Deutsche Glasfaser IPv6 Routingprobleme

Hallo Miteinander,

ich wurde im November von DTAG DSL auf DG umgestellt und habe bei der DG das Problem, dass ich für IPv6 keine eingehenden Verbindungen aufbauen kann. Meine HW ist eine FB7530 per LAN1 an einem Nokia ONT von der DG. Zum Test habe ich mir hierzu die Fernwartungsfunktion der Fritzbox aktiviert, die lauscht nun auf Port 49102. Ich kann aus meinem LAN hinter der Fritzbox die Fernwartung über die globale IPv6 Adresse erreichen. Der Service ist als definitiv aktiv. Von meinem Contabo VPS im Internet ist jedoch keine Verbindung zur IPv6 Adresse der FB möglich. Für eine genauere Analyse habe ich mir eine Ubuntu Server Kiste als Layer 2 Bridgedevice konfiguriert und diese zwischen ONT und Fritzbox eingesteckt, so dass der ganze Traffic über diese Bridge muss und per tcpdump mitgeschnitten werden kann. In der angehängten Grafik kann man das sehen, die IP Adressen habe ich im Diagramm geändert aus verständlichen Gründen.

Ich habe nun auf dem Contabo Server und auf der Bridge Kiste tcpdump gestartet, von dem Contabo Server einen http Request per curl Richtung Fernwartung abgesetzt und nach dem curl Timeout das Ganze wieder gestoppt. In Wireshark sieht man in den Dumps deutlich, dass die TCP SYN Pakete vom VPS auf der FB ankommen und dort auch mit SYN,ACK beantwortet werden. Leider frisst aber der Router von der Deutschen Glasfaser exakt diese SYN,ACK Rückpakete, sie kommen nie auf dem VPS an. Es liegt aber nicht an dem VPS, ich kann auch von diversen Testseiten "anderswo" im Internet traceroute6 per ICMP oder TCP oder UDP versuchen, immer das gleiche Ergebnis. Der DG Router leitet keine Pakete zur Source IP zurück, wenn diese im "Internet" liegt. Nur in Richtung Source FB > Target Internet funktioniert die IPv6 Kommunikation wie sie eigentlich soll.

Ein Ticket habe ich bei der DG schon Ende November aufgemacht, es leidet aber extrem unter Unkenntnis/Unverständnis (Helpdesk) und Trägheit (Backoffice).

Hat jemand ähnliche Symptome bei sich beobachtet, oder ist dies bei mir ein Einzelfall?

cu, Dr Froeschle

Zitat von HubeBube

In einem IPv6 Netz wird nie von extern die Adresse des Routers angesprochen, da kein NAT notwendig ist! Lediglich die IPv6 Adresse des anzusprechen den Gerätes im Heimnetz ist in der Firewall des Routers freizugeben/zu öffnen. Am Besten nur die notwendigen Ports!

[...]

Ich habe doch gar kein Gerät aus dem Heimnetz, welches ich freigeben müsste. Die Fernwartung ist doch ein Service der Fritzbox, also wird er auch an die globale Adresse der Fritzbox gebunden. Auch myfritz.net löst genau auf diese Adresse auf.

Zitat von frank_m

Nachtrag: Was passiert, wenn du aus deinem Heimnetz einen Trace auf deinen VPS machst?

root@internerserver:/# traceroute6 2a02:c206:1234:5678::1
traceroute to 2a02:c206:1234:5678::1 (2a02:c206:1234:5678::1), 30 hops max, 80 byte packets
1 fritz.box (2a00:6020:8765:4321:3ea6:2fff:fe44:183a) 1.301 ms 1.249 ms 1.218 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 ffm-bb1-v6.ip.twelve99.net (2001:2034:1:6b::1) 18.455 ms 13.084 ms 15.288 ms
7 ddf-b3-v6.ip.twelve99.net (2001:2034:0:195::1) 17.629 ms 16.171 ms 16.438 ms
8 anonymous-ic-386520.ip.twelve99-cust.net (2001:2035:0:25e6::2) 22.439 ms 20.056 ms anonymous-ic-359931.ip.twelve99-cust.net (2001:2035:0:f2b::2) 15.941 ms
9 vmdxxxxxx.contaboserver.net (2a02:c206:1234:5678::1) 25.820 ms 24.561 ms 26.526 ms

Anmerkung: Start und Zieladressen wurden wieder unkenntlich gemacht.

Zitat von frank_m

Wie sieht ein Trace von deinem VPS auf die Adresse der Fritzbox aus? Und wie sehen deine tcpdumps aus, wenn nicht die Ubuntu Bridge dazwischen hängt?

root@vmdxxxxxx:~# traceroute6 2a00:6020:8765::4321
traceroute to 2a00:6020:8765::4321 (2a00:6020:8765::4321), 30 hops max, 80 byte packets
1  2a02:c206::a (2a02:c206::a)  0.905 ms  0.493 ms  0.301 ms
2  * 2001:1900:5:2:2::3a81 (2001:1900:5:2:2::3a81)  24.816 ms  24.625 ms
3  lo-0-v6.ear4.Frankfurt1.Level3.net (2001:1900:2::3:12b)  4.172 ms  5.234 ms  5.186 ms
4  2001:438:ffff::407d:c7d (2001:438:ffff::407d:c7d)  8.903 ms  4.329 ms  8.735 ms
5  ae27.cs1.fra9.de.eth.zayo.com (2001:438:ffff::407d:1efe)  7.135 ms  5.160 ms *
6  ae1.mcs1.fra9.de.zip.zayo.com (2001:438:ffff::407d:1d41)  5.034 ms  11.722 ms  10.638 ms
7  * * *
8  2a00:6020:0:1d::1 (2a00:6020:0:1d::1)  10.426 ms * *
9  2a00:6020:0:b::2 (2a00:6020:0:b::2)  13.765 ms  15.731 ms  15.867 ms
10  * * *
11  * * *

dann bis 30 Sternchen. Ich komme immer genau bis zum 2a00:6020:0:b::2 , egal von wo extern ich trace. Also wird vermutlich der Hop danach die Probleme bereiten.

Ohne Ubuntu Bridge ist das Verhalten exakt gleich. Die Bridge funktioniert auf L2, wie ein Switch, holt sich also keine IP Adresse per DHCP oder so. Alle Ethernet Frames werden durchgereicht. Ohne die Bridge kann ich allerdings nur noch auf der FB direkt Dumps ziehen. Da ich aber der FB etwas misstraut hatte (der AVM Support hatte mein Problem auch nicht so richtig verstehen wollen), habe ich die Bridge dazwischengebaut um definitiv sehen zu können, was sich vor der Haustüre der FB abspielt.

Zitat von mbo77

Hast du testweise mal mit nc zwischen dem VPS und einem System bei dir im Netzwerk Verbindungen getestet? Also aus beiden Richtungen?

Ist denn IPv6 generell ok? Kannst du entsprechenden Ziele erreichen?

Jo, ergibt sich ja aus den Tests, die ich bisher gemacht und dokumentiert habe. IPv6 raus funktioniert alles wie es soll. Wenn curl und DNS und der Browser tun, wird's an netcat nicht mehr scheitern...

Zitat von frank_m

Das funktioniert aber erfahrungsgemäß sehr gut. Es reicht ja, dass die Ubuntu Bridge von sich aus Broad- oder Multicasts ins Netz spielt, dann kann das schon Probleme bereiten.

Eine Erklärung hab ich auch noch nicht für deine Probleme, außer, dass bei den Adressen was schiefläuft. Aber das musst du selber beurteilen, da du sie ja unkenntlich machst.

Broad/Multicast kann nicht sein, dafür bräuchte das Interface erstmal eine IP Adresse. Außerdem habe ich ja die Probleme auch ohne die Ubuntu Bridge. Die ist nur zur Analyse dazwischen.

An ein Problem mit den Adressen als solche glaube ich nicht, denn in meinen Wireshark Screenshots kann man ja sehen, dass die TCP SYN,ACK von der Fritzbox "zurück"gesendet werden. Und im zweiten Screenshot sieht man, dass diese nicht ankommen. Ich habe den gleichen Test auch ohne Bridge dazwischen gemacht, also direkt ONT an Fritzbox. Dann sieht es auf VPS Clientseite exakt gleich aus.

Zitat von frank_m

Es kann aber trotzdem das Verhalten beeinflussen.

Man sieht aber nicht, was zurückgesendet wurde, z.B. in Bezug auf MTU, TTL usw. Es gibt zahlreiche Gründe, warum das Paket vielleicht nicht zurückkommt. In Bezug auf die Adressen: Wenn du irrtümlich die LAN anstatt der WAN Adresse der Fritzbox verwendest, könnte das die Probleme erklären.

Es fällt halt auf, dass die Pakete durchkommen, wenn sie Antworten auf deine ausgehenden Pakete sind, und nicht, wenn du sie proaktiv an deine Adresse schickst. Da kommt unmittelbar der Verdacht, dass die ausgehenden Pakete von einer anderen Quelladresse sein könnten.

Die ipv6 Adresse ist völlig in Ordnung. Siehe den angehängten Screenshot, Ich habe mal das Pixeln weggelassen.
Wenn ich in Wireshark den Capture auf

ipv6.src == 2a00:6020:7380::1735

filtere, dann bekomme ich auch anderen Traffic angezeigt, welchen die Fritzbox selbst als SourceIP initiiert. Z.B. DNS Request Forwards oder Versuche, eine Wireguard Verbindung zu einer anderen FB herzustellen, was unter anderem eines der Endziele der ganzen Aktion ist. Alle diese Pakete gehen mit der 2a00:6020:7380::1735 als Source IP ab. Es wird also nur die eine Global Unicast Adresse verwendet, nicht unterschiedliche.

Zitat von mbo77

Mir fehlt aber eine eingehende Verbindung, die sich nicht an die Fritzbox richtet.

So, habe ich heute vormittag nachgeholt. Sehr interessantes Ergebnis. Hab auf einem Heimlinux einen Docker nginx Container aufgesetzt und den Port an der Fritzbox freigegeben. Ich kann aus dem Internet auf den Server zugreifen, "Hello World" funktioniert. Der Server ist allerdings mit einer Adresse aus dem propagierten Präfixnetz der FB sichtbar. Soweit wunderbar. Stellt sich nun die Frage, warum die IPv6 Systeme hinter der Fritzbox eine Rückroute bekommen, aber die Globale IPv6 Adresse der Fritzbox selbst nicht? Die Fritzbox registriert sich selbst ja auch nicht mit einer Adresse aus dem Präfixnetz bei myfritz oder einem anderen DynDNS Anbieter. Sondern halt nur mit der Adresse ohne Rückroute. Grmpf. Größtes Problem nun: Erklär das mal den Helden bei der Deutschen Glasfaser...