Erreichbarkeitsprobleme nach IP Wechsel

  • Hallo,


    seit 5 Jahren habe ich einen Glasfaseranschluss bei der Deutschen Glasfaser, vormals Bornet, mit allen hier schon beschriebenen Problemen.


    Im April diesen Jahres wurde mir meine öffentliche IPV4 Adresse gekündigt und ich musste mich mit IPV6 beschäftigen.


    Diesen Umstand habe ich genutzt meine Fritz!Box, durch ein leistungsfähigeres Gerät ein Lancom 1793VA zu ersetzten. Grund für den Wechsel war hauptsächlich der schlechte Datendurchsatz bei VPN Verbindungen.


    Ich konnte alles mit viel Einarbeitungszeit umstellen. Mein Netzwerk war über IPV6 aus Aussen erreichbar, alles wunderbar.


    In der Nach vom 18. auf den 19.11 bekam ich von der DG eine neue IPV6 Adresse zugewiesen, kein Problem dachte ich mir, da die Namensauflösung über dynv6.com erledigt wird.

    Leider war dem nicht so, das neue Präfix wurde übermittelt, die neue IP im DNS eingetragen, die Geräte sind aber nicht erreichbar.


    test-ipv6.com meint sogar ich hätte keine ipv6, mein Router zeigt mir diese aber an.


    2a00:xxxx:xxxx:xxxx::/56


    Ich habe den Support um Überprüfung gebeten, es kam aber nur die Standard Antwort, am Anschluss sei alles o.k.


    Hat jemand solch ein Szenario schon erlebt?


    Viele Grüße aus dem Münsterland und bleibt gesund


    Andreas

  • Bei Erreichbarkeitsproblemen mit IPv6 ist ein Traceroute von außen zu empfehlen. Es ist schon mehrfach vorgekommen, dass Pakete es nicht bis zum (richtigen) Anschluss schafften, also Routing- oder Firewallprobleme im DG-Netz die Verbindung unmöglich machen. Das wurde z.B. hier besprochen: "DG: IPv6 funktioniert nicht, obwohl in Fritzbox registriert"


    Ein solches Trace kann man z.B. mit https://www.han.de/cgi-bin/nph-trace.cgi machen. Das Ziel sollte eine IPv6-Adresse eines Geräts hinter dem Router sein, die mit 2a00:6020: anfängt, aber nicht die Adresse des Routers, die mit 2a00:6020:1000: anfängt. Die Adresse des Routers sollte dann am Ende oder kurz vor dem Ende im Trace auftauchen. Sonst stimmt wahrscheinlich etwas im Netz der DG nicht.

  • danke, Traceroute von Aussen war ein toller Tip.


    Die erwähnte Seite kannte ich noch nicht, habe ich gleich gebookmarked.


    Als letzter Eintrag im Trace kommt 2a00:6020:1000:30::1, der Router hat aber, lt Router, angeblich 2a00:6020:1000::1192.


    Passt das, oder habe ich doch noch Wissenlücken?

  • Waishon hatte in dem verlinkten Thema bereits das Adressschema der DG erläutert. Ich versuche mal eine Veranschaulichung:


    Die IPv6-Adresse für den Router und das zugewiesene Präfix hängen zusammen:

    2a00:6020:1000:xy:... ist die Struktur der Adresse und

    2a00:6020:(x+1)yst:uv00::/56 ist die Struktur des Präfix.


    Der türkise Teil ist ein Präfix der Deutschen Glasfaser. Der blaue Teil ist fix. Der rote Teil wird von der DG regional vergeben. Der orange Teil und die hinteren 64 Bit der einzelnen Adresse werden von der DG individuell für den einzelnen Anschluss zugewiesen. Der grüne Teil gehört nicht zum Präfix, muss aber aus Syntaxgründen hingeschrieben werden. In einer vollständigen Adresse ist dieser Teil frei vom Anschlussnehmer wählbar.


    Damit solltest du jetzt deine Adressen auf Plausibilität prüfen können. Wenn dein Router die Adresse 2a00:6020:1000::1192 hat, dann ist xy bei dir 00. Dein Präfix müsste also mit 2a00:6020:10??: anfangen. Die Adresse 2a00:6020:1000:30::1 im Trace würde dagegen nahelegen, dass dein Präfix mit 2a00:6020:40??: anfangen sollte und dein Router eine Adresse mit 2a00:6020:1000:30: am Anfang haben sollte. Wahrscheinlich stimmt also etwas mit der Adressvergabe oder dem Routing nicht. An dieser Stelle kommen wir nur mit genaueren Angaben zu den Adressen weiter.

  • Hallo,


    danke für die Erklärung, Du siehst es richtig.


    Meine IPV6 Adresse ist 2a00:6020:1000:30::1192


    Mein Präfix 2a00:6020:4011:8200::/56


    Mein OpenVPN Server, den ich erreichen will, hat die IP 2a00:6020:4011:8201:dea6:32ff:fe86:ef30


    Ein Trace auf diese Adresse endet mit

    Code
    1. 7 2a00:6020:1000:30::1 (2a00:6020:1000:30::1) 8.879 ms 8.34 ms 8.527 ms

    In der IPV6 Firewall habe ich den OpenVPN Server für UDP freigegeben.

    Kriege aber keine Verbindung.


    Wie erwähnt, vor dem Wechsel der IP durch die DG hat alles funktioniert.

  • 2a00:6020:1000:30::1 wäre normalerweise der letzte Hop vor deinem Router. Damit ist es leider der schwierige Fall, dass die Pakete fast bis zu dir kommen und es sowohl an der DG als auch an deinem Setup liegen kann, dass sie ihr Ziel nicht erreichen.


    Ich würde in dem Fall erst sicherstellen, dass das Problem nicht auf der eigenen Seite liegt. Dazu würde ich wenn möglich vorübergehend die Firewall abschalten und nochmal ein Trace machen. Wenn die Firewall nicht abschaltbar ist, aber der Router die Möglichkeit hat, den Datenverkehr der WAN-Schnittstelle aufzuzeichnen, wäre das auch eine Möglichkeit, um die Pakete zu sehen, bevor sie evtl. von der Firewall verworfen werden. Evtl. kann man auch eine Regel zum Zählen von außen kommender IPv6 Pakete hinzufügen.


    Wenn das alles nicht geht, könnte man mit einem Laptop direkt am Anschluss testen (dann von außen auf die Geräteadresse tracen, weil wahrscheinlich kein Präfix angefordert wird). Das geht allerdings nicht, wenn ein DG-Router verwendet wird. Welcher Router ist denn im Einsatz?

  • Ich habe einen Lancom 1793VA, die Firewall lässt sich ausschalten. Werde ich probieren. Auch einen Trace auf die Wan Schnittstelle des Routers lässt sich machen.


    Vermuten reicht ja leider nicht, aber trotzdem vermute ich ein Routingproblem bei der DG.

  • Das meldet ein Trace auf den WAN Port des Routers, gleich Meldung bei aktivierter (Server ist erlaubt) und deaktivierter Firewall


    [IPv6-Packet] 2020/11/21 20:00:48,322 Devicetime: 2020/11/21 20:00:47,964 [INTERNET (3)]

    IP packet, scope global, routing tag 0:

    Internet Protocol Version 6

    Payload length: 62

    Traffic class: 0x00 (DSCP: CS0, ECN: Not-ECT)

    Next header: UDP (17)

    Hop limit: 240

    Source: 2a01:598:a902:4224:e505:ea66:3cc8:4e48

    Destination: 2a00:6020:4011:8201:dea6:32ff:fe86:ef30

    User Datagram Protocol

    Source port: 51102

    Destination port: 1194

    Length: 62

    Checksum: 0xc24b


    Also kommt die Anfrage durch.

    Jetzt muss ich doch wohl den Fehler bei mir suchen

  • Es war halt verwunderlich, dass die Nichtereichbarkeit direkt mit dem Wechsel der IP Adresse zusammen traf und ich definitiv an meiner Konfiguration nichts geändert hatte, getreu dem Motto never touch a running system. Nicht mal ein Update hatte der Router durchgeführt.


    Vielleicht hat auch der Router ein Hardware Problem.


    Danke für Deine Tips.

Erstelle ein Benutzerkonto oder melde dich an um zu kommentieren

Du musst ein Benutzerkonto haben um einen Kommentar hinterlassen zu können

Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Geht einfach!
Neues Benutzerkonto erstellen
Anmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden