IPv6 Ping Funktioniert nicht

    Hallo zusammen,


    ich habe heute dieses Forum gefunden und bin begeistert dass es endlich sowas gibt. Versuche immer wieder mal irgendwie eine Lösung zu finden wie ich mein Heimnetz mit DG von außerhalb erreiche. Leider bisher ohne Erfolg. Mein Ziel ist entweder VPN oder Portfreigabe per Portmapping über einen gemieteten Server.


    Kurze Vorgeschichte:


    Bin bereits seit etwa 3-4 Jahren Kunde bei der DG zuerst bei NEW und dann aufgrund meiner gewünschten Umstellung auf Modem aufgrund von Routerfreiheit bei DG direkt. Ich habe noch den alt (hässliche) Anschluss wo jetzt einfach der Router auf Modem umgestellt wurde.


    Dahinter habe ich nun auf LAN1 meine FritzBox 7490 angeschlossen und erhalte eine IPv6 (vor der Modem Umstellung nicht).


    Vor etwa einem halben Jahr habe ich mir einen Server bei IONOS (für 1€ monatlich) gemietet. Dieser sollte nach einer Anleitung die ich gefunden habe als Tunnel dienen. Soweit so gut. Alles eingerichtet aber ging nicht. Nun habe ich mich heute wieder auf die suche gemacht und bin auf etwas sehr spannendes gestoßen was ich vorher leider so nicht direkt gemerkt habe wie heute.


    Ich habe soweit alles eingestellt wie in diesem folgendem YouTube Video bis 6:40 Minuten. Also quasi IPv6 eingeschaltet, "Globale Adresse ausschließlich per DHCPv6 beziehen" und "DNS-Server und IPv6-Präfix (IA_PD) zuweisen" eingeschaltet.


    Danach habe ich unter Freigabe PING6 für meinen PI eingerichtet. Dieser hat auch eine IPv6 bezogen (sowohl fest als auch fe80).


    Nun versuche ich den Ping über meinen IONOS Server welcher auch eine v6 IP hat aber ich erhalte folgende Rückmeldung (einige Daten habe ich absichtlich zensiert):


    Code
    root@localhost:~# ping 2a00:6020:15fb:**************
PING 2a00:6020:15fb:c300:**********(2a00:6020:15fb:***********) 56 data bytes
From 2a00:6020:1000:5:994f:***********: icmp_seq=1 Destination unreachable: Administratively prohibited


    Was ich komisch finde ist, dass er eine andere IP anpingt anstatt meine eingegebene und das der PING nicht Funktioniert.


    Ich habe ein WHOIS auf die IP gemacht die Antwortet und das soll die DG sein.


    Habt ihr eine Idee woran es liegen könnte und einen Lösungsweg?


    Bin im übrigen FiSi also nicht ganz schon im Thema ^^


    LG

    Andreas

    Moin,


    die Fritzbox antwortet dir mit einem ICMP Administravily Prohibited, weil die Firewall der Fritzbox ICMPv6 zu deinem Endgerät blockiert. Die Debatte wie sinnvoll diese Einstellung ist spare ich mir jetzt mal.


    Du kannst in der Fritzboxoberfläche ICMPv6 in der Firewall erlauben. https://www.bjoerns-techblog.d…ered-an-fritzbox-beheben/


    Edit: Gerade gesehen, das du Ping6 bereits freigegeben hast. Kannst du das nochmal kontrollieren? Ist das die IP der Fritzbox von der du den Reply bekommst? Kannst du bitte einmal ein mtr/traceroute ausführen?

    • Offizieller Beitrag

    Du versuchst, von deinem IONOS Server ausgehend deinen Raspberry Pi anzupingen, aber ein Router lässt die Pings nicht durch (Destination unreachable: Administratively prohibited = Der Admin hat die Durchleitung der Pings verboten bzw. nicht erlaubt.)


    Dein Router bekommt eine Adresse für sich und ein Präfix für die anderen Computer in deinem Netz. Die Adresse deines Routers ist aus dem Bereich 2a00:6020:1000:... und sollte im Webinterface der Fritzbox angezeigt werden. Es sollte die Adresse sein, die die "unreachable" Nachricht schickt. Wenn das so ist, musst du deinen Raspberry Pi in der Fritzbox Firewall freigeben. Das ist so ähnlich wie eine Portweiterleitung bei IPv4, aber in diesem Fall wird nur die Firewall für diese Pakete geöffnet. Im Video wird das ab etwa 6:10 gezeigt, nachdem auch dort die Pings ohne die Freigabe nicht durchgehen. Wenn die 2a00:6020:1000:... Adresse nicht die Adresse deiner Fritzbox ist, dann melde dich bitte nochmal.


    Der Teil um 3:50 in dem Youtube Tutorial ist übrigens falsch erklärt: Die Einstellung ist für Router, die an der Fritzbox angeschlossen sind und selbst wieder IPv6-Adressen vergeben können sollen. Dazu delegiert die Fritzbox mit dieser Einstellung ein Präfix an Geräte, die sowas anfordern. IA_PD steht für Identity Association Prefix Delegation. Geräte, die keine Router sind, tun das normalerweise nicht und brauchen das auch nicht.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Wow danke für die schnellen Antworten. Ich beantworte mal nach der Reihenfolge:


    Waishon genau ich habe das PING6 bereits freigegeben:




    Ich habe auch mal die Verlinkte Seite testen lassen. Hier das Ergebnis:



    Denke mal du wolltest ein Traceroute auf den PI?


    Code
    root@localhost:~# traceroute 2a00:6020:15fb:*****
traceroute to 2a00:6020:15fb:***** (2a00:6020:15fb:*****), 30 hops max, 80 byte packets
 1  fd8b::2 (fd8b::2)  0.547 ms  0.564 ms  0.573 ms
 2  ae-20-202.gw-distp-a.bap.rhr.de.oneandone.net (2001:8d8:0:202::a)  1.114 ms * *
 3  ae-0-0.bb-a.bap.rhr.de.oneandone.net (2001:8d8:0:9::8)  21.584 ms  21.584 ms  21.567 ms
 4  ae-10-0.bb-a.fra3.fra.de.oneandone.net (2001:8d8:0:2::f1)  5.696 ms  5.702 ms  5.691 ms
 5  pr1.int63-fra.dg-w.de (2001:7f8::eb86:0:1)  6.587 ms  6.598 ms *
 6  2a00:6020:0:d::2 (2a00:6020:0:d::2)  6.548 ms 2a00:6020:0:c::2 (2a00:6020:0:c::2)  5.542 ms 2a00:6020:0:d::2 (2a00:6020:0:d::2)  5.326 ms
 7  lo1007.kr1.ggt-001.dg-ao.de (2a00:6020:1000:5::1)  9.356 ms  9.462 ms  9.276 ms
 8  2a00:6020:1000:5:994f:ebb:5107:de84 (2a00:6020:1000:5:994f:ebb:5107:de84)  9.856 ms !X  9.920 ms !X  9.745 ms !X


    alfalfa Folgendes IPs habe ich im Online-Monitor:


    Code
    Internet, IPv6
 
verbunden seit 03.07.2020, 19:35 Uhr, Deutsche Glasfaser,
IPv6-Adresse: 2a00:6020:1000:*******, Gültigkeit: 2532/1182s,
IPv6-: 2a00:6020:15fb:****::/56, Gültigkeit: 2532/1182s



    Die IPv6-Adresse habe ich angepingt - das Funktioniert. Die Rückantwort auf den Ping zu dem PI ist auch tatsächlich die FritzBox Adresse - da hast du recht.


    Ich muss ja wenn ich richtig verstehe die IP anpingen welche der PI bekommen hat oder? Die fängt an wie der IPv6-Präfix also: 2a00:6020:15fb:****

    So auch im Video gezeigt.


    Die Freigabe (siehe oben) habe ich ja bereits gemacht also sollte das doch passen oder?



    Ist die Einstellung dann richtig gesetzt wie in 3:50 gezeigt?



    Danke für eure Hilfe! Verzweifle echt langsam.

    • Offizieller Beitrag

    Da von deinem Router eine Antowrt kommt, erreichen die Pings dein Netz. Das heißt, der Fehler liegt nicht bei der DG, was eine gute Nachricht ist. Eigene Fehler sind leichter zu finden, als die DG zu Fehlerkorrekturen zu bewegen. Ja, die Adresse des Raspberry Pi sollte angepingt werden, aber es muss auch die richtige Adresse sein.


    Bei IPv6 gibt es mehrere Adressen. Die fe80:... Adresse z.B. ist nur im LAN nutzbar. Aber auch innerhalb des von der DG zugeteilten Präfix kann der Computer mehrere Adressen haben. Je nach Adressvergabe können das z.B. mehrere temporäre Adressen sein, um Tracking zu erschweren ("Privacy Extensions"). Außerdem kann eine Adresse dabei sein, deren Interface ID sich ändert, wenn sich das Präfix ändert, aber ansonsten gleich bleibt. Ganz klassisch können IPv6 Adressen aber auch eine statische Interface ID haben.


    Gib auf dem Raspberry Pi mal "ip a" (kurz für ip address) ein und schau dir die Liste der IPv6 Adressen an. Hinter jeder Adresse steht, was für eine Art Adresse das ist. Die "temporary" Adressen sind kurzlebig. Wenn du die in der Fritzbox freigibst, hält die Freigabe nicht lange. Die Adressen verschwinden nach relativ kurzer Zeit und werden durch neue ersetzt, die dann wieder nicht freigegeben sind.


    Die letzten vier Blöcke einer möglichst langlebigen IPv6 Adresse des Raspberry Pi mit "scope global" müssen die Interface-ID sein, die in der Fritzbox freigegeben wird. Mit der Freigabe aus dem Screenshot und den anderen Adressfragmenten müsstest du 2a00:6020:15fb:c300:42e1:____:____:288c anpingen und das müsste zu dem Zeitpunkt auch eine der Adressen sein, die der Pi mit "ip a" auflistet.

    Moin,


    achso du meinst einen Raspberry Pi. Wieso habe ich die ganze Zeit an IPv6 Provider Independed Addresspace gedacht. Naja egal. Jetzt macht es Sinn :D


    In der Freigabe in der Fritzbox ist eine IPv6 Adresse eingetragen, die vermutlich dem Rapsberry PI nur temporär zugewiesen wurde. Bei IPv6 generiert der Client sich ja selber eine IPv6 Adresse mit dem der vom Router zugeteilten Prefix. Dies nennt man SLAAC. In der Regel wird dazu die MAC Adresse genutzt. 24 Bit (erster Teil der MAC, ein Bit wird noch geflippt) + ff:fe + 24 Bit (zweiter Teil der MAC). Der PI (bzw. netplan, was in zwischen default ist) nutzt vermutlich die Privacy Extension, sprich du bekommst alle X-Stunden eine neue zufällige IPv6 Adresse auf dem Raspberry PI zugerteilt.


    Vielleicht merkt man hier auch schon das Problem:

    Die IPv6-Adresse in der Fritzbox von der Freigabe wird aber nicht verändert. Dementsprechend funktioniert die Freigabe auch nicht mehr.


    Um diese Fehler auszuschließen hast du mehrere Möglichkeiten:

    Grundsätzlich wäre die Ausgabe von "ip a" auf dem Raspberry PI sehr hilfreich (kannst du mir auch gerne unverpixelt per PN schicken, wenn du willst).


    a) Du deaktivierst die Privacy Extension in Linux. Dadurch bekommt dein Raspberry PI eine feste IPv6-Adresse, die aus der MAC-Adresse gebildet wird. Diese IP-Adresse tippst du in die Freigabe von der Fritzbox ein.


    b) Du gibst dem Raspberry PI eine statische IPv6-Adresse. Schnell zum Testen kannste einfach temporär (bis zum nächsten Reboot), folgenden Befehl nutzen:

    Code
    ip addr add 2a00:6020:15fb:c300::42/64

    Diese Adresse tippst du dann in deine Fritzbox in die Freigabe.


    Achtung: Einfach eine statische IPv6 setzen geht nur solange gut, wie sich dein IPv6 /56 Prefix von der DG nicht ändert. Die meisten Tools, Netplan, Network Manager können nur den Hostanteil, sprich die letzten 64Bit statisch setzen und setzen dann den Prefix des Netzes vorne dran, die die per Router Advertisements gelernt haben.


    c) Zusätzlich Adressen über DHCPv6 vergeben lassen. Das ist mein persönlicher Favorit:

    - Du bekommst eine temporäre IP-Adresse über SLAAC mit Privacy Extension

    - Die DHCPv6 Adresse wird für den Zugriff auf Serverdienste genutzt von anderen Geräten

    - Die Fritzbox kann DHCPv6 Adressen automatisch in den DNS eintragen, sodass du dir keine IPv6 Adressen merken musst.

    - Du sparst die das gefummel in Linux bei dynamischen Präfix.


    Ich würde zum Testen erstmal Variante b machen und schauen ob es überhaupt geht. Langfristig würde ich dir Variante c empfehlen.


    Edit: Da war der alfalfa wohl mal wieder etwas schneller :P

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    So heute komme ich mal wieder dazu hier zu antworten. Danke nochmal für eure Beiträge. Manches kenne ich noch aus der Ausbildung und zum glück bin ich Linux Admin weshalb ich sehr gut mit Linux klar komme xD


    Ich habe nun den Fehler gefunden jedoch verstehe ich nicht warum dieser durch die FritzBox generiert wird.


    Um sicher zu gehen dass es sich um keine Temporäre IP Adresse handelt, habe ich kurz mal Google angeschmissen und nach "scope global dynamic mngtmpaddr noprefixroute" gesucht. Folgende Seite Link hat mir einen Fehler in der Freigabe gezeigt.


    Sobald ich auf Freigabe gehe und ein neues Hinzufüge (z.B. den PI) dann hat der unter IPv6 Interface-ID eine andere Adresse stehen als welche der PI bekommen hat. Dasselbe verhalten habe ich auch bei einem anderen Gerät (mein PC) festgestellt. Ändere ich die Adresse so wie ich Sie aus dem PI auslesen kann, kann ich den Ping über meinen IONOS Server ausführen.


    Ich habe zwar noch nicht gegoogelt (mach ich jetzt) aber habt ihr da eine Idee?


    Sobald ich diesen Fehler ausgemerzt habe versuche ich mal wieder das Tunneln der IPv6 zu einer IPv4 um damit dann per Domain zu erreichen :) Drückt mir die Daumen :D


    Nachtrag: Nicht unbedingt Tunneln sondern per Socket durchschleusen. :D Lange ist es her wo ich mich mit dem Thema befasst habe :D

    • Offizieller Beitrag

    Das Kernproblem dürfte sein, dass die Fritzbox nicht weiß, welche Adresse du freigeben möchtest. Die Adressen bildet ja mit der Konfiguration aus dem Youtube-Tutorial das Endgerät selbst, indem es irgendwelche Interface-Identifier an das Präfix hängt. Wenn die Fritzbox eine Adresse per DHCPv6 vergeben hätte, würde es wahrscheinlich passen.


    Die "mngtmpaddr" ändert den Interface-Identifier übrigens, wenn sich das Präfix ändert. Dabei ist egal, ob die DG dir mal ein anderes Präfix gibt, was selten aber nicht nie vorkommt, oder ob die Fritzbox die letzten 8 Bit des Präfix mal anders vergibt. Dann funktioniert die Freigabe wieder nicht. Am besten gibst du allen Geräten, die von außen erreichbar sein sollen, Adressen per DHCPv6 oder statische Interface-Identifier.

    Das Problem, dass man nicht immer zuverlässig weiß, wie ein Endgerät seine IPv6-Adresse bildet und ob sich der Host-Identifier nicht möglicherweise auch bei einem Präfix-Wechsel ändert, ist eine der größten Herausforderungen für die Einrichtung von IPv6-Freigaben bisher.


    Aufgrund der nur pseudo-statischen IPv6-Präfixe, die sich ja providerseitig dann doch mal ändern können, fällt die Konfiguration einer statischen IPv6-Adresse meist als Möglichkeit aus. Wann immer es sich um ein Linux-basierendes Device handelt, würde ich daher zur Nutzung des eher wenig bekannten "IP Token"-Mechanismus raten. Da kann man sich einen statischen Host-Identifier konfigurieren, der dann zusammen mit dem per SLAAC erhaltenen IPv6-Präfix eine Adresse mit stets immer dem gleichen Host-Identifier erzeugt. Wie genau IP-Token zu konfigurieren ist oder konfiguriert werden kann, hängt vom eingesetzten Networking Daemon ab, ist aber beispielsweise beim Network-Manager möglich.


    Mit diesem Host-Identifier sollte sich dann auch eine stabile IPv6-Freigabe in der Fritzbox konfigurieren lassen – und als Bonus-Feature kann man sich dann zusammen mit einem Dienst wie Dynv6 oder feste-ip.net auch einen oder mehrere schöne DynDNS-Namen konfigurieren, die sich bei einem Präfix-Wechsel mit einem einzigen Update aktualisieren lassen.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    • Offizieller Beitrag

    Guter Hinweis von patrickhanft. Als Ergänzung dazu: Der "IP Token" Mechanismus ersetzt im Prinzip nur den per EUI64 aus der MAC-Adresse des Netzwerkinterfaces gebildeten Interface Identifier durch einen selbst gewählten Interface-Identifier. Die aus den Anfangszeiten von IPv6 stammende EUI64 Methode ist die Alternative zu IP Token, wenn letzteres noch nicht unterstützt wird oder zu umständlich zu konfigurieren ist. Der nach EUI64 gebildete Interface Identifier ist auch statisch (solange man die Netzwerkkarte nicht wechselt). Man macht damit allerdings die MAC-Adresse öffentlich, was Rückschlüsse auf das Gerät erlaubt und das Gerät in verschiedenen Netzen wiedererkennbar macht. IP Token ist also besser.