Unitymedia Fritzbox IPv6-Firewall?

[Leseratte10]

Hallo,

ich bekomme es einfach nicht hin, in der 6320 und der nachgeschalteten 7270 den Port 80 über IPv6 freizugeben, damit ein laufender Webserver von außerhalb erreichbar ist.

In der 6320 steht unter IPv6-Portfreigaben sowohl für die 7270 als auch für den Rechner selbst ein Eintrag mit "Firewall komplett öffnen", ebenso steht nochmal in der 7270 ein Eintrag für den Rechner. Aber sogar eingehende Pings werden an der Public-IPv6 der 6320 (nicht im eigenen Präfix) abgewiesen:

PING meinrechner.xxxxxxxxxxxxxx.myfritz.net(2a02:908:xxxx:59c0:xxxx:xxff:fexx:xxxx) 32 data bytes
From 2a02:908:xxxx:4:31f6:xxxx:6a58:xxxx icmp_seq=0 Destination unreachable: Administratively prohibited
From 2a02:908:xxxx:4:31f6:xxxx:6a58:xxxx icmp_seq=1 Destination unreachable: Administratively prohibited
From 2a02:908:xxxx:4:31f6:xxxx:6a58:xxxx icmp_seq=2 Destination unreachable: Administratively prohibited
From 2a02:908:xxxx:4:31f6:xxxx:6a58:xxxx icmp_seq=3 Destination unreachable: Administratively prohibited
--- meinrechner.xxxxxxxxxxxxxx.myfritz.net ping statistics ---
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 3011ms

Eigentlich hätte ich sogar gern in der 6320 die ganze IPv6-Firewall abgeschaltet, da dahinter eh eine 7270 mit eigener Firewall steht.

Kann mir jemand erklären, was ich tun muss, damit ich von außerhalb über eine (funktionierende!) IPv6-Verbindung auf einen Webserver auf meinem Rechner zugreifen kann?
Auf dem Rechner selber komme ich mit meinrechner.xxxxxxxxxxxxxx.myfritz.net problemlos auf meinen Webserver - über IPv6.

Leseratte10

 

[hajodele]

Du machst eine IPv6-Freigabe (Internet - Freigaben - IPv6)

 

[Leseratte10]

In der 6320 steht unter IPv6-Portfreigaben sowohl für die 7270 als auch für den Rechner selbst ein Eintrag mit "Firewall komplett öffnen", ebenso steht nochmal in der 7270 ein Eintrag für den Rechner.

Sowohl auf der 6320 als auch auf der 7270 sind schon IPv6-Portfreigaben eingerichtet. In der 6320 steht die 7270 und der Rechner selbst als "komplett offen" drin, in der 7270 der Rechner selbst. Trotzdem kommt kein Ping durch.

 

[SpaceRat]

ich bekomme es einfach nicht hin, in der 6320 und der nachgeschalteten 7270 den Port 80 über IPv6 freizugeben, damit ein laufender Webserver von außerhalb erreichbar ist.

Du hast die Router kaskadiert, also die 7270 im Betriebsmodus "Internet über LAN1" bzw. "Anbieter: Unitymedia"?

Kann mir jemand erklären, was ich tun muss, damit ich von außerhalb über eine (funktionierende!) IPv6-Verbindung auf einen Webserver auf meinem Rechner zugreifen kann?
Auf dem Rechner selber komme ich mit meinrechner.xxxxxxxxxxxxxx.myfritz.net problemlos auf meinen Webserver - über IPv6.

Man kann theoretisch tatsächlich im IPv6-Betrieb einen anderen Router hinter einer 63x0 kaskadieren und dabei dem zweiten Router sein eigenes Präfix delegieren.
Die Anleitung dazu findet sich hier.

Es gibt allerdings ein klitzekleines Problem an der Sache:
Die delegierende Fritz!Box routet eingehende IPv6-Pakete für das Subnetz der zweiten Fritz!Box bzw. des nachgeschalteten IPv6-Routers nicht durch.
Der Benutzer "Egalus" hat genau das selbe Problem mit einer Fritz!Box 7390, die von einer Fritz!Box 6360 ein Präfix delegiert bekommt.

Schuld ist wohl tatsächlich die Firewall der delegierenden Fritz!Box, Verbindungen über conntrack (Also Antwortpakete auf Anfragen aus dem delegierten Subnetz) funktionieren nämlich, nicht aber von außen initiierte, also auf Server im delegierten Subnetz.

AVM kennt das Problem (Siehe verlinktes Posting), es kann aber nicht schaden, es ihnen noch einmal in Erinnerung zu rufen

 

[Leseratte10]

Genau so hab ich es gemacht - die 7270 bekommt ein Präfix von der 6320. Kann man denn irgendwie (in der config-Datei oder so) die Ipv6 Firewall komplett abschalten? Die können uns doch kein IPv4-CGN zusammen mit nicht funktionierenden IPv6 - Portfreigaben andrehen?!

 

[SpaceRat]

Genau so hab ich es gemacht - die 7270 bekommt ein Präfix von der 6320. Kann man denn irgendwie (in der config-Datei oder so) die Ipv6 Firewall komplett abschalten? Die können uns doch kein IPv4-CGN zusammen mit nicht funktionierenden IPv6 - Portfreigaben andrehen?!

Mir fiele da schon was ein ...

Exportier mal Deine Config (Mit Passwort) aus der 63x0, mache eine Sicherheitskopie davon und schick sie mir (Ziggy Punkt Spacerat bei gmx Pünktchen de).
Ich möchte meine Idee jetzt nicht im ganzen Internet ausbreiten, weil sie schon link ist.

 

[Leseratte10]

Mail ist raus.

Wäre schön wenn das klappen würde.

 

[Leseratte10]

SpaceRat hat mir nun zwei verschiedene Config-Dateien zugeschickt die aber beide nicht das gewünschte Ergebnis gebracht haben. Eine Mail an AVM habe ich auch mal verfasst, vielleicht bringts ja was.

 

[SpaceRat]

SpaceRat hat mir nun zwei verschiedene Config-Dateien zugeschickt die aber beide nicht das gewünschte Ergebnis gebracht haben. Eine Mail an AVM habe ich auch mal verfasst, vielleicht bringts ja was.

Die Mail an AVM hätte ich Dir sowieso nahegelegt, denn was ich da bastle wären bestenfalls Workarounds.

Nach den zwei Varianten fällt mir aber auch nix mehr ein, ich passe.

 

[Leseratte10]

Na super. Bis AVM kapiert hat was ich will, wird bestimmt schon eine halbe Ewigkeit vergangen sein. Dann nochmal eine halbe Ewigkeit, bis das in irgendeine Firmware eingebaut wird und dann nochmal eine Ewigkeit, bis die von UM verteilt wird. Also kann man wohl frühestens 2015 mit einer vernünftigen Lösung rechnen.

Meint ihr, wenn ich dieses Problem an UM schildere, schicken die mir vielleicht ein 3208 (oder ein anderes "echtes" Modem)?

Aber noch ein Ansatz:
In der 6360 lässt sich einer der vier LAN-Anschlüsse zu einer Bridge umfunktionieren, dieser Anschluss hängt dann direkt am Modem. Die entsprechende Einstellungsseite gibt es auch in der 6320, ich kann allerdings nichts anklicken, da die Box verlangt, dass mindestens ein LAN-Anschluss ungebridgt bleibt (zum Zugriff auf die Box). Vielleicht könnte man da ja was basteln dass der (einzige) LAN-Anschluss der 6320 zur Bridge wird und ich diese nur noch über WLAN erreiche?

 

[SpaceRat]

Na super. Bis AVM kapiert hat was ich will, wird bestimmt schon eine halbe Ewigkeit vergangen sein. Dann nochmal eine halbe Ewigkeit, bis das in irgendeine Firmware eingebaut wird und dann nochmal eine Ewigkeit, bis die von UM verteilt wird. Also kann man wohl frühestens 2015 mit einer vernünftigen Lösung rechnen.

Du bist dann immerhin schon der Zweite, der dieses Problem meldet.
Die Verzögerung durch UM wird das Hauptproblem werden ...

Meint ihr, wenn ich dieses Problem an UM schildere, schicken die mir vielleicht ein 3208 (oder ein anderes "echtes" Modem)?

Leider nein.

In der 6360 lässt sich einer der vier LAN-Anschlüsse zu einer Bridge umfunktionieren, dieser Anschluss hängt dann direkt am Modem. Die entsprechende Einstellungsseite gibt es auch in der 6320, ich kann allerdings nichts anklicken, da die Box verlangt, dass mindestens ein LAN-Anschluss ungebridgt bleibt (zum Zugriff auf die Box). Vielleicht könnte man da ja was basteln dass der (einzige) LAN-Anschluss der 6320 zur Bridge wird und ich diese nur noch über WLAN erreiche?

Das willst Du nicht.
Der Bridge-Modus ist bei Privatkunden nicht vorgesehen und funktioniert auch nur eher zufällig gelegentlich.

Wenn Du wirklich Ruhe haben willst, bleibt Dir nur ein Wechsel zu einem anderen Anbieter oder in einen Geschäftskundentarif.

 

[Leseratte10]

Der Bridge-Modus ist bei Privatkunden nicht vorgesehen und funktioniert auch nur eher zufällig gelegentlich.

Wegen der max. Anzahl an CPE, also solange ich die 6320 nicht neustarte, sollte es laufen? Oder aus einem ganz anderen Grund?
Wäre es denn theoretisch möglich?

Und AVM hat im Moment wohl alle Hände voll zu tun wegen der Sicherheitslücke...
Mal sehen wann und wie die auf meine Mail reagieren.

Es wundert mich aber dass das Problem bisher nur einmal aufgetreten ist. Gibt es denn so wenig Leute die einen eigenen Router hinter der 6320 betreiben und Portfreigaben haben wollen?

 

[Egalus]

Oh,
ein Mitstreiter bei dem Problem, wie schön.
Ich bin gespannt wer von uns schnellr den Passierschein AVM38 findet. Wobei ich schon 4 Wochen Vorsprung im AVM Supportdschungel habe.
Vielleicht habe ich dem First und Second Level Support ja schon genug über IPV6 beigebracht (glaube ich zwar nicht, denn bisher versuchen sie immer noch die Lösung für das Problem bei meiner 7390 zu suchen statt bei der 6360) damit du gleich in Level 3 aufsteigen kannst
Über eine Lösung würde ich mich nach wie vor freuen - wobei mir ein reines Modem mit eigenem Router dahinter immer noch besser gefallen würde - wobei es aktuell für viele wohl ganz praktisch war mit der Zwangshardware weil nun wohl definitiv UM auf dem Schaden sitzt und nicht der arme Privatmann.

 

[SpaceRat]

Der Bridge-Modus ist bei Privatkunden nicht vorgesehen und funktioniert auch nur eher zufällig gelegentlich.

Wegen der max. Anzahl an CPE, also solange ich die 6320 nicht neustarte, sollte es laufen? Oder aus einem ganz anderen Grund?

Ich kann die max-cpe nur als Ursache für den scheiternden Bridge-Modus vermuten, wissen kann ich das nicht.

Wäre es denn theoretisch möglich?

Ich weiß nicht, ob sich die 6320 austricksen ließe.
Wie Du gesehen hast, überlebt ja nicht einmal das firewall=no einen Neustart ..

Es wundert mich aber dass das Problem bisher nur einmal aufgetreten ist. Gibt es denn so wenig Leute die einen eigenen Router hinter der 6320 betreiben und Portfreigaben haben wollen?

Die 6320 gab es nur als recht kurzes Zwischenspiel, die meisten Kunden sind mit dem noch viel schlimmeren DK7200 geschlagen.

Und naturgemäß dürfte es auch weit mehr Leute geben, die den Rotz anderer Hersteller durch eine Fritz!Box ersetzen wollen, als Kunden, die unbedingt eine Fritz!Box hinter einer Fritz!Box betreiben wollen.
Man kann ja mit der 6360 und auch der 6320 (ggf. ergänzt um einen Switch oder IPv6-fähigen Billigrouter als Switch+AP) recht gut leben.

Es bleibt also wirklich nur ein relativ kleiner Prozentsatz an Power-Usern, die auch bei vorhandener Fritz!Box 63x0 unbedingt ihre eigene Fritz!Box als Router betreiben wollen.
Ich fände übrigens einen Gegentest mit einem anderen IPv6-tauglichen Router (z.B. Asus, D-Link oder TP-Link Archer) mal ganz spannend. Wer weiß, vielleicht liegt es wirklich an der nachgeschalteten Fritz!Box, weil diese z.B. das router-advertisement nicht über den WAN-Port rauskloppt?

 

[Leseratte10]

Wieso sollte das am nachgeschalteten Gerät liegen? Das bekommt korrekterweise über die Prefix Delegation ein Präfix. Der Rest (= Firewall für das Präfix öffnen) ist Sache der 6320.

Ich habe mir mal die IPv6-Routing-Tabelle der 6320 angeschaut und folgenden Eintrag entdeckt (7e00 ist das Lan-Präfix der 6320, 7e40 das delegierte):

2a02:908:xxxx:7e40::/58 via fe80::be05:43ff:fe2b:972f dev lan metric 128
2a02:908:xxxx:7e40::/58 via fe80::be05:43ff:fe2b:972f dev lan metric 128 mtu 1500 advmss 1440 proto delegated-prefix table main

Die Box hat zumindest schonmal eine korrekte Route für das delegierte Präfix - also wird das wahrscheinlich "nur" von der Firewall blockiert und sollte von AVM leicht zu beheben sein (hoffe ich mal).

Allerdings steht das delegierte Präfix nicht in der Liste der "erlaubten Adressen" (was auch immer das zu bedeuten hat), denn das delegierte Präfix endet auf 7e40. Vielleicht greift die Firewall irgendwie auf diese Liste zu?

allowedv6: fd00::/64 fe80::/64 fd00:0:0:1::/64 2a02:908:xxxx:7e01::/64 2a02:908:xxxx:7e00::/64

Außerdem wundert mich das "7e01" in der Liste. Hat AVM da eventuell vergessen, dass sie immer 0x40 zum Präfix addieren und nicht 0x01?

Vom TK7200 hab ich auch schon gehört und bin froh, dass ich den nicht bekommen habe. Dann doch lieber eine Fritzbox.

 

[SpaceRat]

2a02:908:xxxx:7e01::/64
2a02:908:xxxx:7e00::/64[/code]

Außerdem wundert mich das "7e01" in der Liste. Hat AVM da eventuell vergessen, dass sie immer 0x40 zum Präfix addieren und nicht 0x01?

Das ist einfach erklärt:

Die Fritz!Box gönnt sich selber ein /62er Präfix, also 4 Subnetze /64, davon verwendet sie das erste für lan und das zweite für guest.

Da ich bei mir kein "Gast-Zugang an LAN4" aktivieren kann (Das können die Boxen nur, wenn der Zugang über das eingebaute Modem erfolgt und das ist bei meiner 7390 natürlich nicht der Fall), weiß ich nicht, ob dafür evtl. ein drittes Subnet verwendet wird oder ob der Gast-Zugang LAN und WLAN einfach gebridged wird.

 

[Leseratte10]

Die 6320 hat einen Gastzugang? Wo das denn

Die hat nur einen LAN-Port, also nix mit Port 4 und WLAN-Gastzugang unterstützt sie auch nicht. Was soll also das Präfix 7e01?
Die genannten Adressen und Routingtabellen stammen ja von der 6320.

 

[CapFloor]

Hi, damit ihr nicht so alleine seid :winken: und ich das Problem auch gelöst sehen will, werde ich mich mit diesem Problem auch an AVM wenden. Ich will eine 7270 mit einer Subnet Delegation von der 6360 betreiben. Hab natürlich auch das Problem, dass kein Gerät im Subnet der 7270 von außen adressiert werden kann. Schade eigentlich, denn ansonsten kann die Fritzbox IPv6 mäßig (fast) alles - für meinen Anspruch...

 

[SpaceRat]

Die 6320 hat einen Gastzugang? Wo das denn

Die hat nur einen LAN-Port, also nix mit Port 4 und WLAN-Gastzugang unterstützt sie auch nicht. Was soll also das Präfix 7e01?
Die genannten Adressen und Routingtabellen stammen ja von der 6320.

Vielleicht wurde er auch nur im Auftrag von UM rausgeschnippelt und ist halt in Grundzügen noch vorhanden ... wer weiß?

 

[Leseratte10]

Dann würde er in der von AVM veröffentlichten Bedienungsanleitung drin stehen - genau wie Anrufbeantworter und Fax.

Da aber die Box eine korrekte Route anlegt, kann doch das Problem nur noch an der Firewall liegen, die allen Zugriff in das delegierte Präfix nicht zulässt oder?

EDIT: Den Gastzugang gibt es doch - man muss nur die Adresse von Hand eingeben. Wäre also möglich, dass das Präfix dafür ist. Ich probier das mal eben aus.
EDIT 2: Der Gastzugang ist in Teilen noch vorhanden (und hat eine Sicherheitslücke). Der verteilt dann das Präfix 7e41.
Aber egal, was man für eine Verschlüsselung einstellt, der Gastzugang ist komplett unverschlüsselt...

 

[SpaceRat]

Da aber die Box eine korrekte Route anlegt, kann doch das Problem nur noch an der Firewall liegen, die allen Zugriff in das delegierte Präfix nicht zulässt oder?

Würde ich mal annehmen, ja.

Den Fehler wird aber wohl AVM beheben müssen und wir wissen ja alle, wie schnell Du als Unitymedia-Kunde die dann gefixte Version bekommst ...

 

[Egalus]

Da aber die Box eine korrekte Route anlegt, kann doch das Problem nur noch an der Firewall liegen, die allen Zugriff in das delegierte Präfix nicht zulässt oder?

Würde ich mal annehmen, ja.

Den Fehler wird aber wohl AVM beheben müssen und wir wissen ja alle, wie schnell Du als Unitymedia-Kunde die dann gefixte Version bekommst ...

Um so ärgerlicher, dass der AVM Support so Begriffsstutzig ist. Hätten die Anfang Januar meine Supportanfrage verstanden gäbe es bestimmt schon einen fix (dürfte ja vermutlich nur eine automatisch erstellte Firewallausnahme beim Vergeben eines Prefix sein) und der hätte wahrscheinlich große Chancen gehabt zügig bei den Endkunden zu landen - Sicherheitsleck sei dank.
Das ganze wird sich aber nun vermutlich um Monate verzögern wenn Unitymedia jetzt irgendwann erstmal die kastrierte Sicherheitspatchfirmware für die 6360 pushed haben die Ihr Firmwareupdatesoll für die nächsten 2 Jahre doch schon erfüllt...

 

[Leseratte10]

Und - wie schon erwartet - von AVM kommt natürlich eine Antwort wie "im IP-Client Modus unterstützt die 7270 kein IPv6 - bitte in den NAT-Modus schalten"

In meiner Mail stand erstens erwähnt dass die 7270 sich bereits im NAT-Modus befindet und dass zweitens die FW der 6320 blockiert, das Endgerät also total egal ist...

Aber nee, meine 7270 ist falsch eingestellt blablabla...

Eine Mail an Unitymedia ist auch raus - vielleicht bekomme ich auf diesem Weg ja IPv4 oder Full-DS.

 

[Egalus]

Und - wie schon erwartet - von AVM kommt natürlich eine Antwort wie "im IP-Client Modus unterstützt die 7270 kein IPv6 - bitte in den NAT-Modus schalten"

In meiner Mail stand erstens erwähnt dass die 7270 sich bereits im NAT-Modus befindet und dass zweitens die FW der 6320 blockiert, das Endgerät also total egal ist...

Aber nee, meine 7270 ist falsch eingestellt blablabla...

Ah, immerhin ist der Support konsistent, die Antwort kommt mir bekannt vor
Hat dir zufällig ein Herr zurückgeschrieben der nach Weglassen des zweiten Buchstabens im Nachnamen ein Fisch ist?
Wenn ja, dann erklär ihm das nochmal, dann kommst du in der nächsten Runde zu zum zweiten Level und erhälst die gleiche IP-Client Modus Frage dann erneut

Willkommen beim Passierschein AVM38 Adventure.

 

[Leseratte10]

Hat dir zufällig ein Herr zurückgeschrieben der nach Weglassen des zweiten Buchstabens im Nachnamen ein Fisch ist?

Nö. Mir hat ein Herr zurückgeschrieben von dessen Nachnamen ich noch nichtmal weiß wie man den aussprechen soll ^^

Mal sehen, was als nächste Antwort kommt. Und mal sehen, was Unitymedia dazu sagt.