Unitymedia Zugriff auf FB von anderem UM Anschluss nicht möglich

[DrSocke]

Hallo

Ist irgendwie immer schwer die richtigen Schlagworte für eine Suchen zu finden.
Auf Anhieb hab ich auch jeden Fall nichts gefunden.

Es geht um den Remote Zugriff auf eine FB 6360 an einem UM Anschluss.
Das Ganze soll über IPv6 ablaufen, da die IPv4 ja extra kosten.

Eigentlich sieht auch alles gut aus. Die FB ist korrekt konfiguriert und von einem 3. Anschluss, der von der Telekom ist, komme ich auch ohne Probleme über IPv6 auf die FB und kann mich einloggen.

Das Problem taucht auf, wenn ich mich von meinem 2. UM Anschluss auf die FB einloggen will. Das klappt nämlich nicht. Zeitüberschreitung etc.
Mit dem Ping Befehl das gleiche Spiel. Vom 3. Telekom Anschluss kann ich beide UM Anschlüsse ohne Probleme anpingen und bekomme eine Antwort. Von UM zu UM klappt es aber nicht und ich bekomme eine Zeitüberschreitung.

Ist das allgemein ein Problem bei UM oder liegt es evtl. daran, dass an meinem 2. UM Anschluss keine FB die Verbindung bereit stellt sondern eine "Connect Box" von UM? Firewall und so weiter hatte ich alles schon mal deaktiviert.

Ich bin im Moment mit meinem Latein irgendwie am Ende.
Der Support von UM beharrt nur immer wieder aus Neue darauf, dass sie das Einrichten von VPNs nicht supporten. Da spielt es auch keine Rolle mehr, dass schon der Ping Befehl selbst nicht durchkommt.

Auf http://ipv6-test.com/ bekomme ich für beide UM Anschlüsse 17 Punkte. ICMP ist nur gefiltert und der Hostname nicht vergeben. Beim Telekom Anschluss sind es 18 Punkte. ICMP gefiltert, allerdings ist ein Hostname da vergeben.

Viele Grüße

 

[Andreas1969]

Lass mich raten, der 2te UM Anschluss mit der ConnectBox ist ein IPV4 Anschluß :zwinker:
Von da bekommst Du ohne weiteres keinen Zugriff auf die 6360 DSLITE Box.
Vom Telekom Anschluss aus geht das natürlich, da der echtes Dual Stack hat, desshalb kannst Du von da aus auch auf beide UM Anschlüsse zugreifen.

 

[addicted]

Das dachte ich auch erst, Andreas, aber:

Auf http://ipv6-test.com/ bekomme ich für beide UM Anschlüsse 17 Punkte. ICMP ist nur gefiltert und der Hostname nicht vergeben. Beim Telekom Anschluss sind es 18 Punkte. ICMP gefiltert, allerdings ist ein Hostname da vergeben.

Mit v4-only gibt's da keine 17 Punkte.

Du musst uns aber trotzdem ein paar mehr Infos geben.
Welchen Port nutzt Du? Kannst Du uns die ersten 4 Segmente der IP-Adressen mitteilen?
Gibst Du im Browser den Hostnamen oder die IP-Adresse in der Adresszeile des Browsers ein?

 

[tq1199]

Das Problem taucht auf, wenn ich mich von meinem 2. UM Anschluss auf die FB einloggen will. Das klappt nämlich nicht.

Kannst Du von deinem 2. UM Anschluss, den TCP-Port 8089 der FritzBox per IPv6 scannen/erreichen? Z. B. so:

<i>
</i>:~ $ nc6 -zv -6 2a02:8###:8800:0:5xxx:b046:8caf:4e8b 8089
nc6: 2a02:8###:8800:0:5xxx:b046:8caf:4e8b (2a02:8###:8800:0:5xxx:b046:8caf:4e8b) 8089 [8089] open

(oder gleichwertig).

 

[hajodele]

Ich habe das gerade mal auf eine 6340 (DS) und eine 6360 (IPv4) probiert.
Bei beiden kommt ein Autentifizierungsfehler, egal ob ich es über IPv4 oder IPv6 probiere.
Auch über MyFritz klappt es nicht mehr, obwohl die Geräte in meiner Geräteübersicht auftauchen.

Solange mein VPN über IPv4 funktioniert, stört mich das nicht weiter.

 

[Andreas1969]

Bei beiden kommt ein Autentifizierungsfehler, egal ob ich es über IPv4 oder IPv6 probiere.
Auch über MyFritz klappt es nicht mehr, obwohl die Geräte in meiner Geräteübersicht auftauchen.

Bei mir geht das einwandfrei :kratz:

 

[DrSocke]

Also die ersten 4 Segmente wären beim einen Anschluss.

2a02:8070:b100::

Und beim anderen Anschluss

2a02:8070:b186:6e00



Die FB habe ich versucht direkt mit der IP zu erreichen

https://[2a02:8070:b100::...:...:...:...]:40630

Ist also ein zufälliger Port den die FB sich da genommen hat.


Den Port 8089 werde ich mal testen und mich dann nochmal melden.

Danke schon mal für die Antworten

 

[DrSocke]

Ok hier die Ergebnisse vom Portscan für 8089.

Da nur Windows verfügbar ist habe ich mit nmap gescannt.

nmap -6 -p 8089 -T4 -A -v 2a02:8070:b100::...:...:...:...


Am Telekom Anschluss kam
8089/tcp open unknown

Am zweiten UM Anschluss kam
Host seems down. If it is really up, but blocking our ping probes, try -Pn

Also den gleichen Befehl nochmal mit -Pn probiert. Dann kam
8089/tcp filtered unknown

 

[Andreas1969]

Die FB habe ich versucht direkt mit der IP zu erreichen

https://[2a02:8070:b100::...:...:...:...]:40630

Hast Du es schon mal mit dem Standard Port 443 probiert :kratz:

Also mit "https://[2a02:8070:b100::...:...:...:...]" ohne Angabe der Portnummer?
Musst aber vorher den Port in der FB für den https:// Zugriff auf 443 setzen.

 

[hajodele]

Nur um sicher zu gehen: Dein Client (PC) hat eine öffentliche IPv6?

 

[Andreas1969]

Nur um sicher zu gehen: Dein Client (PC) hat eine öffentliche IPv6?

Das wird er doch sicherlich als erstes gescheckt haben :zwinker:

 

[tq1199]

Am zweiten UM Anschluss kam
Host seems down.

Wenn Du am 2. UM-Anschluss nicht den identischen ipv6-fähigen Client verwendet hast wie am Telekom-Anschluss, dann teste mal vom 2. UM-Anschluss folgenden ipv6-scan:

<i>
</i>:~ $ nc6 -zv -6 2001:780:0:25:dead:beef:cafe:1 443
nc6: ha.ubuntu-eu.org (2001:780:0:25:dead:beef:cafe:1) 443 [https] open

d. h. IPv6-Adresse 2001:780:0:25:dead:beef:cafe:1 und den Port 443.

 

[DrSocke]

Naja ich nehme schon an dass ich ne öffentliche IPv6 habe. Immerhin kann ich mich ja dann quasi unter dieser IP anpingen vom Telekom Anschluss aus.

Dieses "Feature" mit der zufälligen, temporären IPv6 unter Windows habe ich aber noch nicht deaktiviert. Ist ja kein Server. Der Computer soll ja eigentlich nur auf die FB zugreifen können.

FB habe ich jetzt mal auf Port 443 gestellt. Von der Telekom aus klappt es weiterhin ohne Probleme.

Heute Abend werde ich vom 2. UM Anschluss den Portscan nochmal wiederholen, auch für das tote:Rindsfleisch:Cafe.
Vom Telekom Anschluss klappt dieser Scan auch. Da kommt dann folgende Meldung.

PORT STATE SERVICE VERSION
443/tcp open ssl/https?

Ansonsten geht's wie gesagt heute Abend weiter.

 

[DrSocke]

Also dead:beef:cafe:1 funktioniert scheinbar auch vom 2. UM Anschluss. Zumindest wird der Port als open gefunden.

PORT STATE SERVICE VERSION
443/tcp open ssl/https?


Allerdings ist die FB am 1. UM Anschluss weiterhin nicht erreichbar, trotz Port 443.

 

[tq1199]

Allerdings ist die FB am 1. UM Anschluss weiterhin nicht erreichbar, trotz Port 443.

Auch mit einem Portscan (so wie bei dead:beef:cafe:1) nicht?

 

[DrSocke]

Nein, auch der Portscan verläuft so wie vorher.
"Host seems down"


Allerdings hier noch folgendes. Da ich mich mit IPv6 noch nicht so wirklich auskenne, hab ich mal versucht herauszufinden ob meine Adresse wirklich "public" ist.

Dabei ist bin ich jetzt so weit gekommen. (Immer jeweils die ersten 4 Segmente nur)

1. UM Anschluss (FB) Da hab ich leider grad keinen Computer dahinter online.
2a02:8070:b100:: (WAN IP von der FB)

2. UM Anschluss
2a02:8070:b100:0: (Wird in der Connect Box, unter admin->info, als WAN IP angegeben...) Bis auf die weiteren 4 Segmente gleich wie die FB am 1. Anschluss... (evtl. ein Konflikt???)

Allerdings unterscheiden sich bei den Computern hinter der Connect Box die Segmente etwas.
ipconfig:
IPv6-Adresse. . . . . . . . . . . : 2a02:8070:b186:6e00:
IPv6-Adresse. . . . . . . . . . . : 2a02:8070:b186:6e00:
Temporäre IPv6-Adresse. . . : 2a02:8070:b186:6e00:
Auch die beiden Seiten ipv6-test.com und test-ipv6.com liefern jeweils
2a02:8070:b186:6e00:

Am Telekom Anschluss ist es so ähnlich. Die FB zeigt
2003:d2:ebbf:1069: als WAN IP
Die Computer dahinter bekommen
2003:d2:ebd0:9c00:
auch die beiden Testseiten liefern hier:
2003:d2:ebd0:9c00:


Es gibt in der Connect Box noch eine Einstellung, ob die IPv6 Adresse "stateless" oder "stateful" sein soll. So wie ich das verstanden habe betrifft das aber eher die Erreichbarkeit von Servern hinter der Connect Box.

 

[tq1199]

..., hab ich mal versucht herauszufinden ob meine Adresse wirklich "public" ist.

Die Adresse ist "public", denn sonst hättest Du mit dieser IPv6-Adresse, den TCP-Port 8089 von deinem Telekom-Anschluss aus, per IPv6 ja nicht erreichen können.

Wenn Du keinen Konfigurationsfehler hast, scheint das ein "internes" UM-IPv6-Problem zu sein.

 

[addicted]

Dass die Adressen der Router und die der dahinterliegenden Geräte unterschiedliche Präfixe haben (so nennt man das), ist normal. Bei IPv6 gibt es wieder Netze und Netzbereiche für Endkunden.

Ansonsten finde ich das wirklich sehr merkwürdig. Suggeriert ja bald, dass da evtl. UM den Zugriff auf IPs aus dem gleichen Netz sperrt. Ich würde als nächstes Versuchen, ob Du auf ein Gerät hinter der Fritzbox verbinden kannst (falls das nicht schon einer der obigen Tests tut, ich konnte nicht komplett folgen). Musst Du gucken, dass die Firewall das entsprechend durchlässt.
Grundsätzlich sollte es von allen Anschlüssen gehen, UM oder nicht-UM.

Nicht, dass da bei UM im Netz oder den Geräten irgendwas im Routing falsch konfiguriert ist...
Hast du schon traceroute6 ausprobiert für alle Kombinationen von Adressen (Hin- und Rückweg)?
Das tolle bei IPv6 ist, dass es immer Ende-zu-Ende-Konnektivität geben kann

 

[DrSocke]

Hmm gut, dann schon mal Danke für die Antworten.

Konfigurationsfehler an der Connect Box kann ich natürlich nicht ausschließen. Da hab ich aber eigentlich nichts verstellt und es gibt auch sehr wenig Einstellmöglichkeiten.
Könnte höchstens in die Firewall Regeln einfügen, aber es hat ja auch mit ausgeschalteter Firewall nicht geklappt.

traceroute von Telekom -> 1. UM Anschluss hat 8 hops zurückgegeben (nur zu FB, kein PC dahinter)
1 4.00 ms ....dip0.t-ipconnect.de (2003:d2:ebd0:9c00:...)
2 11.00 ms ....dip0.t-ipconnect.de (2003:d2:ebbf:1069::1)
3 15.00 ms 2003:0:1308:c000::1
4 16.00 ms 2003:0:1308:c01e::2
5 26.00 ms 2001:730:2d00::5474:8066
6 26.00 ms 2a02:8071:80ff:632::2
7 34.00 ms 2a02:8070:b0ff:32a9::2
8 29.00 ms 2a02:8070:b100:0:...

traceroute von Telekom -> 2. UM Anschluss hat 9 hops zurückgegeben, wobei der eine hop mehr wohl dann von der Connect Box zum PC ist.
1 5.00 ms ....dip0.t-ipconnect.de (2003:d2:ebd0:9c00:...)
2 11.00 ms ....dip0.t-ipconnect.de (2003:d2:ebbf:1069::1)
3 17.00 ms 2003:0:1308:c000::1
4 17.00 ms 2003:0:1308:c01e::2
5 25.00 ms 2001:730:2d00::5474:8066
6 23.00 ms 2a02:8071:80ff:632::2
7 35.00 ms 2a02:8070:b0ff:32a9::2
8 35.00 ms 2a02:8070:b100:0:...
9 45.00 ms 2a02:8070:b186:...

traceroute vom 2. UM Anschluss -> Telekom (9 hops)
1 3 ms 2 ms 5 ms 2a02:8070:b186:6e00:...
2 47 ms 23 ms 26 ms 2a02:8070:b100::1
3 14 ms 14 ms 12 ms 2a02:8070:b0ff:32a9::1
4 17 ms 34 ms 23 ms 2001:730:2d00::5474:807d
5 18 ms 19 ms 18 ms 2001:730:2d00::5474:8066
6 17 ms 17 ms 17 ms 2001:730:2d00::5474:8042
7 21 ms 21 ms 92 ms 2003:0:1308:c01e::1
8 26 ms 24 ms 39 ms 2003:0:8a01:a800::1
9 36 ms 35 ms 51 ms ....dip0.t-ipconnect.de [

traceroute vom 2. UM -> 1. UM (Abbruch)
1 3 ms 2 ms 2 ms 2a02:8070:b186:6e00:...
2 * Zielhost nicht erreichbar.


Mehr kann ich im Moment nicht testen, da ich keinen Computer hinter der FB am 1. Anschluss habe der online ist.
DNS Server sollten ja auch nicht das Problem sein. Sind ja keine URLs im Spiel.

Werde traceroute mal noch in die andere Richtung testen sobald es möglich ist.

 

[addicted]

traceroute vom 2. UM -> 1. UM (Abbruch)
1 3 ms 2 ms 2 ms 2a02:8070:b186:6e00:...
2 * Zielhost nicht erreichbar.

Interesting. Das nochmal in Rückrichtung (1->2), bitte.

Hast Du bei der Fritzbox am UM-Anschluss Einsicht in die Routingtabelle (z.B. über das Erstellen einer Support-Datei)?

 

[DrSocke]

Ich Rückrichtung kann ich im Moment kein traceroute machen, da ich keinen PC da habe der online ist und erreichbar.

Die Support Daten kann ich erstellen. Weiß aber nicht wo da die routing Tabelle genau ist. Ist es evtl dieser Abschnitt?

IPv6 Rules
--------------
0:	from all lookup local
16383:	from all fwmark 0x1 lookup 128
16383:	from all fwmark 0x2 lookup 129
32766:	from all lookup main
IPv6 Default routing table
--------------
unreachable default dev lo metric -1 error -101
unreachable default dev lo metric -1 error -101
2a02:8070:b100::/64 dev dsl metric 256 expires 0sec
2a02:8070:b18d:bc00::/64 dev lan metric 128
2a02:8070:b18d:bc00::/64 dev lan metric 256 expires 0sec
2a02:8070:b18d:bc01::/64 dev guest metric 128
2a02:8070:b18d:bc01::/64 dev guest metric 256 expires 0sec
unreachable 2a02:8070:b18d:bc00::/56 dev lo metric 256 error -101
fd00::/64 dev lan metric 256
fd00:0:0:1::/64 dev guest metric 256
fe80::/64 dev lan metric 256
fe80::/64 dev guest metric 256
fe80::/64 dev dsl metric 256
default dev dsl metric 128
unreachable default dev lo metric -1 error -101
ff00::/8 dev lan metric 256
ff00::/8 dev guest metric 256
ff00::/8 dev dsl metric 256
unreachable default dev lo metric -1 error -101
IPv6 Docsis routing table
--------------
CM certificate: new/new
MFG certificate: new/new
end of DOCSIS SUPPORT

 

[addicted]

Jap, der ist's.
Es gibt für das Netz 2a02:8070:b100::/64 eine Route direkt auf dem Interface "dsl".
Wenn ich mich recht erinnere, hattest du beide IP-Adressen der beiden UM-Anschlüsse aus diesem identischen Netz.

Meine Vermutung: Beide Geräte liegen im gleichen IP-Netz, sind aber nicht direkt via Broadcast/Multicast in dem selben L2-Netz erreichbar (das was früher die Broadcastdomäne war). Dann kann zwischen diesen beiden Anschlüssen keine Verbindung zustande kommen, ohne dass sie über ein Gateway gehen oder ein NDP-Proxy die L2-Netze verbindet.
Lösen könnte man das evtl., wenn man die LAN-IP der Fritzbox nimmt, die aus dem zugeteilten Präfix stammt, den die unterscheiden sich für jeden Anschluss. Ich weiß aber nicht, ob die FB das nicht per Firewall oder so unterbindet.

Mit Geräten hinter den Routern sollte es dann aber klappen, hin und her zu kommen.

 

[DrSocke]

Ja gut, die Idee hatte ich auch schon.
Allerdings müsste da dann halt immer ein PC stehen der mehr oder weniger im Standby läuft, so dass er eben wieder aufwacht, wenn man ihn braucht.

Es geht nämlich jetzt im ersten Schritt erstmal darum die Rufumleitungen in der FB auch vom 2. UM Anschluss ändern zu können. So, dass man eben nicht immer vor Ort sein, oder sich eben um einen dritten Anschluss bemühen muss.

Später kommen dann so Sachen wie evtl. ein Server dazu, dann wäre es hoffentlich wohl kein Problem mehr.

Danke für die Hilfe

 

[Andreas1969]

Es geht nämlich jetzt im ersten Schritt erstmal darum die Rufumleitungen in der FB auch vom 2. UM Anschluss ändern zu können. So, dass man eben nicht immer vor Ort sein, oder sich eben um einen dritten Anschluss bemühen muss.

Alternativ kannst Du es im 1. Schritt auch erstmal vom Smartphone aus erledigen, geht allerdings nur vom D1 Netz aus. Zum Jahresende soll es angeblich auch vom D2 Netz aus möglich sein.

 

[DrSocke]

Also mit der LAN IPv6 der FB funktioniert es nun. Kommt durch die Firewall durch.

Auch gut wenn es so klappt. Wenn sich die IP mal ändern sollte gibt es dafür halt kein Update an myfritz, aber das ist jetzt erstmal das kleinere Problem. So oft ändern sich die IPv6 Adressen ja nicht mehr.

Guter Tip