Tp-Link Omada ER605 Router Portfreigabe ipv6

[flamy]

Also, das wird jetzt etwas wirr. Der Omada Router stellt Über die Fritzbox das Internet her, über DHCP ganz normal, die weiß doch überhaupt nicht, dass die Fritzbox dazwischen hängt. Er bekommt also wie beim Provider selbst einen ipv6 Präfix (halt von der Fritzbox) und eine ipv4 (die natürlich aus dem Netzwerk der Fritzbox stammt), weiß der Router aber auch nicht. Der ER605 steht als Exposed Host in der Fritzbox, alles also freigegeben, ohne Firewall etc.
Ich kann über den vpn von der Synology die am ER605 hängt auf das Netzwerk vom ER605 zugreifen, vom Internet aus, auch von meinem Smartphone, wo w-lan deaktiviert ist. Von meinem Smartphone geht es direkt auf den Router nicht (die Firewall für ipv6 wurde dafür testweise von mir im RE605 komplett deaktiviert. Sobald ich sie aktiviere, ist auch ein Zugriff auf dem vpn der Synology von Außen nicht möglich. Das beweist für mich, an der Firewall des RE605 liegt es schon mal nicht, sonst wäre der Zugriff mit deaktivierter Firewall auch auf den Vpn des ER605 Möglich. Auch beweist es, dass die Fritzbox nichts blockt, sonst könnte man ja nicht auf den vpn von der Synology zugreifen.. Was geht, ist mit der ipv4, die der ER605 von dem Netzwerk der Fritzbox bekommt, von dem Fritzboxnetzwerk aus, auf den internen vpn zuzugreifen, mit der zugewiesenen Netzwerkinternen ipv6 geht es wiederum auch nicht.

Ping ist auch eine eigene Regel in der Box und hat mit den anderen Freigaben nichts zu tun.
Doch, du kannst den Zugriff im TP-Link Router blockieren.

Das ist schon klar, aber Exposed Host ist nun mal freie Fahrt sozusagen...
Wie schon mehrmals geschrieben, sogar mit ipv6 Firewall komplett im TP-Lik deaktiviert geht es nicht.
Was soll den da deiner Meinung nach noch blockieren? Wüsste nicht was.

Außerdem hast du oben geschrieben, dass du aus dem Fritzbox LAN zugreifst, da spielen Freigaben in der Fritzbox keine Rolle.

ja testweise habe ich das probiert, um zu testen, ob der vpn Server überhaupt erreichbar ist... Aber wie schon mehrmals erwähnt, habe ich versucht aus Fremdnetzwerken zu connecten, was nicht funktioniert...

 

[norKoeri]

Router keine ipv6 Verbindung beim vpn

Welche Hardware-Revision hast Du, V1 oder V2? Und welche Firmware-Version?

 

[flamy]

Ist die V2 und die aktuellste Firmware

 

[riversource]

Der ER605 steht als Exposed Host in der Fritzbox, alles also freigegeben, ohne Firewall etc.

Vorsicht, hier gibt es 2 verschiedene Wege. Zum einen hat der Omada ein delegiertes Prefix von der Fritzbox für sein LAN, zum anderen eine WAN Adresse aus dem LAN der Fritzbox. Die Freigabemechanismen dafür unterschiedlich und müssen separat betrachtet werden. Deshalb ist ein Zugriff auf ein Gerät im LAN des Omada auch was völlig anderes, als der Zugriff auf ein Gerät im LAN der Frtizbox. Beides ist nicht vergleichbar, und nur weil das eine funktioniert, heißt das noch lange nicht, dass auch das andere funktioniert.

Von meinem Smartphone geht es direkt auf den Router nicht (die Firewall für ipv6 wurde dafür testweise von mir im RE605 komplett deaktiviert.

Auch hier gibt es einen signifikanten Unterschied: Einmal willst du auf das LAN des Omada zugreifen, einmal auf seine WAN Schnittstelle. Im Kontext der Firewall ist das einmal INPUT und einmal FORWARD. Wieder kannst du beides nicht miteinander vergleichen, und wieder heißt das: nur weil das eine funktioniert, heißt das noch lange nicht, dass auch das andere funktioniert. Das Deaktivieren der Firewall bezieht sich wahrscheinlich nur auf FORWARD, aber nicht auf INPUT.

ja testweise habe ich das probiert, um zu testen, ob der vpn Server überhaupt erreichbar ist.

Worauf genau hast du da zugegriffen? Auf seine WAN Adresse? Auf seine LAN-Adresse? Was hast du gepingt?

 

[flamy]

Ich kann von der ipv4 Wan Adresse des Omada Routers Routers (Welche natürlich eine DHCP Adresse von der Fritzbox ist) von dem Netzwerk der Fritzbox aus zugreifen. Anpingen, kann ich die öffentliche ipv6 vom Omada Router ER605, auch von Fremdnetzen, wenn die Firewall deaktiviert ist. Also der Router sozusagen offen wie ein Scheunentor ist... Die Verbindung zum vpn Server geht leider trotzdem nicht mit der ipv6.

 

[flamy]

Habe noch mal eine andere Frage, ist aber jetzt speziell auf den ER605 Router beschränkt, ich kann in der Firewall Ports zu einzelne ipv6 Adressen freigeben, funktioniert auch wunderbar. Allerdings kann sich ja leider das ipv6 Präfix ändern. In der Fritzbox kann man ja eine feste IPv6 Interface-ID vergeben, und die Fritzbox setzt dann automatisch den aktuellen Präfix davor. Geht das auch bei dem T-Link Er605 irgendwie?

 

[flamy]

Ok, in vielen englischsprachigen Foren, haben viele das selbe Problem mit den VPN Servern auf dem Router, weder Openvpn noch Wireguard scheinen dort ipv6 fähig zu sein. Das ist wirklich ein Armutszeugnis, für Tp-Lik und dem Omada System.

 

[flamy]

Habe gerade vom Tp-Link Support bestätigt bekommen, das die internen VPN Dienste derzeit nur über ipv4 erreichbar sind. Willkommen im Jahr 2024....

 

[riversource]

Das hätte ich echt nicht erwartet.

 

[flamy]

Finde es auch sehr zweifelhaft, das ein Unternehmen wie TP-Link es nicht schafft, ipv6 richtig zu unterstützen, ist ja nicht so, dass es den Standard erst seit kurzen gibt...

 

[norKoeri]

kann sich ja leider das ipv6 Präfix ändern

Hast Du das mit der Port-Freigabe ebenfalls bzw. gesondert angesprochen?
Obwohl das Problem mit dynamischen IPv6-Präfixen und Port-Freigaben seit jetzt 11½ Jahren bekannt sein müsste – seit Ende 2012 bietet die Telekom Deutschland nämlich das genauso für uns Endkunden an –, hat erst letztes Jahr ein Test der Zeitschrift c’t gezeigt, dass das noch nicht überall angekommen ist … Manche Hersteller wollen, dass Du die IPv6-Adresse des Endgeräts ausgeschrieben mit allen Nullen angibst. Das wird dann mit dem aktuell zugeteilten IPv6-Präfix verodert. Manche wollen für Hosts zusätzlich noch „/128“ haben.

ipv6 richtig zu unterstützen

In vielen Ländern bekommst Du noch eine öffentliche IPv4. Daher kennen so Router-Programmierer die Situation gar nicht, dass man nach Außen vielleicht nur über eine IPv6 erreichbar ist. Dann denken die sich „IPv6“, wäre ein zusätzlicher Bonus. Der ER605 V1 kam anfangs sogar so, dass man anfangs nicht einmal IPv6-Internet surfen konnte. Daher unbedingt darauf hinweisen, dass Du keine Alternative hast (außer einen ganz anderen Internet-Anschluss zu buchen, was wegen einzuhaltenden Vertragslaufzeiten nicht trivial ist).

meinem Anschluss nur eine öffentliche ipv6 habe

Welchen Internet-Anbieter hast Du überhaupt, in welchem Land?

 

[KitKat::new()]

Manche Hersteller wollen, dass Du die IPv6-Adresse des Endgeräts ausgeschrieben mit allen Nullen angibst. Das wird dann mit dem aktuell zugeteilten IPv6-Präfix verodert

Wo ist das Problem? Oder meinst du 0000:0000:... Statt ::?

 

[norKoeri]

Bin mir nicht sicher, ob ich die Frage verstehe. Das Problem ist zum Einen die Darstellung, also

a) ist komprimiert erlaubt ::…​

b) kann es ausgeschrieben sein 0:0:0:…​

c) muss es voll ausgeschrieben sein 0000:0000:0000:00…​

d) muss zusätzlich mit Host /128 angehängt sein​

e) muss zusätzlich mit Host sein, aber in Form einer Maske … (Dank an …)​

Zum Anderen verodert fast kein Hersteller die IPv6, erfordert also die vollständige aktuelle IPv6. In letzterem Fall kann die Port-Freigabe dann nicht mit einem dynamischen zugeteilten sondern nur statischen zugewiesenen IPv6-Präfix genutzt werden. Oder man würde nach jeder Neu-Einwahl im Router-Menü die IPv6 ändern. Vielleicht hatte ich diese zwei unterschiedlichen Aspekte zu sehr vermischt?

 

[KitKat::new()]

Ich hatte es so aufgefasst, dass deiner Meinung nach verodern suboptimal wäre, aber scheint anders gemeint gewesen zu sein.
Wie man die Interface ID angeben muss (a-d), ist ja relativ unproblematisch, wobei a) natürlich vorzuziehen ist

 

[flamy]

Hast Du das mit der Port-Freigabe ebenfalls bzw. gesondert angesprochen?

Ja, aber das hat der Support nicht verstanden und mir dauernd erklären wollen, wie man das Präfix an die Clienten um Netzwerk verteilt ..

In vielen Ländern bekommst Du noch eine öffentliche IPv4. Daher kennen so Router-Programmierer die Situation gar nicht, dass man nach Außen vielleicht nur über eine IPv6 erreichbar ist. Dann denken die sich „IPv6“, wäre ein zusätzlicher Bonus

Naja, dann müssen sie mal über den Tellerrand schauen, TP-Link ist jetzt keine Hinterhof Firma.

Welchen Internet-Anbieter hast Du überhaupt, in welchem Land?

Deutschland, die deutsche Glasfaser

 

[norKoeri]

das hat der Support nicht verstanden

Hast Du das direkt per E-Mail gemacht oder über deren Community? Falls Letzteres, bitte mal verlinken.

dann müssen sie mal über den Tellerrand schauen

Genau das meine ich. Die sehen nur ihren Internet-Anschluss und haben keinen Plan von der Welt. Ich verstehe das auch nicht, dass wirklich so viele Hersteller dermaßen scheitern. Und wirklich schwer wäre die Lösung für TP-Link ja auch nicht. Letzte Nachfrage: Verwaltest Du über über die Web-Oberfläche oder irgendein Tool?

verodern suboptimal wäre

Ach so. Will man dynamische IPv6-Präfixe unterstützen, muss der Hersteller verodern. Wüsste nicht, wie es anders gehen könnte. Leider weiß man nie, ob der Hersteller das unterstützt. Folglich muss man (a-e) durchprobieren, wobei e dann die aktuelle IPv6 inklusive aktuellen Präfix ist. Hatte ich auch schon mal in der Hand. Der Hersteller änderte dann beim nächsten Präfix selbst das Präfix in der IPv6 ab.

Ist die V2

Laut dem Schnäppchen-Thread auf MyDealz.de existiere OpenWrt für jenes Modell. Keine Lösung, aber vielleicht ein Workaround.

 

[flamy]

Nein, hatte per Chat support nachgefragt, die Antwort kam dann per E-mail, weil es nicht bekannt war.

Ich verwalte alles mit dem Omada System von TP-Link

Ich habe alle Möglichkeiten wegen dem Präfix probiert, dass einzige, was geht ist die volle ipv6 in der Firewall zu verwenden.

 

[norKoeri]

Ich verwalte alles mit dem Omada System von TP-Link

Also den SDN-Controller 5.13.30.8 in Windows?

 

[flamy]

OC200 Controller mit omada ja