Kein IPV6 Zugriff von Aussen (Deutsche Glasfaser)

    Hallo,


    ich habe seit kurzem einen Deutsche Glasfaser Anschluss (bisher 1&1 DSL).


    Das mein IPV4 DynDNS, VPN etc. und Zugriff von aussen nicht mehr funktioniert und ich sowas wie

    feste-ip.de oder einen eigenen Portmapper brauche konnte ich mir inzwischen ergoogeln.


    Da ich aber gelesen habe, dass auch bei einigen der IPV6 Zugriff nicht klappt wollte ich diesen

    erstmal testen, bevor ich grosse Runden wegen IPV4 drehe.


    Resultat vorweg - ich bekomme es nicht zum laufen.


    Fritzbox 7590 AX, auf Werkseinstellungen zurückgesetzt und danach nur das notwendigste

    eingerichtet. IPV6 ist im Heimnetz aktiv, auf einem der Rechner einen Mini-Webserver

    eingerichtet.


    Meine Fritzbox zeigt im Internetstatus IPV4, IPV6 Adresse und IPV6 Präfix an, der Prefix stimmt

    mit dem Prefix der IPV6 Adressen der Rechner im Heimnetz überein.


    Aufruf der Test-Webseite aus dem Heimnetz über IPV4 und alle IPV6 Adressen (public, temp, verbindungslocal) möglich

    Aufruf aus dem Heimnetz über IPV4 der Fritzbox nicht möglich (erwartetes Resultat da keine Portfreigabe)


    http Portfreigabe eingerichtet für IPV4 und IPV6


    Aufruf aus dem Heimnetz über IPV4 der Fritzbox aus dem Netz jetzt möglich (d.h. die Portfreigabe funktionert)

    Aufruf aus dem Heimnetz der in der Freigabe angezeigten "IPV6 Adresse im Internet" nicht möglich


    Aufruf von aussen über öffentliche, temporäre oder die in der Freigabe angezeigte IPV6 nicht möglich.


    Wenn ich allerdings einen Trace ausführe (https://www.han.de/cgi-bin/trace.cgi) für diese IPV6 Adressen und die IPV6 Adresse der Fritzbox selbst dann sehen die alle identisch aus und landen auf der IPV6 Adresse der Fritzbox.


    Irgendwie gibt die Fritzbox den IPV6 Request von draussen nicht weiter?!?


    FritzBox Einstellungen

    Internet Zugangsdaten - "Deutsche Glasfaser"

    Betriebsart - Internetverbindung selbst aufbauen

    Zugangsdaten - Nein (Werden Zugangsdaten benötigt?)

    Verbindungseinstellungen - (up/downstream werte eingetragen)


    IPV6 - IPv6-Unterstützung aktiv


    IPv6-Anbindung - Native IPv4-Anbindung verwenden


    Verbindungseinstellungen - DHCPv6 Rapid Commit verwenden


    (obige IPV6 Settings waren alle default)


    Schalte ich testhalber auf "Native IPV6 Verbindung verwenden" mit "globale Adresse automatisch aushandeln",

    denn bekomme ich nur noch eine IPV4 Adresse und ansonsten diese Fehler in der Ereignisanzeige


    Internetverbindung IPv6 konnte nicht hergestellt werden: Keine Antwort vom DHCPv6-Server (SOL)

    Internetverbindung IPv6: DHCPv6-Fehler mit Fehlergrund 8 ()


    schalte ich um auf

    "Native IPV6 Verbindung verwenden" mit "Globale Adresse ausschließlich per DHCPv6 beziehen" dann bekomme ich

    wieder die vorherige IPV6, aber keine IPV4 mehr (Korrektur, später erschien wieder eine IPV4, hat aber lange gedauert)


    Aber egal, auch mit diesen beiden Einstellungen funktioniert der IPV6 Zugriff von aussen nicht.


    Selbst "exposed host" (komplette internet freigabe) hilft mir nicht weiter. Windows Firewall aus hilft auch nichts.


    Seiten wie https://test-ipv6.com/ zeigen mir an, dass ich eine valide IPV6 habe (die temp IPV6 meines Rechners).


    Seiten wie https://ipv6-test.com/ zeigen mir unter IPV6 "Not supported" an.


    Jetzt bin ich ratlos. jede Hilfe willkommen.....


    Danke + Gruss


    Stefan

    Zitat von mrbutcher

    Aufruf aus dem Heimnetz der in der Freigabe angezeigten "IPV6 Adresse im Internet" nicht möglich

    Das ist zu erwarten, denn das ist die WAN-Adresse der Fritzbox und darauf läuft dein Webserver ja nicht. Mit IPv6 wird immer die Adresse des Gerätes angesprochen, nicht die des Routers, weil es kein NAT gibt.

    Zitat von mrbutcher

    Wenn ich allerdings einen Trace ausführe (https://www.han.de/cgi-bin/trace.cgi) für diese IPV6 Adressen und die IPV6 Adresse der Fritzbox selbst dann sehen die alle identisch aus und landen auf der IPV6 Adresse der Fritzbox.

    Das ist sehr gut und schließt viele Fehlerquellen aus. Es hat den Anschein, dass die Fritzbox die Verbindungen nicht reinlässt oder das Zielgerät nicht antwortet, aber immerhin kommen die Pakete für dein Präfix zu deinem Anschluss.


    Deine Internet-Konfiguration ist wahrscheinlich korrekt, aber vermutlich gibt es eine Abweichung zwischen der Freigabe der IPv6-Adresse-Port-Kombination in der Fritzbox und dem Endgerät, auf dem der Server läuft. Schau auf dem Server, dass der die Adresse hat, die in der Fritzbox freigegeben ist, und dass der Service auch an diese Adresse gebunden ist (und natürlich auch in der lokalen Firewall für Zugriffe aus anderen Netzen freigegeben ist).


    Eine Adresse des Servers sollte einen statischen "Interface Identifier" haben. Das sind die rechten 64 Bit der Adresse. Nur so kann die Fritzbox die Freigabe aktuell halten. Die temporären Adressen wechseln regelmäßig, aber die Fritzbox bekommt davon nichts mit. Wenn du eine Adresse siehst, die im rechten Teil "ff:fe" enthält, dann ist das eine EUI-64 Adresse. Die ist gut geeignet, weil sich bei der Adresse höchstens das Präfix ändert.

    Wie @alfalfa bereits geschrieben hat: Du musst in der FRITZ!Box-Firewall die IPv6 Adresse deines Gerätes, das Du aus dem Internet erreichen willst freigeben (bzw. nur die benötigten Ports der IPv6 Adresse). Das ganze NAT-Gedöns, das bei IPv4 notwendig ist (Portweiterleitung) gibt es nicht bei IPv6 und ist ein sehr häufiger Fehler bei IPv6 Neulingen.


    Native IPv4-Anbindung verwenden ist die korrekte Einstellung.


    Du musst jedoch die statische IPv6 Adresse des Endgerätes in der FB-FW freigeben, nimmst Du die dynamische (Stichwort Privacy Extension) ist die funktionierende Freigabe nur von kurzer Dauer.


    Noch ein Nachtrag:

    Falls ein RasPi eingesetzt werden soll:

    IPv6 DynDNS klemmt
    Ich wollte eine Sub-Sub-Domain für meinen Raspberry Pi auf dynv6.com einrichten, aber die IPv6-Interface-ID stimmt absolut nicht mit dem zweiten Teil der…
    www.heise.de

    Und hier eine bebilderte Anleitung zum Öffnen der FRITZ!Box Firewall für IPv6. DG hat Dual Stack mit Carrier Grade NAT (CGNAT) und kein DS-Lite! Deshalb ist erst der Teil ab Geräte freigeben relevant!

    Wenn Du IPv6-Adressen direkt in die URL-Zeile des Webbrowsers eingibst, denke daran, das diese mit eckigen Klammern [] eingefasst sein. muss.

    02 Raspberry Pi – Mit DS-lite aus dem Internet erreichbar (Teil 1 – IPv6) – gldhnchns blog


    Falls Windows/RDP im Spiel ist:

    FRITZ!Box, VPN, IPV6 - So geht RDP (Remotedesktop) - lubits
    FRITZ!Box VPN IPV6 RDP - So geht RDP (Remotedesktop). Zugriff auf Ihren PC im Office mit Bordmitteln. Eine einfache Lösung ohne IPV4.
    lubits.de

    Aber auch hier die Privacy Extensions des Windows-Systemes berücksichtigen!


    Eine etwas ältere Beschreibung von AVM:

    IPv6-Freigaben in FRITZ!Box einrichten | FRITZ!Box 6360 Cable
    Die Firewall der FRITZ!Box schützt alle Geräte im FRITZ!Box-Heimnetz standardmäßig vor eingehenden Verbindungen und unangeforderten Daten aus dem Internet.…
    avm.de

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Vielen Dank für eure Antworten. Ich bin einen Schritt weiter.


    Erstmal die Fritzbox wieder auf "Native IPV4 Anbindung" zurückgeschaltet.


    Portfreigabe neu erstellt. Per Default trägt die FritzBox dort die "Verbindungslokale IPV6" ein, damit

    funktioniert der Browserzugriff von aussen nicht.


    Wenn ich manuell die Öffentliche IPV6 eintrage (die 4 rechten Teile davon), dann funktioniert der Zugriff wenn ich meine komplette öffentliche IP im Browser verwende. Die komplette temporäre IP funktioniert nicht.


    Wenn ich in der Portfreigabe die rechten 4 Teile der temporären IPV6 nehme, dann geht es auch damit, aber dann natürlich nicht mehr mit der öffentlichen IPV6.


    Ich dachte immer, man soll nicht mit der öffentlichen im Internet rumrennen sondern die temporäre verwenden? Klar die ändert sich öfters, aber man kann ja dyndns verwenden?!?


    Was ist hier "best practise"?


    Meine IPV6 Adaptereinstellungen sind übrigens "IPV6-Adresse automatisch beziehen" und "DNS-Serveradresse automatisch beziehen", bleibt die öffentliche IPV6 trotzdem "statisch" oder sollte ich hier etwas festes eintragen?


    Für mich unverständlich, warum die FB in der Portfreigabe eine IPV6 (die Verbindungslokale) einträgt, die so nicht funktionieren kann, obwohl man explizit sagt dass man den Internetzugriff freigibt?!?


    Danke + Gruss


    Stefan

    Zitat von mrbutcher

    Default trägt die FritzBox dort die "Verbindungslokale IPV6" ein,

    Ja, natürlich. Weil das ist die Host-ID, die sich aus der MAC ableitet und nach EUI-64 berechnet wird. Die kennt die Fritzbox.

    Wenn du die statische IPv6 auf deinem Endgerät anders berechnen lässt (nicht nach EUI-64), musst du an dieser Stelle natürlich dafür sorgen, dass in der Fritzbox die richtige Host-ID eingetragen wird. Denn die kann die Box von allein nicht wissen (da ja abgehend vom Endgerät üblicherweise die temporäre Adresse verwendet wird). Natürlich muss da auch nur die Host-ID eingetragen werden, denn die identifiziert das Endgerät. Das Prefix ist ja für alle gleich.


    Zitat von mrbutcher

    Ich dachte immer, man soll nicht mit der öffentlichen im Internet rumrennen sondern die temporäre verwenden?

    Ja, abgehend schon. Wobei man über den Sinn streiten kann, denn das Prefix bleibt in allen Fällen das gleiche, und darüber kann man deinen Endkundenanschluss identifizieren. Aber seis drum.

    Eingehend macht es natürlich gar keinen Sinn, die temporäre Adresse zu nehmen. Die ändert sich alle paar Minuten und bei jedem Reboot. Wie sollen denn externe Geräte einen Server erreichen, dessen Adresse sich alle paar Minuten ändert? Wie soll man denn einen Server sinnvoll betreiben, dessen primäres Verbindungsmerkmal sich regelmäßig ändert? Bedenke: Du musst ja nicht nur eine dyndns Adresse oder sowas alle paar Minuten aktualisieren, sondern auch die Portfreigabe in der Fritzbox, und das von Hand? Bis du die Adresse aktualisiert hast, ist sie wahrscheinlich schon nicht mehr gültig. Und wie sinnvoll ist es, die Adresse eines Servers verschleiern zu wollen, aber seine URL öffentlich zu machen?


    Ich könnte noch stundenlang so weitermachen. Du hast es gemerkt, oder?


    Bei mir bekommen die Ziele von Portfreigaben eine statische Host-ID, entweder nach EUI-64 oder statisch vergeben. Dann hat man Ruhe.

    Es gibt noch mehr Adressarten mit Fallstricken. Die "cryptographically generated addresses" (CGA) und "stable privacy addresses" sind sehr ähnlich und haben für Serverbetrieb den gleichen Nachteil: Der Interface Identifier ist fest, aber nur solange sich das Präfix nicht ändert. Dann funktioniert das Setup mit der Firewall der Fritzbox, auch für längere Zeit und über Reboots hinweg, weil die Deutsche Glasfaser i.d.R. immer wieder das selbe Präfix zuteilt. Aber ab und zu, wenn die DG am Netz schraubt, ändert sich das Präfix. Die Fritzbox bildet dann die freigegebene Adresse aus dem konfigurierten Interface Identifier und dem neuen Präfix. Aber der Server berechnet sich einen neuen Interface Identifier, weil das Präfix gewechselt hat, also passt die Freigabe in der Fritzbox Firewall nicht mehr.


    Deswegen sollte man für den Serverbetrieb einen wirklich statischen Interface Identifier verwenden. Der kann aus der MAC-Adresse gebildet werden (EUI-64 Adresse) oder man kann ihn bei entsprechender Unterstützung im Betriebssystem des Servers auch selbst festlegen ("Tokenized Interface Identifier"). Ein Vorteil von letzterem ist, dass du keine Information über den Hersteller des Geräts in der Adresse hast. Es ist möglich, parallel zum statischen Interface Identifier auch temporäre Adressen für ausgehende Verbindungen zu verwenden.


    Eine Alternative wäre noch die Adressvergabe per DHCPv6 im LAN, wodurch der Router/DHCP-Server die Adresse des Geräts kennt und in der Firewall freigeben kann.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.