[Frage] FritzBox IPv6 Portfreigabe für Gerät aus deligiertem Präfix möglich?

mm28ajos

Neuer User
Mitglied seit
3 Dez 2020
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Guten Tag zusammen,

sehe ich es richtig, dass eine IPv6-Portfreigabe (Internet-> Freigaben-> Portfreigaben) für ein Gerät mit einer MAC basierten Hardware Interface-ID nicht funktioniert, wenn das Gerät eine IPv6-Adresse aus einem delegierten Präfix besitzt (in meinem Fall von einem OpenWRT Router hinter der FB mit eigenem /58 Präfix, welches er per RA von FB bezogen hat)?

Die Freigabe zeigt mir an, dass die "IP-Adresse im Internet" zwar mit meinem manuell eingegebenen Präfix dargestellt wird, aber eben auch das öffentlich routbare Subnetz der FritzBox selbst vorangestellt wird (statt wie ich eigentlich bräuchte nicht-präfixspezfisch zu sein).

Hintergrund ist, dass ich einen Dienst auf dem Gerät im Internet auch per IPv6 verfügbar machen möchte. Aktuell gebe ich in der Freiagbe der FritzBox für den OpenWRT Router an, dass alle delegierten Präfixe freigeschaltet werden ("Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen"). Es wäre jedoch hübsch, wenn ich nicht das komplette Präfix des OpenWRT Routers in der FritzBox freigaben müsste sondern eben nur die Interface-ID des Geräts mit dem Dienst.

Viele Grüße und Dank!
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,538
Punkte für Reaktionen
225
Punkte
63
Klappt es oder klappt es nicht? Verstehe die ersten beiden Paragraphen (noch) nicht.
Die FRITZ!Box gibt das delegierte Präfix frei und die Firewall des nächsten Routers übernimmt. Klappt das oder passiert bei Dir mehr?

Du möchtest, dass der erste Router genau nur eine IP bzw. Gerät durchlässt. OK. Nett. Aber die Idee ist, dass der Admin des nächsten Routers keinen Zugriff auf den ersten Router hat. Daher soll der hintere Admin volle Kontrolle über sein Subnetz erhalten – und dann seine Arbeit machen. Der hintere Admin muss das Gerät so oder so explizit freigeben.

Du weißt schon, dass Deine Konstellation noch heute nur auf den wenigsten Routern überhaupt klappt. Wenn Du der Admin beider Router bist, warum nicht den zweiten Router als IP-Client – ganz ohne Firewall – betreiben?
 

mm28ajos

Neuer User
Mitglied seit
3 Dez 2020
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Klappt es oder klappt es nicht? Verstehe die ersten beiden Paragraphen (noch) nicht.
Es klappt aktuell nicht.

Du möchtest, dass der erste Router genau nur eine IP bzw. Gerät durchlässt. OK. Nett. Aber die Idee ist, dass der Admin des nächsten Routers keinen Zugriff auf den ersten Router hat. Daher soll der hintere Admin volle Kontrolle über sein Subnetz erhalten – und dann seine Arbeit machen. Der hintere Admin muss das Gerät so oder so explizit freigeben.
Das ist wohl in den aller meisten Fällen zutreffend. Bei mir war der Wunsch, da ich auf beide Geräte Zugriff habe, dass ich auch für die delegierten Präfixe auf der FB die Firewall maximal geschlossen halte (Gedanke: Warum die Firewall der FB nicht geschlossen halten für die delegierten Präfixe, wenn ich eine Öffnung es nicht brauche - aber geht wohl nicht, was ich nochmal verifizieren wollte mit dem Post).

Du weißt schon, dass Deine Konstellation noch heute nur auf den wenigsten Routern überhaupt klappt. Wenn Du der Admin beider Router bist, warum nicht den zweiten Router als IP-Client – ganz ohne Firewall – betreiben?
Ich nutze die FB seit Jahren mehr oder weniger nur als DSL-Modem und als VoiP-Telefonanalge. Meine Clients und Services hängen dann alle hinter einer OpenWRT Box die an der FB als IP-Client angeschlossen ist in eigenen verschiedenen Netzsegementen usw. Habe mich bisher nicht dazu durchgerungen die OpenWRT Box auch als DSL-Model zu nutzen, da die FB hier seit Jahren einen guten Job macht.
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,538
Punkte für Reaktionen
225
Punkte
63
Die FRITZ!Box gibt das delegierte Präfix frei und die Firewall Deines OpenWRT übernimmt. Klappt das?

Das Problem ist, dass das semantisch äquivalent zu Deiner Idee ist: Ob das Loch in der FRITZ!Box groß oder klein wird, ist egal, weil der Verkehr auf eine Firewall (dahinter) trifft. Daher wird jeder Requirements-Engineer Deine Idee ablehnen. Ich bin schon froh, dass delegierte dynamische IPv6-Präfixe überhaupt in der Firewall freischaltbar sind. Obwohl das eigentlich eine Selbstverständlichkeit sein müsste, können selbst viele Profi-Router das nicht (weil sie nur statische IPv6-Präfixe unterstützen). Und selbst FRITZ!OS bietet das noch nicht so lange.
 

mm28ajos

Neuer User
Mitglied seit
3 Dez 2020
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Die FRITZ!Box gibt das delegierte Präfix frei und die Firewall Deines OpenWRT übernimmt. Klappt das?
Das funktioniert alles einwandfrei :) Bekomme meine Services hinter der OpenWRT Box auch bei wechselnden Präfixen ans Netz.

Das Problem ist, dass das semantisch äquivalent zu Deiner Idee ist: Ob das Loch in der FRITZ!Box groß oder klein wird, ist egal, weil der Verkehr auf eine Firewall (dahinter) trifft.
Idee war eben eine "doppelte" Firewall (FB und dann iptables auf OpenWRT) auch für die delegierten Präfixe zu haben, falls möglich.


Daher wird jeder Requirements-Engineer Deine Idee ablehnen. Ich bin schon froh, dass delegierte dynamische IPv6-Präfixe überhaupt in der Firewall freischaltbar sind. Obwohl das eigentlich eine Selbstverständlichkeit sein müsste, können selbst viele Profi-Router das nicht (weil sie nur statische IPv6-Präfixe unterstützen). Und selbst FRITZ!OS bietet das noch nicht so lange.
Ja da hast wohl Recht - ist für die FB wahrscheinlich eine Anforderung, die ganz weit unten in der Priorität landen würde. Aber dann bin ich jetzt "zufrieden", dass ich das für mich geklärt habe und nicht ggf. etwas übersehen habe. Danke.
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
17,843
Punkte für Reaktionen
594
Punkte
113
Die FB blockt alles oder reicht alles durch, dann hat Gerät was Subnetz anfordert zu filtern.
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,538
Punkte für Reaktionen
225
Punkte
63
Dann ist gut, dass es bei Dir überhaupt funktioniert. War mich nicht sicher, daher fragte ich. Dann hätten wir da reinschauen müssen.

HabNeFritzbox, mm28ajos’ Idee drehte sich um einen Adress-Bereich, dem delegierten Präfix. Sein Idee ist, nicht alle delegierten Präfixe, nicht das ganze delegierte Prfäix sondern nur Teile davon bzw. einzelne Adressen im ersten Router zu filtern. Die FRITZ!Box schaltet Ihre Firewall nicht komplett aus, sondern blockt nur in diesem Bereich nicht mehr.
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
17,843
Punkte für Reaktionen
594
Punkte
113
Ich nutze extra Subnet nicht, würde maximal openVPN nutzen wenn bei mir. Und slebst da müsste dann der Client von außen nicht erreichbar sein.

Subnetz ist "IP/Adressbereich" ;)

Musst dich halt für eine Variante entscheiden, und AVM sagt sich wohl, soll Gerät was über DHCPv6 nen Subnet anfordert soll es auch entsprechend routen und filtern.
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,538
Punkte für Reaktionen
225
Punkte
63
HabNeFritzbox, es ging darum, dass Du verstehst, was mm28ajos wollte. Er wollte in der ersten, äußeren Firewall das Loch in die Firewall nur so groß wie nötig reißen (Bereich versus einzelne Adressen). Das ist erstmal keine „Variante“. Aber es ist eben doch semantisch äquivalent, weil man von außen so oder so auf eine Firewall triff. Und es dann die Aufgabe der Subnetz-Firewall ist, die Freigaben zu regeln (was diese einfacher kann, weil keine „neuen“ Konfigurations- bzw. Bedienkonzepte zu programmieren sind). Mit einem Profi-Router und einem statischen Präfix wäre das kein Problem; aber eben nur eine Zufallsfunktion durch das statische Präfix.
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
17,843
Punkte für Reaktionen
594
Punkte
113
Habe ich doch verstanden, bietet FB halt nicht anders an.
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,538
Punkte für Reaktionen
225
Punkte
63
Dann hatte ich #6 (bzw. den Zusatzwert von #6) nicht verstanden.
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
17,843
Punkte für Reaktionen
594
Punkte
113
Wenn ein Router eigene Netz anfordert, soll der auch entsprechend filtern. Sieht AVM wohl ähnlich, denn die FB kennt die Geräte aus dem fremden Netz nicht.

Klar man könnte da bestimmt auch Felder machen wo man Adressen angeben kann, aber ist eben wie so vieles bei AVM mit "braucht Niemand" oder dem 1% Argument.

Wenn man sowas möchte, ist man wohl ganz schnell bei Lancom oder Ubiquiti. Andere Endkundenrouter haben noch weniger Funktionen.
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,538
Punkte für Reaktionen
225
Punkte
63
Ja, das hatte ich doch alles schon geschrieben … daher ich verwirrt war.
Lancom oder Ubiquiti
Ja, viel Spaß damit. Genau das geht mit den zwei Teilen nämlich überhaupt nicht. Oder ich zu blöd. Präfix-Delegation inklusive Firewall-Öffnung bei einem dynamischen IPv6-Präfix. Ich kenne bisher allein FRITZ!OS, was wenigstens das kann.
Andere Endkundenrouter haben noch …
Das kann nicht die Begründung sein. Die Begründung ist, dass es semantisch äquivalent ist, wenn man vorne im ersten Router nur eine Adresse oder den ganzen Adress-Bereich des delegierten Subnetzes aufmacht.
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
17,843
Punkte für Reaktionen
594
Punkte
113
Und der nächste will dann ganze noch nen Router weiter vorne begrenzen? Also beim Internet Anbieter.

Nutze keine Router von beiden Firmen, da hat man zumindest mehere DHCP Bereiche, VLAN, mehrere SSID usw., daher bin ich von ausgegangen dann wirds auch mehere IPv6 Netze geben mit entsprechender Firewall oder ggf. ACL.
 

Bob.Dig

Neuer User
Mitglied seit
19 Dez 2020
Beiträge
5
Punkte für Reaktionen
2
Punkte
3
Sehe das Problem auch nicht und es handelt sich ja eben nicht um NAT & Portforwarding und deswegen ist es halt jetzt mit IPv6 anders als gewohnt. Und da es eh noch einen weiteren Router dazwischen gibt, ist das Ganze auch keinerlei Problem.
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
17,843
Punkte für Reaktionen
594
Punkte
113
Einwurf bezieht sich darauf, dass man erwartet dass ein anderer Router sich um Filter (Freigaben) kümmern soll, beschrieben hier der nachgelagerte Router, aber FritzBox soll filtern. Wenn man ganze weiter denkt, erwartet ihr wohl auch, dass für die FB dann man bei Internet Anbieter filtern kann was noch zu einem darf.

Wer nen Subnet anfordert, hat es zu filtern. So sieht es auch FB aktuell vor.
 

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via

IPPF im Überblick

Neueste Beiträge

Website-Sponsoren


Kontaktieren Sie uns bei Interesse