ICMPv6 funktioniert nicht

  • Ich bin so langsam mit meinem Laien-Latein am Ende.


    Seit über einer Woche versuche ich einen Server für FoundryVTT zu erstellen. Im Localhost kann ich auch darauf zugreifen. Nun möchten sich gerne die Spieler auch drauf schalten, aber es klappt nicht.


    Ich habe eine Fritzbox 7590 und nutze IPv6. Die Portweiterleitung ist eingeschaltet, damit ich PING6 aktivieren kann, aber trotzdem bekomme ich bei ipv6-test.com nur ein ICMP als filtered angezeigt.


    Ich habe MacOS 10.15.17 und auch eine komplett deaktivierte Firewall hilft nicht weiter.


    In der Fritzbox gibt es unter den Netzwerk / Netzwerkverbindungen gleich 3 IPv6 Adressen für meinen Rechner, welche davon ist denn richtig?

  • Bei ipv6-test.com werden meine ICMP6 auch als filtered angezeigt, obwohl Pings von außen möglich sind. ich vermute, die beziehen sich da auf andere ICMP Pakete, nicht auf Pings. Wenn es drum geht, den Ping von außen zu testen, würde ich einen der ping Dienste im Internet benutzen, z.B. den von heise.de/tools.


    Die Adressen in der Fritzbox werden zum einen die Host-Adresse und dann die temporären Adressen sein, die sich dein Rechner gönnt. Temporäre Adressen werden regelmäßig geändert und bevorzugt für ausgehende Verbindungen genutzt, aus Privacy Gründen.


    Diese temporären Adressen könnten natürlich auch die Anzeige für gefiltertes ICMP verursachen: Die Abfrage kommt von einer temporären Adresse, und darauf führt ipv6-test.com den Pings aus. Die Adresse ist aber gefiltert, denn die Freigabe gilt natürlich für die Host-Adresse.

  • Leider geht der Ping aus dem Internet über Heise.de bei mir nicht. Weder die "Haupt" IPv6 noch die meines Host-Adresse meines Rechners.


    Bei meinen Inet Recherchen hab ich auch herausgefunden, dass es verschiedene ICM-Protokolle gibt. Einige davon sind wohl unbedingt für einen Host/Server notwendig.


    Ganz schön kompliziert dieses IPv6, wenn man etwas mehr als "nur" Internetsurven möchte.

  • Leider geht der Ping aus dem Internet über Heise.de bei mir nicht. Weder die "Haupt" IPv6 noch die meines Host-Adresse meines Rechners.

    Dann stimmt wohl noch was mit der Freigabe nicht, oder die Firewall des Rechners blockt die Pings. Kannst den Rechner im Heimnetz anpingen?



    Bei meinen Inet Recherchen hab ich auch herausgefunden, dass es verschiedene ICM-Protokolle gibt. Einige davon sind wohl unbedingt für einen Host/Server notwendig.

    Das kann zwar sein, wäre aber ungewöhnlich. Zumindest für den Zugriff der Clients auf den Server. ICMP Pakete werden im Internet mit geringer Priorität behandelt und sind die ersten, die bei Engpässen verworfen werden.

    Laut Installationsanleitung des Tools braucht es auch nur TCP Port 30000. Kein ICMP.


    Ganz schön kompliziert dieses IPv6, wenn man etwas mehr als "nur" Internetsurven möchte.

    Eigentlich ist es sogar einfacher, als IPv4, weil das NAT wegfällt.

  • Fritzboxen verteilen ULAs bevor sie ein Prefix vom Provider bekommen haben. Da dürften die herkommen.

    Bei meiner FB 7590 ist keine ULA unter Heimnetz -> Netzwerk -> Netzwerkverbindungen -> <Device> eingetragen, deshalb die Nachfrage. In den Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IPv6-Einstellungen sieht es so aus wie in deinem Screenshot. Hat die FB von Neyms keine IPv4 erhalten?

  • Wenn du dein Gerät erst eingeschaltet hast, als die Box schon keine ULAs mehr verteilt hat, dann hast du auch keine mehr bekommen. Die Advertisements haben ja auch ein Verfallsdatum und verschwinden dann.


    Ich vermute, Neyms hat kürzlich seine Box rebootet. Nach dem Start hat die Box ULAs verteilt, bevor sie das Prefix vom Provider bekommen hat. Die ULAs sieht man da noch.

  • Ja die FB hatte noch heute einen Reboot erhalten.


    frank_m Ich habe gerade versucht meinen Rechner anzupingen mit dem Netzwerkdienstprogramm. Pings auf Internetseiten funktionieren. Pings an die IPv6 meines Rechners nicht (die IP genutzt, die die FB in der Freigabe als "IP-Adresse im Internet" angegeben hat). Auch nach der Deaktivierung der OS Firewall kann ich mit dem Netzwerkdienstprogramm mich nicht an pingen. An die interne IPv4, die die Fritzbox kreiert hat, klappt das mit Ping ohne Probleme.


    Und danke frank_m, dass du sogar von Foundry die Installationsanleitung überprüft hast, das ist mal Einsatz! Ich hab den TCP Port zwar verändert, aber in der FB unter Freigabe für meinen Rechner eingestellt. Auch die Firewall von MacOS hab ich für Foundry freigegeben.

  • Pings auf Internetseiten funktionieren. Pings an die IPv6 meines Rechners nicht (die IP genutzt, die die FB in der Freigabe als "IP-Adresse im Internet" angegeben hat).

    Das Ping Programm hat nicht versucht, die IPv6 Adresse anzupingen, sondern einen Hostnamen aufzulösen. Prüfe noch mal, wie man dem Programm eine IPv6 Adresse mitgibt. Vielleicht muss man die in eckige Klammern setzen oder so.

    Und die IP Adresse ist auch wirklich diejenige deines Rechners? Hast du das überprüft? Die Fritzbox geht bei der Standardfreigabe davon aus, dass sich der Rechner seine Host-Adresse nach dem EUI 64 Verfahren berechnet. Das muss aber nicht so sein.



    Ich hab den TCP Port zwar verändert, aber in der FB unter Freigabe für meinen Rechner eingestellt. Auch die Firewall von MacOS hab ich für Foundry freigegeben.

    Dann sollte der Port erreichbar sein. Das kannst du ja auch mit einem Online Portscanner prüfen, bevor du deine Clients darauf loslässt.

  • Du findest dieses Forum hier toll und möchtest es unterstützen? Großartig! Hier zeigen wir dir eine Möglichkeit, wie du uns supporten kannst. Es kostet dich keinen Cent mehr und das Forum bleibt hiermit weiter werbefrei.

    Amazon Link

    Nutze diesen Button um bei Amazon einzukaufen. Das kostet dich keinen Cent mehr, jedoch bekommen wir eine kleine Provision.
    Bei Amazon einkaufen und das GF unterstützen
    Mehr Infos gibt es in diesem Thread
  • Kannst Du die in der Fritzbox für dein Äpfelchen angezeigte ULA (fd00:... ) pingen?

    Leider hat das nicht geklappt. Ich hab im Terminal den ping6 Befehl benutzt, da das Netzwerkdienstprogramm wohl nur mit dem Standard "ping" Befehl arbeitet. Der Ping6 meldet, dass kein Packet zurückgekommen wäre.


    Wenn ich die interne IPv6 eingebe, die im Netzwerk zugeweisen ist, dann findet er alle Pings. Bei der öffentlichen IPv6, also der, die mir die FB bei der Freigabe anzeigt kommt kein Ping zurück.

    Das Ping Programm hat nicht versucht, die IPv6 Adresse anzupingen, sondern einen Hostnamen aufzulösen. Prüfe noch mal, wie man dem Programm eine IPv6 Adresse mitgibt. Vielleicht muss man die in eckige Klammern setzen oder so.

    Und die IP Adresse ist auch wirklich diejenige deines Rechners? Hast du das überprüft? Die Fritzbox geht bei der Standardfreigabe davon aus, dass sich der Rechner seine Host-Adresse nach dem EUI 64 Verfahren berechnet. Das muss aber nicht so sein.



    Dann sollte der Port erreichbar sein. Das kannst du ja auch mit einem Online Portscanner prüfen, bevor du deine Clients darauf loslässt.

    Einen Online Portscanner hab ich schon darauf angesetzt, der findet den Port und sagt, dass dieser gefiltered wäre. Ich hab zu diesem Zeitpunkt auch immer die App Foundry offen, also müsste der Port zumindest vom Rechner her "lauschen".

  • Mmm, Ich hatte die schon komplett geschlossen, aber es hatte trotzdem nicht funktioniert. Ich versuche das noch mal und schau mal, was das Internet da zu bieten hat :) Vielen Dank für die Hilfe und Tipps. Ich bin da selbst sehr unerfahren und überhaupt kein IT'ler.

  • Mit ifconfig en0 oder ifconfig en1 sollten die tatsächlich genutzten IPv6 Adressen angezeigt werden. Mindestens eine Adresse davon, die mit dem Deutsche-Glasfaser-Präfix 2a00:6020:... anfängt, muss im selben System und von anderen Geräten im LAN anpingbar sein. Vorher braucht man sich um den Router und denkbare Providerfehler nicht zu kümmern. Es gibt verschiedene Arten von IPv6 Adressen, die sich in ihrer "Reichweite" (Scope) und ihrer Lebensdauer unterscheiden. Für Server will man i.d.R. Adressen mit "global scope" und möglichst langer Lebensdauer nutzen. Adressen, die regelmäßig wechseln, z.B. um die Privatsphäre zu schützen, funktionieren im Prinzip auch, aber In der Praxis müsste man dann die Firewall häufig und automatisiert anpassen, was bei der Fritzbox nicht so einfach geht. Also musst du für eine quasi-statische IPv6 Adresse sorgen. Ohne Mac kann ich dazu aber nicht viel sagen.

  • So, ich habe ein wenig gesucht und die Situation unter MacOS sieht wie folgt aus:


    Normalerweise erzeugt MacOS in aktuellen Versionen sogenannte "Privacy Extension" Adressen und zusätzlich zu jedem Präfix eine "Cryptographically Generated" Adresse. Wenn man die Adressen mit ifconfig en0 bzw. ifconfig en1 auflistet, steht an den Privacy Extension Adressen "temporary" und an den CGAs "secured".


    Die temporären Adressen sind nicht gut für Serverdienste geeignet, weil sie regelmäßig ausgetauscht werden. Dadurch ist der Server immer nur kurz erreichbar, bis eine neue Adresse erzeugt wird, die der Client nicht kennt und die die Firewall nicht durchlässt.


    Die CGAs sind schon besser geeignet, da der Interface Identifier (die letzten 64 Bit der Adresse) quasi statisch ist, allerdings nur solange sich das Präfix nicht ändert. Das Präfix ist bei der Deutschen Glasfaser relativ fix, aber ab und zu ändert es sich halt doch. Dann ändert sich in der Voreinstellung unter MacOS auch der Interface Identifier und die neue Adresse kommt nicht mehr durch die Firewall der Fritzbox.


    Um einen wirklich statischen Interface Identifier zu bekommen, muss man den CGA-Mechanismus abschalten. Dann bekommt man einen EUI-64 Interface Identifier (Extended Unique Identifier), der von der MAC-Adresse abgeleitet ist und auch bei Präfix-Änderungen gleich bleibt. Einen anderen Mechanismus für einen statischen Interface Identifier mit dynamischem Präfix (wie z.B. tokenized IID) kennt MacOS leider nicht. CGAs schaltet man ab, indem man (als root) eine Datei /etc/sysctl.conf anlegt und dort net.inet6.send.opmode=0 hineinschreibt. Das "send" in der Option hat übrigens nichts mit "senden" zu tun sondern heißt "SEcure Neighbor Discovery" (RFC 3971). Daher kommt auch die Bezeichnung "secured" neben diesen Adressen.


    Nach einem Reboot sollte man dann eine Adresse haben, die mit dem Deutsche Glasfaser Präfix 2a00:6020 anfängt und ff:fe in der Mitte des Interface Identifiers hat. Das ist eine EUI-64 Adresse. Dann kann man den Interface Identifier dieser Adresse in der Fritzbox freigeben und damit sollte der Server auch aus dem Internet auf dieser Adresse erreichbar sein.

  • Hey alfalfa,


    ich hab jetzt eine Datei sysctl.conf in den Ordner etc abgelegt, dort in der ersten Zeite net.inet6.send.opmode=0 geschrieben und auch die Maschine neu gestartet. Ich habe unter ifconfig en0 und en1 zwar Einträge mit der Glasfaser Präfic 2a00:6020 aber keine in denen ff:fe in der Mitte des Interface Identifiers ist. Auch wenn ich ifconfig aufrufe zeigt er mir keinen passenden inet6 Eintrag.


    Aber ich bin begeistert über die Hilfe! Das hätte ich nicht so erwartet.

  • Kannst du bitte als root (sudo su -l) schauen, dass die Ausgabe von ls -l /etc/sysctl.conf zeigt, dass die Datei dem Benutzer root aus der Gruppe wheel gehört und die Zugriffsrechte -rw-r--r-- sind, und dass cat /etc/sysctl.conf die Zeile net.inet6.send.opmode=0 ausgibt? Welche Version von MacOS verwendest du?

  • Du findest dieses Forum hier toll und möchtest es unterstützen? Großartig! Hier zeigen wir dir eine Möglichkeit, wie du uns supporten kannst. Es kostet dich keinen Cent mehr und das Forum bleibt hiermit weiter werbefrei.

    Amazon Link

    Nutze diesen Button um bei Amazon einzukaufen. Das kostet dich keinen Cent mehr, jedoch bekommen wir eine kleine Provision.
    Bei Amazon einkaufen und das GF unterstützen
    Mehr Infos gibt es in diesem Thread

Erstelle ein Benutzerkonto oder melde dich an um zu kommentieren

Du musst ein Benutzerkonto haben um einen Kommentar hinterlassen zu können

Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Geht einfach!
Neues Benutzerkonto erstellen
Anmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden