Verständnisfragen zu IPv6

Toggle sidebar Toggle sidebar
Upgrade 3CX to v18 and get it hosted free!
L

Loewe81

Neuer User
Mitglied seit
7 Jan 2009
Beiträge
178
Punkte für Reaktionen
0
Punkte
16
Servus zusammen,
nach längerer Abwesenheit hier im Forum, habe ich nun zur Abwechselung mal eine IPv6 Frage, da diese Thematik immer präsenter wird.
Folgendes Setup bzw. Problem, für das ich einige Verständnisfragen habe.
  • Fritzbox 7690 mit FritzOS 8.02 (bei meinem Papa, ISP-Details entsprechend unbekannt, aber vermutlich Telekom da /56 Prefix, haben jetzt frisch auf Glasfaser gewechselt), welche ausschließlich über IPv6 erreichbar ist. MyFritz zeigt auch nur eine IPv6-IP und Clients hinter dieser Fritzbox bekommen unter wieistmeineip ebenfalls nur eine IPv6-IP angezeigt.
  • Fritzbox 7580 mit FritzOS 7.30 (bei mir, ISP: ib-red auf Mallorca, leider nur /64 Prefix), welche eine öffentliche IPv6 und IPv4 hat, wobei letztere eine CGNAT IP zu sein scheint, denn diese ist intern nicht auf der Fritzbox zu sehen.
  • Ich möchte nun von mir zu meinem Papa einen VPN-Tunnel aufbauen.
Frage/Problem1:
Durch den /64 Prefix kann ich meine Fritzbox nicht im Router-Mode laufen lassen, da sie dadurch kein eigenes IPv6-Netz aufspannen kann. Ist das soweit richtig? Im Log sehe ich dann immer die Fehlermeldung "Keine Antwort vom DHCPv6 Server (SOL)".
Daher läuft die Fritzbox jetzt im IP-Client-Modus. Somit bekommen nun alle Clients eine öffentliche IPv6-Adresse. "Nachteil" die IPv4-Adressen werden nun von dem internen IPv4-Netz des ISP vergeben, so dass ich keine eigene Kontrolle darüber habe.
Ist das tatsächlich die einzig funktionierende Lösung oder gibt es noch andere Optionen?
Prinzipiell kann ich mit diesem Setup aber erfolgreich eine Wiregueard VPN-Tunnel aufbauen.

Frage/Problem2:
Wenn ich nun allerdings den VPN-Tunnel aufgebaut habe, dann bekomme ich aber "nur" eine öffentliche IPv4-Adresse angezeigt. Ich vermute mal, dass es sich hierbei ebenfalls um eine CGNAT-IP handelt, da ich auf der 7690 intern eine andere IPv4-Adresse angezeigt bekomme.
Ich habe dazu im AVM Wissensdokument #3732 gelesen, das "Der Internetzugriff über die entfernte FRITZ!Box ist jedoch nur über IPv4 möglich; ein Zugriff auf IPv6-Internetdienste ist nicht möglich. Wir arbeiten an einer Lösung und werden den IPv6-Internetzugriff über die entfernte FRITZ!Box in einem kommenden FRITZ!OS-Update ermöglichen.".
Kann mir das jemand etwas näher erklären bzw. bestätigen? Oder gibt es andere Optionen, ggf. auch eine andere VPN-Verbindung, mit der man das umgehen kann? Oder heißt es hier tatsächlich abwarten? Bzw. weiß jemand, wie lange das ggf. noch dauert?

Wenn ihr zur Beantwortung der Fragen noch weitere Details braucht, sagt mir einfach kurz Bescheid.

Vielen lieben Dank!
Ciao Stefan :)
 
Loewe81 schrieb:
vermutlich Telekom
Zum Vergrößern anklicken....
Vermutlich nicht, sonst gäbe es auch eine öffentliche IPv4.

Loewe81 schrieb:
da sie dadurch kein eigenes IPv6-Netz aufspannen kann. Ist das soweit richtig?
Zum Vergrößern anklicken....
Mit einem /64 sollte das funktionieren. Mit einem /56 könnten Router hinter deiner Box ein weiteres Netz verwalten.

Loewe81 schrieb:
Daher läuft die Fritzbox jetzt im IP-Client-Modus.
Zum Vergrößern anklicken....
Das heißt, es gibt noch einen Router vor deiner Box? Dann ist ein /64 zu klein.

Loewe81 schrieb:
Ist das tatsächlich die einzig funktionierende Lösung oder gibt es noch andere Optionen?
Zum Vergrößern anklicken....
Das kann die niemand beantworten, da wir nicht wissen, was dein Provider bereit ist zu leisten.

Loewe81 schrieb:
Frage/Problem2:
Zum Vergrößern anklicken....
IPv6 innerhalb der VPN wird erst in neueren Fritz!OS Versionen unterstützt, deine 7580 kann das nicht.

Loewe81 schrieb:
Wenn ihr zur Beantwortung der Fragen noch weitere Details braucht, sagt mir einfach kurz Bescheid.
Zum Vergrößern anklicken....
Nun, ich frage mich, was eigentlich dein Ziel ist. Denn entweder habe ich das nicht verstanden, oder es ist nicht klar definiert ;)
 
chrsto schrieb:
IPv6 innerhalb der VPN wird erst in neueren Fritz!OS Versionen unterstützt, deine 7580 kann das nicht.
Zum Vergrößern anklicken....
Und das (imo größere) Problem ist, dass die 7580 mit ihrem FRITZ!OS 7.2x auch keine VPN-Verbindung per IPv6 aufbauen kann sondern nur per IPv4.

Kurz:
VPN-Verbindungen per IPv6: Ab FRITZ!OS 7.5x
IPv6 innerhalb einer VPN-Verbindung: Ab FRITZ!OS 8.0x.
 
  • Like
Reaktionen: chrsto
Ah stimmt, danke. Den "Zwischenschritt" gab es ja auch noch.
 
Vielen lieben Dank für die mega schnellen und umfangreichen Antworten.
Ok, noch ein paar zusätzliche Informationen zu meinem Anschluss.
Die Glasfaser des ISP terminiert bei mir an einem Huawei EchoLife HG8110, keine Ahnung ob das "nur" ein Medienkonverter ist oder ob da auch noch irgendwelche Routerfunktionalitäten enthalten sind. Auf diesen Teil der Infrastruktur habe ich zumindest keinen Zugriff/Einfluss. Von dort gehe ich dann mit einem normalen RJ45 Kabel in "meine" Fritzbox (entweder an den WAN-Port im Router-Modus oder LAN1 im Client-Modus). Theoretisch habe ich vom ISP noch einen Zyxel Router EX3301-T0, den ich aber nie benutzt habe. Den habe ich jetzt zu Testzwecken zwar auch mal angeschlossen, aber mit dem bekomme ich auch kein Setup mit eigenem IPv4 Netz zum laufen. Wenn ich mich richtig erinnere, dann hatte ich zwar Einstellungen gefunden, wo tatsächlich alle Clients eine öffentliche IPv6 Adresse bekommen hatten, aber der Zugriff ins Internet mit IPv6 ging trotzdem nicht. Das soll hier aber nicht das Thema sein, weil ich eigentlich schon gerne bei der Fritzbox bleiben würde. Wobei die Funktionsweise doch Hersteller-/Routerunabhängig sein sollte, oder?
Meine erste Frage zielt also darauf ab, mit welcher Konfiguration man die Fritzbox betreiben muss, um IPv4-Adressen aus einem eigenen Netz (quasi Router-Modus) und öffentliche IPv6-Adressen zu bekommen. Und ob der Client-Modus tatsächlich die einzige Lösung ist und falls ja, ob das an dem /64 Prefix liegt (wenn ich eure Antwort richtig verstanden habe, dann sollte das mit dem /64 Prefix eigentlich auch mit der Fritzbox im Router-Modus gehen). Und falls nicht, welche konkrete Frage man ggf. Richtung ISP stellen muss, sollte es an einer fehlenden oder falschen Einstellung auf deren Seite liegen. Mit meinem ISP bin ich bereits seit über einer Woche in Kontakt, aber wir haben es leider noch nicht gelöst bekommen (entweder aus Unwissenheit, Missverständnissen oder Unfähigkeit). Am unteren Ende der IPv6-Konfiguration bei meiner Fritzbox im Abschnitt "Verwendete IPv6 Präfixe" sehe ich immer nur ein IPv6-Prefix für WAN, allerdings keines bei Heimnetz. Und wie gesagt, im Log taucht immer wenige Sekunden nach der erfolgreichen IPv6 Internetverbindung für die Fritzbox die Fehlermeldung "Keine Antwort vom DHCPv6 Server (SOL)" auf. Ist das nun ein Problem mit meiner Fritzbox/Einstellungen oder liegt es am ISP und wenn ja, um welche konkrete Einstellung/Anpassung auf deren Seite müsste ich fragen?
-> Daher auch die Überschrift "Verständnisfrage" in Bezug auf wie läuft die IPv6 Zuweisung zwischen ISP und lokalem Router zu Hause ab. Ja, ich weiß, das hängt primär vom ISP bzw. dessen Anschluss ab. In meinem Fall handelt es sich angeblich um einen "echten" Dual-Stack Anschluss, also kein DS-Lite.

Und zum VPN-Tunnel selbst, entschuldigt auch hier die unpräzise Formulierung. Ich möchte keinen dauerhaften VPN-Tunnel direkt zwischen den Fritzboxen aufbauen, sondern dies lediglich punktuell/sporadisch auf einzelnen Clients aufbauen. Dafür nutze ich die Wireguard Software auf dem jeweiligen Client, wo ich die conf-Datei von der Fritzbox 7690 importiere. Somit dürfte das Modell und die (veraltete) Software auf meiner Fritzbox doch keine Rolle spielen, oder? Und meine zweite Frage zielte darauf ab, warum ich mit diesem VPN-Tunnel ausschließlich eine öffentliche IPv4-Adresse angezeigt bekomme, wo doch der Anschluss bei meinem Papa scheinbar ein "reiner" IPv6-Anschluss zu sein scheint? Im Log der 7690 sehe ich neben der erfolgreichen IPv6 Internetverbindung noch folgenden Eintrag:
"Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 100.x.x.x, DNS-Server: 185.x.x.x und 5.x.x.x, Gateway: 5.x.x.x, Breitband-PoP: BLN-TAG-CGN-001"

Ich hoffe damit kommen wir ein gutes Stück weiter.
Danke!

Ciao Stefan :)
 
Loewe81 schrieb:
Huawei EchoLife HG8110
Zum Vergrößern anklicken....
Ich habe mal kurz das Datenblatt überflogen. Nach meiner Einschätzung ist das nicht nur ein ONT, sondern enthält dieses Gerät auch Router- und Telefonie-Funktionalität. Wenn dieses Gerät also bereits ein Router ist, dann müsste es vermutlich umkonfiguriert werden, um nachgelagerte Router (also deine FRITZ!Box) mit einem eigenen Präfix zu versorgen.

Für den VPN-Tunnel spielt diese Seite aber eigentlich keine Rolle, wenn Du den Tunnel von einem Client aus aufbaust.
Der WireGuard-Tunnel kann über IPv6 aufgebaut werden (funktioniert ja bei Dir). Bei älteren FRITZ!OS-Versionen konnte innerhalb des Tunnels nur IPv4 transportiert werden. Mit neueren FRITZ!OS-Versionen kann auch IPv6 im Tunnel benutzt werden, allerdings - und da setzt das Wissensdokument #3732 an - kommst Du aus dem Netz (deines Papas) nicht weiter ins Internet über IPv6.

Wenn Du von einem Client aus einen WireGuard-Tunnel aufbaust, dann ist das per Default ein "Full Tunnel", d. h. sämtlicher Internetverkehr des Clients wird in den Tunnel gelenkt. Aufgrund der zuvor genannten Einschränkung kannst Du dann eventuell nicht ins Internet mit deinem Client, während der Tunnel aufgebaut ist.

Abhilfe würde ein "Split Tunnel" schaffen, der deinen Client über deinen eigenen Internetzugang ins Internet lässt und nur die Pakete über den VPN-Tunnel leitet, die für das entfernte Netz bestimmt sind. Dazu müsste die Konfigurationsdatei der VPN-Verbindung angepasst werden und eine weitere Voraussetzung müsste sein, dass die IPv4-Netzwerke der beiden FRITZ!Box'n unterschiedlich sind (also nicht beide auf dem Default 192.168.178.0 stehen).

Aber möglicherweise entsteht das Problem auch nicht, da die Zugriffe während dieser Zeit eben über IPv4 laufen.
Vielleicht wird Dir deswegen nur eine öffentliche IPv4-Adresse angezeigt (wo eigentlich?, ggf. wäre ein Screenshot hilfreich).

Loewe81 schrieb:
IP-Adresse: 100.x.x.x, DNS-Server: 185.x.x.x und 5.x.x.x, Gateway: 5.x.x.x, Breitband-PoP: BLN-TAG-CGN-001
Zum Vergrößern anklicken....
Das schaut für mich wie eine IPv4-Verbindung über CGNAT aus (eine Bitte: Wenn Du schon IPv4-Adresse kürzen möchtest, dann lass bitte mindestens die ersten beiden Oktette stehen).

Ich hoffe, meine Überlegungen sind richtig und helfen Dir ein bisschen.
 
Loewe81 schrieb:
unter wieistmeineip ebenfalls nur eine IPv6-IP angezeigt
Zum Vergrößern anklicken....
Ich habe den Thread jetzt nicht weiter verfolgt, aber bereits hier stimmt was nicht. Denn falls das stimmt, kämst Du nicht auf IPv4-only-Webseiten wie ipv4.icanhazip.com.
Loewe81 schrieb:
CGNAT IP zu sein scheint
Zum Vergrößern anklicken....
Das kannst Du prüfen, denn dann hat man eine öffentliche IP-Adresse aus dem Shared-Bereich …
Loewe81 schrieb:
Ich möchte nun von mir zu meinem Papa einen VPN-Tunnel aufbauen.
Zum Vergrößern anklicken....
Wenn es zu kompliziert wird, wäre eine Alternative auch ein Vermittler-Server einschalten, also einen Dienst wie Tailscale.
 
Um antworten zu können musst du eingeloggt sein.
Kostenlos!
Jetzt holen

Neueste Beiträge

Kategorien

Wissenswertes

Zurzeit aktive Besucher

Gesamt: 530 (Mitglieder: 38, Gäste: 492)

Statistik des Forums

Themen
247,824
Beiträge
2,274,295
Mitglieder
376,806
Neuestes Mitglied
wkn45

3CX jetzt einen Monat kostenlos testen

Die Verbindung, Zusammenarbeit und Kommunikation mit Ihrem Team und Ihren Kunden war noch nie so einfach. Nutzen Sie unsere kostenlose 30-Tage-Testversion und entdecken Sie die richtige Lösung für Ihr Unternehmen.

3CX start your free trial guy
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten