Fritz Box / DS Lite / Portfreigabe für IPv6

[Autokiller677]

Hallo Zusammen,

ich habe einen Anschluss mit DS Lite und dahinter einen Owncloud Server, den ich gerne von außen erreichbar machen würde. Soweit, so simpel.

Also wie bisher bei IPv4 eine Portfreigabe in der FritzBox eingerichtet, diesmal für IPv6
und - es geht nichts. Die FritzBox ist von außerhalb über v6 erreichbar, ping auf die v6 Adresse des Servers (sudo ifconfig) ergibt jedoch nur ein "Destination unreachable: Administratively prohibited".

Anbei noch einige Screenshots der Settings.

Was mir persönlich aufgefallen ist: Die v6 IP, die der Server unter ifconfig ausgibt (:9e94), ist nicht die gleiche, die die FritzBox in der Portfreigabe als "IPv6 Adresse im Internet" (:f5d0) aufführt. Unter "Heimnetzwerkgeräte" taucht die IP des Servers (:9e94) auf (und noch eine andere, :ba63)), jedoch die angebliche IP aus dem Internet (:f5d0) nicht.

Die :f5d0 IP ist auch die, die mit der IPv6 Interface ID (lt. FritzBox) gebildet wurde. Die :9e94 IP hingegen ethält am Ende die MAC.

Ping Results sind:
:9e94 und :ba63 Destination unreachable: Administratively prohibited
:fd50 Destination unreachable: Address unreachable

In der FritzBox ist DHCP für v6 aktiviert, mit weitergabe des Subnetzes etc.

Wie bekomme ich es hin, dass die FritzBox da die IPs passend vergibt / richtig routet?

Vielen Dank schonmal!

 

[Necareor]

Hier Stand Müll, bei IPv6 sieht die Sache wohl anders aus.

Wieder was gelernt...

 

[HominiLupus]

Bei IPv6 gibt es keine Portfreigabe weil es kein NAT gibt.

 

[updater14]

Kommst du von extern via iP v6 rein?
DS Lite war schon immer problematisch bzgl. Veröffentlichung, da man ja nicht allein eine Leitung/Adresse hat, sondern mehrere Tunnel in einem iP v6 Bereich laufen.
Deine FritzBox hängt hinter dem Modem von Unitymedia/Vodafone?

 

[Nilson]

Bei IPv6 funktioniert das etwas anderes. Statt einer einzelnen IP bekommt jeder Router normal gleich einen ganzen IP-Bereich, der durch einen Prefix definiert wird. Jeder Rechner im Netzwerk bekommt dann von Router über DHCP eine IPv6 die mit dem Prefix anfängt. Was du nun nur noch machen musst, ist diese IP im Router freigeben und schon kannst du unter der IP den Rechner erreichen. Und zwar so, also würde er direkt im Internet hängen. ganz ohne Portweiterleitung.

 

[webmi]

Mit DS Lite ist das so eine Sache. Portforwarding unter v4 ging bei mir mit DS Lite nicht, da getunnelt.

Unter v6 möchte man meinen, dass es geht. Die Konfig der FB sieht ja soweit i.O. aus.

Wenn du willst, schick mal deine komplette veröffentlichte v6 (vom Server), dann versuch ich mal zuzugreifen.

E: Moment mal!

ifconfig vom Server zeigt eine LinkLocal und die 2a00:xxxx:9e94
Die FB Freigabe des Servers zeigt als veröffentlichte v6 aber 2a00:xxxx:f5d0

Wie soll das gehen/funktionieren? Mal versucht manuell die komplette 2a00:xxxx:9e94 in der Freigabe einzugeben?

 

[Bisumaruku]

Ich hab ipv6 bei mir wieder deaktiviert aber ich meine es gab bei den dhcp einstellungen etwas was das erklären könnte. da musst du mal schauen. ich glaube da konnte man was einstellen ob er den präfix vom internetanbieter nehmen soll oder was eigenes.

 

[engine]

dein Server ist doch eh exposed und unten dran stehen die Verbindungsdaten.

ping6 [2a00:xxxx:f5d0]:443
Ping muss gehen oder du hast eine Firewall auf dem Server.

 

[Twin_Four]

Lass dir vom Anbieter wieder eine feste IPv4 geben, ein Anruf und 1-2h später ist dein Problem erledigt. Das DS-Lite IPv6 gefrickel hilft doch nicht wirklich.

 

[engine]

Wenn der Provider über keine öffentliche ipv4 mehr verfügt, ist DS Lite der erste Schritt, um ipv4 wirklich den Gnadenstoß zu geben, sonst geht der ipv4-Mist noch 100 Jahre weiter.

 

[Autokiller677]

Lass dir vom Anbieter wieder eine feste IPv4 geben, ein Anruf und 1-2h später ist dein Problem erledigt. Das DS-Lite IPv6 gefrickel hilft doch nicht wirklich.

Klar, der Anbieter kann sich v4 Adressen ja auch einfach herzaubern? Der Provider ist hier Deutsche Glasfaser, relativ junger Provider. Im ggs. zur TKom haben die halt keine riesigen IPv4 Netze, da können die mir nicht einfach eine eigene private v4 geben.

Davon ab, wie engine sagt: Es wird Zeit, dass die Umstellung mal anläuft. Und so eine Freigabe sollte ja kein Problem sein, von daher.

 

[brainDotExe]

Auf den ersten Blick würde ich vermuten, dass die FritzBox da Mist baut.
Versuche mal die Interface-ID manuell anzupassen.
Ggf. hilft es die FritzBox mal neu zu starten.

 

[Autokiller677]

Ha! Es geht jetzt!

E: Moment mal!

ifconfig vom Server zeigt eine LinkLocal und die 2a00:xxxx:9e94
Die FB Freigabe des Servers zeigt als veröffentlichte v6 aber 2a00:xxxx:f5d0

Wie soll das gehen/funktionieren? Mal versucht manuell die komplette 2a00:xxxx:9e94 in der Freigabe einzugeben?

Das war ja auch was mich so irritiert hat. Die IP kann ich aber gar nicht direkt eingeben, nur diesen "Identifier", keine Ahnung, woher die Box den so nimmt.

Lösung war jetzt wie folgt:

Freigabe erstellen, Identifier (und damit IP) war weiter :f5d0. Speichern.
Freigabe Ändern -> Identifier ändern auf :9e94 (letzte 64Bit der IP vom Server) -> Speichern
Fritz Box meldet fehler, kann nicht gespeichert werden.
Freigabe für Server komplett löschen.
Freigabe neu anlegen -> Siehe da, plötzlich ist für den Server der neue Identifier :9e94 eingetragen -> Es funktioniert alles.

Danke für die Hilfe!

 

[amopheus]

Hallo zusammen,
bin neu hier im Forum und möchte freundlichst die Community grüßen

Seit mehreren Tagen plage ich mich mit meinem Glasfaseranschluss von der Deutschen Glasfaser rum, welcher sich vor meiner FB 7490 befindet. Bei ausgiebiger INet-Recherche bin ich auf diesen Beitrag gestoßen.
Da ich nun auch "stolzer" Besitzer eines IPv6-Anschlusses bin, haben sich nun viele neue Probleme ergeben. Unter anderem die, die Autokiller677 geschildert hat.

Möchte gerne meine DS218+ über den internen VPN Server über L2TP/IPSec erreichen. Versuche dies über mein Android Handy Honor 8 mit dem Browser sowie den Apps DS Audio, DS Photo etc.
Eine VPN Verbindung habe ich noch nicht erfolgreich hinbekommen.

Bezüglich der FB habe ich die Einstellungen von Autokiller677 übernommen. Damit kann ich über den Handybrowser nun meine DS erreichen bzw. mich anmelden. Aber nur, wenn Exposed Host in der FB unter IPv6 aktiviert ist. Ist dies nicht risikobehaftet, wenn jeder meine Ds über IPv6 erreichen kann (voraussgesetzt er hat die IP)?

Über den klassischen IPv4 Zugang musste ich für den VPN Server die UDP-Ports 1701, 500 und 4500 in der FB freigeben. Ist nun unter IPv6 diese Freigabe ebenfalls notwendig? Eingabe in der FB ist möglich, bringt aber auch nichts.

Den VPN Tunnel auf meinem Honor 8 habe ich zuletzt immer mit der Serveradresse meines selfhost-Account genutzt, eine DynDNS benötige ich aber ja nun nicht mehr. Wenn ich nun die IPv6 meiner DS eingebe (ohne http://[....]), dann wird keine Verbindung aufgebaut - müsste aber, oder?

Für Tipps wäre ich sehr dankbar. Seit dem neuen Anschluss sind auch mehrere Freunde und Nachbarn diesbezüglich betroffen.

LG

amopheus