openwrt ipv6 Config / Firewall / Routing

  • Seit ein paar Tagen ist die (deutsche) Glasfaser nun hier am werkeln.

    Da ich die Umstellung nutzen wollte um mal von der Fritzbox wegzukommen, habe ich mir einen Linksys wrt3200acm zugelegt, wo nun openwrt seinen dienst drauf verichtet.... Montag ist die Umschaltung und der dsl wo das heimnetz drüber läuft fällt weg


    Nach einigen Nächten mit steiler Lernkurve läft zumindest meine gewünschte Grundkonfiguration.

    Ich bin nun an den Punkt, das ich erste Portfreigaben von außen einrichten möchte.... Leider gelingt mir bis jetzt nicht ein Byte nach außen ins Netz zu bekommen. Ich vermute stark, das an meinen Firewall einstellungen liegt. ICh glaube DHCP6 und Prefix stimmen... Aber 100% Sicher bin ich mir da auch nicht.

    ich habe ich prinzipiell in den letzten 6 monaten zum Thema ipv6 eibngelesen - aber die Theorie in die Praxis umzusetzen ist dann doch nicht so ganz einfach.

    Bevor ich jetzt hier screenshots und wahllos configfiles Poste... erstmal die Frage:
    Ist hier jemand mit OPENWRT Erfahrung der vielleicht mal bereit wäre über meine Configs zu schauen und mir auf die Sprünge zu helfen?

    Lg

  • Verkehr nach außen ist in OpenWRT in der Vorkonfiguration schon erlaubt. OpenWRT nutzt Connection Tracking, d.h. alle weiteren Pakete von Verbindungen, deren erstes Paket durchgelassen wurde, werden auch durchgelassen. Viel ist also im Prinzip nicht einzustellen: Nur unter "Traffic Rules" einen Port aufmachen. Aber lass mal hören, was du gemacht hast.

  • ich habe immer noch leider das problem, das die fritz box extrem am "rumzicken" ist - habe x anleitungen gesucht port freigaben bzw. Traffic rules der verschiedensten varianten eingerichtet.... nach ca 10-15 min geht kein anruf mehr nach draußen...


    Ich hoffe am screenshot kann man in so etwa erkennen was ich so eingestellt habe...
    Irgendwas mache ich falsch....

  • Das solltest du zwischen IPv4 und IPv6 aufteilen: Für IPv4 brauchst du keine Portfreigaben. Du bist sowieso hinter CGNAT, also kommt von außerhalb des DG-Netzes nichts zu dir durch, egal was du da weiterleitest. Selbst der DG-eigene VoIP-Dienst wird durch das CGNAT hindurch abgewickelt. Der Client baut die SIP-Verbindung von innen nach außen auf und hält sie dauerhaft. Deshalb muss beim VoIP Client eingestellt sein, dass die SIP-Verbindung durch Keepalives aufrechterhalten wird (Siehe DG-Anleitung zur Einrichtung einer Fritzbox). Sonst vergisst das NAT (in deinem Router und auch das CGNAT) nach einiger Zeit die Verbindung, während der Client noch denkt, er bekäme darüber weiter die SIP-Signalisierung. Ich habe zwar einen ganz anderen Router, aber auch eine Fritzbox als VoIP Client und keine einzige IPv4 SIP-Regel in der Firewall des Routers vor der Fritzbox. Ist einfach nicht nötig und hilft auch nicht.


    Wenn du nur den VoIP Dienst der DG verwendest, kannst du dir die IPv6-Regeln auch sparen, denn VoIP macht die DG leider nur per IPv4. Wenn du auch IPv6-VoIP-Anbieter nutzt, musst du die SIP- und RTP-Ports für die IPv6-Adresse der Fritzbox freigeben. Die Regeln in deinem Screenshot sehen nach NAT-Regeln aus. Die haben für IPv6 keinen Effekt, auch wenn da IPv4 und IPv6 steht. Die korrekte Stelle für IPv6-Firewall-Regeln ist das Tab "Traffic Rules". Da gibst du halt dann die Port-Ranges für Address-family IPv6 (unter Advanced) und Protocol UDP und die Adresse deiner Fritzbox als Zieladresse in der Zielzone LAN frei.

  • ich will den voip dienst der dg überhaupt nicht nutzen - da ich da keine flat habe... Ich habe 5 sipgate anschlüsse... 1x sipgate team, sipgate basic sowie simqudrat....


    Der Screenshot war aus dem Tab Firewall -> Traffic Rules



    Hier einmal von m.e. der wichtigsten Traffic Rule :

    Tab Advance




    In der Fritzbox habe ich auch die einstellung "Ports offen halten " gesetzt

  • Lass den SIP-helper und die Einschränkung der Source-Ports weg und stell die Regel auf nur IPv6. Dann trägst du auch die IPv6 Adresse der Fritzbox als Zieladresse ein. Außerdem würde ich zunächst die Port-Range wesentlich größer wählen, z.B. 5060-8060 für SIP und 10000-65535 für RTP. Wenn das funktioniert, kannst du dir eine Weile anschauen, welche Ports tatsächlich verwendet werden und die Firewall restriktiver einstellen: Die tatsächlich verwendeten Ports hängen von den Clients und den Servern ab.

    Eine andere Möglichkeit ist, einfach nur IPv4 zu verwenden und durch die IPv6-Firewall nur Protokolle zu lassen, die sich anständig benehmen anstatt die Fehler des FTP-Protokolls zu wiederholen. Mit SIP hast du dir gleich das problematischste "moderne" Protokoll vorgenommen.

Erstelle ein Benutzerkonto oder melde dich an um zu kommentieren

Du musst ein Benutzerkonto haben um einen Kommentar hinterlassen zu können

Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Geht einfach!
Neues Benutzerkonto erstellen
Anmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden