ipv6 adresse zur meiner fritzbox

[The Hit-Man]

ich harder hier seit wochen mit meinem neuen provider rum. und zwar ( laut aussage des neuen providers ), bekomme ich eine ipv4 adresse, die allerdings genattet wird. heißt ja, das ich von außen per dyndns usw. dienste nicht mehr auf mein webinterface der fritzbox komme ( von außen ). der provider erklärt das, das eben die ipv4 adressen knapp werden. OK, vollstes verständnis für ... des weiteren sagte er mir aber auch, ich bekomme eine statische ipv6 adresse wenn ich das in meiner fritzbox frei geschaltet habe. OK, auch das habe ich gemacht und bekomme auch eine statische ipv6 adresse zugewiesen.
so, nun sagt mir die fritzbox, das ihr webinterface aus dem internet über diese:

https://[2a02:49e0:1000:bb1:3631:c4ff:fee7:e82d]

adresse erreichbar ist. sitze ich nun hinter meiner fritzbox, komme ich auf die adresse auch drauf. dann habe ich einfach mal mein handy als router genommen ( also anderes netz ) und komme NICHT auf die seite drauf ... ich habe schon gemacht und getan und meinem provider ein video ( screen-capture ), wie ich das alles eingestellt habe. aber die melden sich nicht mehr ...

weißt da jemand bescheid?

[BenutzerGa4gooPh]

Ist das WAN-Interface der FB von einem beliebigen Host im Internet (also nicht aus dem LAN der FB, Kumpel fragen oder Smartphone-App) erreichbar?
Anpassen:

Code: Alles auswählen

$ ping6 localhost
$ ping6 host.domain.com
$ ping6 IPv6-address
$ ping6 2001:4860:b002::68

Mehr ist nicht Sache des Providers.

Wenn's haengt:

Code: Alles auswählen

traceroute6 IPv6-Adr 

[The Hit-Man]

Ist das WAN-Interface der FB von einem beliebigen Host im Internet (also nicht aus dem LAN der FB, Kumpel fragen oder Smartphone-App) erreichbar?

ja, eben nicht
und der provider, sagt nix mehr dazu. habe den wohl zu oft genervt ...
und ich gehe auch davon aus, das der provider das nicht auf die reihe bekommt. aber die sagen zu mir, meine FB einstellungen wären falsch. halte ich jetzt mal für quatsch...

wer mag, kann ja selber aus seinem netz mal versuchen, die ip zu erreichen. einfach im browser eingeben.

https://[2a02:49e0:1000:bb1:3631:c4ff:fee7:e82d]/
aber ich gehe eh davon aus, das es nicht klappt. argh ...
und ich brauche ne statische adresse wegen meinem openvpn auf der fritzbox.

P.S. achja, für 5euro mehr im monat, könnte ich eine statische ipv4 adresse bekommen. das sehe ich aber nicht ein. es hat ja beim alten provider hin gehauen. ich müßte schon jetzt die ganzen .conf dateien für die clients ändern. das wäre genug arbeit...

EDIT:
noch schlimmer ist wenn man in der FB dann das ipv6 zu läßt ( das vom provider ), kommst man manchmal nicht mehr auf normale internetadressen drauf.

[TomL]

Richte einfach über die Fritzbox ein MyFritz-Konto ein... dann bekommst Du kostenlos einen DynDNS für die Fritte.....und bist unabhängig von irgendwelchen IPs... egal, ob dynamisch oder statisch......

[The Hit-Man]

das habe ich doch ... aber da drüber bekomme ich doch kein zugang auf mein openvpn?

[BenutzerGa4gooPh]

Meines Wissens nach vergeben Provider IPv6-Adressen ohne irgendwelche (NAT-) Umsetzerei. Die IPv6-Adr. sind somit öffentlich erreichbar/pingbar. Und dein Internetzugang funkltioniert ja wohl. Ein eventueller Wechsel dieser Adressen durch dynamische Vergabe, steht auf einem anderen Blatt. Dazu braucht man dann DynDNS, Erst mal muss deine öffentliche Adresse erreichbar sein, sonst geht gar nüscht!

Nun kenne ich Fritzbüchsen nicht. Per (unsichtbarer) Firewall-Eiunstellung könnte jedoch das WAN-Interface gegen eingehenden Traffic geschützt sein - selbst gegen ping/ICMP. Also Vorschläge:
- Konfig der FB durchsehen, Manual lesen
- traceroute6 um zu sehen, wo es denn klemmt (Provider oder FB), dazu aktuelle IPv6-Adr. ermitteln. Könnte ja dynamisch sein.
- FW-Update der Fritte oder andere FB (von Kumpel oder so) probieren
- evtl. zweckmäßigen Router oder Modem + Router (DDWRT, OpenWRT, PFSense) mit vernünfttigen/sichtbaren FW-Einstellungen nutzen.

Richte einfach über die Fritzbox ein MyFritz-Konto ein... dann bekommst Du kostenlos einen DynDNS für die Fritte.....und bist unabhängig von irgendwelchen IPs... egal, ob dynamisch oder statisch......

Das WAN-Interface des Routers muss dazu öffentlich erreichbar sein.

[schorsch_76]

Von meinem Anschluss sieht das so aus:

Code: Alles auswählen

georg@xps:~$ ping6 google.de
PING google.de(muc11s02-in-x03.1e100.net (2a00:1450:4016:801::2003)) 56 data bytes
64 bytes from muc11s02-in-x03.1e100.net (2a00:1450:4016:801::2003): icmp_seq=1 ttl=56 time=39.7 ms
64 bytes from muc11s02-in-x03.1e100.net (2a00:1450:4016:801::2003): icmp_seq=2 ttl=56 time=13.2 ms
^C
--- google.de ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 13.264/26.529/39.794/13.265 ms
georg@xps:~$ ping6 2a02:49e0:1000:bb1:3631:c4ff:fee7:e82d
PING 2a02:49e0:1000:bb1:3631:c4ff:fee7:e82d(2a02:49e0:1000:bb1:3631:c4ff:fee7:e82d) 56 data bytes
From 2a01:4f8:0:e110::1e icmp_seq=1 Time exceeded: Hop limit
From 2a01:4f8:0:e110::1e icmp_seq=2 Time exceeded: Hop limit
From 2a01:4f8:0:e110::1e icmp_seq=3 Time exceeded: Hop limit
From 2a01:4f8:0:e110::1e icmp_seq=4 Time exceeded: Hop limit
From 2a01:4f8:0:e110::1e icmp_seq=5 Time exceeded: Hop limit
From 2a01:4f8:0:e110::1e icmp_seq=6 Time exceeded: Hop limit
From 2a01:4f8:0:e110::1e icmp_seq=7 Time exceeded: Hop limit
From 2a01:4f8:0:e110::1e icmp_seq=8 Time exceeded: Hop limit
From 2a01:4f8:0:e110::1e icmp_seq=9 Time exceeded: Hop limit
^C
--- 2a02:49e0:1000:bb1:3631:c4ff:fee7:e82d ping statistics ---
9 packets transmitted, 0 received, +9 errors, 100% packet loss, time 8014ms

Prüfe nochmal deine Addresse und prüfe bsp. google.de. Evtl. ist deine Adresse doch nicht statisch. Es könnten die Privacy Extensions aktiv sein.

[TomL]

das habe ich doch ... aber da drüber bekomme ich doch kein zugang auf mein openvpn?

Ja sicher geht das... wie denn sonst?

[TomL]

Das WAN-Interface des Routers muss dazu öffentlich erreichbar sein.

Das ist bei einer Fritzbox obligatorisch... sonst wäre ja wohl keine Verbindung ins Internet möglich. Und ja, es geht nur mit DynDNS. Und noch mal ja, die Fritte unterstützt das Einbinden kommerzieller DynDNS-Provider, aber sie bietet diesen Service an anderer Stelle im Web-Gui auch via MyFritz-Konto an. Das funktioniert tadellos. Es wird sogar die statische DNS-Adresse angezeigt. Der einzige Nachteil ist, man kan nicht seine eigene Domain auf die Fritzbox legen, sondern nur diesen kryptischen-AVM-Link.... ja und...?... was solls.... wird doch eh nur einmal in Confs eingetragen.

Man kann entweder ermöglichen, vom Internet aus das GUI der Fritte öffnen, dazu muss man aber einen Fritzboxbenutzer einrichten und diesen authorisieren und den Zugang via Internet explizit erlauben.. Aber es geht auch einfach nur die Portweiterleitung auf den OpenVPN-Rechner - was von der zuvor genannten expliziten Erlaubnis unabhängig ist.

[Paddie]

Das wird dann wohl am DS-Lite liegen...Guck dir mal das hier an

https://avm.de/service/fritzbox/fritzbo ... -moeglich/

Das ist für mich ATM der Hauptgrund, wieso ich bei meinem "lahmen" 6000er DSL bleibe.

[BenutzerGa4gooPh]

Das WAN-Interface des Routers muss dazu öffentlich erreichbar sein.

Das ist bei einer Fritzbox obligatorisch... sonst wäre ja wohl keine Verbindung ins Internet möglich

Meine SPI-Firewall erreicht man von aussen trotz funktionierendem Internetzugang nicht. Alle eingehenden Verbindungen (einschl. ICMP) sind geblockt - ausser vom LAN oder vom Router selbst (laufender NTP- und DNS-Server) initiiert. Das gleiche macht wohl eine Fritzbox vom Nutzer unbemerkt: https://maidhof-consulting.com/wie-funk ... -firewall/

Deshalb empfahl ich HitMan, die Konfig nochmals genau zu prüfen, um das notwendige "Loch zu bohren".

Aber Paddie hat sicher Recht:

Das wird dann wohl am DS-Lite liegen...Guck dir mal das hier an
https://avm.de/service/fritzbox/fritzbo ... -moeglich/
....

AVM unterstützt daher die Entwicklung des Port Control Protocols (PCP), mit dem VPN-Verbindungen zur FRITZ!Box und andere einkommende IPv4-Verbindungen über DS-Lite möglich sein werden. Das Port Control Protocol muss auch vom Internetanbieter unterstützt werden.

IPv6-VPN wird lt. Link von AVM nicht unterstützt. Und wie weit die Dualstack-Lite-PCP-Entwicklung von AVM gediehen ist, weiss ich nicht. Das letzte Zitat klingt eher nach Zukunftsmusik.

Also besorge dir einen Vertrag mit fixer, oeffentlicher IPv4/IPv6 ohne DS Lite. Oder suche im DDWrt-/OpenWrt-/LEDE-Forum, ob die das mit Dualstack Lite können. Dann kannst du mit einem billigen zusätzlichen Router oder Raspi hinter der FB VPN terminieren. FB als Modem mit pppoe pass-through. Geht trotzdem noch zum Telefonieren.

[TomL]

Meine SPI-Firewall erreicht man von aussen trotz funktionierendem Internetzugang nicht. Alle eingehenden Verbindungen (einschl. ICMP) sind geblockt - ausser vom LAN oder vom Router selbst (laufender NTP- und DNS-Server) initiiert.
::::
IPv6-VPN wird lt. Link von AVM nicht unterstützt. Und wie weit die Dualstack-PCP-Entwicklung von AVM gediehen ist, weiss ich nicht. Das letzte Zitat klingt eher nach Zukunftsmusik.

Ich habe das Gefühl, dass wir nicht über das gleiche sprechen.... der Router ist nach meinem Verständnis immer über das Internet erreichbar, weil Traffic immer bidirektional ist - wärs anders, würde nämlich gar nix gehen, in dem Fall auch kein DynDNS. Die Frage ist nur, erlaubt er auch eingehende Verbindungen oder rejected er sie? Aber das hat nix mit der Erreichbarkeit an sich zu tun. Das zweite und wichtigere ist, wie erreiche ich meinen Router von irgend einem Punkt aus dem Web... ?... ganz einfach, über seine WAN-IP-Adresse und einen Dienst, der auf einem entsprechenden Port lauscht. Beides muss via Konfiguration eingerichtet werden
So ein Dienst kann extern sein, z.B. ein OpenVPN-Server auf einer anderen Maschine und indem der passende Fritten-Port zu dieser Maschine weitergeleitet wird und eine Route in das VPN gesetzt wird. Oder es kann ein interner Dienst sein, wie das Web-Gui der Fritte, welcher ebenfalls auf einem definierten Port lauscht und auf eingehenden Traffic antwortet.

Als nächstes ist festzustellen, dass AVM und die Fritte natürlich IPv6 unterstützen und damit natürlich auch DSLite-Anschlüsse. Und das IPv4-Clients irgendwo aus dem Web auch IPv6-Ziele erreichen können, ist absolut zuverlässig geregelt - sonst könnte nämlich kein einziges Smartphone irgendwelche IPv6-Ziele erreichen. Das einzige Problem ist, das bei einem IPv6-Anschluss keine IPv4-Endgeräte hinter der Fritte erreicht werden können. Anscheinend ist der VPN-Service der Fritte so ein Dienst und dafür brauchts dann wohl dieses PCP, was aber imho auch nix anderes ist, als ein Relay-Router. Aber die Fritzbox selber ist mit beiden Protokollen problemlos erreichbar.

Zitat MyFritz und DSLite
"Kann MyFRITZ! an einem Internetzugang mit IPv6 / DS-Lite genutzt werden?
Sie können den MyFRITZ!-Dienst unabhängig vom genutzten IP-Protokoll verwenden. Auch wenn Sie die FRITZ!Box an einem Internetzugang mit dem neuen Internet Protocol Version 6 (IPv6) oder dem Verfahren DS-Lite ("Dual Stack Lite") betreiben, können Sie mit z.B. einem Internetbrowser oder MyFRITZ!App aus dem Internet auf die FRITZ!Box zugreifen."

Nur ist es halt bekanntermaßen schwierig, selber einen Relayrouter einzurichten. Aber soweit ich weiss, gibts dafür auch Dienstleister. Die Frage ist nur, braucht und will der TO das eigentlich überhaupt? Ich sehe also das größere Problem darin, dass wir gar nicht wissen, was der TO überhaupt will. Wenn er nur die Fritte und einen an der Fritte ggf. angeschlossenen Speicher aus dem Web erreichen will, geht das problemlos via IPv4 oder IPv6. Dabei ist es völlig egal, ob DSLite oder Dualstack. Will er zuhause ins Netz via VPN, würde ich einen OpenVPN auf einem Server einrichten und dem bei DSLite auch ne IPv6 geben. Bei mir wären dann die Platten erreichbar. Bei Verwendung des Fritten-VPN für sicheres Surfen brauchts dann wohl diesen PCP...*hmmm*... ich würde mich damit gar nicht erst beschäftigen, weil ich mehr Vertrauen in OpenVPN hätte und meinen eigenen Server nutze.

Wie ich oben schon sagte, er muss halt nur den entsprechenden Dienst aktivieren, der auf einem definierten Port lauscht und ggf. Weiterleitung und Route einrichten, wenns einen Empfänger hinter der Fritte gibt. BTW, bei Verwendung des MyFritz-Kontos gibts auf deren Website ne Geräteübersicht, da kann man sich einfach seinen DynDNS rauskopieren... klappt bei mir auf Anhieb. Und das kann selbstverständlich auch die aktuelle WAN-IPv6-Adresse sein... plus Angabe des Ports, auf dem der Dienst lauscht. Beispiel https://[2003:00:00:00:00:00:00:896]:40000/. Aber solange wir nicht wissen, welches Ziel er überhaupt erreichen will, ist es müßig über Lösungen nachzudenken, weil eine passende Lösung vermutlich nur ein Zufallstreffer wäre.

[BenutzerGa4gooPh]

Die Frage ist nur, erlaubt er auch eingehende Verbindungen oder rejected er sie? Aber das hat nix mit der Erreichbarkeit an sich zu tun. Das zweite und wichtigere ist, wie erreiche ich meinen Router von irgend einem Punkt aus dem Web... ?... ganz einfach, über seine WAN-IP-Adresse und einen Dienst, der auf einem entsprechenden Port lauscht.

Genau so ist es. Wenn ICMP oder ein Port in einer bestimmten Richtung für einen oder mehrere Absender geblockt wird, ist der Router mittels des entsprechenden Protokolls/Dienstes in einer bestimmten Richtung nicht .... ??? Missverstaendnis wegen des unscharfen Begriffes halt.

Mir ging es erst mal nur um ping6/traceroute6 - um Providerprobleme auszuschließen. Danach kann man besser an VPN arbeiten. Aber bei Dualstack Lite und dessen "Behandlung" von AVM für VPN kenne ich mich nicht aus. VPN sollte man auch hinter der Fritzbox mit Debian-PC terminieren können. So die FB ein entsprechendes Portforwarding zulaesst.
(Exposed Host ist etwas gefährlich. Evtl. mit dediziertem Raspi in eine DMZ, gebildet durch 2. NAT-Router. Kann man dann VPN auch gleich auf dem 2. Router terminieren.)

Aber macht mal, bei DS Lite halte ich mich zurück.

[The Hit-Man]

ich habe leider auch das gefühl, das das problem zu groß wird ...
im endeffekt gehts ja nur da drum, meine FB aus dem netz erreichbar zu machen. bei meinem alten provider+dyndns war das ja auch kein thema. nur geht das bei dem neuen provider ( so wie er mir sagte ), nur über die ipv6 adresse. diese ist per MAC an die statische adresse gebunden, die ich vom provider per dhcpv6 bekomme. so weit ist ja alles schön, nur eben kommt man da nicht drauf.

ich habe ein video von meinen einstellungen gemacht und wie ich die FB einstelle usw. kann man das video ( 25MB ) irgendwo hoch laden? es macht bestimmt mehr sinn wenn man sich das veranschaulicht ....

[schwedenmann]

Hallo


Dann versuch doch ertmal per myfritz auf einen beliebigen PC im LAN zu kommen. Der Client, der von außen Zugriff haben will, muß nur ipv6-fähig sein. Das sollte aber afailk mit jedem Smartphon (app von AVM) und pc so sein. Im übigen ist es der Fritte Wurscht, ob dein ISP ipv4 oder ipv6 verteilt, quasi jeder moderne Router kan Dualstack, die Fritte auf jeden Fall.


mfg
schwedenmann

[The Hit-Man]

die fritzbox selber ist ja der openvpn server ( freetz ). aber im moment scheint sich die box gar nicht mehr zu verbinden mit dem provider. sie meldet user/passwort falsch ... man man man, hätte ich mal nicht gewechselt.