Deutsche Giganetz und IPv4/no AFTR

Hallo zusammen,

jetzt muss ich mich hier auch mit einer Frage anmelden.

Mein Schwiegervater bekommt einen Glasfaseranschluss von der Deutschen Giganetz. Letzten Dienstag wurden der HÜP und der ONT installiert und die PON-LED am ONT leuchtete gleich grün. Ein Schreiben mit den Zugangsdaten hat er schon erhalten, aber noch kein Schreiben, dass der Anschluss bereitgestellt sein.

Da dachte ich mir heute, ich könnte ja gleich den Router (FB 7530) anschließen und schauen, was der so macht.

Der Router konnte gleich eine Verbindung aufbauen, hat eine IPv6- und IPv4(*)-Adresse erhalten, DNS- und NTP-Server wurden auch verteilt.

Die Namensauflösung funktioniert, der Zugriff auf IPv6-Adressen im Internet auch.

Aber IPv4: das geht nicht. Ich bekomme auf keine IPv4-Adresse einen Zugriff, weder mit Ping direkt auf die IP (auch da, wo ich weiß, dass Ping nicht geblockt ist), noch mit anderen Protokollen.

Laut Dokumentation bei der Deutschen Giganetz ist DS-Lite in Benutzung, die Fritzbox wurde auch mit DS-Lite provisioniert, im Log kommt aber der Fehler "Internetverbindung IPv6: AFTR konnte nicht bezogen werden: Grund 7 (got no aftr).

Die Einstellung ist auf

IPv6-aktiv

IPv6-Anbindung - native IPv6-Anbindung verwenden - IPv4 über DS-Lite - AFTR-Adresse über DHCP beziehen

Das wurde so von der DGN provisioniert.

Ich habe etwas herumgespielt (nur v4-Anbidung verwenden usw), es war nie eine IPv4-Verbindung möglich.

(*) Die IPv4-Adressen, die ich dabei erhielt, wechselten. Ob das öffentliche waren weiß ich nicht, es waren aber keine RFC1918 oder CGN-Adressen. Ein davon war eine von Purtel (das würde ja passen, 93.127.248.x), eine andere begann mit 45 wie in unten genannten Thread.

Siehe NO AFTR - Fehlermeldung und kurze Abbrüche mit einem ähnlichen Problem, aber leider gab es dort keine Lösung mehr.

Ich weiß, dass das eigentlich eine Sache für den Support ist, aber ich kann dort schlecht anrufen, weil offiziell gab es ja noch kein Schreiben dass der Anschluss freigeschaltet sei. Aber ich bin eben Neugierig und will mögliche Probleme vorab lösen, weil der Anschluss 50 km von hier weg ist. Und remote komme ich ja nicht drauf.

Es gab hier in einem Thread die Info, dass bei Jemand aftr.fra.purtel.com genutzt wurde, das kann ich leider momentan nicht testen, da nicht vor Ort. Aber ich trage an solchen Stellen ohnehin ungern feste Werte ein.

Aber vielleicht kennt ja jemand das oder hat eine Idee, wenn ich wieder hinkomme

Nachtrag: falls es wenn interessiert, wo gerade aktiviert wird: PLZ 74182

Zitat von frank_m

Du könntest mit Hilfe von traceroute oder mtr herausfinden, wie weit die Pakete kommen. Dann hat man einen Anhaltspunkt, wo es hakt. Teste es mit allen Optionen, vor allem auch ohne DS-Lite, wenn du da eine IPv4 Adresse bekommst.

Werde ich testen, wenn ich wieder hinkomme (evtl in einer Woche). Habe das gar nicht erst versucht, weil ich der Meinung war, dass da ohne AFTR gar nichts rausgeht, weil er nicht weiß wohin damit. Ohne DS-Lite habe ich das nicht getestet, weil ich annahm, dass der Anschluss nur mit DS-Lite ginge. Aber nach

Zitat von DLMttH

Der Haken DS-Lite schadet aber nicht. Stellt der Provider IPv4 nativ zur Verfügung, erscheint nur die Meldung "got no aftr", das war's auch schon.

Ich würde einen Wireguard-Zugang anlegen und hoffen, dass der Internetzugriff irgendwann am Tag der Schaltung von selbst funktioniert. Dann lässt sich aus der Ferne auch herausfinden, ob alles sauber ist.

scheint das nicht so zu sein.

Interpretiere ich das richtig, dass bei im Router aktivierten DS-Lite der Router auch eine Verbindung ohne DS-Lite (also ggf. CGNAT oder direkt) versucht, wenn der AFTR nicht gesetzt ist, obwohl DS-Lite eingestellt ist?

Das wäre gut, weil mir die Einstellung von DS-Lite dann egal wäre und ich dann sicher sagen kann, dass die IPv4-Verbindung nicht erfolgreich war und der Anschluss also noch nicht voll betriebsfähig zu sein scheint. Kann das sein? IPv6 geht, IPv4 nicht? Müsste da nicht eigentlich beides gleichzeitig gehen, weil die Leitungen entweder geschaltet sind oder eben nicht. Aber so halb?

Einen Fernzugriff nicht nur auf die Fritzbox, sondern auf das ganze Netz werde ich haben, aber dazu muss es erstmal laufen. Auf das bestehende Netz habe ich Zugriff, aber die lassen sich leider nicht koppeln, um über das alte Netz auf das neue zugreifen zu können. Eine dafür nötige Leitung würde erst mit der Abschaltung des Koaxkabels verfügbar, aber das geht erst wenn das alte Netz "tot" ist. Und dann kann erst geschehen, wenn das neue läuft, aber dann kann der Zugriff gleich über das neue. Henne-Ei-Prinzip

Leider hat der Schwiegervater von IT nicht soviel Ahnung, dass ich ihn da mal schnell um ein paar Tests oder Einstellungen bitten kann.

Erstmal Danke für die Antworten

Zitat von frank_m

Auf Dauer ist eine korrekte Konfiguration sicher sinnvoll.

Das ist unstrittig. Nur wenn die laut Dokumentation korrekte Konfiguration nicht funktioniert, dann kommen eben solche Fragen auf.

Gerade, wenn der Router eine V4-IP zugewiesen bekommt, obwohl er keinen AFTR-Server vom DHCP bekommt, dann fange ich mich schon an zu wundern und frage mich, ob ich da vielleicht doch noch etwas nicht verstanden habe.

Zitat von DLMttH

Ja, du hast DS Lite nicht richtig verstanden. Der Router kann (nicht muss) eine IPv4-Adresse erhalten, wenn DS Lite nicht verwendet wird.

Wenn DS Lite verwendet wird, erhält der Router gar keine richtige IPv4-Adresse. Am Router selbst liegt dann nur IPv6 an, die IPv4-Verbindung endet am besagten AFTR-Gateway beim Provider. Dass dir die IPv4-Adresse im "Internet" mitgeteilt wird, ist nur eine Komfortfunktion, am Router selbst liegt diese wie gesagt nicht an, da du sie dir über das AFTR mit mehreren Nutzern teilst.

Ob es immer gut ist, den Haken mit DS Lite drin zu lassen, obwohl es nicht in Verwendung ist, kann ich nicht sagen. Ich kann aber sagen, dass der Haken in den mir bekannten Fällen bisher nicht geschadet hat. Wählt man zum Beispiel Vodafone als Provider in der Fritz!Box aus, ist der Haken auch immer gesetzt, obwohl so um die Hälfte der Vodafone DSL-Anschlüsse nur IPv4 haben.

Ohne DS Lite muss er eine IPv4 bekommen. Nicht unbedingt eine öffentliche, aber mindestens eine genattete. Sonst hätte er keine IPv4-Konnektivität und das wäre kein vollständiges Internet wie vertraglich geschuldet. Ohne IPv4 wüsste er ja nicht, wohin ein v4-Paket schicken.

Beim Rest habe ich wohl die Angaben der Fritzbox falsch interpretiert, aber Du hast ansonsten recht, irgendwas hatte ich da wohl noch nicht ganz verstanden, und einzelne Seiten schreiben dazu Mist, was zu Verwirrung führte.

Für mich war das eigentlich ein normaler 4-in-6-Tunnel, aber da gibts verschiedene Versionen, was wo vergebene IP-Adressen betrifft, bei dem dann zusätzlich der Router die Adressen aus dem internen Netz NATtet. Selbst https://www.elektronik-kompendium.de/sites/net/2010211.htm widerspricht sich da: Das NATting ist da nur auf der Providerseite im Bild enthalten, aber natürlich muss auch der Kundenrouter schon ein NATting machen, was dann im Text auch erwähnt wird.

Und dass ich nicht verstanden habe, was bei dem Anschluss gerade passiert, ist offensichlich. Sonst würde ich ja hier nicht fragen

Aber inzwischen denke ich, dass das Problem beim Provider liegt und nicht in meinem Verständnis.

Zitat von Elemir

Beim Rest habe ich wohl die Angaben der Fritzbox falsch interpretiert,

Da muss ich mich selber korrigieren: nein, eben nicht. Da ich ja keine keine AFTR-Adresse erhalten habe, war das kein DS-Lite und somit die korrekte erhaltene IPv4, aber eben ohne DS-Lite und ohne Verbindung nach außen.

Update: heute kam die Mail, dass der Anschluss seit gestern(?) freigeschaltet sei. Also hätte es gestern funktionieren müssen.

Ich werde die Tage nochmal hinfahren, es erneut testen und ggf. dann bei deren Hotline anrufen.

Zitat von jan

Bei DS-Lite muss der Router tatsächlich kein NAT durchführen. Ausgehende IPv4-Pakete aus dem Heimnetz werden mit ihrer ursprünglichen Quelladresse über den Tunnel geschickt.

Wenn das NAT erst und nur beim Provider erfolgt, wie kann dieser dann zwischen doppelten IPs auf Kundenseite unterscheiden? Die 192.168.178.20 als erste von einer Fritzbox vergebene IP dürfte dann ja ziemlich häufig vorkommen, wenn diese nicht schon im Kundenrouter genattet wird?

Zitat von HubeBube

Yep, NAPT wird hierfür verwendet. Juniper beschreibt das im ersten Drittel ganz gut: https://www.juniper.net/documentation/…stack-lite.html

Danke, das ist eine gute Erklärung, sowas habe ich gesucht.

Nun zurück zum eigentlichen Thema: war heute vor Ort, habe die FB komplett resettet und sich die Konfiguration neu holen lassen. Keine Veränderung der Situation, also Verbindung nur per IPv6, aber nicht per IPv4.

Laut log immer noch "no aftr", somit kein DS-Lite, sondern direktes IPv4, was ja nicht geht.

Ein Traceroute endet bei der IP der Fritzbox, danach nur noch Zeilen mit * * *.

Dann habe ich den aftr.fra.purtel.com manuell als AFTR-Server eingetragen. Und siehe da, auf einmal geht auch IPv4.

Das könnte es gewesen sein, wenn ...

Mit zwei Dingen bin ich aber nicht glücklich: erstens mag ich solche manuellen Einträge nicht, könnte ja sein, der Provider ändert da mal etwas, nichts geht mehr und die Fehlersuche beginnt. Wenn, dann muss das out of the box laufen oder dokumentiert sein. Nur etwas eintragen, weil man da etwas gefunden hat, kann es nicht sein - zumal ich ja der einzige mit dem Problem zu sein scheine.

Und ein zweites Problem hat sich nun aufgetan: alle Verbindungen bringen nur 1 MBit/s! Egal, ob per IPv4 oder IPv6. Per breitbandmessung.de, per fast.com und per iperf3. Laptop war direkt per Kabel am Router angeschlossen.

Anfruf kurz vor 20h bei der Hotline war ergebnislos, hat gemeint Technik sei nur bis 18h im Haus, ich solle morgen nochmal anrufen.

Zitat von frank_m

Aber die Box hat eine IPv4 bekommen? Was waren Defaultgateway und DNS Server?

Vollkommen korrekt. Das kann so nicht sein.

Wie ist der Traffic Shaper bei dir eingestellt?

Ohne den manuellen AFTR Eintrag hat sie eine IPv4 bekommen:

In dem Screenshot, den ich noch habe (hat ja ein paar mal gewechselt bei den Versuchen):

IPv4: 93.127.253.127

DNS 185.39.86.6 und 91.200.108.68

Gateway 185.39.84.13

Mit manuellem AFTR-Eintrag zeigt sie das im Abschnitt Internet nicht an, sondern ich sehe das nur über System - Ereignisse. Da gibt es dann aber auch kein IPv4.

Traffic-Shaping ist doch eine DSL-Einstellung, die habe ich nicht (zumindest nicht gefunden), wenn das über das GF-Modem geht. Ober übersehe ich etwas?

Ticket bei DGN ist eröffnet, aber noch ohne Rückmeldung.