hat, ist das Routing zum delegierten Präfix, obwohl die Routeradresse erreichbar war. Ob das ein inzwischen umfassend gelöstes Problem ist, weiß ich nicht. Man kann das aber relativ leicht feststellen, wenn man ein Traceroute von außen auf eine Adresse im Präfix macht. Falls eine andere Routeradresse in dem Trace auftaucht, ist das der Fehler. Es gab auch schon das Problem, dass Präfixe gar nicht geroutet wurden und die Traces schon am Rand des DG-Netzes endeten. Danach sieht es bei dir aber nicht aus, weil die Fritzbox ja erreichbar ist. Falls aber der Router so konfiguriert ist, dass er gar keine ICMP-Antworten verschickt, dann kann es auch so aussehen, als kämen die Pakete gar nicht bis zum Router. Am besten pingst du sowohl deinen Router als auch Adressen aus dem Präfix an und zeichnest den Datenverkehr auf dem WAN-Interface auf. Das sollte auch vor der Firewall möglich sein und zeigen, ob die Pakete bis zu deinem Anschluss kommen. Wenn es Probleme im Netz der DG gibt, dann dürfte aber auch ausgehender IPv6 Traffic nicht funktionieren. Was hast du dahingehend schon probiert?

  • Ich halte es auch für suboptimal, solche Dinge dann bilateral im Chat anzugehen. So bleibt anderen Interessierten der Lösungsweg verborgen. Jetzt bekommen wir vielleicht noch mit viel Glück eine (für diesen Fall) funktionierende Firewall Tabelle präsentiert, aber wie die entstanden ist und nach welchen Prinzipien man bei der Erstellung vorgeht, erfährt man nicht. Das eine fehlerhafte Firewall die Ursache war, war auch vorher schon mehr als offensichtlich, da ja schon grundlegendste Voraussetzungen falsch eingeschätzt wurden (siehe drop Policy).

  • Da ich die UDM Pro selbst nicht kenne, haben wir nur getestet, ob anschlussseitig alles funktioniert, wie es soll. Der wahrscheinlich wichtigste und gleichzeitig einfachste Test war, ob aus dem LAN der UDM-Pro IPv6-Dienste im Internet aufrufbar sind. Mit einem Aufruf von https://www.whatismyip.com/ und der Feststellung, dass eine IPv6-Adresse angezeigt wird, ist im Grunde sicher, dass IPv6 an dem Anschluss funktioniert. Ich hatte vorher angenommen, dass auch das nicht ginge, und erst mit einem öffentlichen Traceroute-Dienst geschaut, wie weit Pakete in Richtung des zugeteilten Präfixes kommen. Das Ergebnis war aber unauffällig: Es ging bis zum letzten Router vor dem Anschluss und es waren auch keine fehlgeleiteten Pakete zu sehen.


    Im Screenshot oben sieht man, dass die UDM-Pro praktisch nichts von außen annimmt. Für ein erfolgreiches "Ping" müssen ICMP Echo Requests von außen zugelassen werden: für "In", wenn Geräte im LAN anpingbar sein sollen, und für "Local", wenn die UDM-Pro anpingbar sein soll. Ansonsten müssen eben die Dienste freigegeben werden, die aus dem Internet erreichbar sein sollen, aber so weit gingen die Tests nicht.

  • Im Screenshot oben sieht man, dass die UDM-Pro praktisch nichts von außen annimmt. Für ein erfolgreiches "Ping" müssen ICMP Echo Requests von außen zugelassen werden: für "In", wenn Geräte im LAN anpingbar sein sollen, und für "Local", wenn die UDM-Pro anpingbar sein soll. Ansonsten müssen eben die Dienste freigegeben werden,

    Tja, siehe Beitrag #2 und #4. Wir hätten uns den ganzen Thread also sparen können, wenn die Hinweise da schon befolgt worden wären.


    Wie hast du ihn denn im Chat davon überzeugt, dass er Hand anlegen muss und sein Netz nicht "offen" ist? Mit wollte er es ja nicht glauben.


    Ich frag mich auch, was der Kollege aus dem Nachbarforum, der ja "echt fit" ist, so gemacht hat, wenn selbst die grundlegendsten Firewallregeln für den Anwendungsfall nicht da sind.

  • ie hast du ihn denn im Chat davon überzeugt, dass er Hand anlegen muss und sein Netz nicht "offen" ist? Mit wollte er es ja nicht glauben.

    Das wurde mir bspw aber auch mal von einem Lancom Mitarbeiter gesagt.

    Das die Ubiquiti Firewall generell erstmal alles offen hat. und bei Lancom sei erstmal alles auf deny all, bis man die Dienste jeweils freischaltet?

  • Du findest dieses Forum hier toll und möchtest es unterstützen? Großartig! Hier zeigen wir dir eine Möglichkeit, wie du uns supporten kannst. Es kostet dich keinen Cent mehr und das Forum bleibt hiermit weiter werbefrei.

    Amazon Link

    Nutze diesen Button um bei Amazon einzukaufen. Das kostet dich keinen Cent mehr, jedoch bekommen wir eine kleine Provision.
    Bei Amazon einkaufen und das GF unterstützen
    Mehr Infos gibt es in diesem Thread

Erstelle ein Benutzerkonto oder melde dich an um zu kommentieren

Du musst ein Benutzerkonto haben um einen Kommentar hinterlassen zu können

Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Geht einfach!
Neues Benutzerkonto erstellen
Anmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden