Na, kaum ruft man an bei den Kollegen, schon tut's wieder.
Beiträge von DrFroeschle
-
-
Kann ich bestätigen, fast 8 Stunden jetzt schon wieder Totalausfall. Was für ein Saftladen.
-
Seit ca 13:25 geht es wieder.
-
Jetzt schon bald 12 Stunden Totalausfall, zumindest im Raum TÜ, aber vermutlich in einem Großteil von BW. Kompetenz sieht anders aus.
-
So, bin gerade vom "Wir haben eine schlechte Trustpilot-Bewertung" Krisensupport der DG angerufen worden.
Die erste Person, der ich das Problem mal erklären durfte, und die leider nichts davon wusste, dass an den bisherigen Tickets Analysen angehängt sind. Gespräch klang vernünftig. Mir wurde mehrfach versprochen, dass das Problem nun zu jemandem kommt, der / die was davon versteht. Hoffen wir mal. Update kommt, sobald ich selbst eins bekommen habe. -
Die Deutsche Glasfaser hat es echt nicht drauf was Support angeht. Mein parallel laufendes Ticket, welches der "Support" schon seit 30.11. rumliegen ließ, wurde nun mit folgendem Text ohne Rückfrage oder Lösung geschlossen:
02.01.25, 08:17
Lieber DrFröschle, vielen Dank für Ihre Nachricht. Ihnen steht bei Deutsche Glasfaser ein CGN Dualstack Lite Anschluss zur Verfügung. IPV4 im NAT und eine semistatische IPV6, die IPV6 kann durch ggf. Wartungen und Stromverlust wechseln. Die Einrichtung findet per DHCP an Ihrem Anschluss statt. Das bedeutet, dass die notwendigen Adressen automatisch zugewiesen werden. Sollte Ihr Router keine IPv6-Adresse erhalten, kontrollieren Sie bitte die Einstellungen. Weitere Informationen dazu finden Sie in der Anleitung oder erhalten Sie beim Hersteller. Bei Fragen sind wir gerne für Sie da. Viele Grüße nach X
M. T.
Serviceteam Deutsche Glasfaser Deutsche Glasfaser Wholesale GmbH / Am Kuhm 31 / 46325 BorkenIn dem Ticket waren tonnenweise Details vorhanden, Netzwerkmitschnitte, Screenshots von Traceroutes, genaue Beschreibung der bisherigen Analyse. Und dann so eine Antwort auf Setzen-Sechs Niveau. Und zwar zum wiederholten Mal.
Dass die sich nicht schämen?
-
Du erreichst aus Deinem Heimnetz die Fritzbox unter folgenden Adressen (die tatsächlichen IPs sind teilweise anonymisiert, nur zum grundsätzlichen Verständnis):
http://192.168.178.1
http://[fd00:xxxx:yyyy:0:aaaa:bbbb:cccc:dddd]/ Das ist die Unique Local Address, vergleichbar mit dem 178er Netz bei IPv4Diese Adressen sind ausschliesslich aus dem LAN erreichbar, also wenn Du per Kabel/WLAN in Deinem Heimnetz bist.
Folgende Adressen funktionieren nur, wenn Du den Fritzbox Fernzugang eingerichtet hast:
https://[2a00:6020:7380::xxxx]:49102/ Das ist die globale Adresse, welche die Fritzbox direkt vom DG DHCP bekommen hat. In der FB angezeigt als "IPv6-Adresse: 2a00:6020:7380::xxxx/64"
https://[2a00:6020:73d7:zzzz:aaaa:bbbb:cccc:dddd]:49102/ Das ist auch eine globale Adresse, die sich die Fritzbox aus dem zugeteilten IPv6 Präfix gegeben hat. Das Präfix (aber nicht die FB Adresse!) wird in der FB angezeigt als "IPv6-Präfix:" unter Verbindungsdetails. Falls Du die genaue Adresse der Fritzbox im Präfixnetz wissen willst, mach einen nslookup auf fritz.box mit Deinem Heimnetz-Macbook. Dann wird diese Adresse auch mit aufgelistet. Die FB selbst zeigt sie dummerweise nicht an.
Die Fritzbox macht übrigens auch noch einen LISTEN auf http://[2a00:6020:73d7:zzzz:aaaa:bbbb:cccc:dddd]:80/ also auf die Adresse aus dem zugeteilten Präfix, aber ohne https und unter Port 80. Dieser LISTEN bindet aber ausschliesslich auf das LAN Interface. Von außen aus dem Internet sind nur die https Adressen mit Port 49102 erreichbar. Und das auch nur, wenn die DG ihre Router richtig konfiguriert hat.
-
Dave Guck mal, welcher DNS Server in Deinen Netzwerkeinstellungen eingetragen ist. Falls Dein DNS Server die Fritzbox sein soll (Standard), dann:
1. IPv4: Netzwerk > Netzwerkeinstellungen > IPv4-Einstellungen > Heimnetz > Lokaler DNS-Server: Bei einer Fritzbox im Werkszustand "192.168.178.1". Falls Du Dein lokales Netz angepasst hast, dann üblicherweise die gleiche Adresse, wie sie weiter oben unter Heimnetz > IPv4 Adresse steht.
2. IPv6: Netzwerk > Netzwerkeinstellungen > IPv6-Einstellungen > DNSv6-Server im Heimnetz: Der "DNSv6-Server im Heimnetz" sollte die gleiche Adresse haben wie "Unique Local Address Ihrer FRITZ!Box:" weiter oben auf der gleichen Seite.
Die Meldung "Warning: fritz.box has multiple addresses" scheint etwas spezielles Deiner Testsoftware auf dem Handy zu sein. Welche Software ist das noch einmal, gibt es die auch für Android (war bei Dir glaube ich iPhone, oder)?
-
[...]
Liegen die Anschlüsse im selben Ausbaugebiet oder zumindest in benachbarten PLZ-Bereichen?
Ich wohne zwischen Stuttgart und Tübingen in einem Neuausbaugebiet. Unser Dorf wird seit November angeschlossen (aktiviert), nachdem über's Jahr die Bauarbeiten liefen.
-
Wie ich ihn verstanden habe, war die Bridge nur temporär drin.
Ich sehe nicht, wie das eine Rolle spielen soll, denn Bridges sind unter Linux Dekaden alt.
Aber an dieser Stelle würde ich auch Try/Error machen, siehe vorherigen Post.
Ich hatte die Bridge nur reingemacht, um mit tcpdump Mitschnitte machen zu können, die beweisen, dass die Fritzbox am WAN Interface korrekt antwortet. Das Problem ist mit oder ohne Bridge absolut gleich.
-
Im / aus dem Heimnetz geht alles, da kann ich alle Adressen der Fritzbox pingen und auch auf z.B. den externen Fernzugang zugreifen. Dieser Traffic muss ja nicht durch den DG Router.
-
Ich hab mal ganz dumm die künstliche Intelligenz befragt, wie das routertechnisch z.B. bei einem Cisco Router aussehen könnte. Hatte ehrlich gesagt zum letzten Mal vor 19 Jahren einen Cisco Router auf der Konsole, aber sei's drum. Vielleicht stimmt das ja so ungefähr, was die AI so raushaut:
Q: Can a Cisco router block ICMP between two connected hosts in a way, that PING is possible from host "A" to host "B", but when initated from host "B", then the "Echo reply" packets from host "A" are blocked?A: Yes, a Cisco router can be configured to block ICMP traffic asymmetrically, such that ping (ICMP Echo Request and Reply) works from Host A to Host B but not in the reverse direction. This behavior can be achieved through the use of Access Control Lists (ACLs) or other traffic filtering mechanisms on the router. Here's how this could happen:
Scenario Analysis
- Ping from Host A to Host B succeeds:
- Host A sends an ICMP Echo Request to Host B.
- The router allows the ICMP Echo Request from Host A to Host B.
- Host B responds with an ICMP Echo Reply to Host A.
- The router allows the ICMP Echo Reply from Host B to Host A.
- Ping from Host B to Host A fails:
- Host B sends an ICMP Echo Request to Host A.
- The router allows the ICMP Echo Request from Host B to Host A.
- Host A responds with an ICMP Echo Reply to Host B.
- The router blocks the ICMP Echo Reply from Host A to Host B, resulting in no response.
How This Can Be Configured on a Cisco Router
- ACL Blocking Specific Traffic:
- The router might have an Access Control List (ACL) configured to filter ICMP traffic in a specific direction.
Example ACL configuration:
Codeaccess-list 101 permit icmp any any echo access-list 101 deny icmp any any echo-reply access-list 101 permit ip any anyApplied to the relevant interface (e.g., interface GigabitEthernet0/1):
Codeinterface GigabitEthernet0/1 ip access-group 101 inThis configuration permits ICMP Echo Requests but denies ICMP Echo Replies in the direction applied.
- Stateful Inspection or Reflexive ACLs:
- If stateful inspection (via CBAC, ZBF, or similar) is improperly configured, it could allow ICMP Echo Requests but fail to recognize or permit Echo Replies.
- Reflexive ACLs might be set up but not applied correctly for return traffic.
- Routing or NAT Issues:
- A Network Address Translation (NAT) or routing issue might block return ICMP traffic in one direction, although this is less common than ACL filtering.
- Policy-Based Routing (PBR):
- Policy-based routing could selectively redirect or block specific ICMP traffic based on the source, destination, or type of packet.
Dann gab es noch Infos wie man das diagnostiziert und behebt und eine Conclusion. Lasse ich jetzt mal weg.
- Ping from Host A to Host B succeeds:
-
Erklärt es mir bitte noch einmal: Wo hätte denn die zweite MAC herkommen sollen?
Und an DrFroeschle: Der Ping war demnach erfolgreich oder kommt die Antwort nicht mehr bei der Quelle an?
Ping von Heimnetz Node zu VPS Server: funktioniert vollständig.
Ping von VPS Server zu Heimnetz Node: funktioniert vollständig.
Ping von VPS Server zu FritzBox: Request kommt an, Fritzbox sendet nachweislich den Reply raus, Reply kommt nie beim VPS Server an. Wird höchstwahrscheinlich vom DG BNG Router gedroppt.
Gleiches Schema gilt für UDP und TCP Traffic.
-
Und wenn du von einem IPv6-fähigen LAN-Client einen IPv6-Ping auf ein beliebiges Internet-Ziel absetzt (und dabei einen Trace am WAN-Port laufen lässt), wird dieses ICMPv6-echo auch mit der Source-MAC-Adresse 3c:a6:2f:44:18:37 weitergeleitet (damit wollte ich es vergleichen)?
Bitteschön:
Request:
Reply:
Gleiche MACs
-
Zur Vermutung "unterschiedliche MACs": Siehe nachfolgende Screenshots von Wireshark. Es handelt sich um ein Ping Request und Reply Paar zur Fritzbox, mitgeschnitten am WAN Interface (ein wesentlicher Vorteil gegenüber einer Glasfasermodem-Fritzbox).
Request:
Reply:
Wie zu sehen ist, sind die MACs symmetrisch.
Dieses Reply Paket wird dann vom DG BNG Router gedroppt.
Ich habe heute erfahren, dass in unserem Dorf noch die Anwerbestelle der Deutschen Glasfaser geöffnet hat. Ich werde da morgen mal hingehen und ein Interview führen zum Thema Servicequalität bei meinem Ticket, welche seit dem 30.11. dort unbearbeitet rumliegt...
-
[...]
Nur noch eine Idee:
Ist in deiner Fritzbox der "Stealth Mode" (Diagnose | Sicherheit | Filter) aktiv? Falls ja, könnte es helfen, den mal zu deaktivieren. Dann könnte man evtl. auch die WAN-Port-Adresse deiner Fritzbox in Traceroutes sehen.
Hab gerade nachgesehen. Nein, der Stealth Mode ist nicht aktiv.
Mit dem testweise freigeschalteten HTTP Server (Alles aus dem Präfix tut ja, nur die Fritzbox selbst nicht) komme ich auf folgenden Graphen von ipv6tech.ch:
-
[...]
Danke! Bis zum 2a00:6020:0:b::2 kommen traceroutes bei mir auch. Aber der Hop danach ist für mich unsichtbar, vermutlich weil der Nachbarrouter zu dem ...ffff::58 falsch konfiguriert ist.
Ich habe die DG nochmal angeschrieben. Wenn keine Bewegung in die Sache kommt, setze ich eine schriftliche Frist.
-
nein, fritzbox sowie der mikrotik Router sind Server, Privat und Firma verbinde ich wenn dann nur direkt am Rechner per Client
Und du kannst "aus dem Internet" eine Wireguard Verbindung zu Deiner Fritzbox aufbauen, welche von dem Internetclient (z.B. Handy) initiiert wird?
Falls ja, kannst Du von einem Internetsystem oder einer traceroute Testseite (z.B. https://www.ipv6tech.ch/?traceroute6 ) einen traceroute6 auf die IPv6 Adresse Deiner Fritzbox machen und uns den Traceverlauf zeigen? Darfst gerne die Zieladresse weglassen, mich interessieren nur die Routeradressen dazwischen.
-
Bei mir geht VPN mit der Fritzbox privat und einem Mikrotik Router in meiner Firma, beides bei DG ohne native ipv4 über ipv6...
Ich vermute mal, der Router in der Firma ist der VPN Server und die Fritzbox verbindet sich dorthin, oder?
-
Ne, leider auch nicht.
Also ich habe bei mir in den Internetdetails
IPv6-Präfix: 2a00:6020:xxxx:5900Und unter den Netzwerkeinstellungen >IPv6-Adressen:
Verwendete IPv6 Präfixe:Heimnetz 2a00:6020:xxxx:5900::/64
WAN 2a00:6020:yyyy::/64
Delegiert 2a00:6020:xxxx:59fc::/62
wobei ich x und y obfuskiert habe, aber xxxx immer gleiche Zahl bedeutet. Was allerdings hilft, ist ein nslookup auf fritz.box von einem der Clients im Heimnetz. Da bekomme ich dann von dem FB dnsmasq die Adresse ausgehändigt. Mit dieser habe ich dann vom VPS Server im Internet aus einen traceroute6 gemacht:
root@vmdabcdef:/etc# traceroute6 2a00:6020:73d7:xxxx:3ea6:2fff:fe44:zzzz
traceroute to 2a00:6020:73d7:xxxx:3ea6:2fff:fe44:zzzz (2a00:6020:73d7:xxxx:3ea6:2fff:fe44:zzzz), 30 hops max, 80 byte packets
1 2a02:c206::a (2a02:c206::a) 1.193 ms 1.094 ms 1.201 ms
2 * * 2001:1900:5:2:2::3a81 (2001:1900:5:2:2::3a81) 30.690 ms
3 * lo-0-v6.ear4.Frankfurt1.Level3.net (2001:1900:2::3:12b) 11.965 ms *
4 2001:438:ffff::407d:c7d (2001:438:ffff::407d:c7d) 11.820 ms 11.738 ms 11.674 ms
5 ae27.cs1.fra9.de.eth.zayo.com (2001:438:ffff::407d:1efe) 11.616 ms * *
6 ae1.mcs1.fra9.de.zip.zayo.com (2001:438:ffff::407d:1d41) 11.423 ms 4.937 ms 4.741 ms
7 * * *
8 * 2a00:6020:0:1d::1 (2a00:6020:0:1d::1) 9.286 ms *
9 2a00:6020:0:a::2 (2a00:6020:0:a::2) 7.682 ms 7.607 ms 7.547 ms
10 * * *
11 * * ** * * bis 30
Tscha, und was soll ich sagen, hängt am gleichen Hop wie wenn ich die dedizierte FB IPv6 Adresse verwende. Und wie ich in meinem eigenen Forumsthread schon geschrieben hatte: Wenn ich einen Webserver im "Heimnetz" einrichte und diesen per IPv6 an der Fritzbox freischalte, dann kann ich auf diesen zugreifen. Nur die Rückrouten direkt für die Fritzbox-Services werden am DG Router geblockt (meine Vermutung).
