Fritz!Box Filter im Zusammenhang mit IPv6?

Andi07

Lieutenant
Registriert
Aug. 2013
Beiträge
681
Hallo zusammen!

Ich möchte nur gerne verstehen, was sich geändert hat.

Bis vor nicht allzu langer Zeit war hier nur IPv4 verfügbar.
Und ich hatte immer wieder einzelne Meldungen in der Fritz!Box, dass der Verbindungsversuch von IP-Adresse(n) blockiert wurde.
Das waren dann z.B. IP-Adressen aus den USA, Russland, Vietnam und noch einige andere IP-Bereiche.
Diese Verbindungsversuche wurden alle blockiert.

Seit dem hier zusätzlich IPv6 verfügbar und aktiv ist, IPv4 ist weiterhin auch aktiv, sind keine IP-Blockiermeldungen mehr aufgetaucht.
Wie ist das bitte zu verstehen?
Kamen keine Verbindungsversuche mehr oder wurde nicht blockiert? Falls man da überhaupt etwas dazu sagen kann.
Auffällig ist jedenfalls, wie schon gesagt, dass diese Blockiermeldungen seit dem IPv6 aktiv ist, nie wieder aufgetaucht sind.

Vielen Dank!

Gruß Andi
 
Weil die Blocklist keine IPV6 Einträge hat vielleicht?
Keine Ahnung ob die FB beides verwendet.

Du kannst V6 wahrscheinlich auch einfach abschalten.

Noch eine Möglichkeit:

Seit der Umstellung bist du gar nicht mehr von außen getriggert erreichbar.

DS-Lite und/oder CG-NAT wären die Stichworte zum Googeln.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Merle
mit gescheiter Internetanbindung kann man den geammten ipv4 space in unter 10 minuten abscannen, wenn beispielsweise nach verwundbaren Geraeten, mit einer bestimmten Software in einer bestimmten Version gesucht wird. Daher machen das viele, sowohl leute mit schaedlichen Absichten, als auch Unis und Firmen.
(Darum IMMER den eigenen Mist up to date halten ;) )
der IPv6 addressraum ist erheblich groesser und hier sind gezielte angriffe sinnvoller
(ipv6 340,282,366,920,938,463,463,374,607,431,768,211,456 Adressen,
(ipv4 4,294,967,296 Adressen)
 
Zuletzt bearbeitet:
Deine Fritzbox-GUI wird vom Internet bzw. WAN aus erreichbar sein. Falls du einen externen Zugriff auf die Fritzbox benötigst, nutze lieber ein VPN und schalte den HTTPS-Zugang ab (Internet - Freigaben - Internetzugriff auf die FRITZ!Box über HTTPS aktiviert). Zwar lassen sich die Logindaten wegen der Zwangspause quasi nicht bruteforcen, aber was nicht aktiv ist, kann auch nicht aufgrund einer Sicherheitslücke angegriffen werden.
 
  • Gefällt mir
Reaktionen: drago1401
Hallo zusammen!

Vielen Dank alle!

DS-Lite wird hier nicht verwendet. Es wird sozusagen echtes/direktes IPv6 verwendet.
Die Fritz!Box unterscheidet sich nicht nach IPv4- oder nach IPv6-Blocklist.
Beide gibt es hier scheinbar nicht, bzw. sind sie nicht offensichtlich.

Und ich möchte meine Fritz!Box oder einen Dienst darauf nicht von außen erreichen. Also ein externer Zugriff, ein Zugriff von außen wird nicht benötigt.

madmax2010 schrieb:
mit gescheiter Internetanbindung kann man den geammten ipv4 space in unter 10 minuten abscannen, wenn beispielsweise nach verwundbaren Geraeten, mit einer bestimmten Software in einer bestimmten Version gesucht wird. Daher machen das viele, sowohl leute mit schaedlichen Absichten, als auch Unis und Firmen.
(Darum IMMER den eigenen Mist up to date halten ;) )
der IPv6 addressraum ist erheblich groesser und hier sind gezielte angriffe sinnvoller
(ipv6 340,282,366,920,938,463,463,374,607,431,768,211,456 Adressen,
(ipv4 4,294,967,296 Adressen)
Danke madmax!
Die Größe des IPv6-Adressraums ist wohl die Erklärung.
Nur wird eben IPv4 auch noch verwendet, falls die IPv6-Verbindung nicht verfügbar oder nicht möglich ist.
Das passiert aber automatisch.
Grundsätzlich wird "direktes" (kein DS-Lite) IPv6 verwendet und nur wenn das nicht möglich ist, wird die Verbindung in 's Internet über IPv4 hergestellt.


Vielen Dank!

Gruß Andi
 
Andi07 schrieb:
DS-Lite wird hier nicht verwendet. Es wird sozusagen echtes/direktes IPv6 verwendet.
Das Verhalten unter DS-Lite unterscheidet sich gerade bei IPv6 NICHT.
Woher weißt Du so genau, dass bei dir kein DS-Lite verwendet wird?
Prüfen kann man das nur, in dem Du deine externe und deine von außen sichtbare IPv4 vergleichst. An der IPv6 Adresse kann man es nicht erkennen.
Dein externe IPv4 Adresse steht im Menü "Übersicht" unter "Verbindungen", "Internet" in der Fritze. Dort steht eventuell auch, ob ein DS-Lite Tunnel verwendet wird. Steht dort eine explizite IPv4 Adresse, vergleiche diese mit der IP Adresse die zum Beispiel https://www.wieistmeineip.de/ anzeigt. Sind sie identisch, hast Du vollwertiges Dual-Stack, wenn nicht, DS-Lite.
 
bender_ schrieb:
Sind sie identisch, hast Du vollwertiges Dual-Stack, wenn nicht, DS-Lite.
Technisch kann man damit nur feststellen, ob carrier-grade NAT zum Einsatz kommt. Das ist in den meisten Fällen zwar auch die Eigenschaft, die für den Endnutzer relevant ist, aber genau genommen beschreibt DS-lite nur die Anschlussvariante, wo keine IPv4-Adresse vergeben wird und jegliche Kommunikation im Provider über IPv6 stattfindet. Das merkt man also dadurch, dass der Router keine IPv4-Adresse bekommt. IPv4-Pakete werden dabei vom Router über IPv6 zu einem AFTR-Gateway getunnelt.
Bei echtem Dual-Stack bekommt der Router immer eine IPv4-Adresse. Jedoch kann es sich dabei um eine private Adresse handeln, daher muss man den von dir beschriebenen Vergleich anstellen, um CGNAT ausschließen zu können.
Genauere Infos beim Elektronik-Kompendium.
 
Web-Schecki schrieb:
Das merkt man also dadurch, dass der Router keine IPv4-Adresse bekommt.
Das ist alles richtig.
Mir ist in DE nur kein Provider bekannt, der DS-Lite ohne CGNAT verwendet. Kennst Du einen?

Ich kenne nur Implementierungen nach RFC 6333.
Und das geht so:
This section describes home Local Area networks characterized by the
presence of a home gateway, or CPE, provisioned only with IPv6 by the
service provider.

A DS-Lite CPE is an IPv6-aware CPE with a B4 interface implemented in
the WAN interface.

A DS-Lite CPE SHOULD NOT operate a NAT function between an internal
interface and a B4 interface, as the NAT function will be performed
by the AFTR in the service provider's network. This will avoid
accidentally operating in a double-NAT environment.

However, it SHOULD operate its own DHCP(v4) server handing out
[RFC1918] address space (e.g., 192.168.0.0/16) to hosts in the home.
It SHOULD advertise itself as the default IPv4 router to those home
hosts. It SHOULD also advertise itself as a DNS server in the DHCP
Option 6 (DNS Server). Additionally, it SHOULD operate a DNS proxy
to accept DNS IPv4 requests from home hosts and send them using IPv6
to the service provider DNS servers, as described in Section 5.5.

Note: If an IPv4 home host decides to use another IPv4 DNS server,
the DS-Lite CPE will forward those DNS requests via the B4 interface,
the same way it forwards any regular IPv4 packets. However, each DNS
request will create a binding in the AFTR. A large number of DNS
requests may have a direct impact on the AFTR's NAT table
utilization.

IPv6-capable devices directly reach the IPv6 Internet. Packets
simply follow IPv6 routing, they do not go through the tunnel, and
they are not subject to any translation. It is expected that most
IPv6-capable devices will also be IPv4 capable and will simply be
configured with an IPv4 [RFC1918]-style address within the home
network and access the IPv4 Internet the same way as the legacy IPv4-
only devices within the home.

Pure IPv6-only devices (i.e., devices that do not include an IPv4
stack) are outside of the scope of this document.
So sind meines Wissens nach in DE alle DS-Lite Anschlüsse umgesetzt, weshalb man auch nach "innen" eine IPv4 Adresse sieht.
Quelle: https://datatracker.ietf.org/doc/html/rfc6333
 
Zuletzt bearbeitet:
bender_ schrieb:
Das Verhalten unter DS-Lite unterscheidet sich gerade bei IPv6 NICHT.
Woher weißt Du so genau, dass bei dir kein DS-Lite verwendet wird?
Prüfen kann man das nur, in dem Du deine externe und deine von außen sichtbare IPv4 vergleichst. An der IPv6 Adresse kann man es nicht erkennen.
Dein externe IPv4 Adresse steht im Menü "Übersicht" unter "Verbindungen", "Internet" in der Fritze. Dort steht eventuell auch, ob ein DS-Lite Tunnel verwendet wird. Steht dort eine explizite IPv4 Adresse, vergleiche diese mit der IP Adresse die zum Beispiel https://www.wieistmeineip.de/ anzeigt. Sind sie identisch, hast Du vollwertiges Dual-Stack, wenn nicht, DS-Lite.

Hallo bender und Hallo Web_Schecki und Hallo zusammen!

Vielen Dank!

Also, diesen Weg meine externe IPv4-Adresse in der Fritz!Box herauszufinden gibt es hier nicht.
Aber über eine Diagnose in der Fritz!Box habe ich herausgefunden, dass sie mit einer 100-er Nummer beginnt.
Der Test über wieistmeineip ergab am Anfang eine 200-er Nummer.

Nur, in der Fritz!Box ist unter "IPv6-Anbindung" "Native IPv6-Anbindung verwenden" ausgewählt . Und es ist kein Haken bei "IPv4-Anbindung über DS-Lite herstellen" gesetzt.

Und da über wieistmeineip auch eine IPv6-Adresse angezeigt wird, braucht es keine Aktivierung von DS-Lie.

Aber viel aussagekräftiger ist die Aussage meines Anbieters. "An Ihrem Anschluss (der Anschlussart) gibt es grundsätzlich kein DS-Lite.


Gruß Andi
 
Zuletzt bearbeitet:
Andi07 schrieb:
Aber über eine Diagnose in der Fritz!Box habe ich herausgefunden, dass sie mit einer 100-er Nummer beginnt.
Wenn sie im Bereich 100.64.0.0 - 100.127.255.255, wovon ich stark ausgehe, hängst Du am CGN deines Providers.
Andi07 schrieb:
Der Test über wieistmeineip ergab am Anfang eine 200-er Nummer.
Welche dann nach außen vom Provider in diese übersetzt wird.
Andi07 schrieb:
Nur, in der Fritz!Box steht unter "IPv6-Anbindung" "Native IPv6-Anbindung verwenden" ausgewählt . Und es ist kein Haken bei "IPv4-Anbindung über DS-Lite herstellen" gesetzt.
Es ist zu unterscheiden zwischen einem 4in6 Tunnel, der diese Einstellung zwingend erforderlich machen würde oder einer IPv4, die dir vom CGN des Providers zugeordnet wurde. Wahrscheinlich funktioniert sogar beides.
Andi07 schrieb:
Und da über wieistmeineip auch eine IPv6-Adresse angezeigt wird, braucht es keine Aktivierung von DS-Lie.
Das ist wiederum ein Trugschluss. IPv6-only Kommunikation hat nicht die Bohne mit DS-Lite zu tun.
Andi07 schrieb:
"An Ihrem Anschluss (der Anschlussart) gibt es grundsätzlich kein DS-Lite.
Kannst Du ja testen, in dem Du mal den Haken bei "IPv4-Anbindung über DS-Lite herstellen" setzt. Wenn Du danach immer noch mit IPv4 Zielen im Internet kommunizieren kannst, gibt es sehr wohl DS-Lite bei deinem Provider.
Was Du aber auf jeden Fall nutzt, ist CG-NAT.
Und was Du auf keinen Fall hast, ist eine öffentliche IPv4.

Für Dich macht das am Ende nur in sehr speziellen Fällen einen Unterschied. Den Hauptnachteil der Nichterreichbarkeit aus dem Internet über IPv4 haben beide Fälle gemein.
 
Hi,

@bender_ Korrektweiser verwendet der unbekannte Provider CG-NAT, kein DS-Lite, da er den IPv4 Traffic nicht via IPv6 zum AFTR Gateway tunnelt, sondern direkt das CGN Gateway per IPv4 anspricht. ;) Dies klingt für mich sehr nach Glasfaser Anbieter. Die Kabelnetzbetreiber verwenden in der Regel DS-Lite.

@Andi07: Unbedingt IPv6 aktiviert lassen und nutzen, wann immer möglich. Da das IPv4 CGN Gateway Kosten auf seitens des Providers verursacht, werden dort in der Regel auf die einzelnen Gateways so viele Kunden wie möglich draufgepackt :/
 
  • Gefällt mir
Reaktionen: bender_
bender_ schrieb:
Es ist zu unterscheiden zwischen einem 4in6 Tunnel, der diese Einstellung zwingend erforderlich machen würde oder einer IPv4, die dir vom CGN des Providers zugeordnet wurde. Wahrscheinlich funktioniert sogar beides.

Hallo bender und Hallo zusammen!

Vielen Dank!

Über "Tunnel" ist auch nicht ausgewählt. Einfach nur "Natives IPv6".

bender_ schrieb:
Kannst Du ja testen, in dem Du mal den Haken bei "IPv4-Anbindung über DS-Lite herstellen" setzt.
Das brauche ich nicht testen.
Ich habe mich ja heute bei meinem Anbieter bzgl. DS-Lite erkundigt.
Und er sagte mir, dass ich den Haken dort nicht setzen darf. Weil es dann nicht mehr funktioniert.
Und wie schon gesagt, an meinem bzw. an meiner Art Anschluss gibt es grundsätzlich kein DS-Lite.
Ja, ich bin froh, dass ich keine öffentliche IPv4-Adresse habe.
Wie ich schon mal anderer Stelle sagte, möchte ich nicht von außerhalb auf meine Fritz!Box zugreifen können.
Und andere solle das natürlich auch nicht auf diesem Weg können.

Und bis
bender_ schrieb:
Was Du aber auf jeden Fall nutzt, ist CG-NAT.
Bist Du dir da wirklich sicher?
Laut https://www.elektronik-kompendium.de/sites/net/2010221.htm bekommt man nur eine private IPv4-Adresse.
Aber seit dem "Wechsel" auf IPv6, aber auch schon vorher, hatte ich verschiedene IPv4-Adressen.
Sie wird zwar nicht oft gewechselt, aber immer wieder mal.

Hallo Tom_123!

Vielen Dank!

IPv6 ist und bleibt aktiviert.
Und es wird grundsätzlich als erstes verwendet. Es gibt nur die Auswahl zwischen "Natives IPv4 verwenden" oder "Natives IPv6 verwenden"

Und ich habe kein Glasfaser-Anschluss. Es ist tatsächlich ein Kabel-Anschluss.
Und mein Anbieter verwendet eben grundsätzlich kein DS-Lite. Es würde gar nicht funktionieren laut seiner Aussage.

Gruß Andi
 
Zuletzt bearbeitet:
bender_ schrieb:
Mir ist in DE nur kein Provider bekannt, der DS-Lite ohne CGNAT verwendet. Kennst Du einen?
Keineswegs! Das würde mich auch sehr wundern...

bender_ schrieb:
weshalb man auch nach "innen" eine IPv4 Adresse sieht.
Aber nach dem RFC bekommt der Router bei DS-lite doch keine private IPv4-Adresse, die man "innen" sehen könnte? Das würde dem ja auch ein bisschen widersprechen, weil dann eben doch doppelt NAT eingesetzt werden muss?! Eine IPv4-Adresse bringt ja darüber hinaus nichts, wenn nach außen nur über IPv6 kommuniziert wird?

Andi07 schrieb:
Wie ich schon mal anderer Stelle sagte, möchte ich nicht von außerhalb auf meine Fritz!Box zugreifen können.
Das geht grundsätzlich schon, aber nur per IPv6.

Andi07 schrieb:
bekommt man nur eine private IPv4-Adresse
Ja, die ist aber nicht fest, kann also durchaus wechseln. Du bekommst nur (soviel ich weiß) kein ganzes Subnetz, also immer nur genau eine private IP-Adresse.
 
Web-Schecki schrieb:
Eine IPv4-Adresse bringt ja darüber hinaus nichts, wenn nach außen nur über IPv6 kommuniziert wird?
Hallo Web-Schecki und Hallo zusammen!

Vielen Dank!

Es wird nach außen nicht nur über IPv6 kommuniziert.
Grundsätzlich ja, aber wenn das nicht möglich ist, wird automatisch auf IPv4 gewechselt.

Web-Schecki schrieb:
Das geht grundsätzlich schon, aber nur per IPv6.
Nein!
Das geht standardmäßig nicht, dass von außerhalb auf die Fritz!Box zugegriffen werden kann, egal ob über IPv4 oder IPv6.
Das muss in der Fritz!Box erst eingerichtet und aktiviert werden.
Und das ist bei mir nicht der Fall.

Tom_123 schrieb:
es wird ja auch nur der IPv4 Traffic über das CG-NAT Gateway geschickt ;) Der IPv6 Traffic läuft über das Providernetzwerk "direkt" ohne NAT.

Hallo Tom_123!

Vielen Dank!

Ja, der IPv6-Trafic läuft direkt. Deshalb heißt bei mir auch "Native IPv6-Anbindung" verwenden.
Und da ich nur native IPv6-Anbindung oder native IPv4-Anbindung verwenden kann, wird es vielleicht oder wohl?? über ein CG-NAT Gateway geschickt.
Darüber habe ich jetzt aber keine Informationen.


Gruß Andi
 
Andi07 schrieb:
Es wird nach außen nicht nur über IPv6 kommuniziert.
Tut mir leid für die Verwirrung. Ich habe mich aus Interesse an den technischen Details zu DS-lite-Anschlüssen aufgehängt und dort ist das (meines Erachtens) der Fall. Bei dir kommt aber (meines Erachtens) kein DS-lite zum Einsatz, sondern vollwertiges Dual-Stack, allerdings mit der Einschränkung, dass du nur eine private und keine öffentliche IPv4-Adresse bekommst und deshalb CGNAT eingesetzt wird. Definitiv kannst du das nur selbst wissen, indem du dir die IPv4-Adresse anschaust:
bender_ schrieb:
Wenn sie im Bereich 100.64.0.0 - 100.127.255.255, wovon ich stark ausgehe, hängst Du am CGN deines Providers.
 
Hallo zusammen!

Zitat von bender_: Wenn sie im Bereich 100.64.0.0 - 100.127.255.255, wovon ich stark ausgehe, hängst Du am CGN deines Providers.
Vielen Dank bender, vielen Dank Web-Schecki!

Mmh?
Also meine IPv4-Adresse lag auch schon im 80er.-Bereich oder im 70er.-Bereich.
Bei anderen Bereichen bin ich mir nicht mehr sicher.

Web-Schecki schrieb:
sondern vollwertiges Dual-Stack, allerdings mit der Einschränkung, dass du nur eine private und keine öffentliche IPv4-Adresse bekommst und deshalb CGNAT eingesetzt wird.
Welche IPv4-Adresse wird denn z.B. über wieistmeineip angezeigt?
Die private ist dann ja der 100er.-Bereich, welche mir in der Fritz!Box angezeigt wird.
Über wieistmeineip wurde mir ein 200er.-Bereich angezeigt.

Öffentliche IPv4-Adresse ist irgendwie irreführend.
Denn meine Fritz!Box ist öffentlich, also von außen nicht erreichbar. Weder über IPv4 noch über IPv6.

Ah, die 100er-Adresse ist die IPv4-Adresse der Fritz!Box meines privaten Netzwerkes.
Und die 200er-Adresse ist IPv4-Adresse, mit der ich nach außen Kontakt aufnehme.
Oder?

Ach ja, neben den 100er-IPv4-Adressen, haben sich auch die 200er-Adressen nach außen schon geändert.
Also das waren ganz andere Adressbereiche.

Gruß Andi
 
Zuletzt bearbeitet:
Andi07 schrieb:
Öffentliche IPv4-Adresse ist irgendwie irreführend.
Denn meine Fritz!Box ist öffentlich, also von außen nicht erreichbar. Weder über IPv4 noch über IPv6.
Öffentlich bedeutet: Weltweit eindeutig.
Private Adressen wie z.B. 192.168.178.24 sind nicht weltweit eindeutig - jeder kann diese Adresse in seinem Heimnetzwerk vergeben.
Wenn du mit einem anderen Rechner über das Internet kommunizierst, dann sieht dieser andere Rechner in jedem Fall aber eine öffentliche Adresse - sonst könnte er dir nicht antworten, weil unklar wäre, wo das Paket hingeschickt werden muss. Das Ziel muss ja weltweit eindeutig sein!
Früher war es so, dass grundsätzlich dein Router zuhause eine öffentliche IPv4-Adresse bekam. Entsprechend wird dort die Antwort hingeschickt. Hinter dem Router hängen aber evtl. mehrere Geräte und der Router muss wissen, an welches Gerät die Antwort geschickt wird. Dazu wird NAT eingesetzt. Für deinen Rechner, der nur seine private IPv4-Adresse (z.B. 192.168.178.24) kennt, sieht es so aus, als wäre die Antwort direkt an diese private Adresse geschickt worden - obwohl das unmöglich ist.
Dieser Aufwand mit NAT wird nur betrieben, weil IPv4-Adressen knapp sind. Eigentlich sollte jedes Gerät eine eigene, öffentliche IPv4-Adresse bekommen, aber das ist seit längerem undenkbar. Tatsächlich gehen die Anbieter manchmal noch einen Schritt weiter und setzen selbst bereits NAT ein. Das nennt man carrier-grade NAT oder kurz CGNAT. In diesem Fall erhält dein Router dann eine private (d.h. nicht weltweit eindeutige) IPv4-Adresse vom Anbieter und muss immer über ein NAT-Gateway kommunizieren, das über eine öffentliche IPv4-Adresse verfügt. Diese Adresse teilst du dir nach außen hin (also im Internet) mit vielen anderen Kunden deines Anbieters.
Folgende Frage sollte sich damit selbst beantworten:
Andi07 schrieb:
Welche IPv4-Adresse wird denn z.B. über wieistmeineip angezeigt?
Genauso wenig, wie ein anderer Rechner im Internet (z.B. wieistmeineip.de) die private IPv4-Adresse deines Rechners im Heimnetzwerk (z.B. 192.168.178.24) kennt, genauso wenig kennt er die private IPv4-Adresse deines Routers im privaten Providernetz.
 
  • Gefällt mir
Reaktionen: Andi07
Hallo Web-Schecki und Hallo zusammen!

Top!!! Danke!
Web-Schecki schrieb:
Eigentlich sollte jedes Gerät eine eigene, öffentliche IPv4-Adresse bekommen, aber das ist seit längerem undenkbar.
Entschuldige bitte, das verstehe ich nicht so wirklich, weshalb sich meine öffentliche IPv4-Adresse dann hin und wieder ändert?
Was mich aber auch nicht stört.


Gruß Andi
 
Zuletzt bearbeitet:
Zurück
Oben