[Frage] FritzBox IPv6 Portfreigabe für Gerät aus deligiertem Präfix möglich?

[mm28ajos]

Guten Tag zusammen,

sehe ich es richtig, dass eine IPv6-Portfreigabe (Internet-> Freigaben-> Portfreigaben) für ein Gerät mit einer MAC basierten Hardware Interface-ID nicht funktioniert, wenn das Gerät eine IPv6-Adresse aus einem delegierten Präfix besitzt (in meinem Fall von einem OpenWRT Router hinter der FB mit eigenem /58 Präfix, welches er per RA von FB bezogen hat)?

Die Freigabe zeigt mir an, dass die "IP-Adresse im Internet" zwar mit meinem manuell eingegebenen Präfix dargestellt wird, aber eben auch das öffentlich routbare Subnetz der FritzBox selbst vorangestellt wird (statt wie ich eigentlich bräuchte nicht-präfixspezfisch zu sein).

Hintergrund ist, dass ich einen Dienst auf dem Gerät im Internet auch per IPv6 verfügbar machen möchte. Aktuell gebe ich in der Freiagbe der FritzBox für den OpenWRT Router an, dass alle delegierten Präfixe freigeschaltet werden ("Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen"). Es wäre jedoch hübsch, wenn ich nicht das komplette Präfix des OpenWRT Routers in der FritzBox freigaben müsste sondern eben nur die Interface-ID des Geräts mit dem Dienst.

Viele Grüße und Dank!

 

[sonyKatze]

Klappt es oder klappt es nicht? Verstehe die ersten beiden Paragraphen (noch) nicht.
Die FRITZ!Box gibt das delegierte Präfix frei und die Firewall des nächsten Routers übernimmt. Klappt das oder passiert bei Dir mehr?

Du möchtest, dass der erste Router genau nur eine IP bzw. Gerät durchlässt. OK. Nett. Aber die Idee ist, dass der Admin des nächsten Routers keinen Zugriff auf den ersten Router hat. Daher soll der hintere Admin volle Kontrolle über sein Subnetz erhalten – und dann seine Arbeit machen. Der hintere Admin muss das Gerät so oder so explizit freigeben.

Du weißt schon, dass Deine Konstellation noch heute nur auf den wenigsten Routern überhaupt klappt. Wenn Du der Admin beider Router bist, warum nicht den zweiten Router als IP-Client – ganz ohne Firewall – betreiben?

 

[mm28ajos]

Klappt es oder klappt es nicht? Verstehe die ersten beiden Paragraphen (noch) nicht.

Es klappt aktuell nicht.

Du möchtest, dass der erste Router genau nur eine IP bzw. Gerät durchlässt. OK. Nett. Aber die Idee ist, dass der Admin des nächsten Routers keinen Zugriff auf den ersten Router hat. Daher soll der hintere Admin volle Kontrolle über sein Subnetz erhalten – und dann seine Arbeit machen. Der hintere Admin muss das Gerät so oder so explizit freigeben.

Das ist wohl in den aller meisten Fällen zutreffend. Bei mir war der Wunsch, da ich auf beide Geräte Zugriff habe, dass ich auch für die delegierten Präfixe auf der FB die Firewall maximal geschlossen halte (Gedanke: Warum die Firewall der FB nicht geschlossen halten für die delegierten Präfixe, wenn ich eine Öffnung es nicht brauche - aber geht wohl nicht, was ich nochmal verifizieren wollte mit dem Post).

Du weißt schon, dass Deine Konstellation noch heute nur auf den wenigsten Routern überhaupt klappt. Wenn Du der Admin beider Router bist, warum nicht den zweiten Router als IP-Client – ganz ohne Firewall – betreiben?

Ich nutze die FB seit Jahren mehr oder weniger nur als DSL-Modem und als VoiP-Telefonanalge. Meine Clients und Services hängen dann alle hinter einer OpenWRT Box die an der FB als IP-Client angeschlossen ist in eigenen verschiedenen Netzsegementen usw. Habe mich bisher nicht dazu durchgerungen die OpenWRT Box auch als DSL-Model zu nutzen, da die FB hier seit Jahren einen guten Job macht.

 

[sonyKatze]

Die FRITZ!Box gibt das delegierte Präfix frei und die Firewall Deines OpenWRT übernimmt. Klappt das?

Das Problem ist, dass das semantisch äquivalent zu Deiner Idee ist: Ob das Loch in der FRITZ!Box groß oder klein wird, ist egal, weil der Verkehr auf eine Firewall (dahinter) trifft. Daher wird jeder Requirements-Engineer Deine Idee ablehnen. Ich bin schon froh, dass delegierte dynamische IPv6-Präfixe überhaupt in der Firewall freischaltbar sind. Obwohl das eigentlich eine Selbstverständlichkeit sein müsste, können selbst viele Profi-Router das nicht (weil sie nur statische IPv6-Präfixe unterstützen). Und selbst FRITZ!OS bietet das noch nicht so lange.

 

[mm28ajos]

Die FRITZ!Box gibt das delegierte Präfix frei und die Firewall Deines OpenWRT übernimmt. Klappt das?

Das funktioniert alles einwandfrei Bekomme meine Services hinter der OpenWRT Box auch bei wechselnden Präfixen ans Netz.

Das Problem ist, dass das semantisch äquivalent zu Deiner Idee ist: Ob das Loch in der FRITZ!Box groß oder klein wird, ist egal, weil der Verkehr auf eine Firewall (dahinter) trifft.

Idee war eben eine "doppelte" Firewall (FB und dann iptables auf OpenWRT) auch für die delegierten Präfixe zu haben, falls möglich.

Daher wird jeder Requirements-Engineer Deine Idee ablehnen. Ich bin schon froh, dass delegierte dynamische IPv6-Präfixe überhaupt in der Firewall freischaltbar sind. Obwohl das eigentlich eine Selbstverständlichkeit sein müsste, können selbst viele Profi-Router das nicht (weil sie nur statische IPv6-Präfixe unterstützen). Und selbst FRITZ!OS bietet das noch nicht so lange.

Ja da hast wohl Recht - ist für die FB wahrscheinlich eine Anforderung, die ganz weit unten in der Priorität landen würde. Aber dann bin ich jetzt "zufrieden", dass ich das für mich geklärt habe und nicht ggf. etwas übersehen habe. Danke.

 

[HabNeFritzbox]

Die FB blockt alles oder reicht alles durch, dann hat Gerät was Subnetz anfordert zu filtern.

 

[sonyKatze]

Dann ist gut, dass es bei Dir überhaupt funktioniert. War mich nicht sicher, daher fragte ich. Dann hätten wir da reinschauen müssen.

HabNeFritzbox, mm28ajos’ Idee drehte sich um einen Adress-Bereich, dem delegierten Präfix. Sein Idee ist, nicht alle delegierten Präfixe, nicht das ganze delegierte Prfäix sondern nur Teile davon bzw. einzelne Adressen im ersten Router zu filtern. Die FRITZ!Box schaltet Ihre Firewall nicht komplett aus, sondern blockt nur in diesem Bereich nicht mehr.

 

[HabNeFritzbox]

Ich nutze extra Subnet nicht, würde maximal openVPN nutzen wenn bei mir. Und slebst da müsste dann der Client von außen nicht erreichbar sein.

Subnetz ist "IP/Adressbereich"

Musst dich halt für eine Variante entscheiden, und AVM sagt sich wohl, soll Gerät was über DHCPv6 nen Subnet anfordert soll es auch entsprechend routen und filtern.

 

[sonyKatze]

HabNeFritzbox, es ging darum, dass Du verstehst, was mm28ajos wollte. Er wollte in der ersten, äußeren Firewall das Loch in die Firewall nur so groß wie nötig reißen (Bereich versus einzelne Adressen). Das ist erstmal keine „Variante“. Aber es ist eben doch semantisch äquivalent, weil man von außen so oder so auf eine Firewall triff. Und es dann die Aufgabe der Subnetz-Firewall ist, die Freigaben zu regeln (was diese einfacher kann, weil keine „neuen“ Konfigurations- bzw. Bedienkonzepte zu programmieren sind). Mit einem Profi-Router und einem statischen Präfix wäre das kein Problem; aber eben nur eine Zufallsfunktion durch das statische Präfix.

 

[HabNeFritzbox]

Habe ich doch verstanden, bietet FB halt nicht anders an.

 

[sonyKatze]

Dann hatte ich #6 (bzw. den Zusatzwert von #6) nicht verstanden.

 

[HabNeFritzbox]

Wenn ein Router eigene Netz anfordert, soll der auch entsprechend filtern. Sieht AVM wohl ähnlich, denn die FB kennt die Geräte aus dem fremden Netz nicht.

Klar man könnte da bestimmt auch Felder machen wo man Adressen angeben kann, aber ist eben wie so vieles bei AVM mit "braucht Niemand" oder dem 1% Argument.

Wenn man sowas möchte, ist man wohl ganz schnell bei Lancom oder Ubiquiti. Andere Endkundenrouter haben noch weniger Funktionen.

 

[sonyKatze]

Ja, das hatte ich doch alles schon geschrieben … daher ich verwirrt war.

Lancom oder Ubiquiti

Ja, viel Spaß damit. Genau das geht mit den zwei Teilen nämlich überhaupt nicht. Oder ich zu blöd. Präfix-Delegation inklusive Firewall-Öffnung bei einem dynamischen IPv6-Präfix. Ich kenne bisher allein FRITZ!OS, was wenigstens das kann.

Andere Endkundenrouter haben noch …

Das kann nicht die Begründung sein. Die Begründung ist, dass es semantisch äquivalent ist, wenn man vorne im ersten Router nur eine Adresse oder den ganzen Adress-Bereich des delegierten Subnetzes aufmacht.

 

[HabNeFritzbox]

Und der nächste will dann ganze noch nen Router weiter vorne begrenzen? Also beim Internet Anbieter.

Nutze keine Router von beiden Firmen, da hat man zumindest mehere DHCP Bereiche, VLAN, mehrere SSID usw., daher bin ich von ausgegangen dann wirds auch mehere IPv6 Netze geben mit entsprechender Firewall oder ggf. ACL.

 

[sonyKatze]

der nächste will dann ganze noch nen Router weiter vorne begrenzen? Also beim Internet Anbieter.

Habe ich jetzt nicht verstanden, worauf sich dieser Einwurf bezieht.

 

[Bob.Dig]

Sehe das Problem auch nicht und es handelt sich ja eben nicht um NAT & Portforwarding und deswegen ist es halt jetzt mit IPv6 anders als gewohnt. Und da es eh noch einen weiteren Router dazwischen gibt, ist das Ganze auch keinerlei Problem.

 

[HabNeFritzbox]

Einwurf bezieht sich darauf, dass man erwartet dass ein anderer Router sich um Filter (Freigaben) kümmern soll, beschrieben hier der nachgelagerte Router, aber FritzBox soll filtern. Wenn man ganze weiter denkt, erwartet ihr wohl auch, dass für die FB dann man bei Internet Anbieter filtern kann was noch zu einem darf.

Wer nen Subnet anfordert, hat es zu filtern. So sieht es auch FB aktuell vor.