[Problem] Fritz!Box IPv6 Portfreigabe für Pi funktioniert nicht

nmsport

Neuer User
Mitglied seit
2 Jun 2011
Beiträge
158
Punkte für Reaktionen
32
Punkte
28
Das ist grundsätzlich aber egal. WAN ist WAN, egal ob es via DSL, Cable oder eben als Subnetz an den Router kommt. Mein Vorteil besteht bei dieser Konstellation darin, solche Späße geduldig direkt aus dem vorgelagerten Netz heraus testen zu können, ohne fremde Rechner und Internetzugänge benutzen zu müssen. Und das Ergebnis lautet: Zumindest mit aktuellen Inhaus- oder Laborversionen auf einer 7590 funktioniert das Portforwarding mit IPv6 offenkundig tatsächlich nicht. Ob es mit einem offiziellen OS (7.01 oder 7.12) funktionierte, kann ich nicht sagen, da ich das nie benötigte und auch nie versuchte.
 

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,846
Punkte für Reaktionen
14
Punkte
38
Ob es mit einem offiziellen OS (7.01 oder 7.12) funktionierte, kann ich nicht sagen, da ich das nie benötigte und auch nie versuchte.
Ich bin mir ziemlich sicher, dass es mit einer einzigen FritzBox (... als border device und mit der von dir genannten Firmware), an einem nativen IPv6-Internetanschluss funktionieren wird.
 

nmsport

Neuer User
Mitglied seit
2 Jun 2011
Beiträge
158
Punkte für Reaktionen
32
Punkte
28
Fühl' dich frei, den Beweis anzutreten! ;)
Ich setze dagegen und wette, dass es auch dann nicht geht.

Mit der 7.12 ging modellübergreifend nicht einmal das IPv6-Subnetzrouting! D.h., meine Rechner durften hinter der 7590 (siehe Kaskade) gar nicht mit IPv6 ins Internet, weil die vorgelagerte 7490 (mit 7.12 wohlgemerkt) das verhinderte. Deswegen läuft diese auch immernoch auf 7.01, obwohl dieser Fehler mit der 7.19er Laborreihe bereits wieder behoben ist. AVM passieren simpelste Fehler und diese werden sogar offiziell veröffentlicht und bei Meldung verleugnet. Über Dysfunktionalität unter Laborbedingungen muss man sich daher am allerwenigsten wundern.
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
15,861
Punkte für Reaktionen
301
Punkte
83
Daher verwende ich auch bei IPv6 die Einstellungen:
Unique Local Addresses (ULA) zuweisen, solange keine IPv6-Internetverbindung besteht (empfohlen)
Diese FRITZ!Box stellt den Standard-Internetzugang zur Verfügung -> Hoch
DNSv6-Server auch über Router Advertisement bekanntgeben (RFC 5006)
DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren:
DNS-Server und IPv6-Präfix (IA_PD) zuweisen

Die letzte Option ist leider nicht Standard aktiv, und so bekommen auch andere FB als IP Client entsprechend ne IP bzw Netz und nicht nur den DNS, bzw. IPv4 only via DHCP. Auch mein NAS braucht die Option damit für openVPN eigene Subnet genutzt werden kann.
 

nmsport

Neuer User
Mitglied seit
2 Jun 2011
Beiträge
158
Punkte für Reaktionen
32
Punkte
28
Sieht bei mir in beiden Netzen fast gleich aus, nur dass ich ULAs immer zuweisen lasse, (war bisher nie ein Problem, sondern hilfreich) und "Standard-Internetzugang zur Verfügung -> Hoch" belasse ich auf "mittel", weil im jeweiligen Sub-/Heimnetz ohnehin kein anderer Router bzw. Gateway vorhanden ist. Selbst auf die Wirkungsweise der beiden Pis (in jedem Netz hängt einer als Pihole) hat das keinen Einfluss. Der letzte Hinweis:
DNS-Server und IPv6-Präfix (IA_PD) zuweisen
ist aber in der Tat angebracht. Ohne dies kann es tatsächlich zu Konnektivitätsproblemen kommen. Das habe ich nicht erwähnt, weil es zu den Grundeinstellungen gehört, die ich mache, ohne noch darüber nachzudenken. Dort sollte der TE, falls sein Pi keine verwendbaren Adressen erhält, auch nachsehen. Jedoch düfte der Pi stets über seine Link-Local ansprechbar sein und müsste, da die Box ja ohnehin die IFID zur Weiterleitung benutzt, darüber auch via Portforwarding zu erreichen sein. Sprich: IPv6-Anfrage auf WAN-Seite führt vermutlich sowieso zu einer Anfrage auf fe80::xxxxxxx im Heimnetz. Aber wie schon angemerkt, ist das Fritz!OS schon so gestrickt, dass der Portfreigabe automatisch die Unique Global (mit IFID) zugeordnet wird, wenn sie denn vorhanden ist.
 

Zentronix

Mitglied
Mitglied seit
24 Jan 2010
Beiträge
558
Punkte für Reaktionen
27
Punkte
28
Zumindest mit aktuellen Inhaus- oder Laborversionen auf einer 7590 funktioniert das Portforwarding mit IPv6 offenkundig tatsächlich nicht. Ob es mit einem offiziellen OS (7.01 oder 7.12) funktionierte, kann ich nicht sagen, da ich das nie benötigte und auch nie versuchte.
Hallo,

ich benutze IPv6-Portfreigaben auf einer Fritzbox 7430 (Fw 07.12). Mit wechselndem Provider-Präfix. Zu Linux und Windows. Alles ohne Probleme.

Leider ist die Büchse anscheinend etwas instabil und bootet manchmal. Das GUI ist schläfrig. Werde sie wohl mal ersetzen.

Grüße.
 

raspiby

Neuer User
Mitglied seit
15 Dez 2019
Beiträge
8
Punkte für Reaktionen
0
Punkte
1
Bin jetzt leider in eurem Gespräch nicht ganz mitgekommen :D
Habe aber mal eben meine Ipv6 Adresse mit dem Befehl ip address am Pi abgerufen und diese unterscheidet sich tatsächlich mit der Adresse die bei der Fritz!Box unter
den Freigaben bei dem Reiter "IP-Adresse im Internet" angezeigt wird.
Leider bin ich jetzt immer noch ratlos, wie ich hier weiterkommen soll :confused:

Frohes neues Jahr euch aber btw!
 

nmsport

Neuer User
Mitglied seit
2 Jun 2011
Beiträge
158
Punkte für Reaktionen
32
Punkte
28
Hm, mir scheint, dir ist noch nicht ganz aufgegangen, wie man IPv6-Adressen lesen muss, um zu verstehen, was schiefgelaufen sein könnte, wäre denn etwas schiefgelaufen. Wenn es am Grundverständnis in dieser Angelegenheit hapert, dann bleibt dir nur, dich in die Materie einzulesen. Das hier im Forum auszuklamüsern, ist ein Unding. Man muss einfach zwischen Präfixen und Suffixen sowie zwischen den Präfix- und Suffixtypen unterscheiden können und etwas über deren Verwendung wissen. Erst kann man sich ernsthaft auf Fehlersuche begeben, oder wenigstens konkret beschreiben, wo man einen vermutet.
 

bjohann

Neuer User
Mitglied seit
20 Mrz 2020
Beiträge
1
Punkte für Reaktionen
0
Punkte
1
hallo
Ich hab FB 6490 KD/Vodafone und ein und raspi3B+ ipv4 und ipv6
im Januar hab ich port freigabe gemacht http server ipv6 gemacht und funktionierte super
bis heute FB hat neue ipv4 und 6 gekriegt Dyn DNs hat beide ip aktualiesiert.
leider raspi hat im heimnetz 2 ipv6 adressen die alte wie bei portfreigabe und neue
ifconfig zeigt nur die neue hab portfreigabe gelöscht und neue gemacht,aber kommt immer
die alte und die funktioniert nicht.
hab alle beiträge oben gelesen und meine einstellugen mit präfix und slaac sind ok und funktionierten.
kann jemman idee was muß ich machen das wieder funktioniert ?

mfg.
bjohann
 

tape_willi

Neuer User
Mitglied seit
2 Apr 2020
Beiträge
1
Punkte für Reaktionen
0
Punkte
1
Tach zusammen,
ich habe ähnliche Probleme und Vorhaben gehabt und ein Problem das ich nun gelöst habe hat mich hier hin geführt.
Ich wollte meine Konstellation hier posten und meine Lösung mit Euch teilen (habe dafür etliche Stunden gesucht und getestet.
Nun läufts (wieder)

Meine Anwendungsfall lautet das ich einen eigenen Mailserver auf einem Pi hinter einer Fritzbox mit DS Lite Anschluss betreibe. Auf diesen Mailserver hatte ich immer zu Zeiten als ich noch eine IP V4 Adresse besaß über Portforwarding ohne Probleme per VPN vom Handy oder anderen Clients mit entspr. VPM Clientconfig Zugriff.
Mit dem DS Lite Internetzugang und der nun nur noch öffentlichen IP V6 Adresse war die Lösung dann Geschichte.
Also
PI <=>LAN<=>Fritzbox/DSLite<=>WAN<=> Handy (Problem:wie bekomme ich vom Handy per VPN an den PI)

1. Ihr benötigt ein MyFritz Konto
2. Ihr benötigt einen kostenpflichtigen sogenannten Portmapping Dienst im Internet (ich habe feste-ip.net genommen, dort sind 30 Tage kostenlos, das habe ich genutzt um das auszutesten und danach für eine Jahr Credits gebucht für den Dienst (kostet ca 5€/Jahr))

Bez openVPN Konfig zu beachten wäre das ich auf dem vpn server tcp6 nutze muss (tcp wg. Portmapper).
Jetzt zu der Fritzbox (7430) Port Freigabe die sich auch zuletzt als sehr zickig rausgestellt hat:
1. Freigaben + Gerät für Freigaben hinzufügen dann in dem Fenster bei Gerät wurde bei meinem freizugebender PI IPV6 adresse 2 Einträge angezeigt. Wichtig ist das ihr den öffentlichen nehmt und das müsst ihr probieren bzw auf dem Pi den Befehl "dig -6 aaaa +short myip.opendns.com @2620:0:ccc::2" absetzen um das rauszufinden. Das ist die öffentliche IPV6 des Pi (habe ich vom Post weiter oben, top Kommando!!) Oder einfach testen, habe ich hundert mal hin und her geswitcht.
2.dann habe ich noch eine Haken bei "Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen." gesetzt und dann auf neue Freigabe geklickt.
Dort dann myfritz freigabe, bei Beizeichnung zb ovpn, bei Schema http://, beim Port den vpn Port 1194, und dann OK, und dann übernehmen. Jetzt ist es wichtig das es in der Spalte bei "Port extern vergeben IPv6" der Port 1194 erscheint. Nur dann ist der Port offen. Mein Probelm war zuletzt das immer der 1194 Eintrag in der Spalte " Port extern vergeben IPv4" stand. Warum auch immer. Ich habe mir damit beholfen das ich eine weitere Freigabe auf den Pi wie schon oben beschrieben vorgenommen habe auf Basis des zweiten Eintrags für den Pi bei der Auswahl "Gerät für Freigaben hinzufügen" Einträge dann wie oben beschrieben wiederholt und Freigabe übernommen. Erst danach war dann der IPV6 Port offen für den PI.
Ergebnis siehe hier:
Screenshot_20200402_204756.png
Nun geht es weiter bei feste-ip.net und dafür braucht ihr den myfritznamen des Pi's (den bekommt ihr angezeigt wenn ihr in dem Fenster auf bearbeiten geht, dann erscheint er in den Freigabenzeilen.
in etwa gerätename.irgendwasverkryptetes.myfritz.net
In feste IP dann einen "Universelle - IPv6 <-> IPv4 Portmapper" anlegen in der Form:
festip.png
[Edit Novize: Bilder gemäß der Forumsregeln auf Vorschau verkleinert]
Hier könnt ihr schon testen wenn ihr auf den Doppelpfeil beim Zielport klickt ob der Port offen ist.
Beim Hostnamen tragt ihr den gerätename.irgendwasverkryptetes.myfritz.net ein der Port ist der ovpn port 1194 (wie auf ovpn server) und das IPv4 mapping über einen Namen den ihr vergebt z.b eure.feste-ip.net der Port wird zufällig vergeben. Für die VPN client config benötigt ihr nun den mapping namen incl den Port aus feste-ip also "eure.feste-ip.net:10023" (portnummer nur als BSP)

Die vpn client config ist dann eine IP V4 config also:
port 10023 #LISTEN PORT aus feste ip net
remote eure.feste-ip.net #SERVER IP OR URL
proto tcp #OPENVPN PROTOCOL
dev tun
usw. möchte nicht auf vpn config eingehen.


Damit hat es dann gefunzt. Bis ich soweit war hat das ca 1,5 Jahre gedauert.
Ich hoffe es hilft Euch weiter! Viel Erfolg!

tape_willi
 
Zuletzt bearbeitet von einem Moderator:

Fruchtzwerg24

Neuer User
Mitglied seit
12 Jul 2020
Beiträge
1
Punkte für Reaktionen
0
Punkte
1
Unnötiges Vollzitat von darüber/dieser Seite gemäß Boardregeln entfernt by stoney
Hallo zusammen!

Ich hatte dasselbe Problem wie der TE, und bei mir hat (ich kann letztendlich nur vermuten) eine Kombination der folgenden Schritte geholfen:
1) In der dhcpcd.conf den Eintrag "slaac hwaddr" setzen. Dann bekommt der Raspberry immer dieselbe statische Interface ID.
2) In der FritzBox "DNS-Server und IPv6-Präfix (IA_PD) zuweisen", wie oben angemerkt. Das war bei mir auch nicht standardmäßig aktiviert.
3) In der FritzBox unter Heimnetz > Netzwerk beim Raspberry auf den Stift, um die Details zu sehen. Unter IPv6-Adressen sollte jetzt eine zu finden sein, die vorne aus dem IPv6-Präfix besteht und hinten aus der nun fest vergebenen Interface ID. Das hat sich bei mir (Fritzbox 7590, FritzOS 7.12) ohne mein Zutun noch einige Male geändert, nur durch neu laden der Seite im Browser. Nach einem Neustart des Browsers blieb die korrekte Kombination dann stabil. Hallelujah.
5) im Raspberry per "ifconfig" geschaut, ob diese IP dort auch als "Global" auftaucht. Tat sie.
4) Internet > Freigaben > Portfreigaben > Gerät für Freigaben hinzufügen > Gerät: raspberrypi. Jetzt gab es allerdings einen fulminanten Unterschied:
Die bis dahin angezeigte, aber ausgegraute und somit nicht änderbare IPv6 Interface ID konnte ich jetzt manuell abändern. Voreingetragen war bisher immer eine Link Lokale und nicht die, die im Raspi als Global angezeigt wurde.
5) Neue Freigabe etc pp > OK > OK > Übernehmen. Ab da ging es.

Ich nutze auf dem Raspi die ufw Firewall und konnte, nachdem ich dort Port 22 freigegeben hatte ("sudo ufw allow 22"), per SSH von außen auf den Raspi.
Das habe ich natürlich wieder geschlossen und die Freigabe gelöscht. Ich habe damit getestet und anschließend genau wie tape_willi einen OpenVPN Server via feste-ip.de erreichbar gemacht.

Stichworte: Deutsche Glasfaser, DS-CGNAT.

Zu den VPN-Client-.ovpn Dateien:
Auf meinem Android Smartphone baut OpenVPN die Verbindung auf, dort habe ich "proto tcp6" eingetragen.
Auf meinem Win 10 Laptop klappte das nicht. Dort habe ich "proto tcp" eingetragen, seitdem klappt es dort auch.

Ich hoffe, das kann dem ein oder anderen weiterhelfen, der seinen DSLite/DSCGNAT Anschluss erreichen möchte und hoffe, es ist in Ordnung, wenn ich an dieser Stelle auf zwei weitere Anleitungen verweise, die mir sehr weitergeholfen haben:

1) http://roki-internet.de/_forum/viewtopic.php?f=7&t=1141
2) https://blog.helmutkarger.de/raspberry-pi-vpn-teil-1-smartphone-sicherheit/ hier besonders Teil 5 und 6.

Damit wir nicht alle 1,5 Jahre brauchen, bis es klappt ;)

Fruchtzwerk24
 
Zuletzt bearbeitet von einem Moderator: