Unitymedia Fritzbox 6490 und IPv6 Freigaben... Teilweise gehts, teilweise nicht

[Dissi]

Aloha zusammen,

vielleicht weiß hier jemand rat. Ich habe eine Fritzbox mit einem DSLite Anschluss, ergo nur brauchbar IPv6. Früher, vor dem Unity Anschluss hatte ich eigentlich mit IPv6 ein VPN Tunnel um in mein Netzwerk zu kommen.
Da das ja nicht mehr ohne weiteres geht hab ich inzwischen alles umgestellt auf IPv6 Freigaben.
Bisher lief alles ganz gut. Von extern erreichbar brauche ich einen RDP Zugriff auf einen Rechner, FTP auf meinen Server und Zugriff auf mein Synology NAS. Das Nas geht super per integrierterten Quickconnect Feature, für FTP und RDP hab ich mir einen Portmapper IPv4/IPv6 eingerichtet um auch von Nicht-IPv6 anschlüsssen Zugreifen zu können.
Soweit so gut, bis hier geht alles.
Nun habe ich auf dem Synology NAS eine virtuelle Maschine eingerichtet die als RDP System dienen, damit nicht ständig der Rechner laufen muss. Maschine läuft, hat auch v4 und v6 Adressen bekommen. Intern funktioniert alles soweit. Auf die v4 und v6 Adressen kann ich problemlos zugreifen, ABER scheinbar wird die v6 Freigabe in der Fritzbox nicht gescheit umgesetzt. Ich kann von extern einfach nicht per RDP auf das System, es kommt instant die Fehlermeldung "interner Fehler".
Ich hab schon per tcpdump auf dem NAS geschaut, da kommt gar kein Traffic an von extern. Die IPv6 Freigabe hab ich schon mehrfach gelöscht und neu angelegt, zwischendurch mit Fritzbox neustart und allem drum dran ohne Besserung :/

Komischer weise gehen die v6 Freigaben für FTP und RDP auf dem Physikalsichen Rechner absolut sauber.

Hat vielleicht jemand noch eine Idee?

Danke & Gruß,
Dissi

 

[tq1199]

Ich habe eine Fritzbox mit einem DSLite Anschluss, ...

Nun habe ich auf dem Synology NAS eine virtuelle Maschine eingerichtet ...

Komischer weise gehen die v6 Freigaben für FTP und RDP auf dem Physikalsichen Rechner absolut sauber.

Hat vielleicht jemand noch eine Idee?

BTW: Bei meiner FritzBox funktioniert die IPv6-Freigabe nur dann, wenn ich für die globale IPv6-Adresse (... mit der freigegebenen Interface-ID), in der FritzBox einen AAAA-record hinzufüge (registriere).

 

[Dissi]

BTW: Bei meiner FritzBox funktioniert die IPv6-Freigabe nur dann, wenn ich für die globale IPv6-Adresse (... mit der freigegebenen Interface-ID), in der FritzBox einen AAAA-record hinzufüge (registriere).

Des ist klar Interne Adressen (fe80 etc) werden ja schließlich nicht geroutet.
Aber die VM hat genauso wie alle anderen Rechner sowohl fe80 als auch 2a02 Adressen.

Gruß,
Dissi

 

[tq1199]

Des ist klar Interne Adressen (fe80 etc) werden ja schließlich nicht geroutet.
Aber die VM hat genauso wie alle anderen Rechner sowohl fe80 als auch 2a02 Adressen.

Nein, klar ist das nicht, ... denn ich habe ja "global" geschrieben und damit meine ich ja eine "2a02"-Adresse und nicht eine interne fe80-Adresse.

EDIT:

Siehe z. B. auch diesen Thread: https://www.unitymediaforum.de/viewtopic.php?f=53&t=34029&start=25#p356774

 

[Dissi]

Nein, klar ist das nicht, ... denn ich habe ja "global" geschrieben und damit meine ich ja eine "2a02"-Adresse und nicht eine interne fe80-Adresse.

EDIT:

Siehe z. B. auch diesen Thread: https://www.unitymediaforum.de/viewtopic.php?f=53&t=34029&start=25#p356774

Ja, und jetzt? Hab doch geschrieben das alle Systeme sowohl als auch haben?
Bei der IPv6 Freigabe kann man eh nur die letzten 4 Felder angeben, die Fritzbox muss da schon selber auf die Kette bekommen die richtige Adresse zu nehmen.

 

[tq1199]

..., die Fritzbox muss da schon selber auf die Kette bekommen die richtige Adresse zu nehmen.

"muss" ist gut. Wie Du auch schon festgestellt hast, macht die FritzBox das aber nicht immer so.

 

[Dissi]

"muss" ist gut. Wie Du auch schon festgestellt hast, macht die FritzBox das aber nicht immer so.

Hast du den konkrete Lösungsansätze? Fritzbox routen und selber anlegen ist bei Unity keine gute Idee.

 

[tq1199]

Fritzbox routen und selber anlegen ...

Was genau meinst Du mit "Fritzbox routen und selber anlegen ..."? Denn bei einer IPv6-Freigabe, steht das "freigegebene" Gerät ja direkt im Internet (... als "border device").

 

[Dissi]

Was genau meinst Du mit "Fritzbox routen und selber anlegen ..."? Denn bei einer IPv6-Freigabe, steht das "freigegebene" Gerät ja direkt im Internet (... als "border device").

Das will ich ja auch erreichen, sonst macht die ganze Freigabe keinen Sinn :glück:
Das einzige was mir aktuell noch ein einfallen würde, wäre die Box mit einem gescheiten Nicht-Unitymedia Rom zu bespielen und auf der Console selber zu schauen. da ist Unity aber nicht scharf drauf und mahnt sowas an.
Also noch einmal die Frage, hast du konkrete Lösungsvorschläge?

 

[addicted]

Mach mal von aussen ein traceroute oder ping auf die IPv6 der VM, die Fritzboxen sind auf v6 eigentlich recht auskunftsfreudig mit ihren ICMP Antworten.

 

[nk57xx]

Also ich habe seit kurzem das Problem, dass ich meine FritzBox von außen nicht mehr erreiche.

Anschluss ist DS-Lite, FritzBox 6490 6.50. Die Freigabe zur externen Erreichbarkeit ist gegen (Port 43547). Rufe ich allerdings von einem anderen Unitymedia-Anschluss (ebenfalls DS-LIte) meine https://xxx.myfritz.net:43547 auf, bekomme ich vom Browser nur die Rückmeldung, de Webseite sei nicht erreichbar. Ich habe testweise bei feste-ip.net einen Portmapper eingerichtet (xxx.myfritz.net und eben Port 43547) und wenn ich nun die xxx.feste-ip.netort aufrufe, komme ich auch auf die FritzBox. Mein Laptop hat auch eine eigene IPv6, von daher verstehe ich nicht, was genau das Problem ist. Es sind doch beide Anschlüsse DS-Lite, myfritz unterstützt auch IPv6, die Freigaben anderer Geräte an der FritzBox funktionieren auch (habe ein NAS dran hängen, welches über Port 8081 erreichbar ist, das klappt auch von dem anderen Unitymedia Anschluss mit dem Zugriff über den gleichen Laptop, also http://xxx.myfritz.net:8081).
Schon kurios weshalb ich die FritzBox selber nicht erreiche, aber Geräte dahinter.

 

[Andreas1969]

Gib mal anstelle von https://xxx.myfritz.net:43547 die direkte IPV6 Adresse der Fritzbox ein, dann sollte es gehen.

 

[hajodele]

Welchen Browser benutzt du?
Kommt irgendeine Fehlermeldung?
hast du es schon mal direkt mit der IPv6-Adresse getestet?

Hintergrund: Es könnte einfach ein Zertifikatsfehler sein.

 

[Andreas1969]

Welchen Browser benutzt du?

Den aktuellen IE Explorer von Win10

hast du es schon mal direkt mit der IPv6-Adresse getestet?

Ja, das geht.
Habe das Problem, wie Du es schilderst, auch (FB 6490 mit 6.50)
Bei meiner anderen FB 6360 (6.52) besteht dieses Problem allerdings nicht. Da kommen ich mit https://xxx.myfritz.net:43547 auf die Oberfläche.

Sehr komisch.

 

[nk57xx]

Hallo,

ich habe ein MacBook und bereits Safari, Firefox und Chrome ausprobiert, alles ohne Erfolg. Die Fehlermeldung im Chrome lautet:
"Diese Website ist nicht erreichbar
https://xxx.myfritz.net:43547/ ist nicht erreichbar.
Versuchen Sie, die Netzwerkdiagnose auszuführen.
ERR_ADDRESS_UNREACHABLE"

Ich habe einen Mobilfunkvertrag von der Telekom und da dies der einzige Anbieter ist, der wohl bei der Internetverbindung IPv6 anbietet, habe ich testweise über das Smartphone die Adresse aufgerufen, und da funktioniert es komischerweise. Auch wenn ich mein Smartphone als Hotspot nutze und mich mit meinem MacBook verbinde, klappt der Aufruf der Seite und ich lande auf der Box.
Interessanterweise klappt es grundlegend nicht, wenn ich mich von dem anderen UM DS-Lite Anschluss über die IPv6 der Box direkt oder per myfritz.net Adresse verbinden möchte. Die Verbindung kommt einfach nicht zustande. Der UM Anschluss verwendet die Connectbox, hat es evtl. damit etwas zu tun? Muss hier noch etwas freigegeben werden? Vorher war das TC 7200 Modem im Einsatz, da hat alles einwandfrei funktioniert.

Also nochmal zusammenfassend:

Anschluss 1: UM, DS-Lite, FritzBox 6490, Freigaben eingerichtet

Anschluss 2: UM, DS-Lite, Connectbox

Vom Anschluss 2 auf Anschluss 1 klappt nur die Verbindung an die Geräte der FritzBox (bspw. NAS), eine Verbindung zur FritzBox selbst nicht. Dies ist nur über den Portmapper von feste-ip.net möglich.

 

[tq1199]

Interessanterweise klappt es grundlegend nicht, wenn ich mich von dem anderen UM DS-Lite Anschluss über die IPv6 der Box direkt oder per myfritz.net Adresse verbinden möchte. Die Verbindung kommt einfach nicht zustande. ...

Also nochmal zusammenfassend:

Anschluss 1: UM, DS-Lite, FritzBox 6490, Freigaben eingerichtet

Anschluss 2: UM, DS-Lite, Connectbox

Kannst Du evtl. vom Anschluss 2, _per ipv6_ den lauschenden Port der FB6490 am Anschluss 1, scannen?

 

[nk57xx]

Interessanterweise klappt es grundlegend nicht, wenn ich mich von dem anderen UM DS-Lite Anschluss über die IPv6 der Box direkt oder per myfritz.net Adresse verbinden möchte. Die Verbindung kommt einfach nicht zustande. ...

Also nochmal zusammenfassend:

Anschluss 1: UM, DS-Lite, FritzBox 6490, Freigaben eingerichtet

Anschluss 2: UM, DS-Lite, Connectbox

Kannst Du evtl. vom Anschluss 2, _per ipv6_ den lauschenden Port der FB6490 am Anschluss 1, scannen?

Wie mache ich das?

 

[tq1199]

Wie mache ich das?

Naja, wie das mit dem Mac geht weiß ich nicht, aber mit Linux würde ich das z. B. so machen:

<i>
</i>nc6 -zv -6 <globale IPv6-Adresse FB> <lauschender-Port-FB>

und dann würde ich vor dem scan, auf dem Linux-PC noch:

<i>
</i>sudo tcpdump -vvveni <Interface> ip6 and port <lauschender-Port-FB>

starten.

 

[nk57xx]

Unter MacOS gibt es das netzwerkdienstprogramm, das erleichtert einem das Ganze etwas.

Nichts desto trotz kann die IPv6 schon überhaupt nicht aufgelöst werden, daher schlägt ein Portscan generell fehl. Bin da gerade etwas ratlos. Werde mal meinen alten Windows-Rechner ausgraben, evtl liegt es ja am Mac

 

[tq1199]

Nichts desto trotz kann die IPv6 schon überhaupt nicht aufgelöst werden, ...

Was genau meinst Du mit "kann die IPv6 schon überhaupt nicht aufgelöst werden"?

 

[nk57xx]

Ein ping bzw. ping6 führt zu nichts.

<i>
</i>MacBook-Pro:~user$ ping6 xxxx:xxx:xxx:x:xxxx:xxxx:xxxx:xxxx
PING6(56=40+8+8 bytes) xxxx:xxx:xxx:xxxx:xxxx:xxxx:xxxx:xxxx --> xxxx:xxx:xxx:x:xxxx:xxxx:xxxx:xxxx
^C
--- xxxx:xxx:xxx:x:xxxx:xxxx:xxxx:xxxx ping6 statistics ---
5 packets transmitted, 0 packets received, 100.0% packet loss

Die Ausgabe des Portscans sieht folgendermaßen aus:

<i>
</i>„Portscan“ wurde gestartet …
Cannot find host: xxxx:xxx:xxx:x:xxxx:xxxx:xxxx:xxxx
„Portscan“ wurde beendet …

 

[tq1199]

Ein ping bzw. ping6 führt zu nichts.

Bist Du sicher, dass Du die richtige globale IPv6-Adresse der FB hast? Heißt das, dass der ping per IPv4 auch nicht geht, weil Du auch ping schreibst?

BTW: Du hast die Frage nicht beantwortet.

 

[nk57xx]

Was genau meinst Du mit "kann die IPv6 schon überhaupt nicht aufgelöst werden"?

-> Ich habe mich damit etwas missverständlich ausgedrückt. Ich meine eher, dass ein Ping oder Portscan auf die IPv6 Adresse (die ich aus dem Online-Monitor der FritzBox selbst habe bzw. in der Mail steht, die ich per Push bekomme, sobald die Internetverbindung neu hergestellt wird) generell keine Antwort liefert, als ob die IPv6 Adresse komplett falsch sei wie du schon anmerkst.
Die Tatsache, dass ich die myfritz.net Adresse (alternativ auch IPv6 Adresse) der FritzBox allerdings bei feste-ip.net mit dazugehörigem Port eingetragen habe und das Ganze funktioniert, spricht allerdings dagegen.
Siehe: https://www.dropbox.com/s/krl7ppgxdc5bi8a/Bildschirmfoto%202017-06-04%20um%2019.30.25.png?dl=0

Der ping per IPv4 geht auch nicht, korrekt.

 

[addicted]

Sorry, dass ich das sagen muss, aber mit Deinem ganzen Weg-X-en von IP Adressen macht es die Diagnose nicht grade leichter. Weil Du ein paar Mal Begrifflichkeiten verwechselt hast, entsteht bei mir auch der Eindruck, dass Du vielleicht nicht weißt wovon Du redest.

Wenn Du uns nicht die echten Adressen preisgeben willst, damit wir selbst mal debuggen können, solltest Du vielleicht ein paar Sachen beherzigen:
- Verwende ausschließlich ping6 und traceroute6 zur Diagnose
- Poste die auftretenden Fehlermeldungen, keine Interpretationen
- Lass wenigstens die Netzwerkpräfixe unverändert.

Beginne mit Deiner Diagnose ganz vorne, d.h. sieh Dir alle IPv6-Adressen aller beteiligten Systeme an (auch bei den Clients an UM-Anschluss 2), versuche von überall aus mittels ping und traceroute ein wohldefiniertes Ziel zu erreichen (z.B. unitymediaforum.de). Wenn es dabei schon keine saubere v6 Konnektivität gibt, ist klar dass es auch zwischen den Hosts nicht klappt.

 

[hajodele]

und du hast hoffentlich nicht die Fritzbox im Stealthmode laufen?
(Internet - Filter <TAB>Listen)