Deutsche Glasfaser IPv6 mit FritzBox 7590 und Erreichbarkeit des internen Servers über Port 30000

    Hallo zusammen,

    nach unzähligen Stunden der Recherche und des Probierens bin ich an dem Punkt, an dem ich Unterstützung Brauche. Ich habe viele Artikel und Videos von AVM durch und auch in vielen Foren gelesen. Jedoch hat mir bisher nichts geholfen.

    Folgender Hintergrund:

    1. Ich lasse auf meinem Macbook die Anwendung Virtual VTT laufen. Auf dies sollen Nutzer über das Internet zugriff haben.

    2. Der Zugriff erfolgt über den Port 30000.

    3. Internetprovider ist die Deutsche Glasfaser, daher kann der Zugriff nur über IPv6 erfolgen.


    Umgesetzte Maßnahmen in FritzBox 7590:

    1. Portfreigabe für Port 30000

    2. IPv6 aktiviert und eingerichtet (Basis ist folgendes Video: https://www.google.com/url?sa=t&sourc…Usl1tYY0lgqF-Z8)


    Verhalten:

    1. Aus dem Lan kann ich auf den Server zugreifen. Dabei habe ich die IPv6 Adresse verwendet, die mir https://test-ipv6.com anzeigt (http://[IPv6]:30000)

    2. Aus dem Internet über einen anderen Rechner funktioniert der Zugriff nicht.


    In der FritzBox sieht die IPv6 Adresse wie folgt aus (die mittleren Teile sind identisch und wurden nur unkenntlich gemacht):

    IPv6-Adresse: 2a00:xxxx:yyyy:b100::1/64, Gültigkeit: 3141/3141s
    IPv6-Präfix: 2a00:xxxx:yyyy:b100::/56, Gültigkeit: 3141/3141s

    Meine Frage ist jetzt ob jemand eine Idee hat welche Informationen ich noch bereitstellen muss um zu analysieren warum der Zugriff von aussen nicht klappt?

    Ich bin für jede Hilfe jetzt schon dankbar.


    Grüße


    Zoltan

    Ist dein anderes Endgerät ipv6 tauglich?

    Ist die Freigabe auf das richtige interne Gerät auf dessen ipv6 Addresse freigegeben?

    Verbindest du auf deine ipv6 der Fritzbox oder des Servers von außen?

    Schon mal vielen Dank!

    Das Macbook als Endgerät hat aktiviertes IPv6 und eine zugewiesene Adresse. Präfix passt auch zur Fritzbox. Die Freigabe ist auch für das richtige Gerät erfolgt. Ich habe versucht auf die IP zu verbinden, die in der Freigabe genannt wird und auch auf die, welche von Aussen angezeigt wird.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Falls relevant, folgendes ist für die verwendeten IPv6 Präfixe vermerkt:

    Verwendete IPv6 Präfixe:

    Heimnetz

    2a00:xxxx:yyyy:b101::

    /

    64

    Gastnetz

    2a00:xxxx:yyyy:b102::

    /

    64

    WAN

    2a00:xxx:yyyy:b100::

    /

    64

    Ich nehme an, dass auf deinem MAC-Book die sog. "privacy extension" für IPv6 aktiviert ist? In diesem Fall hat das MAC-Book dann neben einer permanenten IPv6-Adresse aus 2a00:xxxx:yyyy:b101::/64 auch eine temporäre IPv6-Adresse aus 2a00:xxxx:yyyy:b101::/64 - beide unterscheiden sich in den hinteren 64-Bits, der sog. "IPv6 Interface ID". Du musst herausfinden, welche von den beiden die permanente "IPv6 Interface ID" ist. Diese muss in der Fritzbox für dein MAC-Book ebenfalls als "IPv6 Interface ID" vermerkt sein (andernfalls dort manuell überschreiben), und bei der Auswahl des MAC-Books in der Freigabe muss ebenfalls diese permanente IPv6 Interface ID angezeigt werden.

    Sodann ist mir aufgefallen, dass du für das WAN das erste /64-Präfix 2a00:xxx:yyyy:b100::/64 aus deinem /56-PD-Block verwendest. Das entspricht nicht einer mustergültigen Einstellung für einen DG-Anschluss, denn an dem wird die WAN-Adresse normalerweise von der DG zugewiesen und stammt nicht aus dem /56-PD-Block. Vermutlich hast du in der Fritzbox die Option "Native IPv6-Anbindung verwenden" gewählt und dann zusätzlich die Option "Globale Adresse aus dem zugewiesenen Präfix ableiten" - so wie's der Herr Ingenieur aus dem Video gezeigt hat - nunja.

    Du solltest stattdessen nur die Option "Native IPv4-Anbindung verwenden" wählen.

    Ich habe mal auf "native IPv4-Anbindung" umgestellt. Am Mac ist die Option Private WLAN-Adresse deaktiviert.

    Jetzt sehen die Adressen wir folgt aus. Aber noch keine Änderung in der Funktion

    Heimnetz

    2a00:xxxx:4798:b100::

    /

    64

    Gastnetz

    2a00:xxxx:4798:b101::

    /

    64

    WAN

    2a00:xxxx:1000:45::

    /

    64

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von ZimmerZoltan

    Am Mac ist die Option Private WLAN-Adresse deaktiviert.

    Das ist gut. Es ist aber was anderes (Link), als die von mit erwähnten "privacy extensions" für IPv6. Die sind vermutlich immer noch aktiv, was du daran sehen kannst, dass du 2 IPv6-Adresse aus 2a00:xxxx:4798:b100::/64 hast. Das oben von mir Gesagte gilt also weiterhin (von den beiden ist die permanente Adresse zu bestimmen und für die Freigabe in der Fritzbox zu verwenden).

    ich kann einen Teilerfolg vermelden! Ich habe von den 4 angegebenen IPv6 Adressen beim Mac die Inteface IDs durchprobiert und in der Fritzbox ersetzt. Die dritte war die richtige. Jetzt klappt der Zugriff aus dem Internet. Schon mal super, vielen Dank!!!

    Jetzt die Frage. Da das Rotieren der Adresse am Mac deaktiviert ist, sollte die Interface ID immer gleich bleiben. Wenn ich jetzt DynDNS verwende, sollte ich mir doch einen permanenten Link aufbauen können oder

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von ZimmerZoltan

    Jetzt die Frage. Da das Rotieren der Adresse am Mac deaktiviert ist, sollte die Interface ID immer gleich bleiben. Wenn ich jetzt DynDNS verwende, sollte ich mir doch einen permanenten Link aufbauen können oder

    Ja, dann hast du mit der dritten von den Vieren offenbar die permanente erwischt. Deine Frage ist mit "Ja" zu beantworten, sofern deine DynDNS-Lösung auch wirklich diese Adresse deines MAC-Books (und nicht etwa die IPv6-Adresse vom WAN-Port des Routers) beim DnyDNS-Provider registriert.

    Btw.: Du hättest 2a00:xxxx:4798:b100:: besser so maskiert: 2a00:6020:47YY:YY00::

    Die YYYY sind individuell für deinen DG-Anschluss, xxxx=6020 ist hingegen allgemein bekannt für DG-Anschlüsse.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    jetzt ist mir noch was aufgefallen. Nach dem Neustart hat der Mac eine neue Interface ID vergeben. Die müsste ich jetzt ja wieder in der Fritzbox eingeben. Gibt es eine Möglichkeit, dass die Fritzbox dem Mac immer die gleiche Interface ID zuweist?

    Wenn du "private WLAN-Adressen" abgeschaltet hast, dann sollte dein MAC-Book nur eine einzige, dauerhafte MAC-Adresse aufweisen.

    Aus der generiert das System pro zugewiesenem IPv6-Präfix (fe80::/64, 2a00:6020:4798:b100::/64, evtl. fd00::/64) nach einem Algorithmus auch eine feste/dauerhafte IPv6-Interface-ID. Die für 2a00:6020:4798:b100::/64 zugewiesene feste IPv6-Interface-ID ist für die Freigabe zu verwenden. Sie muss auch nach jedem Neustart dieselbe sein.

    Daneben kann es bei aktivierten "IPv6 privacy extensions" für die globalen Präfixe (2a00:6020:4798:b100::/64 + evtl. fd00::/64) zusätzliche IPv6-Adressen geben, die temporäre Interface-IDs verwenden. Diese ändern sich von Zeit zu Zeit und dürfen nicht für Freigaben verwendet werden. Die Adresse, die du z.B. bei https://test-ipv6.com/ im Webbrowser am MAC-Book angezeigt bekommst, ist dessen temporäre Adresse.

    Einmal editiert, zuletzt von ::1 (5. Juni 2025 um 05:24)

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von HubeBube

    Erreicht man bei MacOS das Deaktivieren der IPv6 Privacy Extension durch Änderungen der WiFi Einstellungen?

    "IPv6-Privacy Extensions" und "Apple Private WLAN-Adressen" haben nicht miteinander zu tun. Letzteres ist ein proprietäres Apple-Feature (Infos siehe hier). Ich kannte das bisher auch nicht - ich hatte mich nur gewundert, dass das iPad meiner Frau in der Fritzbox alle paar Wochen verschwindet und als neues unbekanntes Gerät mit anderer MAC-Adresse wieder erscheint - bin dem seinerzeit nachgegangen und auf dieses Feature als Folge rollierender MAC-Adressen gestoßen.

    In der logischen Folge löst dies dann natürlich auch nicht das Problem von ZimmerZoltan. Er muss seinem Mac beibringen, wie er Privacy Extensions im OS deaktiviert. Andernfalls taucht das Zugriffsproblem erneut auf. Eine bzw. zwei mögliche Lösungen sind hier beschrieben: https://jason.re/post/disable-i…nsion-on-macos/

    Nachtrag für Mausschubser: oder über das hier empfohlene Tool https://www.heise.de/ratgeber/IPv6-…83.html?seite=5

    2 Mal editiert, zuletzt von HubeBube (5. Juni 2025 um 11:22)

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat

    Er muss seinem Mac beibringen, wie er Privacy Extensions im OS aktiviert. Andernfalls taucht das Zugriffsproblem erneut auf.

    ? Meintest du "deaktiviert" ? Aber wieso sollte er sich um Aktivierung/Deaktivierung bemühen? Aktuell sind sie wohl aktiviert. Er muss lediglich herausfinden, welche seiner Interface-Adressen die permanente ist: Er hat pro globalem Präfix eine permanente und bei aktiven privacy extensions zusätzlich eine temporäre Adresse - die temporäre ersetzt m.W. nicht die permanente (obwohl ich irgendwo im Hinterkopf habe, dass sich das künftig ändern soll - muss noch mal in den neuesten RFC dazu recherchieren - falls ja, und in MACOS schon so implementiert, hast du recht).

    Yep, ich meinte aktiviert, habe es jedoch mittlerweile in deaktiviert geändert. Alle IPv6 tauglichen Systeme ändern wegen der Privacy Extensions ihren IPv6 Hostbestandteil/Interface Identifier regelmäßig, bei einem Serverdienst/Dämon ohne automatisch aktualisierenden DynDNS ist das kontraproduktiv.

    Privacy Extensions (IPv6)
    www.elektronik-kompendium.de

    Mit einem Global Scope/GUA könnte für Serverdienste/Dämons gearbeitet werden, das erfordert jedoch weitergehenden Konfiguration des Daemons, sofern dies überhaupt möglich ist. Daher ist häufig die universeller Lösung das Abschalten der PE.

    Ich sehe bei aktivierten PE auch keine wesentliche Verbesserung beim Datenschutz, das ist jedoch nur meine persönliche Meinung.