Unitymedia Fritzbox IPv6-Firewall?

[SpaceRat]

Hat dir zufällig ein Herr zurückgeschrieben der nach Weglassen des zweiten Buchstabens im Nachnamen ein Fisch ist?

Nö. Mir hat ein Herr zurückgeschrieben von dessen Nachnamen ich noch nichtmal weiß wie man den aussprechen soll ^^

Ah, das Modell "Konsonantensteinbruch" ...

 

[SpaceRat]

Um so ärgerlicher, dass der AVM Support so Begriffsstutzig ist. Hätten die Anfang Januar meine Supportanfrage verstanden gäbe es bestimmt schon einen fix (dürfte ja vermutlich nur eine automatisch erstellte Firewallausnahme beim Vergeben eines Prefix sein) und der hätte wahrscheinlich große Chancen gehabt zügig bei den Endkunden zu landen - Sicherheitsleck sei dank.

Ihr habt AVM bestimmt mit Details überfordert
"Wenn eine Fritz!Box ein IPv6-Prefix delegiert, so können Geräte im delegierten Subnet nicht von außen erreichbar gemacht werden, da die Fritz!Box das delegierte Subnet in ihrer Firewall nicht freigibt."

Das ganze wird sich aber nun vermutlich um Monate verzögern wenn Unitymedia jetzt irgendwann erstmal die kastrierte Sicherheitspatchfirmware für die 6360 pushed haben die Ihr Firmwareupdatesoll für die nächsten 2 Jahre doch schon erfüllt...

Monate?
Seit wann bist Du Optimist?

Es dauert jetzt bestimmt noch 10 Monate, in denen Unitymedia die Firmware 06.04 ausführlich testet, bevor sie sie dann ausrollen.
Just 2 Tage bevor AVM mit Firmware 06.50 neue sensationelle Features und wichtiges Fixes ausliefert.

Wer den schwarzen Peter hat, sollte ja inzwischen klipp und klar sein, nachdem die 06.04 bei mehr UM-Kunden auf der Platte liegt, als CMTSen sie in der Ausrollung haben ...

 

[Egalus]

Es dauert jetzt bestimmt noch 10 Monate, in denen Unitymedia die Firmware 06.04 ausführlich testet, bevor sie sie dann ausrollen.

Ich glaube so lange können sie sich schon der Presse wegen mit dem Testen nicht Zeit lassen sonst müssen sie sich garantiert die Routerzwangdiskussion nicht nur von Kunden sondern auch noch von der Fachpresse anhören - und vielleicht kämen die Politiker dann ja sogar mal in die Puschen.

 

[Leseratte10]

Meine 7270 ist heute abgeraucht, also bestelle ich mir jetzt die 6360 bei UM und habe das Problem dann nicht mehr.

Aber jemand, der noch eine Fritzbox hinter der 6320 betreibt, könnte mal folgendes ausprobieren, mir ist nämlich was aufgefallen:

Ich habe eine Freigabe auf meinen PC in der 6320 angelegt (manuell über die ID), und dann (nach Defekt der 7270) den PC direkt an die 6320 gehangen. Dann stand er mir im Freigaben-Menü erneut zur Auswahl.

Könnte mal jemand mit einer zweiten Fritzbox (Egalus?) testen, ob die Freigabe funktioniert, wenn zuerst alle Freigaben in der 6320 gelöscht werden, dann die nachgeschaltete Box ab- und der PC direkt angeklemmt wird, dann die Freigabe über die Auswahl in der Liste erstellt wird und dann die zweite Box wieder angeschlossen wird?

 

[Egalus]

Hab ich alles schon durch.
Die Fritte 6360 lässt einfach nicht die Stateful Finger von unbekannten Paketen.

 

[SpaceRat]

Ich habe eine Freigabe auf meinen PC in der 6320 angelegt (manuell über die ID), und dann (nach Defekt der 7270) den PC direkt an die 6320 gehangen. Dann stand er mir im Freigaben-Menü erneut zur Auswahl.

Könnte mal jemand mit einer zweiten Fritzbox (Egalus?) testen, ob die Freigabe funktioniert, wenn zuerst alle Freigaben in der 6320 gelöscht werden, dann die nachgeschaltete Box ab- und der PC direkt angeklemmt wird, dann die Freigabe über die Auswahl in der Liste erstellt wird und dann die zweite Box wieder angeschlossen wird?

Das eine hat mit dem anderen nichts zu tun.

Daß das Gerät neu auftaucht, hat folgende Bewandnis:
Wenn Du zwei Router kaskadierst, dann befinden sich alle Clients dahinter in einem anderen IPv4-Subnet (und zuerst einmal gar keinem IPv6-Netz)
Kommt die Prefix Delegation hinzu, dann kriegen sie auch noch ihr eigenes IPv6-Subnet.

Schaust Du Dir nun mal eine exportierte Fritz!Box-Konfiguration an, dann wirst Du darin einen Block von "landevices" finden, wobei jeder Block in etwa so aussieht:

 ip = 192.168.1.17; name = "Blah"; mac = 00:3E:9E:12:34:56; medium = medium_unknown; auto_etherwake = no; ifaceid = ::23e:9eff:fe12:3456; type = neightype_unknown; staticlease = no; ipv4forwardrules = ... ipv6firewall { ... }

Die Fritz!Box speichert hier also zu allen bekannten Geräten
- die Interface-ID (Die Modified EUI-64)
- die MAC
- den (Host-)Name
- die IPv4-Adresse
- die IPv4-Weiterleitungs-Regeln
- die IPv6-Firewall-Regeln
- div. anderen Krempel

Normalerweise legt man ja eine Freigabe für ein tatsächlich angeschlossenes Gerät an, so daß die Fritz!Box alle der o.g. Angaben füllen kann.

Eure (sinnlose) IPv6-Freigabe in der vorderen Fritz!Box (Also der 63x0) hingegen habt Ihr manuell gemacht. Zu diesem Zeitpunkt hat die erste Fritz!Box das Gerät ja nicht wirklich gekannt, so daß sie hier nur die eingegebene ifaceid und die IPv6-Firewall-Regel, aber weder MAC, noch IPv4, noch einen Hostname, einfügen konnte.

In dem Moment, in dem das Gerät nun aber tatsächlich in die erste Fritz!Box gesteckt wird, erhält es nun auch eine IPv4 von dieser Fritz!Box (Und nicht mehr der kaskadierten ...) und die erste Fritz!Box erfährt die MAC sowie den Hostname.
Dieses tatsächlich erkannte Gerät stimmt aber nur in einem einzigen Punkt mit dem vorher angelegten überein, der Interface-ID.
Die sollte sich zwar nicht ändern, kann es aber (Sch... privacy extensions). Somit ist nicht 100%ig sicher, daß hinter dem eingestöpselten Gerät auch wirklich das Gerät steckt, welches vorher manuell definiert worden war, also entsteht ein Duplikat.

Was aber ganz sicher ist:
Bei der Konfiguration der IPv6-Firewall kommt es nun zu Kollisionen zwischen dem manuell zugefügten und dem erkannten Gerät mit den identischen Interface-IDs. Deshalb muß die manuell angelegte Freigabe auch spätestens jetzt entfernt werden.

Daher würde ich auch nicht empfehlen, irgendwelche IPv6-Freigaben anzulegen, solange das Gerät nicht dort auch in der Auswahl erscheint.
Wenn die Interface-ID von Hand eingegeben werden müßte, dann ist schon vorher irgendwas gründlich schief gelaufen.

 

[Renover99]

Hallo zusammen,

ich habe mich zwar gerade eben erst registriert, bin aber schon lange ein stiller Mitleser da ich auch ein Opfer des Unitymedia mit IPv6 nach Anbieterwechsel geworden bin.

Ich lese mich eigentlich immer durch etliche Foren kreuz und quer und habe den Ehrgeiz dadurch selbst meine Probleme zu lösen, aber jetzt weiß ich nicht mehr weiter und benötige Hilfe.
Aber vorher noch ein großes Dankeschön an SpaceRat. Du hast mir schon sehr oft weitergeholfen, nur bisher wusstest du das nicht. Jetzt aber!

Meine Konstellation sieht folgendermaßen aus:

Ich habe eine Fritzbox 6320 Cable. Mit Internetanschluß über Lan1 habe ich eine zweite Fritzbox 7270 V2 wegen dem schlechten Wlan-Signal der 6320 angeschlossen. An der 7270 habe ich eine Dreambox, Synology NAS, MediaCenter PC etc laufen. Jetzt will ich von meinem S2 von außen z.B. auf das NAS zugreifen.
Einen Sixxs-Tunnel Ayiya habe ich mir auch schon zugelegt, und funktioniert. Ich komme über das Smartphone dank MyFritz über die 6320 auf die 7270, aber nicht weiter.

Das ist die Ist-Situation.

Jetzt benötige ich eure Hilfe: Kann ich die dahinterliegenden Geräte auch noch irgendwie erreichen? Ich möchte aber ungern die Konstellation mit den zwei Netzwerken aufgeben, da ich diese so schön von einander abgegrenzt habe. Fitz 6320 dient nur für die Bereitstellung des Internets und telefonieren und die 7270 für alles andere.

Und noch eine Bitte. Könnt Ihr mir Antworten, wenn es denn welche gibt, in Laiensprache geben. Ich bin gelernter Kaufmann und kein ITler.

Bei Rückfragen… fragen!

 

[Egalus]

@Renover99

Aus deiner Beschreibung wird nicht klar wie genau du die 7270 hinter die 6320 gehangen hast?
Per IPv6 Prefix Delegation oder rein im Client Mode (also IPV4 only)?

Falls du Prefix Delegation nutzt gibt es dank AVMs Unvermögen (es sei denn die 6360 unterscheidet sich da grundlegend von der 6320 Firmware) eigentlich nur eine Möglichkeit:
Jedes Gerät, dass du von Extern erreichen willst muss einen Reverse Tunnel (Stichwort autossh) ins Internet aufbauen - an einen Server auf dem Du SSH Zugang mit Portforwarding Möglichkeiten hast.
Das müsste rein theoretisch sogar mit einem Gerät (wie z.B. einer RaspberryPI) gehen, dass direkt über die 6320 ins Internet geht, denn für selbiges kannst du ja IPV6 Freigaben auf der 6320 einrichten - für Geräte hinter der 6320 aber nicht.

Die Konstellation des Zugriffs mit deinem S2 sähe denn etwa so aus:

<i>
</i> Aufbau eines ssh reverse Tunnels (über 7270 und 6320)
Ziel <------------------------------------------------------------------> Sever mit SSH, der über ipv6 erreichbar ist Ayaya SSH
S2 ------> Server mit SSH -----------> Ziel

Dazu muss auf deinem Ziel nichts umkonfiguriert werden außer, dass es einen autossh client mit Zugangsdaten für deinen Server hat.

Alternativ müsste es auch funktionieren können auf die 7270 zu freezen und dann per "socat" ein ipv6 portforwarding von einem ipv6 Port der 7270 auf dein Ziel zu erstellen. Den Weg werde ich demnächst mal ausprobieren.
Dann müsste nicht noch ein Gerät zusätzlich mithelfen

 

[SpaceRat]

Ich habe eine Fritzbox 6320 Cable. Mit Internetanschluß über Lan1 habe ich eine zweite Fritzbox 7270 V2 wegen dem schlechten Wlan-Signal der 6320 angeschlossen. An der 7270 habe ich eine Dreambox, Synology NAS, MediaCenter PC etc laufen. Jetzt will ich von meinem S2 von außen z.B. auf das NAS zugreifen.
Einen Sixxs-Tunnel Ayiya habe ich mir auch schon zugelegt, und funktioniert. Ich komme über das Smartphone dank MyFritz über die 6320 auf die 7270, aber nicht weiter.

Das ist die Ist-Situation.

Jetzt benötige ich eure Hilfe: Kann ich die dahinterliegenden Geräte auch noch irgendwie erreichen? Ich möchte aber ungern die Konstellation mit den zwei Netzwerken aufgeben, da ich diese so schön von einander abgegrenzt habe. Fitz 6320 dient nur für die Bereitstellung des Internets und telefonieren und die 7270 für alles andere.

Prinzipiell würde diese Konstellation so wie hier beschrieben funktionieren. Die 7270 erhielte dann ein eigenes IPv6-Subnetz von der 6320 delegiert und könnte darin schalten und walten, wie Du willst.

Wie aber Egalus schon angedeutet hat, funktioniert das zumindest mit der 6360 nicht so wie gedacht: Das Prefix wird an sich fehlerfrei delegiert und kommt auch an der 7270 bzw. einem anderen nachgeschalteten Router an. Die dort angeschlossenen Geräte erhalten auch IPv6-Adressen aus diesem delegierten Subnetz und können darüber ausgehend kommunizieren (inkl. der Antworten). Eingehend jedoch geht es nicht, Zugriffe von außen werden von der delegierenden Fritz!Box nicht an den Router mit dem delegierten Subnet weitergereicht.

Es gibt nun drei Möglichkeiten:
1. Du gibst die Trennung der Netzwerke auf.
Das ist die sauberere, denn eben diese Trennung stört Dich ja eigentlich doch irgendwie. Wenn Du die 7270 als IP-Client, also als reinen Switch+WLAN Access Point, betreibst, dann erhalten die angeschlossenen Geräte wieder IPv6-Adressen aus dem Netz der 6320. Unter diesen können sie dann wie im Workshop beschrieben direkt über IPv6 erreichbar gemacht werden (Konfiguration der Freigaben in der 6320).

2. Du behältst die Trennung bei und greifst indirekt über die 7270 auf hinter ihr angeschlossene Geräte zu
In diesem Fall ist die 7270v2 das einzige Gerät "im" zweiten Netzwerk, das noch eine IPv6-Adresse erhält. Unter dieser ist die 7270 auch von außen erreichbar (Sie muß aber, genauso wie jedes andere Gerät auch, in der IPv6-Firewall der 6320 noch für jeden zu öffnenden Port freigegeben werden).
Wie schon von Egalus angedeutet kann man dann auf der 7270 selber mit diversen Tools sowas ähnliches wie Port-Weiterleitungen einrichten, indem man von Port x der IPv6-Adresse der 7270 auf Port y der lokalen IPv4-Adresse eines an ihr angeschlossenen Gerätes proxied (6tunnel, HAproxy, socat wären mögliche Tools für diesen Zweck). Dafür würdest Du aber vermutlich die 7270 mit Freetz bestücken müssen, um erstens die Tools zur Verfügung zu haben und um eine halbwegs manierliche Methode nutzen zu können, diese auch bei jedem (Neu-)Start der 7270 wieder zu laden.

3. Du behältst die Trennung bei, deaktivierst die Prefix Delegation auf der 6320 und verwendest auf der 7270 einen SixXS-ayiya-Tunnel
Nach meinem derzeitigen Kenntnisstand würde das gehen. D.h. die 7270 erhält IPv4-Konnektivität von der 6320, aber keine IPv6-Konnektivität. Über einen SixXS-ayiya-Tunnel (Und nur diesen, alle anderen Tunnel werden nicht funktionieren) beschafft sich die Fritz!Box 7270 dann eine eigene IPv6-Anbindung.
Mit dieser könntest Du ganz normal arbeiten, also genauso wie mit der nativen IPv6-Anbindung an der 6320/6360.
Der Nachteil wäre: Das wäre ein Tunnel im Tunnel. Die 6320 hat bei Dir eine native IPv6-Verbindung und baut auf dieser einen Tunnel für IPv4 auf (Das ist das "lite" in DS-lite). Die 7270 würde dann durch eben diesen Tunnel ihren IPv6-Tunnel aufbauen ...

 

[Renover99]

Hallo,
Erst einmal vielen Dank für die schnellen Antworten.
Eine Antwort hat mir zu Denken gegeben.

Es gibt nun drei Möglichkeiten:
1. Du gibst die Trennung der Netzwerke auf.
Das ist die sauberere, denn eben diese Trennung stört Dich ja eigentlich doch irgendwie. Wenn Du die 7270 als IP-Client, also als reinen Switch+WLAN Access Point, betreibst, dann erhalten die angeschlossenen Geräte wieder IPv6-Adressen aus dem Netz der 6320. Unter diesen können sie dann wie im Workshop beschrieben direkt über IPv6 erreichbar gemacht werden (Konfiguration der Freigaben in der 6320).

Ich habe das mit dem Access Point immer so verstanden, dass der Point immer sein eigenen Netzwerkbereich hat und nicht auf das "Hauptnetzwerk" zugreifen kann. Richtig? Das war immer der Grund warum ich alle Geräte in das Netzwerk der 7270er gepackt habe. Ich will im Wlan mit dem Tablet oder Handy auf das Nas etc. zugreifen.
Aber wenn es möglich ist mit dem Access Point trotzdem sich im Hauptnetzwerk zu bewegen, dann sind ja alle meine Probleme gelöst.

Oder bin ich auf dem Holzweg.

Von der 6320 bekommen dann alle eine Ipv6 Adresse und durch die myfritz Freigabe kann ich mit dem Tunnel auf alles zugreifen, richtig?

 

[CapFloor]

Ich habe das mit dem Access Point immer so verstanden, dass der Point immer sein eigenen Netzwerkbereich hat und nicht auf das "Hauptnetzwerk" zugreifen kann. Richtig?

Notwendig ist das nicht, hat in Deiner Umgebung auch wenig Sinn, da ja anscheinend alle Deine Geräte in dem von der 7270 aufgespannten Netz sind. Jedenfalls hast Du nicht erwähnt, ob Du aktuell überhaupt ein Gerät an Deiner 6360 dran hast. Damit ist die Netzwerk-Trennung bei Dir einfach nur zusätzliche Komplexität.

Von der 6320 bekommen dann alle eine Ipv6 Adresse und durch die myfritz Freigabe kann ich mit dem Tunnel auf alles zugreifen, richtig?

Ja. Manchmal kann das Leben soooo leicht sein. :winken:

 

[Renover99]

Hallo,

kennt denn jemand ein How To Do eine 7270 als Access Point bei einer 6320 einzurichten?
An die 6320, da nur ein Lan-Port vorhanden, kommt ein Switch an dem ich die 7270 hänge.
Ich möchte dann mit dem Tab oder Phone über Wlan auf die Geräte, die auch am Switch der 6320 angeschlossen sind.

Ich finde keine Anleitung dafür.

 

[Leseratte10]

Einfach anschließen an LAN1 und dann unter Internet -> Zugangsdaten auf "Internet über LAN1" und "IP-Client" einstellen.

 

[Egalus]

Nach langer Zeit habe ich nun eine ziemlich definitiv klingende Antwort vom AVM Support zur IPv6 Prefix Delegation und der fehlenden Ausnahmeregel in der deligierenden Fritzbox Firewall.
Die Antwort habe ich übrigens nur weil ich nach 4 Monaten Funkstille mein Ticket nochmal getriggert habe.

Meine erneute Anfrage an den Support sah (ich habe Anrede und Zusammenfassung wie lange das Thema nun schon im AVM Support kreis weggelassen) wie folgt aus:

...

Auch mit den Firmwares mit den Sicherheitspatches für die 6360 und 7390
ist es an einem DS Lite Anschluss nach wie vor zwar möglich eine IPV6
Prefix Delegation an die 7390 durchzuführen, es ist aber nach wie vor
nicht möglich der 6360 beizubringen eingehende Pakete an dieses Prefix
unbehandelt an die 7390 weiterzuleiten.

Damit wird die beworbene IPv6 Prefix Delegation natürlich unnütz, da ich
zwar IPv6 Freigaben in der 7390 für dort angeschlossene Geräte
einrichten kann, eingehende Verbindungsanfragen aus dem Internet aber an
der nicht konfigurierbaren (für den deligierten Prefix) Firewall der
6360 verworfen werden.

Die Lösung des Problems dürften nur wenige Zeilen Quelltext für die 6360:
if (ipv6 destination address is in delegated prefix) forward packet to
the router that is responsible for the delegated prefix

Bisher warte ich geschlagene 6,5 Monate darauf, dass jemand in Ihrem
Unternehmen diese Problembeschreibung nachvollziehen kann, wie viele
Jahre entfernt mag da eine Lösung sein? Die 7390 ist mir deutlich zu
teuer für einen ipv4 (denn etwas anderes kann die 7390 im ip client
Modus ja nicht) 5GHz Accesspoint, denn als mehr kann ich sie ja aktuell
nicht einsetzen.
...

Und die Antwort die ich erhalten habe (auch wieder um Anrede und Verspätungsentschuldigung gekürzt) sieht so aus:

...
Was den beschriebenen Sachverhalt angeht, so ist diese Funktionalität im
allgemeinen in den FRITZ!Boxen gegenwärtig nicht gegeben und stellt keine
zugesicherte Funktion dar. Wir planen aber das Feature in Zukunft in einer
künftigen Firmwareversion zu implementieren. Es wird nach jetziger
Schätzung allerdings nicht im kommenden Firmware-Release sein, sondern eher
später. Wann genau, lässt sich derzeit aber leider noch nicht sagen.
...

Fazit:
Auf absehbare Zeit ist darauf Verlass, dass diese Ausnahmeregel für AVM zu hoch ist...

Leider verliefen auch meine Versuche der ipv6 Firewall auf der gefreezten 7390 mit deligiertem Prefix beizubringen IPV6 Pakete an den auf der 7390 laufenden openvpn Server durchzulassen im Sande.
Die FB7390 ist mir USB Root deutlich zickiger als es noch meine 7270 war.
Warum man mit USB-Root einen Bootloop (weil irgendwas auf dem USB Stick nicht passt) nicht wieder verlassen kann indem man den Stick entfernt ist mir schleierhaft.

Es gibt aber auch eine gute Nachricht: Nachdem Vodafone mehrere Jahre lang nicht wusste, dass sie ein Ortsnetz bei uns haben und wir daher nicht von dem DSL6000 wegkamen (die Telekom rüstet das ehemalige ISIS/Arcor Netz halt nicht hoch) hat Vodafone das Ortsnetz jetzt wieder auf dem Schirm und gerade auf VDSL 50MBit aufgerüstet - dummerweise bin ich noch bis Ende nächsten Jahres ans Kabel gebunden, aber die Vorfreude auf funktionierendes IPV4 oder gar echten DS kann ich jetzt 1,5 Jahre genießen...

 

[SpaceRat]

Hmmmm ...

Weitere Verbesserungen und Fehlerbehebungen in FRITZ!OS 6.05
Heimnetz: Verbessertes Zusammenspiel mit nachgelagerten IPv6-Routern

 

[Leseratte10]

Immerhin scheint AVM das Problem dann nun verstanden zu haben.

Hat zufällig jemand zwei "normale" Fritzboxen und könnte testen, ob der Bug noch existiert?
Dauert ja eh wieder noch ein paar Jahre bis die Firmware bei UM verteilt wird...

 

[flinklaunch]

hallo zusammen

gibts hierzu schon was neues? ich knabbere momentan wieder an dem problem.

 

[Leseratte10]

Laut changelog könnte das mit der 06.05 behoben sein - die wird aber von Unitymedia nicht verteilt.

Evtl kann das ja mal jemand mit der 6490 (denn die hat 06.20) testen?

 

[Opticum]

Das Probleme existiert auf einer 7490 an einem anderen IPv6 Anschluss auch. Hab extra mal die neuste Labor draufgemacht.
Alles was per Prefix Delegation weitergereicht wird, ist von Aussen nicht erreichbar.

Der Support von AVM ist ein Witz. Das Problem wird nicht verstanden. Ich werde zugebombt mit Tips zu IPv4 Portfreigaben.
Der Supporter versteht es einfach nicht, habe schon gebeten das es weiter eskaliert wird, aber er meint ich bekomme von anderen auch keine andere Antwort :wand:

Auszug aus der 3 oder 4 Mail was das Thema IPv6 bei AVM im Jahr 2015 betrifft:

Sie werden von jedem anderen Mitarbeiter wahrscheinlich die gleiche
Information bekommen.
IPv6 kann hier zunächst nicht das Problem sein, denn Sie sagen selbst, dass
der 2. Router per IA_PD ein /62er IPv6-Subnetz von der FRITZ!Box bekommt.
Das heißt, die FRITZ!Box kann zunächst als Fehlerquelle auch ausgelassen
werden.
Damit aber auch alles funktioniert, wie gewünscht, muss eine Portfreigabe
folgendermaßen eingerichtet werden:

[FTP-Server: Port 21] --> [2. Router: Port 21 von FTP-Server --> Port 21
nach außen] --> [FRITZ!Box: Port 21 von 2. Router --> Port 21 nach außen]

Dabei ist unbedingt erforderlich, dass entweder der eigene FTP-Dienst der
FRITZ!Box ausgeschaltet ist (unter "Internet --> Freigaben -->
FRITZ!Box-Dienste") oder dann ein anderer Port nach außen verwendet wird.

:hammer: :heul: :wand: