Fritzbox ipv6 - aus heimnetz nicht erreichbar

[Mickey Cohen]

Hallo,

ich möchte die weboberfläche meiner Fritzbox aus dem lokalen netz (!) über ipv6 ansurfen.

Warum klappt das nicht?

Ich gebe im browser ein:

http://[fe80::interface-id]:80
oder
https://[fe80::interface-id]:443

und es es erscheint im browser nur:

"Fehler: Verbindung unterbrochen
Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde."

Ping per cmd an [fe80::interface-id] klappt problemlos.

Über ipv4 ist die oberfläche auch erreichbar.

Besonders "witzig": sogar über den umweg über die öffentliche ipv6 komme ich auf die oberfläche:

https://[2XXX:...] obwohl das häkchen bei

"Internetzugriff
Internetzugriff auf die FRITZ!Box über HTTPS aktiviert"

nicht gesetzt ist.

oder ist das bei ipv6 so, dass der router bereits keine local link addresse mehr hat, sondern nur die adresse des "anderen" netzes, also in dem fall das wan? (im gegensatz zu ipv4, da hat der router ja eine addresse des lokalen netzbereichs UND des anderen netzbereichs?)
Unter
"Fritzbox Dienste
Übersicht der geöffneten Ports für den Zugriff aus dem Heimnetz" steht als eintrag u.a.:

"Port / Protokoll / Dienst
80 / TCP (IPv4/v6) / Zugriff auf die FRITZ!Box Oberfläche (HTTP)
443 / TCP (IPv4/v6) / Zugriff auf die FRITZ!Box Oberfläche (HTTPS)"

d.h. die frotzbox gibt die weboberfläche auch grdunsätzlich via ipv6 aus.

 

[CoMo]

Ist vielleicht nicht vorgesehen, auf die Box via Link-Local Adresse zuzugreifen. Probier es mal mit der ULA.

"Heimnetz" > "Netzwerk" > "Netzwerkeinstellungen" > "LAN-Einstellungen" > "weitere Einstellungen" > "IPv6-Einstellungen" > "Unique Local Addresses (ULA) immer zuweisen".

Ergänzung (6. Oktober 2023)

Habs hier gerade mal ausprobiert. Via Link Local (fe80) Adresse ist der Zugriff auf die GUI nicht möglich. Via ULA schon.

 

[Mickey Cohen]

wollte gerade im nachtrag schreiben:

ist es bei ipv6 vll. so, dass ein router garkeine lokale adresse mehr hat, sondern nur über die adresse des anderen netzes erreichbar ist, also in dem fall über das WAN? bei ipv4 hat ein router ja immer eine adresse des lokalen netzes UND des "anderen" netzes, oder?

aber das würde wenig sinn machen, denn was ist, wenn der router nicht an einem anderen netz oder an mehreren anderen netzen hängt? ich (als netzwerkgerät) muss doch IMMER mit einer lokalen adresse auf meinen router kommen, oder nicht? das mache ich doch am besten, indem ich eine adresse verwende, die NIE geroutet wird, also fe80...? deshalb verstehe ich nicht, wie das nicht vorgesehen sein kann...

habe gerade die ULA probiert, das klappt auch:
http://[fd00::interface-id]

 

[CoMo]

Eine ULA ist nur im lokalen Netzwerk routable und ist eigentlich auch der vorgesehene Weg, um im eigenen Netz per IPv6 auf Geräte zuzugreifen.

 

[Mickey Cohen]

ok, danke! dann erlaube mir noch die blöde frage, wofür LLAs dann verwendet werden? (bin gerade dabei mich in ipv6 reinzufuchsen)

 

[CoMo]

Link Local bedeutet auf demselben Link, also direkt verbunden. Da kann kein Router dazwischen sein. ULAs können im lokalen Netz Router überwinden.

https://www.elektronik-kompendium.de/sites/net/2107111.htm

 

[Mickey Cohen]

achso, also link local bedeutet (bildlich gesprochen) wirklich von gerät zu gerät? "gerät1" über "gerät2" zu "gerät3" geht mit link local also nicht, oder?

dann habe ich "link local" ursprünglich falsch verstanden, ich dachte das bedeutet einfach lokales netz (so wie 192.168... bei ipv4)

 

[chrigu]

Avm hat gute tutorials für ipv6…
vielleicht sollte auch wireguard benutzt werden, so dass du deine Fritz nicht für jeden Lappen geöffnet wird

 

[Mickey Cohen]

die soll für garkeinen geöffnet werden, der nicht im LAN hängt. brauche ich dafür wireguard?

 

[rezzler]

achso, also link local bedeutet (bildlich gesprochen) wirklich von gerät zu gerät? "

Nein, innerhalb eines Netzwerkes. Also alles, was im LAN deiner FritzBox hängt. Egal, ob man zwischen den Geräten über 4 Switche, 2 Access Points und ähnliches Gedöhns gehen muss.

die soll für garkeinen geöffnet werden, der nicht im LAN hängt. brauche ich dafür wireguard?

Nein.

 

[chrigu]

Ich dachte du willst von aussen zugreifen. Lokal natürlich nicht mit wireguard

 

[CoMo]

Bei mir lauscht die Fritzbox auf allen IPv6-Adressen auf Port 80:

root@fritzbox:/var/mod/root# netstat -tuln | grep :80
tcp        0      0 :::80                   :::*                    LISTEN

Also wird der Webserver vermutlich Verbindungen auf der Link-Local Adresse ablehnen und auf der ULA zulassen.

 

[riversource]

http://[fe80::interface-id]:80

Hast du bedacht, dass du beim Aufrufen einer link-lokalen Adresse ggf. eine Interface ID mit angeben musst, über die die Adresse erreichbar ist? Link-lokale Adressen können ja prinzipiell über mehrere Interfaces erreicht werden.

 

[Mickey Cohen]

@riversource

ich bin maximal verwirrt. die interface-id sind doch die letzten 4 blöcke der ip6-adresse. also was ich halt eingegeben habe ist sowas wie:
http://[fe80::1234:5678:abcd:ef01]:80

wobei 1234:5678:abcd:ef01 halt beispielhaft für die Interface-id der Fritzbox steht.

 

[rezzler]

ich bin maximal verwirrt. die interface-id sind doch die letzten 4 blöcke der ip6-adresse. also was ich halt eingegeben habe ist sowas wie:
http://[fe80::1234:5678:abcd:ef01]:80

Jetzt könnte dein Rechner aber mehrere Netzwerkkarten haben und die IP dementsprechend in mehreren Netzwerken vorhanden sein. Du musst ihm also noch die Info mitgeben, über welche Netzwerkkarte er diese IP erreichen soll.

So hab ich das zumindest beim spontanen Googeln verstanden

 

[CoMo]

Bei Link-Local Adressen ist soweit ich weiß das Interface selbst Teil der Adresse.

Also sowas wie fe80::abcd:1234:5678:9abc%eth0

Du gibst also in der Adresse selbst mit, über welche Netzwerkschnittstelle die Verbindung hergestellt werden soll.

Das macht deutlich, wie umständlich die Nutzung von Link-Local Adressen ist. Das ist ähnlich der APIPA Adressen bei IPv4.

Wenn du im lokalen Netzwerk IPv6 nutzen möchtest, verwende ULA's.

Es ist möglich, dass ich das nicht ganz korrekt wiedergegeben habe, aber ich bin in der Vergangenheit schon des öfteren in ähnliche Probleme mit Link-Local Adressen gerannt. ULA ist die Lösung.

Korrigiert mich gerne, falls das nicht komplett stimmt, was ich hier schreibe.

 

[riversource]

ich bin maximal verwirrt. die interface-id sind doch die letzten 4 blöcke der ip6-adresse.

Ja und Nein, wenn du mal in Windows schaust, dann sieht die Adresse für ein Defaultgateway z.B. so aus:

fe80::2e91:edff:ab72:2a1f%23

Das %23 am Ende ist die Interface ID in Windows. Die muss angegeben werden, damit Windows weiß, auf welchem Interface es diese Adresse zu suchen hat, da WLAN und eventuelle virtuelle Netzwerkkarten auch fe80 Adressen haben und folglich ebenfalls link-lokale Adressen routen können.