Das ist grundsätzlich aber egal. WAN ist WAN, egal ob es via DSL, Cable oder eben als Subnetz an den Router kommt. Mein Vorteil besteht bei dieser Konstellation darin, solche Späße geduldig direkt aus dem vorgelagerten Netz heraus testen zu können, ohne fremde Rechner und Internetzugänge benutzen zu müssen. Und das Ergebnis lautet: Zumindest mit aktuellen Inhaus- oder Laborversionen auf einer 7590 funktioniert das Portforwarding mit IPv6 offenkundig tatsächlich nicht. Ob es mit einem offiziellen OS (7.01 oder 7.12) funktionierte, kann ich nicht sagen, da ich das nie benötigte und auch nie versuchte.
[Problem] Fritz!Box IPv6 Portfreigabe für Pi funktioniert nicht
- Ersteller raspiby
- Erstellt am
-
- Schlagworte
- fritzbox ipv6 portfreigabe raspberrypi
sf3978
IPPF-Promi
- Mitglied seit
- 2 Dez 2007
- Beiträge
- 8,014
- Punkte für Reaktionen
- 28
- Punkte
- 48
Ich bin mir ziemlich sicher, dass es mit einer einzigen FritzBox (... als border device und mit der von dir genannten Firmware), an einem nativen IPv6-Internetanschluss funktionieren wird.
Fühl' dich frei, den Beweis anzutreten! 
Ich setze dagegen und wette, dass es auch dann nicht geht.
Mit der 7.12 ging modellübergreifend nicht einmal das IPv6-Subnetzrouting! D.h., meine Rechner durften hinter der 7590 (siehe Kaskade) gar nicht mit IPv6 ins Internet, weil die vorgelagerte 7490 (mit 7.12 wohlgemerkt) das verhinderte. Deswegen läuft diese auch immernoch auf 7.01, obwohl dieser Fehler mit der 7.19er Laborreihe bereits wieder behoben ist. AVM passieren simpelste Fehler und diese werden sogar offiziell veröffentlicht und bei Meldung verleugnet. Über Dysfunktionalität unter Laborbedingungen muss man sich daher am allerwenigsten wundern.
Ich setze dagegen und wette, dass es auch dann nicht geht.
Mit der 7.12 ging modellübergreifend nicht einmal das IPv6-Subnetzrouting! D.h., meine Rechner durften hinter der 7590 (siehe Kaskade) gar nicht mit IPv6 ins Internet, weil die vorgelagerte 7490 (mit 7.12 wohlgemerkt) das verhinderte. Deswegen läuft diese auch immernoch auf 7.01, obwohl dieser Fehler mit der 7.19er Laborreihe bereits wieder behoben ist. AVM passieren simpelste Fehler und diese werden sogar offiziell veröffentlicht und bei Meldung verleugnet. Über Dysfunktionalität unter Laborbedingungen muss man sich daher am allerwenigsten wundern.
Daher verwende ich auch bei IPv6 die Einstellungen:
Unique Local Addresses (ULA) zuweisen, solange keine IPv6-Internetverbindung besteht (empfohlen)
Diese FRITZ!Box stellt den Standard-Internetzugang zur Verfügung -> Hoch
DNSv6-Server auch über Router Advertisement bekanntgeben (RFC 5006)
DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren:
DNS-Server und IPv6-Präfix (IA_PD) zuweisen
Die letzte Option ist leider nicht Standard aktiv, und so bekommen auch andere FB als IP Client entsprechend ne IP bzw Netz und nicht nur den DNS, bzw. IPv4 only via DHCP. Auch mein NAS braucht die Option damit für openVPN eigene Subnet genutzt werden kann.
Unique Local Addresses (ULA) zuweisen, solange keine IPv6-Internetverbindung besteht (empfohlen)
Diese FRITZ!Box stellt den Standard-Internetzugang zur Verfügung -> Hoch
DNSv6-Server auch über Router Advertisement bekanntgeben (RFC 5006)
DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren:
DNS-Server und IPv6-Präfix (IA_PD) zuweisen
Die letzte Option ist leider nicht Standard aktiv, und so bekommen auch andere FB als IP Client entsprechend ne IP bzw Netz und nicht nur den DNS, bzw. IPv4 only via DHCP. Auch mein NAS braucht die Option damit für openVPN eigene Subnet genutzt werden kann.
Sieht bei mir in beiden Netzen fast gleich aus, nur dass ich ULAs immer zuweisen lasse, (war bisher nie ein Problem, sondern hilfreich) und "Standard-Internetzugang zur Verfügung -> Hoch" belasse ich auf "mittel", weil im jeweiligen Sub-/Heimnetz ohnehin kein anderer Router bzw. Gateway vorhanden ist. Selbst auf die Wirkungsweise der beiden Pis (in jedem Netz hängt einer als Pihole) hat das keinen Einfluss. Der letzte Hinweis:
ist aber in der Tat angebracht. Ohne dies kann es tatsächlich zu Konnektivitätsproblemen kommen. Das habe ich nicht erwähnt, weil es zu den Grundeinstellungen gehört, die ich mache, ohne noch darüber nachzudenken. Dort sollte der TE, falls sein Pi keine verwendbaren Adressen erhält, auch nachsehen. Jedoch düfte der Pi stets über seine Link-Local ansprechbar sein und müsste, da die Box ja ohnehin die IFID zur Weiterleitung benutzt, darüber auch via Portforwarding zu erreichen sein. Sprich: IPv6-Anfrage auf WAN-Seite führt vermutlich sowieso zu einer Anfrage auf fe80::xxxxxxx im Heimnetz. Aber wie schon angemerkt, ist das Fritz!OS schon so gestrickt, dass der Portfreigabe automatisch die Unique Global (mit IFID) zugeordnet wird, wenn sie denn vorhanden ist.
Zentronix
Mitglied
- Mitglied seit
- 24 Jan 2010
- Beiträge
- 631
- Punkte für Reaktionen
- 31
- Punkte
- 28
Hallo,
ich benutze IPv6-Portfreigaben auf einer Fritzbox 7430 (Fw 07.12). Mit wechselndem Provider-Präfix. Zu Linux und Windows. Alles ohne Probleme.
Leider ist die Büchse anscheinend etwas instabil und bootet manchmal. Das GUI ist schläfrig. Werde sie wohl mal ersetzen.
Grüße.
Bin jetzt leider in eurem Gespräch nicht ganz mitgekommen
Habe aber mal eben meine Ipv6 Adresse mit dem Befehl ip address am Pi abgerufen und diese unterscheidet sich tatsächlich mit der Adresse die bei der Fritz!Box unter
den Freigaben bei dem Reiter "IP-Adresse im Internet" angezeigt wird.
Leider bin ich jetzt immer noch ratlos, wie ich hier weiterkommen soll
Frohes neues Jahr euch aber btw!
Habe aber mal eben meine Ipv6 Adresse mit dem Befehl ip address am Pi abgerufen und diese unterscheidet sich tatsächlich mit der Adresse die bei der Fritz!Box unter
den Freigaben bei dem Reiter "IP-Adresse im Internet" angezeigt wird.
Leider bin ich jetzt immer noch ratlos, wie ich hier weiterkommen soll
Frohes neues Jahr euch aber btw!
Hm, mir scheint, dir ist noch nicht ganz aufgegangen, wie man IPv6-Adressen lesen muss, um zu verstehen, was schiefgelaufen sein könnte, wäre denn etwas schiefgelaufen. Wenn es am Grundverständnis in dieser Angelegenheit hapert, dann bleibt dir nur, dich in die Materie einzulesen. Das hier im Forum auszuklamüsern, ist ein Unding. Man muss einfach zwischen Präfixen und Suffixen sowie zwischen den Präfix- und Suffixtypen unterscheiden können und etwas über deren Verwendung wissen. Erst kann man sich ernsthaft auf Fehlersuche begeben, oder wenigstens konkret beschreiben, wo man einen vermutet.
hallo
Ich hab FB 6490 KD/Vodafone und ein und raspi3B+ ipv4 und ipv6
im Januar hab ich port freigabe gemacht http server ipv6 gemacht und funktionierte super
bis heute FB hat neue ipv4 und 6 gekriegt Dyn DNs hat beide ip aktualiesiert.
leider raspi hat im heimnetz 2 ipv6 adressen die alte wie bei portfreigabe und neue
ifconfig zeigt nur die neue hab portfreigabe gelöscht und neue gemacht,aber kommt immer
die alte und die funktioniert nicht.
hab alle beiträge oben gelesen und meine einstellugen mit präfix und slaac sind ok und funktionierten.
kann jemman idee was muß ich machen das wieder funktioniert ?
mfg.
bjohann
Ich hab FB 6490 KD/Vodafone und ein und raspi3B+ ipv4 und ipv6
im Januar hab ich port freigabe gemacht http server ipv6 gemacht und funktionierte super
bis heute FB hat neue ipv4 und 6 gekriegt Dyn DNs hat beide ip aktualiesiert.
leider raspi hat im heimnetz 2 ipv6 adressen die alte wie bei portfreigabe und neue
ifconfig zeigt nur die neue hab portfreigabe gelöscht und neue gemacht,aber kommt immer
die alte und die funktioniert nicht.
hab alle beiträge oben gelesen und meine einstellugen mit präfix und slaac sind ok und funktionierten.
kann jemman idee was muß ich machen das wieder funktioniert ?
mfg.
bjohann
Tach zusammen,
ich habe ähnliche Probleme und Vorhaben gehabt und ein Problem das ich nun gelöst habe hat mich hier hin geführt.
Ich wollte meine Konstellation hier posten und meine Lösung mit Euch teilen (habe dafür etliche Stunden gesucht und getestet.
Nun läufts (wieder)
Meine Anwendungsfall lautet das ich einen eigenen Mailserver auf einem Pi hinter einer Fritzbox mit DS Lite Anschluss betreibe. Auf diesen Mailserver hatte ich immer zu Zeiten als ich noch eine IP V4 Adresse besaß über Portforwarding ohne Probleme per VPN vom Handy oder anderen Clients mit entspr. VPM Clientconfig Zugriff.
Mit dem DS Lite Internetzugang und der nun nur noch öffentlichen IP V6 Adresse war die Lösung dann Geschichte.
Also
PI <=>LAN<=>Fritzbox/DSLite<=>WAN<=> Handy (Problem:wie bekomme ich vom Handy per VPN an den PI)
1. Ihr benötigt ein MyFritz Konto
2. Ihr benötigt einen kostenpflichtigen sogenannten Portmapping Dienst im Internet (ich habe feste-ip.net genommen, dort sind 30 Tage kostenlos, das habe ich genutzt um das auszutesten und danach für eine Jahr Credits gebucht für den Dienst (kostet ca 5€/Jahr))
Bez openVPN Konfig zu beachten wäre das ich auf dem vpn server tcp6 nutze muss (tcp wg. Portmapper).
Jetzt zu der Fritzbox (7430) Port Freigabe die sich auch zuletzt als sehr zickig rausgestellt hat:
1. Freigaben + Gerät für Freigaben hinzufügen dann in dem Fenster bei Gerät wurde bei meinem freizugebender PI IPV6 adresse 2 Einträge angezeigt. Wichtig ist das ihr den öffentlichen nehmt und das müsst ihr probieren bzw auf dem Pi den Befehl "dig -6 aaaa +short myip.opendns.com @2620:0:ccc::2" absetzen um das rauszufinden. Das ist die öffentliche IPV6 des Pi (habe ich vom Post weiter oben, top Kommando!!) Oder einfach testen, habe ich hundert mal hin und her geswitcht.
2.dann habe ich noch eine Haken bei "Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen." gesetzt und dann auf neue Freigabe geklickt.
Dort dann myfritz freigabe, bei Beizeichnung zb ovpn, bei Schema http://, beim Port den vpn Port 1194, und dann OK, und dann übernehmen. Jetzt ist es wichtig das es in der Spalte bei "Port extern vergeben IPv6" der Port 1194 erscheint. Nur dann ist der Port offen. Mein Probelm war zuletzt das immer der 1194 Eintrag in der Spalte " Port extern vergeben IPv4" stand. Warum auch immer. Ich habe mir damit beholfen das ich eine weitere Freigabe auf den Pi wie schon oben beschrieben vorgenommen habe auf Basis des zweiten Eintrags für den Pi bei der Auswahl "Gerät für Freigaben hinzufügen" Einträge dann wie oben beschrieben wiederholt und Freigabe übernommen. Erst danach war dann der IPV6 Port offen für den PI.
Ergebnis siehe hier:
Nun geht es weiter bei feste-ip.net und dafür braucht ihr den myfritznamen des Pi's (den bekommt ihr angezeigt wenn ihr in dem Fenster auf bearbeiten geht, dann erscheint er in den Freigabenzeilen.
in etwa gerätename.irgendwasverkryptetes.myfritz.net
In feste IP dann einen "Universelle - IPv6 <-> IPv4 Portmapper" anlegen in der Form:
[Edit Novize: Bilder gemäß der Forumsregeln auf Vorschau verkleinert]
Hier könnt ihr schon testen wenn ihr auf den Doppelpfeil beim Zielport klickt ob der Port offen ist.
Beim Hostnamen tragt ihr den gerätename.irgendwasverkryptetes.myfritz.net ein der Port ist der ovpn port 1194 (wie auf ovpn server) und das IPv4 mapping über einen Namen den ihr vergebt z.b eure.feste-ip.net der Port wird zufällig vergeben. Für die VPN client config benötigt ihr nun den mapping namen incl den Port aus feste-ip also "eure.feste-ip.net:10023" (portnummer nur als BSP)
Die vpn client config ist dann eine IP V4 config also:
port 10023 #LISTEN PORT aus feste ip net
remote eure.feste-ip.net #SERVER IP OR URL
proto tcp #OPENVPN PROTOCOL
dev tun
usw. möchte nicht auf vpn config eingehen.
Damit hat es dann gefunzt. Bis ich soweit war hat das ca 1,5 Jahre gedauert.
Ich hoffe es hilft Euch weiter! Viel Erfolg!
tape_willi
ich habe ähnliche Probleme und Vorhaben gehabt und ein Problem das ich nun gelöst habe hat mich hier hin geführt.
Ich wollte meine Konstellation hier posten und meine Lösung mit Euch teilen (habe dafür etliche Stunden gesucht und getestet.
Nun läufts (wieder)
Meine Anwendungsfall lautet das ich einen eigenen Mailserver auf einem Pi hinter einer Fritzbox mit DS Lite Anschluss betreibe. Auf diesen Mailserver hatte ich immer zu Zeiten als ich noch eine IP V4 Adresse besaß über Portforwarding ohne Probleme per VPN vom Handy oder anderen Clients mit entspr. VPM Clientconfig Zugriff.
Mit dem DS Lite Internetzugang und der nun nur noch öffentlichen IP V6 Adresse war die Lösung dann Geschichte.
Also
PI <=>LAN<=>Fritzbox/DSLite<=>WAN<=> Handy (Problem:wie bekomme ich vom Handy per VPN an den PI)
1. Ihr benötigt ein MyFritz Konto
2. Ihr benötigt einen kostenpflichtigen sogenannten Portmapping Dienst im Internet (ich habe feste-ip.net genommen, dort sind 30 Tage kostenlos, das habe ich genutzt um das auszutesten und danach für eine Jahr Credits gebucht für den Dienst (kostet ca 5€/Jahr))
Bez openVPN Konfig zu beachten wäre das ich auf dem vpn server tcp6 nutze muss (tcp wg. Portmapper).
Jetzt zu der Fritzbox (7430) Port Freigabe die sich auch zuletzt als sehr zickig rausgestellt hat:
1. Freigaben + Gerät für Freigaben hinzufügen dann in dem Fenster bei Gerät wurde bei meinem freizugebender PI IPV6 adresse 2 Einträge angezeigt. Wichtig ist das ihr den öffentlichen nehmt und das müsst ihr probieren bzw auf dem Pi den Befehl "dig -6 aaaa +short myip.opendns.com @2620:0:ccc::2" absetzen um das rauszufinden. Das ist die öffentliche IPV6 des Pi (habe ich vom Post weiter oben, top Kommando!!) Oder einfach testen, habe ich hundert mal hin und her geswitcht.
2.dann habe ich noch eine Haken bei "Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen." gesetzt und dann auf neue Freigabe geklickt.
Dort dann myfritz freigabe, bei Beizeichnung zb ovpn, bei Schema http://, beim Port den vpn Port 1194, und dann OK, und dann übernehmen. Jetzt ist es wichtig das es in der Spalte bei "Port extern vergeben IPv6" der Port 1194 erscheint. Nur dann ist der Port offen. Mein Probelm war zuletzt das immer der 1194 Eintrag in der Spalte " Port extern vergeben IPv4" stand. Warum auch immer. Ich habe mir damit beholfen das ich eine weitere Freigabe auf den Pi wie schon oben beschrieben vorgenommen habe auf Basis des zweiten Eintrags für den Pi bei der Auswahl "Gerät für Freigaben hinzufügen" Einträge dann wie oben beschrieben wiederholt und Freigabe übernommen. Erst danach war dann der IPV6 Port offen für den PI.
Ergebnis siehe hier:
Nun geht es weiter bei feste-ip.net und dafür braucht ihr den myfritznamen des Pi's (den bekommt ihr angezeigt wenn ihr in dem Fenster auf bearbeiten geht, dann erscheint er in den Freigabenzeilen.
in etwa gerätename.irgendwasverkryptetes.myfritz.net
In feste IP dann einen "Universelle - IPv6 <-> IPv4 Portmapper" anlegen in der Form:
[Edit Novize: Bilder gemäß der Forumsregeln auf Vorschau verkleinert]
Hier könnt ihr schon testen wenn ihr auf den Doppelpfeil beim Zielport klickt ob der Port offen ist.
Beim Hostnamen tragt ihr den gerätename.irgendwasverkryptetes.myfritz.net ein der Port ist der ovpn port 1194 (wie auf ovpn server) und das IPv4 mapping über einen Namen den ihr vergebt z.b eure.feste-ip.net der Port wird zufällig vergeben. Für die VPN client config benötigt ihr nun den mapping namen incl den Port aus feste-ip also "eure.feste-ip.net:10023" (portnummer nur als BSP)
Die vpn client config ist dann eine IP V4 config also:
port 10023 #LISTEN PORT aus feste ip net
remote eure.feste-ip.net #SERVER IP OR URL
proto tcp #OPENVPN PROTOCOL
dev tun
usw. möchte nicht auf vpn config eingehen.
Damit hat es dann gefunzt. Bis ich soweit war hat das ca 1,5 Jahre gedauert.
Ich hoffe es hilft Euch weiter! Viel Erfolg!
tape_willi
Zuletzt bearbeitet von einem Moderator:
Hallo zusammen!
Ich hatte dasselbe Problem wie der TE, und bei mir hat (ich kann letztendlich nur vermuten) eine Kombination der folgenden Schritte geholfen:
1) In der dhcpcd.conf den Eintrag "slaac hwaddr" setzen. Dann bekommt der Raspberry immer dieselbe statische Interface ID.
2) In der FritzBox "DNS-Server und IPv6-Präfix (IA_PD) zuweisen", wie oben angemerkt. Das war bei mir auch nicht standardmäßig aktiviert.
3) In der FritzBox unter Heimnetz > Netzwerk beim Raspberry auf den Stift, um die Details zu sehen. Unter IPv6-Adressen sollte jetzt eine zu finden sein, die vorne aus dem IPv6-Präfix besteht und hinten aus der nun fest vergebenen Interface ID. Das hat sich bei mir (Fritzbox 7590, FritzOS 7.12) ohne mein Zutun noch einige Male geändert, nur durch neu laden der Seite im Browser. Nach einem Neustart des Browsers blieb die korrekte Kombination dann stabil. Hallelujah.
5) im Raspberry per "ifconfig" geschaut, ob diese IP dort auch als "Global" auftaucht. Tat sie.
4) Internet > Freigaben > Portfreigaben > Gerät für Freigaben hinzufügen > Gerät: raspberrypi. Jetzt gab es allerdings einen fulminanten Unterschied:
Die bis dahin angezeigte, aber ausgegraute und somit nicht änderbare IPv6 Interface ID konnte ich jetzt manuell abändern. Voreingetragen war bisher immer eine Link Lokale und nicht die, die im Raspi als Global angezeigt wurde.
5) Neue Freigabe etc pp > OK > OK > Übernehmen. Ab da ging es.
Ich nutze auf dem Raspi die ufw Firewall und konnte, nachdem ich dort Port 22 freigegeben hatte ("sudo ufw allow 22"), per SSH von außen auf den Raspi.
Das habe ich natürlich wieder geschlossen und die Freigabe gelöscht. Ich habe damit getestet und anschließend genau wie tape_willi einen OpenVPN Server via feste-ip.de erreichbar gemacht.
Stichworte: Deutsche Glasfaser, DS-CGNAT.
Zu den VPN-Client-.ovpn Dateien:
Auf meinem Android Smartphone baut OpenVPN die Verbindung auf, dort habe ich "proto tcp6" eingetragen.
Auf meinem Win 10 Laptop klappte das nicht. Dort habe ich "proto tcp" eingetragen, seitdem klappt es dort auch.
Ich hoffe, das kann dem ein oder anderen weiterhelfen, der seinen DSLite/DSCGNAT Anschluss erreichen möchte und hoffe, es ist in Ordnung, wenn ich an dieser Stelle auf zwei weitere Anleitungen verweise, die mir sehr weitergeholfen haben:
1) http://roki-internet.de/_forum/viewtopic.php?f=7&t=1141
2) https://blog.helmutkarger.de/raspberry-pi-vpn-teil-1-smartphone-sicherheit/ hier besonders Teil 5 und 6.
Damit wir nicht alle 1,5 Jahre brauchen, bis es klappt
Fruchtzwerk24
Zuletzt bearbeitet von einem Moderator:
Hallo Zentronix,
genau das wollte ich auch eingerichten. Konfig ist gemacht. Ich erreiche jedoch den Server aus dem Internet nicht (Ping, Traceroute, Telnet). Habe von versch. IPv6-Internetzugängen getestet. Support des Providers verweist mich an AVM. AVM verweist mich auf ihre Dokumentation und end-of-support meiner FB 7362 SL (Fw 07.12).
Hast du mir noch einen Tip was ich prüfen könnte?
Kann gerne mehr Details senden.
Danke
Zuletzt bearbeitet von einem Moderator:
Zentronix
Mitglied
- Mitglied seit
- 24 Jan 2010
- Beiträge
- 631
- Punkte für Reaktionen
- 31
- Punkte
- 28
Hallo keysersoze,
fürchte, daß ich da nicht helfen kann. Kenne die 7362 SL nicht. Die 7430 ist inzwischen durch eine 7520 ersetzt. Die Port-Freigabe ist mit ein paar Klicks erzeugt.
Anbei der Dialog, der den jetzigen Zustand einer IPv6-Portfreigabe zeigt. Vielleicht findest Du einen Unterschied. Fehlende Adresse oder so.
Grüße..
fürchte, daß ich da nicht helfen kann. Kenne die 7362 SL nicht. Die 7430 ist inzwischen durch eine 7520 ersetzt. Die Port-Freigabe ist mit ein paar Klicks erzeugt.
Anbei der Dialog, der den jetzigen Zustand einer IPv6-Portfreigabe zeigt. Vielleicht findest Du einen Unterschied. Fehlende Adresse oder so.
Grüße..
Anhänge
Hallo Zentronix,
danke für die Antwort. Soweit ich die Fritzboxen verstehe sind sie bzgl. Konfig sehr ähnlich. Teilweise sieht man das auch anhand der Dokumentationen, die gleich sind.
Hast du mit der 7520 weiterhin die Fw 07.12?
Der Dialog zur IPv6-Portfreigabe sieht bei mir genau gleich aus.
Ich konnte das Problem bei mir eingrenzen, anbei eine kurze Beschreibung:
- In der Freigabe für das Gerät (vgl. dein Screenshot) bildet die FB automatisch die "IP-Adresse im Internet" (unten im Screenshot) aus dem "IPv6-Präfix" (siehe FB-Dialog Internet, Online-Monitor) und der der "IPv6 Interface-ID" (oben im Screenshot). Ist das bei dir auch so?
- Die "IPv6 Interface-ID" wiederum ist der hintere Teil der link-local Adresse (fe80; siehe ipconfig oder ifconfig). Ist das bei dir auch so?
- Nun kommt das Problem. Die FB generiert somit eine neue IP für den Host. Doch der Host bekommt das bei mir nicht mit. Er hat weiterhin seine 2 global IPv6 und die link-local (siehe Screenshot). Ich kann den Host nicht mal im internen Netz auf diese neu generierte IP pingen. Wie ist das bei dir?
Wenn ich nun im Dialog für IPv6-Portfreigabe die "IPv6 Interface-ID" aus einer der 2 bestehenden global IPv6 Adressen eintrage funktioniert es. Doch aufgrund der Dynamik von v6 ist das noch nicht die vollständige Lösung.
Wie werden deinen Hosts im internen Netz die IP-Adressen zugewiesen - DHCP, SLAAC oder arbeitest du mit statischen IPs?
Hast du Privacy Extension deaktiviert?
Viele Grüsse
danke für die Antwort. Soweit ich die Fritzboxen verstehe sind sie bzgl. Konfig sehr ähnlich. Teilweise sieht man das auch anhand der Dokumentationen, die gleich sind.
Hast du mit der 7520 weiterhin die Fw 07.12?
Der Dialog zur IPv6-Portfreigabe sieht bei mir genau gleich aus.
Ich konnte das Problem bei mir eingrenzen, anbei eine kurze Beschreibung:
- In der Freigabe für das Gerät (vgl. dein Screenshot) bildet die FB automatisch die "IP-Adresse im Internet" (unten im Screenshot) aus dem "IPv6-Präfix" (siehe FB-Dialog Internet, Online-Monitor) und der der "IPv6 Interface-ID" (oben im Screenshot). Ist das bei dir auch so?
- Die "IPv6 Interface-ID" wiederum ist der hintere Teil der link-local Adresse (fe80; siehe ipconfig oder ifconfig). Ist das bei dir auch so?
- Nun kommt das Problem. Die FB generiert somit eine neue IP für den Host. Doch der Host bekommt das bei mir nicht mit. Er hat weiterhin seine 2 global IPv6 und die link-local (siehe Screenshot). Ich kann den Host nicht mal im internen Netz auf diese neu generierte IP pingen. Wie ist das bei dir?
Wenn ich nun im Dialog für IPv6-Portfreigabe die "IPv6 Interface-ID" aus einer der 2 bestehenden global IPv6 Adressen eintrage funktioniert es. Doch aufgrund der Dynamik von v6 ist das noch nicht die vollständige Lösung.
Wie werden deinen Hosts im internen Netz die IP-Adressen zugewiesen - DHCP, SLAAC oder arbeitest du mit statischen IPs?
Hast du Privacy Extension deaktiviert?
Viele Grüsse
Anhänge
sf3978
IPPF-Promi
- Mitglied seit
- 2 Dez 2007
- Beiträge
- 8,014
- Punkte für Reaktionen
- 28
- Punkte
- 48
Bist Du sicher, dass die FritzBox für den Host, diese IPv6-Adresse generiert? Warum sollte die FritzBox das tun?
Könnte es evtl. sein, dass doch der Host zwischendurch, diese IPv6-Adresse generiert hat (... wegen "slaac private" und oder wegen PEs) und die fritzBox das nur zur Kenntnis genommen hat?
Ich bin mir sicher. In dem Moment, wo ich beim Freigabe-Dialog den Host auswähle trägt die FB diesen Host-Teil (der link-local) ein. An dem Host sieht man via ifconfig keine Änderung.
Nachdem die Freigabe konfiguriert ist, sieht man in den aktiven Netzwerkverbindungen bei diesem Host ("Details für ...") 4 IPv6-Adressen: 1 * link-local, 2 * global, 1 * die neue. Die ersten 3 hatte der Host seit dem Booten und die FB-Info deckt sich immer mit ifconfig. Sobald ich die Freigabe entferne verschwindet die neue Adresse aus der Übersicht "Details für..."
Warum sie das tun soll, weiss ich nicht. Bei AVM ist das nirgend näher beschrieben. Ich kontaktiere hierzu noch den Support.
Hast du selbst IPv6 und Portfreigabe? Wie verhält sich das bei dir?
Danke
Nachdem die Freigabe konfiguriert ist, sieht man in den aktiven Netzwerkverbindungen bei diesem Host ("Details für ...") 4 IPv6-Adressen: 1 * link-local, 2 * global, 1 * die neue. Die ersten 3 hatte der Host seit dem Booten und die FB-Info deckt sich immer mit ifconfig. Sobald ich die Freigabe entferne verschwindet die neue Adresse aus der Übersicht "Details für..."
Warum sie das tun soll, weiss ich nicht. Bei AVM ist das nirgend näher beschrieben. Ich kontaktiere hierzu noch den Support.
Hast du selbst IPv6 und Portfreigabe? Wie verhält sich das bei dir?
Danke
sf3978
IPPF-Promi
- Mitglied seit
- 2 Dez 2007
- Beiträge
- 8,014
- Punkte für Reaktionen
- 28
- Punkte
- 48
Z. Zt. nicht. Aber als ich das in der Vergangenheit hatte, waren meine Geräte mit IPv6, so konfiguriert, dass die globale/externe Ipv6-Adresse immer eine statische/feste (d. h. hardwarebasierte) Interface-ID gehabt hat. Damit war eine Portfreigabe in der FritzBox, nie ein Problem.
Ist diese IPv6-Adresse (aus IPv6-Präfix + Interface-ID) die von der FritzBox nur für die Portfreigabe generiert wird, konstant/fest ( ... oder ist sie temporär)? Wenn ja, dann könnte es evtl. so sein, dass damit das Gerät für das die Portfreigabe in der FritzBox konfiguriert wird/ist, "gekennzeichnet" wird (für den Fall, dass auf diesem Gerät die privacy extensions bzw. eine nicht hardwarebasierte Interface-ID verwendet wird).
Wie die FritzBox das jetzt macht, kann bzw. wird auch von der Firmwareversion der FritzBox abhängig sein. Meine FritzBox hatte ja damals eine andere Firmwareversion, im Vergleich zu der Firmwareversion die Du jetzt auf deiner FritzBox hast.
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,149
- Punkte für Reaktionen
- 1,705
- Punkte
- 113
Vielleicht besteht ja auch generell ein Mißverständnis, wie das bei IPv6, Freigaben und Privacy-Extension ablaufen sollte/müßte?
Die "freigegebene" IP-Adresse sollte sich (bis zum Ablauf einer DHCP-Lease oder bis der Router (bei SLAAC) per Router-Advertisement etwas anderes verkündet) nicht ändern - wobei das für den Host-Teil dieser Adresse vor und nach einem Wechsel des Netzwerk-Präfix gilt. Die Dienste, die ein IPv6-Client seinerseits "anbieten" will, sollten dann auch alle mit ebendieser externen Adresse arbeiten (wenn sie die explizit angegeben haben wollen in ihrer Konfiguration) oder eben nur an das Interface (und nicht an eine spezielle Adresse) gebunden sein.
Üblicherweise würde diese IPv6-Adresse jetzt "nachrangig" auf dem Interface konfiguriert vom OS, damit bei ausgehenden Verbindungen (die also nicht auf einer Anfrage an einen freigegebenen Dienst basieren) und aktivierten Privacy-Extensions NICHT diese IPv6-Adresse verwendet wird, sondern die (oder eine der) zufällig generierte(n).
Damit funktioniert sowohl die "Privatheit" (im Rahmen der Ungenauigkeit, die sich aus der fehlenden Kenntnis ergibt, wie lang der Netzwerk-Präfix effektiv ist - denn der "Beginn" der Adresse ändert sich auch mit den PE ja nicht) als auch die Erreichbarkeit von Services auf dem Gerät. Komplizierter wird es jetzt erst, wenn der IPv6-Präfix auch nicht statisch zugewiesen wurde, sondern dynamisch vom Provider bezogen wird und sich dann auch tatsächlich mal ändert. Dann braucht es beim (IPv6-)Client ja einen Mechanismus, mit dem der über den Wechsel des Präfix informiert werden kann - denn externe Anfragen erreichen ihn ja immer mit dem (globalen) Präfix und werden bei IPv6 NICHT auf eine link-lokale IP-Adresse "übersetzt" (wie das bei IPv4 der Fall ist).
Auch wenn die Adressen lokal per DHCPv6 verteilt werden, muß der Router den Wechsel des globalen Präfix (das gilt auch bei Delegationen für einen ganzen Netzwerk-Präfix an einen Client) per Router-Advertisement verkünden und jetzt MUSS auch ein DHCPv6-Client seinerseits erneut tätig werden und sich (unabhängig von bisher vereinbarten Lease-Times) eine neue globale Adresse (bzw. ja nur den Präfix) per DHCPv6 besorgen und damit dann seine Interfaces neu konfigurieren.
Wenn man aber seine Server-Dienste so konfiguriert hat, daß diese auf spezielle Adressen angewiesen sind (beim Apache2 könnte man das z.B. in
Wohl auch um diese Probleme bei ihren Kunden zu minimieren, weisen aber die meisten Provider bei IPv6 über sehr, sehr, sehr lange Zeiträume immer denselben IPv6-Präfix zu, was natürlich für die Nutzung von eingehenden Verbindungen positiv, aber für den Daten- bzw. Trackingschutz ein wahrer Albtraum ist - denn wenn sich der Präfix über lange Zeit nicht ändert und man von dieser Praxis weiß, sowie die üblicherweise vom Provider zugewiesene Präfixlänge auch noch kennt, kann man die PE ad absurdum führen und ist zumindest in der Lage, auch Requests mit IPv6-Adressen, die über die PE regelmäßig gewechselt werden, weiterhin wenigstens bis auf den "Anschluß" (also den Kunden des Providers) zu aggregieren.
Kürzer zusammengefaßt: Bei IPv6 muß man auch mit der Konfiguration seiner Server-Dienste aufpassen, daß diese ihrerseits "neutral" sind beim Binden an ein Interface und auch nicht auf die Idee kommen, einfach die IP-Adressen (oder gar nur die erste) eines Interfaces auszulesen beim Start und dann ihre "Annahmebereitschaft" auf diese Adressen zu beschränken. Die IPv6-Adressen eines Interfaces können sehr schnell wechseln und mir fällt jetzt aus dem Stand gerade auch keine Server-Software ein, die bei IPv6 die Angabe von "Wildcards" vor dem Host-Teil einer Adresse erlauben würde (vielleicht kennt jemand anderes ja ein Beispiel dafür - der Apache2 wäre (afaik) mein Beispiel dafür, wo eine Server-Software mit statischen Präfixen rechnet).
Freigaben in der FRITZ!Box sollten tatsächlich immer mit der "modified EUI-64" erfolgen (das ist auch der Standard, den das FRITZ!OS anhand der MAC-Adresse des Clients vorschlägt), weil es dafür auch den passenden Gegenpart im OS des Clients geben sollte und damit beide auch nach einem Wechsel des IPv6-Präfix bei derselben Adresse landen - für die das FRITZ!OS dann die Freigabe (neu) einrichtet und der Client sein Interface (neu) konfiguriert. Wie das mit der (automatischen) Konfiguration einer IPv6-Adresse mit einem Interface-Teil auf Basis der "modified EUI-64" exakt konfiguriert wird, hängt davon ab, was das für ein Client ist und bei Linux-basierten sogar davon, was das für eine Distribution ist. Bei DHCPv6 ist das jedenfalls oft noch schwieriger, als wenn man einfach nur SLAAC benutzt, weil dabei (fast immer) automatisch die EUI-64 genutzt wird.
Will man hiervon tatsächlich abweichen, muß man bei den meisten OS in erheblichem Maße selbst Hand anlegen ... und das, obwohl diese IPv6-Adresse bei passenden Einstellungen für ausgehende Verbindungen gar nicht genutzt würde und damit der "Wiedererkennungswert" anhand der dort enthaltenen MAC-Adresse auch nur eine geringe Rolle spielt - bei eingehenden Verbindungen (oder dem Wunsch danach), muß man ohnehin viel mehr "preisgeben", als nur diese MAC-Adresse. Nur bei sehr, sehr speziellen Adressen (die MAC-Adresse enthält ja tatsächlich die OUI des Herstellers des Netzwerk-Interfaces) sind damit tatsächlich Rückschlüsse möglich, was da installiert sein könnte bzw. auf welcher Hardware das vielleicht(!) läuft.
Es ist jedenfalls bei IPv6 auch der Normalfall, daß ein Interface mehrere IP-Adressen mit demselben Scope hat - das ist also kein Fehler oder Problem (schon bei IPv4 ja nicht), sondern Teil des Konzepts und man muß nur bei eingehenden Verbindungen dafür sorgen, daß die "veröffentlichte" Adresse für einen solchen Dienst auch auf dem Interface konfiguriert ist (das geht eben am einfachsten, wenn man über deren Interface-Teil gar nicht weiter diskutieren muß) und daß die eingehenden Pakete den (LAN-)Client auch tatsächlich erreichen, weil der Edge-Router (die FRITZ!Box) sie passieren läßt zu diesem Client. Das macht sie aber nur (bei einer "normalen" Freigabe), wenn die mit der passenden IPv6-Adresse als Ziel bei ihr aufschlagen.
Die "freigegebene" IP-Adresse sollte sich (bis zum Ablauf einer DHCP-Lease oder bis der Router (bei SLAAC) per Router-Advertisement etwas anderes verkündet) nicht ändern - wobei das für den Host-Teil dieser Adresse vor und nach einem Wechsel des Netzwerk-Präfix gilt. Die Dienste, die ein IPv6-Client seinerseits "anbieten" will, sollten dann auch alle mit ebendieser externen Adresse arbeiten (wenn sie die explizit angegeben haben wollen in ihrer Konfiguration) oder eben nur an das Interface (und nicht an eine spezielle Adresse) gebunden sein.
Üblicherweise würde diese IPv6-Adresse jetzt "nachrangig" auf dem Interface konfiguriert vom OS, damit bei ausgehenden Verbindungen (die also nicht auf einer Anfrage an einen freigegebenen Dienst basieren) und aktivierten Privacy-Extensions NICHT diese IPv6-Adresse verwendet wird, sondern die (oder eine der) zufällig generierte(n).
Damit funktioniert sowohl die "Privatheit" (im Rahmen der Ungenauigkeit, die sich aus der fehlenden Kenntnis ergibt, wie lang der Netzwerk-Präfix effektiv ist - denn der "Beginn" der Adresse ändert sich auch mit den PE ja nicht) als auch die Erreichbarkeit von Services auf dem Gerät. Komplizierter wird es jetzt erst, wenn der IPv6-Präfix auch nicht statisch zugewiesen wurde, sondern dynamisch vom Provider bezogen wird und sich dann auch tatsächlich mal ändert. Dann braucht es beim (IPv6-)Client ja einen Mechanismus, mit dem der über den Wechsel des Präfix informiert werden kann - denn externe Anfragen erreichen ihn ja immer mit dem (globalen) Präfix und werden bei IPv6 NICHT auf eine link-lokale IP-Adresse "übersetzt" (wie das bei IPv4 der Fall ist).
Auch wenn die Adressen lokal per DHCPv6 verteilt werden, muß der Router den Wechsel des globalen Präfix (das gilt auch bei Delegationen für einen ganzen Netzwerk-Präfix an einen Client) per Router-Advertisement verkünden und jetzt MUSS auch ein DHCPv6-Client seinerseits erneut tätig werden und sich (unabhängig von bisher vereinbarten Lease-Times) eine neue globale Adresse (bzw. ja nur den Präfix) per DHCPv6 besorgen und damit dann seine Interfaces neu konfigurieren.
Wenn man aber seine Server-Dienste so konfiguriert hat, daß diese auf spezielle Adressen angewiesen sind (beim Apache2 könnte man das z.B. in
Listen- und in VirtualHost-Settings so machen, daß man dort IPv6-Adressen angibt ... und manchmal machen das auch automatische Skripte in irgendwelchen Oberflächen zur Bedienung, ohne daß man das selbst explizit wollte oder wüßte), dann muß man i.d.R. auch selbst auf dem Client dafür sorgen, daß der Daemon von diesen Änderungen Kenntnis erhält und notfalls gestoppt und neu gestartet wird, damit dabei dann die neuen Adressen verwendet werden können (wenn die Konfigurationsdateien eines Daemons wirklich automatisch generiert werden aus der aktuellen Lage bei seinem Start - nicht immer sind dann auch die Vorkehrungen zur (ebenfalls automatischen) Aktualisierung bei Adresswechel in diesen Paketen vorgesehen).Wohl auch um diese Probleme bei ihren Kunden zu minimieren, weisen aber die meisten Provider bei IPv6 über sehr, sehr, sehr lange Zeiträume immer denselben IPv6-Präfix zu, was natürlich für die Nutzung von eingehenden Verbindungen positiv, aber für den Daten- bzw. Trackingschutz ein wahrer Albtraum ist - denn wenn sich der Präfix über lange Zeit nicht ändert und man von dieser Praxis weiß, sowie die üblicherweise vom Provider zugewiesene Präfixlänge auch noch kennt, kann man die PE ad absurdum führen und ist zumindest in der Lage, auch Requests mit IPv6-Adressen, die über die PE regelmäßig gewechselt werden, weiterhin wenigstens bis auf den "Anschluß" (also den Kunden des Providers) zu aggregieren.
Kürzer zusammengefaßt: Bei IPv6 muß man auch mit der Konfiguration seiner Server-Dienste aufpassen, daß diese ihrerseits "neutral" sind beim Binden an ein Interface und auch nicht auf die Idee kommen, einfach die IP-Adressen (oder gar nur die erste) eines Interfaces auszulesen beim Start und dann ihre "Annahmebereitschaft" auf diese Adressen zu beschränken. Die IPv6-Adressen eines Interfaces können sehr schnell wechseln und mir fällt jetzt aus dem Stand gerade auch keine Server-Software ein, die bei IPv6 die Angabe von "Wildcards" vor dem Host-Teil einer Adresse erlauben würde (vielleicht kennt jemand anderes ja ein Beispiel dafür - der Apache2 wäre (afaik) mein Beispiel dafür, wo eine Server-Software mit statischen Präfixen rechnet).
Freigaben in der FRITZ!Box sollten tatsächlich immer mit der "modified EUI-64" erfolgen (das ist auch der Standard, den das FRITZ!OS anhand der MAC-Adresse des Clients vorschlägt), weil es dafür auch den passenden Gegenpart im OS des Clients geben sollte und damit beide auch nach einem Wechsel des IPv6-Präfix bei derselben Adresse landen - für die das FRITZ!OS dann die Freigabe (neu) einrichtet und der Client sein Interface (neu) konfiguriert. Wie das mit der (automatischen) Konfiguration einer IPv6-Adresse mit einem Interface-Teil auf Basis der "modified EUI-64" exakt konfiguriert wird, hängt davon ab, was das für ein Client ist und bei Linux-basierten sogar davon, was das für eine Distribution ist. Bei DHCPv6 ist das jedenfalls oft noch schwieriger, als wenn man einfach nur SLAAC benutzt, weil dabei (fast immer) automatisch die EUI-64 genutzt wird.
Will man hiervon tatsächlich abweichen, muß man bei den meisten OS in erheblichem Maße selbst Hand anlegen ... und das, obwohl diese IPv6-Adresse bei passenden Einstellungen für ausgehende Verbindungen gar nicht genutzt würde und damit der "Wiedererkennungswert" anhand der dort enthaltenen MAC-Adresse auch nur eine geringe Rolle spielt - bei eingehenden Verbindungen (oder dem Wunsch danach), muß man ohnehin viel mehr "preisgeben", als nur diese MAC-Adresse. Nur bei sehr, sehr speziellen Adressen (die MAC-Adresse enthält ja tatsächlich die OUI des Herstellers des Netzwerk-Interfaces) sind damit tatsächlich Rückschlüsse möglich, was da installiert sein könnte bzw. auf welcher Hardware das vielleicht(!) läuft.
Es ist jedenfalls bei IPv6 auch der Normalfall, daß ein Interface mehrere IP-Adressen mit demselben Scope hat - das ist also kein Fehler oder Problem (schon bei IPv4 ja nicht), sondern Teil des Konzepts und man muß nur bei eingehenden Verbindungen dafür sorgen, daß die "veröffentlichte" Adresse für einen solchen Dienst auch auf dem Interface konfiguriert ist (das geht eben am einfachsten, wenn man über deren Interface-Teil gar nicht weiter diskutieren muß) und daß die eingehenden Pakete den (LAN-)Client auch tatsächlich erreichen, weil der Edge-Router (die FRITZ!Box) sie passieren läßt zu diesem Client. Das macht sie aber nur (bei einer "normalen" Freigabe), wenn die mit der passenden IPv6-Adresse als Ziel bei ihr aufschlagen.
Zentronix
Mitglied
- Mitglied seit
- 24 Jan 2010
- Beiträge
- 631
- Punkte für Reaktionen
- 31
- Punkte
- 28
Hallo keysersoze,
die betreffende Fritzbox hat FW 7.14.
Wenn dein Server den geänderten IPv6-Präfix (Router Advertisement) nicht übernimmt, ist es kein Wunder, daß die Freigaben nicht funktionieren.
Der Output von "ifconfig" auf einem Debian-Linux bei mir sieht fast genauso aus. Habe aber eine Zeile "inet6" weniger. Vermutlich weil keine PE aktiv sind. Ist bei einem reinen Server auch wenig hilfreich.
In den IPv6-Netzwerkeinstellungen steht bei mir Folgendes, eigentlich Standard:
--------------------------------------------------
/etc/network/interfaces:
--------------------------------------------------
[...]
# This is an autoconfigured IPv6 interface
iface ens32 inet6 auto
--------------------------------------------------
Grüße.
die betreffende Fritzbox hat FW 7.14.
Wenn dein Server den geänderten IPv6-Präfix (Router Advertisement) nicht übernimmt, ist es kein Wunder, daß die Freigaben nicht funktionieren.
Der Output von "ifconfig" auf einem Debian-Linux bei mir sieht fast genauso aus. Habe aber eine Zeile "inet6" weniger. Vermutlich weil keine PE aktiv sind. Ist bei einem reinen Server auch wenig hilfreich.
In den IPv6-Netzwerkeinstellungen steht bei mir Folgendes, eigentlich Standard:
--------------------------------------------------
/etc/network/interfaces:
--------------------------------------------------
[...]
# This is an autoconfigured IPv6 interface
iface ens32 inet6 auto
--------------------------------------------------
Grüße.
Hallo zusammen,
vielen Dank für die vielen wertvollen Rückmeldungen. Habe nun PE deaktiviert und die FB übernimmt im Dialog sofort die richtige Interface-ID (weil natürlich die link-local nun auch statisch ist). Habe in diesem Rahmen wohl viel über IPv6 gelernt…
Viele Grüsse
vielen Dank für die vielen wertvollen Rückmeldungen. Habe nun PE deaktiviert und die FB übernimmt im Dialog sofort die richtige Interface-ID (weil natürlich die link-local nun auch statisch ist). Habe in diesem Rahmen wohl viel über IPv6 gelernt…
Viele Grüsse
Neueste Beiträge
-
[Frage] Woran erkenne ich, dass Devolo Magic evtl. defekt ist?
- Letzte: tango501
-
Wahlscheibentelefon an FRITZ!Box 7590
- Letzte: tango501
-
Premier Сasual Dating - Authentic Ladies
- Letzte: ollioe
-
Vodafone Kabel Business Anschluss - Telefonate brechen ab
- Letzte: tango501
-
[Info] Lob an Easybell
- Letzte: bubblegun
-
FRITZ!Box 5590 - INHAUS - Smart24P1 - 7.90 - Sammelthema- Letzte: blieni
