Manche IPv6 Webseiten nicht erreichbar - Router im Verdacht

[LieberNetterFlo]

Hallo zusammen, eigentlich bin ich ganz versiert in den Sachen, aber irgendwie stehe ich dieses mal auf dem Schlauch.

Mein Problem ist, dass manche Webseiten nicht erreichbar sind, und ich vermute stark, dass es an IPv6 liegt. Wenn ich VPN aktiviere (der ist IPv4 only) oder ein den Adapter Settings von Windows IPv6 deaktiviere, sind die Webseiten wieder erreichbar.

Beispielseite: https://www.netze-bw.de/

(aber ich hatte es auch schon mal bei einem Video Ident Anbieter)

Die ganze Tests im Netz bescheinigen mir eigentlich super IPv4 und IPv6 Konnektivität. Ich hab auch keine exotischen Firewall Regeln im Router, das Problem tritt auf allen Endgeräten im Netzwerk auf (hab auch Android Handy probiert, wenn ich dort VPN aktiviere gehts dann auch). Einzig die ICMP Filtering bekomme ich irgendwie nicht los.

Jemand eine Idee was ich noch probieren könnte? Ich denke es liegt an den Router Einstellungen, eben weil es alle Endgeräte betrifft. Mein Router ist eine pfSense.

 

[Schlumpfbert]

Du könntest mal personal hotspot am Handy machen, dann würdest du den PC schonmal ausschließen, falls es dann geht, und es läge am Router oder der Internetleitung.
Aber da du schreibst, dass alle Geräte im Netz das Problem haben, wird es schon sehr sicher an deiner pfSense Konfiguration liegen.

 

[n1tro666]

Wenn ich VPN aktiviere (der ist IPv4 only) oder ein den Adapter Settings von Windows IPv6 deaktiviere, sind die Webseiten wieder erreichbar

das problem sieht man ja im screenshot.
da ist per default ip v6 gesetzt.
nicht alle sites setzen auf ip v6 only.
und die ganzen extra dns einträge erscheinen überflüssig.
das sich da was vertüdelt ist ja zu erwarten.
da ist nat im spiel.

wird es schon sehr sicher an deiner pfSense Konfiguration liegen

sieht so aus.

 

[Web-Schecki]

das problem sieht man ja im screenshot.
da ist per default ip v6 gesetzt.

Wie kommst du zu der Annahme, dass dies ein Problem sei?
In Gegenteil meint dieser Test laut Screenshot erkennen zu können, dass IPv4-only-Seiten erreichbar sind.

Selbstverständlich ist IPv6 als default kein grundsätzliches Problem, sondern sollte absoluter Standard sein

 

[gaym0r]

@LieberNetterFlo netze-bw.de ist ipv4 only. Per Ping leider nicht erreichbar und deswegen für Troubleshooting vielleicht nicht bestens geeignet. Darum nehmen wir mal eine andere IPv4-only Seite.

Kannst du mal in einer CMD folgende Befehle absetzen:
nslookup ard.de.
ping ard.de.
tracert -d ard.de.
nslookup computerbase.de.
ping -4 computerbase.de.
ping -6 computerbase.de.
tracert -d computerbase.de.

 

[Dragon0001]

@LieberNetterFlo netze-bw.de ist ipv4 only. Per Ping leider nicht erreichbar und deswegen für Troubleshooting vielleicht nicht bestens geeignet. Darum nehmen wir mal eine andere IPv4-only Seite.

Es geht aber um www.netze-bw.de und das kann sehr wohl IPv6.

 

[Blutomen]

@Dragon0001

Mir wird auch keine IPv6 Adresse zurück gegeben.
Und auch über andere Online Tests kommt von denen nix per IPv6 raus.

 

[Luftgucker]

Kannst ja mal in dieser Richtung schauen. Vermutlich gibts auch bei deinem Router eine Einstellung wenn das auf filtered steht.

https://www.bjoerns-techblog.de/2017/06/ipv6-icmp-filtered-an-fritzbox-beheben/

 

[TomH22]

Es geht aber um www.netze-bw.de und das kann sehr wohl IPv6

Das ist ein cname auf Azure Frontdoor, Microsofts CDN:

 nslookup www.netze-bw.de
Server:         192.168.26.2
Address:        192.168.26.2#53

Non-authoritative answer:
www.netze-bw.de canonical name = now-netze-bw-prod-gaajbybucmc7cscg.z01.azurefd.net.
now-netze-bw-prod-gaajbybucmc7cscg.z01.azurefd.net      canonical name = mr-z01.tm-azurefd.net.
mr-z01.tm-azurefd.net   canonical name = shed.dual-low.part-0017.t-0009.t-msedge.net.
shed.dual-low.part-0017.t-0009.t-msedge.net     canonical name = part-0017.t-0009.t-msedge.net.
Name:   part-0017.t-0009.t-msedge.net
Address: 13.107.213.45
Name:   part-0017.t-0009.t-msedge.net
Address: 13.107.246.45
Name:   part-0017.t-0009.t-msedge.net
Address: 2620:1ec:bdf::45
Name:   part-0017.t-0009.t-msedge.net
Address: 2620:1ec:46::45

 

[LieberNetterFlo]

Du könntest mal personal hotspot am Handy machen, dann würdest du den PC schonmal ausschließen, falls es dann geht, und es läge am Router oder der Internetleitung.
Aber da du schreibst, dass alle Geräte im Netz das Problem haben, wird es schon sehr sicher an deiner pfSense Konfiguration liegen.

Ja sobald ich die Internetverbindung wechsle (zB Mobile Daten) geht es. Darum weiß ich dass meine Routerkonfiguration schuld ist. Aber welche Einstellung genau weiß ich nicht

und die ganzen extra dns einträge erscheinen überflüssig.
das sich da was vertüdelt ist ja zu erwarten.
da ist nat im spiel.

Welche DNS Einträge? Von Netze-Bw? Weil ich ja keine setze.

@LieberNetterFlo netze-bw.de ist ipv4 only. Per Ping leider nicht erreichbar und deswegen für Troubleshooting vielleicht nicht bestens geeignet. Darum nehmen wir mal eine andere IPv4-only Seite.

Kannst du mal in einer CMD folgende Befehle absetzen:
nslookup ard.de.
ping ard.de.
tracert -d ard.de.
nslookup computerbase.de.
ping -4 computerbase.de.
ping -6 computerbase.de.
tracert -d computerbase.de.

Kein Problem.

Kannst ja mal in dieser Richtung schauen. Vermutlich gibts auch bei deinem Router eine Einstellung wenn das auf filtered steht.

https://www.bjoerns-techblog.de/2017/06/ipv6-icmp-filtered-an-fritzbox-beheben/

ja, dafür hab ich auch ne Firewall Regel, die aber scheinbar nicht ausreicht, weiß ich nicht genau

Danke für eure Antworten. Eine Seite die sich identisch verhält ist handelsblatt.com

Wenn jetzt netze-bw.de (und handelsblatt.com) nur IPv4 Seiten sind, habe ich ein IPv4 Problem?

https://ipv4.jamieweb.net/ und https://ipv6.jamieweb.net/ kann ich beide erreichen (hab ich als IPv4 und IPv6 Testseiten genutzt)

Ich denke auch nicht dass es ein DNS Problem ist, sondern erst später auftritt.

 

[TomH22]

Wenn jetzt netze-bw.de (und handelsblatt.com) nur IPv4 Seiten sind, habe ich ein IPv4 Problem?

Du müsstest mal ein Netzwerktrace beim Aufrufen einer betroffenen Seite machen. Anfangen mit einem Trace mit den Entwicklertools des Browsers, ggf. ergänzt durch Wireshark.

Mit pings und traceroutes kommt man nicht weiter, die gehen ja offensichtlich.

Irgendwelche Adblocker, etc. sind bei den Tests abgeschaltet?

 

[LieberNetterFlo]

@TomH22 ich habe mehrere Endgeräte und alle möglichen Browser porbiert, ohne Adblocker, und ich hab auch keine Adblocker auf DNS Ebene laufen. Liefern alle das gleiche Ergebnis, solange sie sich in meinem Netzwerk befinden

Mit dem Browser Trace kommt eigentlich gar nix an

 

[Dragon0001]

@Dragon0001 Anhang anzeigen 1692925

Mir wird auch keine IPv6 Adresse zurück gegeben.
Und auch über andere Online Tests kommt von denen nix per IPv6 raus.
Anhang anzeigen 1692926

www.netze-bw.de != netze-bw.de
Die Subdomain zeigt auf einen komplett anderen Provider und unterstützt IPv6.

 

[LieberNetterFlo]

also wenn ich zB computerbase.de mit handelsblatt.com vergleiche:

computerbase.de, ich kann die IPv4 und die IPv6 getrennt pingen

handelsblatt.com, ich kann die IPv4 pingen aber nicht die IPv6

Allerdings ist mir hier das erste Mal die Meldung "Zielnetz nicht erreichbar" aufgefallen. Was hat es damit aufsich?

Die pfSense kann ja auch selbst pingen, aber die Ergebnisse sind identisch.

Irgendwie fehlt entweder der Zugriff via IPv6 oder das Fallback auf IPv4 funktioniert nicht richtig.

Ergänzung (3. Januar 2026)

ich hab auf der pfSense mal ein paar Pakete "gecaptured" und diese Meldung erhalten:

10:44:39.743576 IP6 2003:e5:b703:3800:f514:957f:2dca:bbe2 > 64:ff9b::6812:7fb2: ICMP6, echo request, id 1, seq 200, length 40
10:44:39.748717 IP6 2003:0:8a03:1800::1 > 2003:e5:b703:3800:f514:957f:2dca:bbe2: ICMP6, destination unreachable, unreachable route 64:ff9b::6812:7fb2, length 88

Es sieht so aus, also wäre die IPv6 von Handelsblatt nicht erreichbar von meinem Gateway?

 

[Dragon0001]

Moment mal, warum nutzt du NAT64? Oder wahrscheinlich DNS64, ohne dazugehöriges NAT64 Gateway?

 

[LieberNetterFlo]

DNS64 hab ich mal kurz aktiviert um zu schauen obs einen Unterschied macht. Ändert aber nichts am Ergebniss ob das aktiviert oder deaktiviert ist. (war ein Versuch 🤷‍♂️)

11:22:29.989691 IP6 2003:e5:b703:3800:f514:957f:2dca:bbe2 > 64:ff9b::6812:7fb2: ICMP6, echo request, id 1, seq 471, length 40
11:22:29.994925 IP6 2003:0:8a03:1800::1 > 2003:e5:b703:3800:f514:957f:2dca:bbe2: ICMP6, destination unreachable, unreachable route 64:ff9b::6812:7fb2, length 88

Vielleicht kann man die IPv6 auch gar nicht pingen. Aber dann fehlt immer noch der Fallback auf IPv4, damit die Webseite lädt? Ich weiß nicht mehr weiter

 

[Dragon0001]

Du versucht eine NAT64-Adresse anzupingen, das kann ohne NAT64-Gateway nicht funktionieren.

 

[LieberNetterFlo]

Ok, macht Sinn. Wenn ich das deaktiviere sehe ich bei "nslookup handelsblatt.com." tatsächlich nur noch die IPv4 Adresse. Aber aufrufen kann ich handelsblatt.com dann trotzdem nicht.

Also hab ich nur ein IPv4 Problem (wie schon mal vermutet)? Und wie löse ich es

 

[norKoeri]

Welche (konfigurierbaren) Switche bzw. WLAN-Access-Points nutzt Du, also welche Geräte existieren noch außer der pfSense und einem einzigen Test-Computer? Ich vermute einen zweiten DHCP-Server; Tools zum Erkennen: Klick.

 

[LieberNetterFlo]

@norKoeri Irgendwas an deiner Antwort ist die Lösung. Wenn ich mit dem selben Laptop oder einem zweiten Laptop direkt via LAN an den LAN port der pfSense hänge habe ich das Problem nicht.

Einen zweiten DHCP Server kann ich ausschließen, der verlinkte Test ist auch negativ.

Ich mach Mal eine Aufstellung an Netzwerkkomponenten, aber theoretisch könnte es auch ein beliebiger Client sein, der die Probleme verursacht, oder?

Ich bin sehr verwirrt, denn ich habe es die ganze Zeit auf den Router geschoben.