Unitymedia IPv6-Nutzung geschützt durch privaten Router überhaupt machb

[Fruchtzwerg]

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

<r><QUOTE author="SpaceRat"><s>

</s>
Das funktioniert eben nicht ...<br/>
<br/>
Der OpenWrt-Router benötigt die Angabe der <B><s></s>kompletten<e></e></B> IPv6 und weil sich das Präfix ändert, ändert sich eben auch diese Ziel-IPv6 immer wieder.<e>

</e></QUOTE>

Ich hätte OpenWRT für schlauer gehalten. <E></E><br/>

<QUOTE><s>

</s>Dafür braucht man dann ein Script, das im Hintergrund das aktuelle Präfix überprüft und bei Änderungen die ganzen Firewall-Regeln mit dem neuen Präfix umschreibt ...<e>

</e></QUOTE>

Das wäre ja nicht wirklich ein Problem, mehr als 3 Zeilen sollte ein solches Skript in Linux nicht benötigen. Irgend etwas mit "ip -6 addr show dev wan" und dann ein bisschen "cut" und man hat den Präfix. <br/>
<br/>
Aber was viel schlimmer ist: auch mit der kompletten IP-Adresse in der Firewall-Regel leitet der OpenWRT die eingehende Verbindung weiter. Sogar, wenn jeden Verkehr auf Port 22 von WAN nach LAN freigebe, kommt keine Verbindung zustande:<br/>

<CODE><s>

</s><i>
</i>config rule option target 'ACCEPT' option name 'ssh -> pc' option family 'ipv6' option proto 'tcp' option dest_port '22' option src '*' option dest 'lan'
<e>

</e></CODE>

Entweder mache ich etwas von Grund auf verkehrt, oder OpenWRT hat einen Bug an dieser Stelle. <br/>

<QUOTE><s>

</s>Es geht nicht um Weiterleitungsregeln im Sinne von NAT/Port-Umadressiererei, sondern um eine reine Verkehrsregel.<e>

</e></QUOTE>

Missverstanden. Pardon!<br/>

<QUOTE><s>

</s>Normal solltest Du den Ziel-Rechner aber auch direkt aus einer Drop-Down-Liste auswählen können wenn ihn die Fritz!Box schon kennt und das sollte sie, wenn der Relay-Modus des OpenWrt richtig funktioniert.<e>

</e></QUOTE>

Im Umkehrschluss heißt das: wenn ich den OpenWRT in der Liste auf der Fritzbox nicht sehe, funktioniert der Relay-Modus nicht richtig, oder?<br/>
<br/>
So langsam kommt mir die Galle hoch über diesen Anschluss. Ich habe jetzt 3 Tage meines Urlaubs mit Dutzenden von Versuchen verbracht, um einen Zugriff von außen zu bekommen, alle erfolglos. Jetzt stehe ich so kurz vorm Ziel und komme immer noch nicht rein. Das darf doch nicht wahr sein. <E>:heul:</E> <br/>
<br/>
Andere Idee: wenn das mit der Weiterleitung von außen partout nicht klappt, wie sieht's mit VPN aus? <br/>
<br/>
Der Dienst feste-ip.net, den ich schon mehrfach erwähnt habe, bietet auch VPN an. Wenn ich von dort ein VPN bis zu meinem OpenWRT lege, könnte das funktionieren? Kannst Du dazu etwas sagen?</r>

 

[Ulimit]

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

<r>Egal, welchen Netzprefix der Unitymedia TC7200 gerade ausgewürfelt hat, wenn ich generell z.B. Port 22 <B><s></s>ohne<e></e></B> ansehens einer Ziel-IPv6-Adresse auf dem OpenWrt freischalte, komme ich jederzeit vom Internet auf meine Privatsysteme. Beispiel aus der Firewall:<br/>

<CODE><s>

</s><i>
</i>config rule option target 'ACCEPT' option src 'wan' option name 'Allow-SSH-1' option family 'ipv6' option proto 'tcp' option dest 'lan' option dest_port '22' option enabled '1'
[...]
config forwarding option dest 'wan' option src 'lan'
<e>

</e></CODE>

Das ist jetzt zwar nicht das Ideal einer hunderprozentig spezifischen Firewall-Regel pro Dienst, aber dafür von zufälligen Prefixes unabhängig und auf IPv6-SSH beschränkt. Beachte vielleicht noch, daß der forwarding Eintrag bei mir eine andere Richtung hat, als bei Dir.<br/>
<br/>
Ist natürlich blöd, daß Du auf einen ominösen Portmapper im Internet angewiesen bist, um Deine IPv6-Setups zu testen. Ohne einen echten IPv6-PC als Test-Client hast Du so abermals einen weiteren (potentiellen) Stolperstein eingebaut.<br/>

<QUOTE><s>

</s>
Ich hätte OpenWRT für schlauer gehalten. <E></E>
<e>

</e></QUOTE>

Naja, OpenWrt macht eben das, was man ihm sagt, und in diesem Fall soll er eben "nur Relay" spielen und mehr oder weniger durchwinken, was der TC7200 so an Obskurem ins LAN pustet. Netzwerkmonitoring und das selbsttätige Umprogrammieren von Firewalls sehe ich jetzt erstmal nicht als Aufgabe eines Relays an. Dafür lässt sich aber bestimmt noch ein maßgeschneidertes Systemwerkzeug finden oder scripten.<br/>

<QUOTE author="Fruchtzwerg"><s>

</s>
Sogar, wenn jeden Verkehr auf Port 22 von WAN nach LAN freigebe, kommt keine Verbindung zustande.
<e>

</e></QUOTE>

... dann ist vermutlich eher noch etwas mit dem Routing im Argen. Hast Du (neben den genauen Prefixen) auch mal kontrolliert, daß Deine LAN-PCs überhaupt ein default-gateway ::/0 auf den Uplink-Router (hier OpenWrt) gesetzt bekommen? (ein Paket aus dem Internet will ja schließlich auch dahin zurück)</r>

 

[Fruchtzwerg]

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

<r>Ich danke Euch für Eure Hilfe. Aber ich habe jetzt die Faxen dicke und habe darum soeben die FritzBox aus meinem Vertrag ausgebucht und werde dann über die HorizonBox ins Netz gehen. Mein Sohn ist auch schon am Stöhnen, weil seine Spiele nicht funktionieren, und ich habe genug von meinem Urlaub geopfert, ohne eine funktionierende <B><s></s>beidseitige<e></e></B> Internetanbindung herstellen zu können. Meine alte FritzBox wird als DECT-Station und Access-Point dienen. Zusätzliche Telefonnummern werden bei einem VoIP-Anbieter dazugebucht. (Kennt jemand einen günstigen Anbieter?) Dann ist Ruhe im Karton.</r>

 

[fabi280]

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

<r><QUOTE author="Fruchtzwerg"><s>

</s>Angeblich bekommt mein PC auch eine IP6:<br/>

<CODE><s>

</s>ifconfig
eth0 Link encap:Ethernet Hardware Adresse 00:19:66:99:08:cf inet Adresse:10.10.1.77 Bcast:10.10.1.255 Maske:255.255.255.0 inet6-Adresse: fd3b:25c9:2d1c:1:219:66ff:fe99:8cf/64 Gültigkeitsbereich:Global inet6-Adresse: fd3b:25c9:2d1c:0:219:66ff:fe99:8cf/64 Gültigkeitsbereich:Global inet6-Adresse: fd00::219:66ff:fe99:8cf/64 Gültigkeitsbereich:Global inet6-Adresse: fe80::219:66ff:fe99:8cf/64 Gültigkeitsbereich:Verbindung UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1 RX-Pakete:99276 Fehler:0 Verloren:0 Überläufe:0 Fenster:0 TX-Pakete:89725 Fehler:0 Verloren:0 Überläufe:0 Träger:0 Kollisionen:0 Sendewarteschlangenlänge:1000 RX-Bytes:78817223 (78.8 MB) TX-Bytes:8840261 (8.8 MB)
<e>

</e></CODE>

Ich komme mit meinem PC nach draußen, allerdings nur über IP4:<br/>

<CODE><s>

</s><i>
</i>ping6 six.heise.de
connect: Network is unreachable
<e>

</e></CODE>

Ich komme leider alleine nicht weiter. <br/>
<br/>
Die erste Frage, die ich habe: Ulimit, woher hast Du den ULA-Präfix, den Du verwendet hast? Ist das der Präfix, den die FritzBox angibt? Der lautet bei mir fd00::xxx:xxxx:xxxx:xxxx/64 (natürlich nicht mit "xxxx"...) Aber wenn ich den benutze in /etc/config/network, werden keine IP6 mehr verteilt.<br/>
<br/>
Was muss/kann ich tun, damit es weitergeht?<e>

</e></QUOTE>

Wie hast du denn den Fehler gefixt, dass du mit der richtigen IPv6 dann auch nach draußen kommst. Ich werde durch die weiteren Posts auch nicht wirklich schlauer.<br/>
Bei mir sieht das momentan so aus: <URL url="http://pastebin.com/mEw1Gj5D">http://pastebin.com/mEw1Gj5D</URL><br/>
<br/>
Unter Windows habe ich dadurch das Ergebnis
<CODE><s>

</s>Ethernet-Adapter Ethernet 5: Verbindungsspezifisches DNS-Suffix: heim.netz Beschreibung. . . . . . . . . . . : Gruppe: Gruppe #0 Physische Adresse . . . . . . . . : 74-D4-35-##-##-## DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja IPv6-Adresse. . . . . . . . . . . : 2a02:8071:2482:a300:6d35:44ec:21c:ed55(Bevorzugt) Temporäre IPv6-Adresse. . . . . . : 2a02:8071:2482:a300:2ce8:6cea:a5d3:9417(Bevorzugt) Verbindungslokale IPv6-Adresse . : fe80::6d35:44ec:21c:ed55%8(Bevorzugt) IPv4-Adresse . . . . . . . . . . : 192.168.1.200(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Lease erhalten. . . . . . . . . . : Mittwoch, 7. Oktober 2015 08:49:11 Lease läuft ab. . . . . . . . . . : Mittwoch, 7. Oktober 2015 20:49:11 Standardgateway . . . . . . . . . : fe80::6666:b3ff:fe47:5b9c%8 192.168.1.1 DHCP-Server . . . . . . . . . . . : 192.168.1.1 DHCPv6-IAID . . . . . . . . . . . : 460641333 DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1D-4A-BE-37-74-D4-35-##-##-## DNS-Server . . . . . . . . . . . : 2001:4860:4860::8888 2001:4860:4860::8844 192.168.1.1 NetBIOS über TCP/IP . . . . . . . : Aktiviert
Tunneladapter Teredo Tunneling Pseudo-Interface: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft Teredo Tunneling Adapter Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv6-Adresse. . . . . . . . . . . : 2001:0:9d38:6ab8:147e:1f47:3f57:fe37(Bevorzugt) Verbindungslokale IPv6-Adresse . : fe80::147e:1f47:3f57:fe37%15(Bevorzugt) Standardgateway . . . . . . . . . : DHCPv6-IAID . . . . . . . . . . . : 134217728 DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1D-4A-BE-37-74-D4-35-##-##-## NetBIOS über TCP/IP . . . . . . . : Deaktiviert
Tunneladapter isatap.heim.netz: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: heim.netz Beschreibung. . . . . . . . . . . : Microsoft ISATAP Adapter #2 Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja
C:\Users\Fabian>ping ipv6.google.com
Ping wird ausgeführt für ipv6.l.google.com [2a00:1450:400a:806::1003] mit 32 Byt
es Daten:
Zeitüberschreitung der Anforderung.
Ping-Statistik für 2a00:1450:400a:806::1003: Pakete: Gesendet = 1, Empfangen = 0, Verloren = 1 (100% Verlust),
STRG-C<e>

</e></CODE>

Unter Linux siehts so aus
<CODE><s>

</s>~ # ifconfig
bond0 Link encap:Ethernet Hardware Adresse 9c:b6:54:##:##:## inet Adresse:192.168.1.254 Bcast:192.168.1.255 Maske:255.255.255.0 inet6-Adresse: 2a02:8071:2482:a300:795b:959:9d05:c9a/64 Gültigkeitsbereich:Global inet6-Adresse: fe80::9eb6:54ff:fe04:4da4/64 Gültigkeitsbereich:Verbindung inet6-Adresse: 2a02:8071:2482:a300:9eb6:54ff:fe04:4da4/64 Gültigkeitsbereich:Global UP BROADCAST RUNNING MASTER MULTICAST MTU:1500 Metrik:1 RX packets:6526542 errors:0 dropped:743921 overruns:0 frame:0 TX packets:5838311 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:0 RX bytes:5955543733 (5.5 GiB) TX bytes:6762424591 (6.2 GiB)
eth0 Link encap:Ethernet Hardware Adresse 00:e0:4c:##:##:## UP BROADCAST RUNNING SLAVE MULTICAST MTU:1500 Metrik:1 RX packets:1186773 errors:0 dropped:743917 overruns:0 frame:0 TX packets:2199697 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:1000 RX bytes:902876804 (861.0 MiB) TX bytes:2891276992 (2.6 GiB) Interrupt:18
eth1 Link encap:Ethernet Hardware Adresse 9c:b6:54:##:##:## UP BROADCAST RUNNING SLAVE MULTICAST MTU:1500 Metrik:1 RX packets:5339769 errors:0 dropped:0 overruns:0 frame:0 TX packets:3638614 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:1000 RX bytes:5052666929 (4.7 GiB) TX bytes:3871147599 (3.6 GiB)
lo Link encap:Lokale Schleife inet Adresse:127.0.0.1 Maske:255.0.0.0 inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine UP LOOPBACK RUNNING MTU:65536 Metrik:1 RX packets:646039 errors:0 dropped:0 overruns:0 frame:0 TX packets:646039 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:0 RX bytes:254311380 (242.5 MiB) TX bytes:254311380 (242.5 MiB)
~ # ping6 ipv6.google.com
PING ipv6.google.com(zrh04s07-in-x03.1e100.net) 56 data bytes
<e>

</e></CODE>

Am Router (WDR4300) so:
<CODE><s>

</s>root@OpenWrt:~# ifconfig
br-lan Link encap:Ethernet HWaddr 64:66:B3:##:##:## inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fd0c:d958:6923::1/64 Scope:Global inet6 addr: fe80::6666:b3ff:fe47:5b9c/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1106034 errors:0 dropped:13516 overruns:0 frame:0 TX packets:1809510 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:459742826 (438.4 MiB) TX bytes:2181114276 (2.0 GiB)
br-wan Link encap:Ethernet HWaddr 64:66:B3:##:##:## inet addr:192.168.0.10 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::6666:b3ff:fe47:5b9c/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1812817 errors:0 dropped:0 overruns:0 frame:0 TX packets:1081724 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:2157857539 (2.0 GiB) TX bytes:470771454 (448.9 MiB)
eth0 Link encap:Ethernet HWaddr 64:66:B3:##:##:## inet6 addr: fe80::6666:b3ff:fe47:5b9c/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:2409863 errors:0 dropped:8 overruns:0 frame:0 TX packets:2182927 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:2301102992 (2.1 GiB) TX bytes:1914631189 (1.7 GiB) Interrupt:4
eth0.1 Link encap:Ethernet HWaddr 64:66:B3:##:##:## UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:596445 errors:0 dropped:21 overruns:0 frame:0 TX packets:1101109 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:99795964 (95.1 MiB) TX bytes:1435121496 (1.3 GiB)
eth0.2 Link encap:Ethernet HWaddr 64:66:B3:##:##:## UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1813356 errors:0 dropped:6 overruns:0 frame:0 TX packets:1081804 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:2157921413 (2.0 GiB) TX bytes:470776758 (448.9 MiB)
lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
wlan0 Link encap:Ethernet HWaddr 64:66:B3:##:##:## inet6 addr: fe80::6666:b3ff:fe47:5b9d/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:65017 errors:0 dropped:0 overruns:0 frame:0 TX packets:125518 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:10438793 (9.9 MiB) TX bytes:103719485 (98.9 MiB)
wlan0-1 Link encap:Ethernet HWaddr 66:66:B3:##:##:## inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0 inet6 addr: fe80::6466:b3ff:fe47:5b9d/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:9 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:1312 (1.2 KiB)
wlan1 Link encap:Ethernet HWaddr 64:66:B3:##:##:## inet6 addr: fe80::6666:b3ff:fe47:5b9e/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:474734 errors:0 dropped:0 overruns:0 frame:0 TX packets:664837 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:363523878 (346.6 MiB) TX bytes:670422209 (639.3 MiB)
root@OpenWrt:~# ping6 ipv6.google.com
PING ipv6.google.com (2a00:1450:400a:806::1003): 56 data bytes
ping6: sendto: Permission denied
<e>

</e></CODE>

Bin auf 15.05 stable mit dnsmasq-full</r>

 

[Fruchtzwerg]

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

<r><QUOTE author="fabi280"><s>

</s>
Wie hast du denn den Fehler gefixt, dass du mit der richtigen IPv6 dann auch nach draußen kommst.
<e>

</e></QUOTE>

Gar nicht. <E</E><br/>
<br/>
Wie ich schon sagte, bin ich jetzt wieder per IP4 im Netz. Und nach gründlicher Überlegung unter Berücksichtigung der Änderungen in meinem Telefonieverhalten während der letzten Jahre wird das auch erst mal so bleiben, denn dank Mobilfunk brauche ich keine 3 Festnetznummern und keine Telefon-Komfortfunktionen mehr. <br/>
<br/>
Sollte UM mich irgendwann zwangsweise auf IPv6 umtopfen, z.B. weil die Firmware der Horizon-Box entsprechend geändert wird, hoffe ich, daß bis dahin der Weg <B><s></s>vom<e></e></B> Internet <B><s></s>ins<e></e></B> Heimnetz über IP6v genau so einfach und ohne die Zuhilfenahme von Drittanbietern (Tunnel-Broker-Dienste) möglich sein wird, wie jetzt per IP4. Andernfalls muss dann meinen Vertrag bei UM umgehend kündigen.</r>