Erreichbarkeitsprobleme nach IP Wechsel

  • Hallo,


    seit 5 Jahren habe ich einen Glasfaseranschluss bei der Deutschen Glasfaser, vormals Bornet, mit allen hier schon beschriebenen Problemen.


    Im April diesen Jahres wurde mir meine öffentliche IPV4 Adresse gekündigt und ich musste mich mit IPV6 beschäftigen.


    Diesen Umstand habe ich genutzt meine Fritz!Box, durch ein leistungsfähigeres Gerät ein Lancom 1793VA zu ersetzten. Grund für den Wechsel war hauptsächlich der schlechte Datendurchsatz bei VPN Verbindungen.


    Ich konnte alles mit viel Einarbeitungszeit umstellen. Mein Netzwerk war über IPV6 aus Aussen erreichbar, alles wunderbar.


    In der Nach vom 18. auf den 19.11 bekam ich von der DG eine neue IPV6 Adresse zugewiesen, kein Problem dachte ich mir, da die Namensauflösung über dynv6.com erledigt wird.

    Leider war dem nicht so, das neue Präfix wurde übermittelt, die neue IP im DNS eingetragen, die Geräte sind aber nicht erreichbar.


    test-ipv6.com meint sogar ich hätte keine ipv6, mein Router zeigt mir diese aber an.


    2a00:xxxx:xxxx:xxxx::/56


    Ich habe den Support um Überprüfung gebeten, es kam aber nur die Standard Antwort, am Anschluss sei alles o.k.


    Hat jemand solch ein Szenario schon erlebt?


    Viele Grüße aus dem Münsterland und bleibt gesund


    Andreas

  • Bei Erreichbarkeitsproblemen mit IPv6 ist ein Traceroute von außen zu empfehlen. Es ist schon mehrfach vorgekommen, dass Pakete es nicht bis zum (richtigen) Anschluss schafften, also Routing- oder Firewallprobleme im DG-Netz die Verbindung unmöglich machen. Das wurde z.B. hier besprochen: "DG: IPv6 funktioniert nicht, obwohl in Fritzbox registriert"


    Ein solches Trace kann man z.B. mit https://www.han.de/cgi-bin/nph-trace.cgi machen. Das Ziel sollte eine IPv6-Adresse eines Geräts hinter dem Router sein, die mit 2a00:6020: anfängt, aber nicht die Adresse des Routers, die mit 2a00:6020:1000: anfängt. Die Adresse des Routers sollte dann am Ende oder kurz vor dem Ende im Trace auftauchen. Sonst stimmt wahrscheinlich etwas im Netz der DG nicht.

  • danke, Traceroute von Aussen war ein toller Tip.


    Die erwähnte Seite kannte ich noch nicht, habe ich gleich gebookmarked.


    Als letzter Eintrag im Trace kommt 2a00:6020:1000:30::1, der Router hat aber, lt Router, angeblich 2a00:6020:1000::1192.


    Passt das, oder habe ich doch noch Wissenlücken?

  • Waishon hatte in dem verlinkten Thema bereits das Adressschema der DG erläutert. Ich versuche mal eine Veranschaulichung:


    Die IPv6-Adresse für den Router und das zugewiesene Präfix hängen zusammen:

    2a00:6020:1000:xy:... ist die Struktur der Adresse und

    2a00:6020:(x+1)yst:uv00::/56 ist die Struktur des Präfix.


    Der türkise Teil ist ein Präfix der Deutschen Glasfaser. Der blaue Teil ist fix. Der rote Teil wird von der DG regional vergeben. Der orange Teil und die hinteren 64 Bit der einzelnen Adresse werden von der DG individuell für den einzelnen Anschluss zugewiesen. Der grüne Teil gehört nicht zum Präfix, muss aber aus Syntaxgründen hingeschrieben werden. In einer vollständigen Adresse ist dieser Teil frei vom Anschlussnehmer wählbar.


    Damit solltest du jetzt deine Adressen auf Plausibilität prüfen können. Wenn dein Router die Adresse 2a00:6020:1000::1192 hat, dann ist xy bei dir 00. Dein Präfix müsste also mit 2a00:6020:10??: anfangen. Die Adresse 2a00:6020:1000:30::1 im Trace würde dagegen nahelegen, dass dein Präfix mit 2a00:6020:40??: anfangen sollte und dein Router eine Adresse mit 2a00:6020:1000:30: am Anfang haben sollte. Wahrscheinlich stimmt also etwas mit der Adressvergabe oder dem Routing nicht. An dieser Stelle kommen wir nur mit genaueren Angaben zu den Adressen weiter.

  • Hallo,


    danke für die Erklärung, Du siehst es richtig.


    Meine IPV6 Adresse ist 2a00:6020:1000:30::1192


    Mein Präfix 2a00:6020:4011:8200::/56


    Mein OpenVPN Server, den ich erreichen will, hat die IP 2a00:6020:4011:8201:dea6:32ff:fe86:ef30


    Ein Trace auf diese Adresse endet mit

    Code
    1. 7 2a00:6020:1000:30::1 (2a00:6020:1000:30::1) 8.879 ms 8.34 ms 8.527 ms

    In der IPV6 Firewall habe ich den OpenVPN Server für UDP freigegeben.

    Kriege aber keine Verbindung.


    Wie erwähnt, vor dem Wechsel der IP durch die DG hat alles funktioniert.

  • 2a00:6020:1000:30::1 wäre normalerweise der letzte Hop vor deinem Router. Damit ist es leider der schwierige Fall, dass die Pakete fast bis zu dir kommen und es sowohl an der DG als auch an deinem Setup liegen kann, dass sie ihr Ziel nicht erreichen.


    Ich würde in dem Fall erst sicherstellen, dass das Problem nicht auf der eigenen Seite liegt. Dazu würde ich wenn möglich vorübergehend die Firewall abschalten und nochmal ein Trace machen. Wenn die Firewall nicht abschaltbar ist, aber der Router die Möglichkeit hat, den Datenverkehr der WAN-Schnittstelle aufzuzeichnen, wäre das auch eine Möglichkeit, um die Pakete zu sehen, bevor sie evtl. von der Firewall verworfen werden. Evtl. kann man auch eine Regel zum Zählen von außen kommender IPv6 Pakete hinzufügen.


    Wenn das alles nicht geht, könnte man mit einem Laptop direkt am Anschluss testen (dann von außen auf die Geräteadresse tracen, weil wahrscheinlich kein Präfix angefordert wird). Das geht allerdings nicht, wenn ein DG-Router verwendet wird. Welcher Router ist denn im Einsatz?

  • Ich habe einen Lancom 1793VA, die Firewall lässt sich ausschalten. Werde ich probieren. Auch einen Trace auf die Wan Schnittstelle des Routers lässt sich machen.


    Vermuten reicht ja leider nicht, aber trotzdem vermute ich ein Routingproblem bei der DG.

  • Das meldet ein Trace auf den WAN Port des Routers, gleich Meldung bei aktivierter (Server ist erlaubt) und deaktivierter Firewall


    [IPv6-Packet] 2020/11/21 20:00:48,322 Devicetime: 2020/11/21 20:00:47,964 [INTERNET (3)]

    IP packet, scope global, routing tag 0:

    Internet Protocol Version 6

    Payload length: 62

    Traffic class: 0x00 (DSCP: CS0, ECN: Not-ECT)

    Next header: UDP (17)

    Hop limit: 240

    Source: 2a01:598:a902:4224:e505:ea66:3cc8:4e48

    Destination: 2a00:6020:4011:8201:dea6:32ff:fe86:ef30

    User Datagram Protocol

    Source port: 51102

    Destination port: 1194

    Length: 62

    Checksum: 0xc24b


    Also kommt die Anfrage durch.

    Jetzt muss ich doch wohl den Fehler bei mir suchen

  • Es war halt verwunderlich, dass die Nichtereichbarkeit direkt mit dem Wechsel der IP Adresse zusammen traf und ich definitiv an meiner Konfiguration nichts geändert hatte, getreu dem Motto never touch a running system. Nicht mal ein Update hatte der Router durchgeführt.


    Vielleicht hat auch der Router ein Hardware Problem.


    Danke für Deine Tips.

  • Du findest dieses Forum hier toll und möchtest es unterstützen? Großartig! Hier zeigen wir dir eine Möglichkeit, wie du uns supporten kannst. Es kostet dich keinen Cent mehr und das Forum bleibt hiermit weiter werbefrei.

    Amazon Link

    Nutze diesen Button um bei Amazon einzukaufen. Das kostet dich keinen Cent mehr, jedoch bekommen wir eine kleine Provision.
    Bei Amazon einkaufen und das GF unterstützen
    Mehr Infos gibt es in diesem Thread
  • Hallo,


    seit dem 21.11. hat es gedauert, bis sich mein IPV6 Problem gelöst hat. Ich will hier kurz erläutern was an meinem Anschluss mit meinem LANCOM Router passiert ist.


    Die Deutsche Glasfaser hat im November an meinem Anschluss anscheinend das RA (Router Advertisement IPV6) geändert. Dieses wird von der Deutschen Glasfaser nicht immer beim Verbindungsaufbau übertragen. Es kommt meistens innerhalb von 15 Minuten nach Verbindungsaufbau und wird dann alle 15 Minuten erneut gesendet. Mein Router hat das RA aber zwingend beim Verbindungsaufbau erwartet. Das sehen die entsprechenden Regeln auch so vor. Wenn es irgendwann kam, hat es den Router nicht mehr interessiert.


    Ein Betaupdate der Routersoftware, die mir gestern von LANCOM zum Testen zur Verfügung gestellt wurde, "lauscht" so lange auf dieses RA bis es kommt und trägt es dann in den entsprechenden Datenfelder des Router ein.


    Jetzt funktioniert mein Anschluss wieder.


    Ein schönes sonniges Wochenende und bleibt alle gesund


    Andreas

  • Hallo,


    ein Nachtrag, bis heute Nacht, da bekam der Router eine neue IPV6, hat alles funktioniert. (Standort Nord/West Münsterland)


    Jetzt ist es leider wieder vorbei mit der Erreichbarkeit über IPV6.


    Eine VPN Verbindung über IPV6 kann man aus dem DG zum Router aufbauen, vom t-mobile Netz aus leider nicht. Mehr kann ich leider nicht prüfen.


    Die Vermutung von Lancom, dem Routerhersteller, ist, dass die DG Filter einsetzt um VPN Verbindungen aus fremden Netzen zu unterbinden.


    Ich weiss nicht was ich davon halten soll.


    Viele Grüße aus dem Münsterland

    Andreas

  • Nein, definitiv nicht. VPN Verbindungen, und auch andere Verbindungen, sind aus verschiedenen anderen Netzen zu einer DG IPv6 Adresse problemlos möglich. Sowohl über UDP als auch über TCP. Ich nutze es regelmäßig von einem Vodafone Mobilfunk und einem Telekom Business DSL Anschluss.


    Wenn es noch Einschränkung gibt, dann beim Mobilfunknetz. Dort war es früher üblich, VPN Verbindungen zu blocken. Heute glaube ich das aber auch nicht mehr wirklich.


    Deshalb denke ich eher, es hakt noch im Setup, bei den IP-Adressen oder ähnliches.

  • bis heute Nacht konnte ich das, nachdem Update meines Routers, unterschreiben.


    Vor dem Update konnte ich wochenlang keine VPN Verbindung aufbauen, nach dem Update der Router Firmware, ging es dann wieder.


    Jetzt wieder nicht.


    Vorausgegangen ist immer wieder die Vergabe einer neuen IP.


    Seit April vergangenen Jahres geht das jetzt so.

  • Mich wundert, dass du überhaupt so häufig eine neue IPv6 Adresse bekommst. Solange der ONT sich nicht ändert, ändert sich auch das IPv6 Prefix nicht. Meins war über Jahre stabil, bis ich vor kurzem auf die 5530 gewechselt bin, und seit dem ist es wieder stabil. Auch bei Firmwareupdates und Reboots. Ein Firmware-Update auf dem Router hinter dem ONT hat kaum Einfluss aufs IPv6 Prefix.


    Die Verbindung aus dem DG Netz hast du von einem anderen Anschluss aus getestet?

  • Ja, seit der Umstellung im April 2020, weg von meiner festen IPV4, habe ich jetzt das 3. Präfix.


    Den FTTH Anschluss habe ich seit über 5 Jahren.


    Ich habe ein GenexisTitanium Hybrid Modem im Bridge Modus als Anschluss von der DG, dahinter einen eigenen Router, Eine FRITZ!Box ist im VPN Modus leider zu langsam für meine Bedürfnisse.


    Ein Freund hat auch einen Anschluss bei der DG und von diesem kann eine VPN Verbindung zu meinem Anschluss aufgebaut werden.


    Ich habe noch einen Businessanschluss bei der DG mit fester IPV4, an einem anderen Standort. Zu dem klappen die VPN Verbindungen, egal aus welchem Netz.

  • Moin,


    ja heute Nacht gab es wieder eine IP-Netz Umstellung. Dies scheint ein neues Netz zu sein. Scheinbar hat die Deutsche Glasfaser bei jedem neuen Netz immer die gleichen Probleme. Auch hier ist wieder keine IPv6 Verbindung mit den per DHCPv6-PD zugeteilten Adressen möglich. Ich konnte dieses Verhalten schon des öfteren bei neuen Netzen feststellen. Das letzte mal konnten wir das Problem über die Presse der Deutschen Glasfaser lösen.


    Ich habe heute Mittag erneut eine Nachricht an die Presseabteilung geschickt mit bitte um Behebung des Problem. Warten wir mal ab, ob was passiert, oder ob es wieder ignoriert wird.


    Konkret werden hier die eingehenden IPv6-Pakete für den neuen IPv6 Adressbereich direkt am Edge-Router der Deutschen Glasfaser blockiert. Hier fehlt vermutlich wieder schlicht eine Ausnahmeregel, um das neue Netz rein zu lassen (war damals auch schon so).

  • Ich habe noch einen Businessanschluss bei der DG mit fester IPV4, an einem anderen Standort. Zu dem klappen die VPN Verbindungen, egal aus welchem Netz.

    Bei unserem Business Anschluss DG BUsiness 300/300 klappt das mit den VPN Verbindungen auch wunderbar.. Ist hinter einem Lancom 1783VAW, die wiederum hinter einer Lancom UF-260 gesichert ist.

    Für unseren privaten DG Anschluss habe ich das noch nicht getestet, da es nicht nötig war.

  • Ich hab auch seit der Wartung gestern früh Probleme meine Clients mittels IPv6 zu erreichen, auch von innen funktioniert IPv6 nicht. Die IPv6 meiner Fritzbox ist erreichbar, ein raspberrypi nun nicht mehr. Obwohl der ipv6-Präfix weitergeleitet werden. Ein externes traceroute zur fritzbox (direkte IPv6-Adresse) und zu meinem raspberry (IPv6 aus dem Präfix Berich) ergibt dann genau was du beschreibst. Im zweiten Fall ist am Edgerouter der DG schluss. Vor der Wartung lief alles Problemlos. Der Support der DG schiebt es leider auf meine Fritzboxn und bittet mich nur den NT zu erseten und die Fritzbox. Hat beides nix gebracht. Ich wohne in Salzkotten.

  • Du findest dieses Forum hier toll und möchtest es unterstützen? Großartig! Hier zeigen wir dir eine Möglichkeit, wie du uns supporten kannst. Es kostet dich keinen Cent mehr und das Forum bleibt hiermit weiter werbefrei.

    Amazon Link

    Nutze diesen Button um bei Amazon einzukaufen. Das kostet dich keinen Cent mehr, jedoch bekommen wir eine kleine Provision.
    Bei Amazon einkaufen und das GF unterstützen
    Mehr Infos gibt es in diesem Thread

Erstelle ein Benutzerkonto oder melde dich an um zu kommentieren

Du musst ein Benutzerkonto haben um einen Kommentar hinterlassen zu können

Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Geht einfach!
Neues Benutzerkonto erstellen
Anmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden