[Problem] Welche Einstellung der FB blockiert die Verbindung?

[geohei]

Hallo.

FB7490, OS 7.21
Mein PC hat eine feste IPv4. IPv6 über DHCP der FB7490.
Als "Standard" FB7490 Zugriffs Profil habe ich alles geblockt (Period = "never").
Dieser Rechner ist jedoch immer offen (Period = "always").

Wenn ich Firefox starte (leere Seite), bekomme über der angezeigten Seite diesen Banner:

You must log in to this network before you can access the Internet - Open Network Login Page.

Klicke ich auf "Open Network Login Page" kommt eine Meldung der FB7490:

Internet access is blocked.
...

Die URL dieser Seite ist:

http://fritz.box/tools/kids_not_allowed.lua?account=default-2001:1610:45:500:bdf6:c165:8a51:53ef

(IPv6 wurde verändert)

Sonst zeigt Firefox alle Seiten korrekt an.

Google sagt zur Lösung des "Problems":
Firefox > about:config

network.captive-portal-service.enabled : false

Das funktioniert, ist aber nicht der Sinn der Sache.

Für mich sieht es so aus als ob die FB7490 ausgehende IPv6 Verbindungen dieser Seite blockiert, obwohl der Filter offen ist.

Was kann ich in der FB7490 einstellen damit der obige Banner nicht mehr auftaucht, ohne an der captive Einstellung von Firefox drehen zu müssen?

 

[sonyKatze]

Puh. Da müsste ein AVM-Filter-Spezialist ran. Ich vermute Du meinst
fritz.box → Heimnetz → Netzwerk → (Reiter) Netzwerkverbindungen → (Taste) Bearbeiten → IPv6-Interface-ID

Ich spekuliere mal, dass die Interface-ID Deines Computers nicht stabil ist. Dadurch greift die Sperre/Freigabe/Profil nicht und der Filter ist eben nicht offen, weil das Standard-Profil greift = zu. Jetzt hast Du das Problem, dass Mozillas Captive-Portal-Test-URL nicht nur über IPv4 sondern auch über IPv6 erreichbar ist. Gehen denn andere IPv6-only Test-Webseiten wie z. B. ipv6.icanhazip.com?

 

[geohei]

Danke für die Antwort.
Um das hier abzuschließen und falls es andere User auch erwischt ...

Puh. Da müsste ein AVM-Filter-Spezialist ran. Ich vermute Du meinst
fritz.box → Heimnetz → Netzwerk → (Reiter) Netzwerkverbindungen → (Taste) Bearbeiten → IPv6-Interface-ID

Nein, meinte ich nicht. Wenn ich Firefox öffne (auch ohne dass eine Seite angefordert wird), kommt im oberen teil des Fensters, wo der Inhalt angezeigt wird, dieser Banner. Klicke ich dann auf "Open Network Login Page" (Link auf der rechten Seite des Banners) kommt die besagte FB generierte Fehlerseite, die anzeigt dass der die Kindersperre gegriffen hat (siehe OP). Das return URL der FB beinhaltet eine IPv6, was darauf schließen lässt, versucht wurde auf eine IPv6 zuzugreifen (was sein kann - gelesen im Firefox Foren). Die FB darf diese Verbindung jedoch nicht unterbinden, was hier offensichtlich passiert!

Ich spekuliere mal, dass die Interface-ID Deines Computers nicht stabil ist. Dadurch greift die Sperre/Freigabe/Profil nicht und der Filter ist eben nicht offen, weil das Standard-Profil greift = zu. Jetzt hast Du das Problem, dass Mozillas Captive-Portal-Test-URL nicht nur über IPv4 sondern auch über IPv6 erreichbar ist. Gehen denn andere IPv6-only Test-Webseiten wie z. B. ipv6.icanhazip.com?

Es passiert auch mit anderen Rechnern in Zusammenhang mit Firefox. Es liegt an der FB.
Ja, andere IPv6 Seiten laufen.

Ich habe jetzt mehrmals die FB rebootet - nichts.
Stecker raus - 10 Minuten gewartet - wieder rein - lief - Fehler weg!

Wieder so eine FB Zicke ... !!!

Bisher trat das Gespenst nicht mehr auf.

 

[sonyKatze]

Nein, meinte ich nicht […] andere IPv6 Seiten laufen.

Dann haben wir uns schon verstanden. Allerdings habe ich noch nicht verstanden, woher die FRITZ!Box weiß, dass sie die IPv6-Host-Adresse Deines Computer durchlassen soll. Du hast geschrieben, dass alles auf Deny steht. Wenn die Privacy-Extensions auf Deinem Computer wieder eine neue IPv6 auswürfeln, dann dürftest Du wieder in die Sperre fallen … oder ich total auf Schlauch steh.

 

[geohei]

Home Network > Network > PC > (edit button) > Access Properties > Parental Controls > unlimited
(sorry, meine Oberfläche ist auf Englisch)
In den Access Profiles kann man nicht zwischen IPv4 oder IPv6 Zugriff wählen. Die Freigabe bezieht sich immer auf das Gerät, welches mittels MAC Adresse identifiziert wird.

Damit sollte der FB mitgeteilt sein, dass ich dieses Gerät durchlassen will. Das funktioniert ja auch, aber eben nicht immer. Wenn der Fehler auftaucht funktionieren explizit aufgerufene IPv6 Seiten!

1. Wie im OP beschriebenen Fall ist es hier Firefox, der eine IPv6 ansteuert, wie man aus der return URL der FB Fehlermeldung sehen kann.

2. Soeben wurde mir von einem LAN User etwas berichtet, was ich nachvollziehen kann. Wenn ich von meinem iPhone (im LAN) auf eine URL zeige die IPv6 unterstützt, wird die Seite von der FB geblockt! ipv6.icanhazip.com zeigt mir dann meine WAN IPv4 an. Wenn ich danach mit dem MacBook (auch im LAN) auf die gleiche URL wie mit dem iPhone zugreife klappt es. ipv6.icanhazip.com zeigt in diesem Fall meine WAN IPv6 an!

Allein der Umstand, dass es einmal geht und an nächsten Tag wieder nicht mehr (kein Reboot der FB, gleiche URL, gleiche WAN IPv4, ...) schreit bereits nach Bug. Nach einem Restart passiert meistens nichts. Wenn es wieder funktioniert, dann nur nach mehreren Restarts oder einem Stecker raus/rein.

 

[sonyKatze]

mittels MAC Adresse identifiziert

Bei mir reicht das nicht aus. Jedenfalls meine FRITZ!Box schafft das so bei IPv6 nicht. Ich musste die Privacy-Extensions ausschalten und die IPv6-Adresse passend zu IPv6-Interface-ID generieren lassen. Meine Vermutung: Mozilla Firefox erhält eine neue IPv6, benutzt diese, diese ist aber blockiert. Der Captive-Portal-Hinweis erscheint. Wenn Du dann eine (IPv6-) Webseite ansteuerst, probiert Mozilla Firefox nicht nur die aktuelle IPv6 sondern auch ältere Adressen. Diese sind noch erlaubt und daher kommst Du auf die Webseite. Vermutung. Daher meine Empfehlung beim nächsten Mal den Datenverkehr der FRITZ!Box mitzuschneiden (Interface: LAN). Wir helfen dann beim Auswerten des Logs.