Endgeräte mit IPv6 nicht aus dem Internet erreichbar (hinter Mikrotik-Router und FRITZ!Box)

mjohanning99
Guten Abend zusammen!

ich habe mir einen Mikrotik-Router geholt und diesen hinter meine FRITZ!Box 6660 Cable gehängt und komme auch ohne Probleme ins Internet. Ich habe nun auch IPv6 aktiviert, damit ich auf meine Endgeräte vom Internet aus zugreifen kann und bekomme von der FRITZ!Box auch einen 62er Präfix und eine 64er Adresse für den Mikrotik selbst zugewiesen. Die FRITZ!Box ist mit dem Ethernet-1-Port des Mikrotik verbunden.

Der Mikrotik vergibt dann 64er IPv6-Adressen an die jeweiligen Geräte in VLANs 10 und 20 und ich kann nun auch ohne Probleme von diesen Geräten aus auf öffentlich erreichbare IPv6-Adressen zugreifen (das Anpingen von 2001:4860:4860::8888 ist beispielsweise ohne Probleme möglich). Die anderen Geräte im Netzwerk kann ich auch ohne Probleme per IPv6 erreichen. Wenn ich allerdings nun versuche, aus dem Internet aus auf eines der Endgeräte zuzugreifen, so funktioniert dies leider nicht und ich bekomme stattdessen einfach immer einen Timeout. Interessanterweise kann ich aber auf die Weboberfläche des Mikrotik aus dem Internet ohne Probleme zugreifen, nur halt auf die Clients in den beiden VLANs hinter dem Mikrotik nicht.

Ich bin nun ein wenig verwirrt warum das ganze nicht funktioniert. Firewall-Regeln habe ich am Mikrotik keinerlei gesetzt und auf den Endgeräten, die ich von außen erreichen will, ist der Inbound-Traffic für die zu erreichbaren Ports freigegeben (für IPv4 und IPv6). Ich kenne mich mit IPv6 leider auch nicht so gut aus und wollte das Ganze als Übung einmal durchführen nur hänge halt gerade an diesem Schritt fest. Anbei auch ein paar Screenshots von der IPv6-Konfiguration auf dem Mikrotik.

Ich hoffe, dass mir hier einer weiterhelfen kann und hoffe, dass meine Frage nicht allzu dumm ist.

Edit: Ich kann die IPv6-Adressen der jeweiligen Hosts auch dann anpingen, wenn ich ein Gerät direkt mit der FRITZ!Box verbinde; sobald ich jedoch einen Ping von außerhalb durchführe, erscheint bei mir der Error "Destination unreachable: Administratively prohibited"
screenshot 2021-12-01 at 17.50.41
screenshot 2021-12-01 at 17.50.48
screenshot 2021-12-01 at 17.50.55

Content-Key: 1576611129

Url: https://administrator.de/contentid/1576611129

Ausgedruckt am: 23.01.2022 um 05:01 Uhr

Mitglied: Visucius
Visucius 01.12.2021 aktualisiert um 18:10:32 Uhr
Goto Top
ich habe mir einen Mikrotik-Router geholt und diesen hinter meine FRITZ!Box 6660 Cable gehängt und komme auch ohne Probleme ins Internet. Ich habe nun auch IPv6 aktiviert, damit ich auf meine Endgeräte vom Internet aus zugreifen kann und bekomme von der FRITZ!Box auch einen 62er Präfix und eine 64er Adresse für den Mikrotik selbst zugewiesen. Die FRITZ!Box ist mit dem Ethernet-1-Port des Mikrotik verbunden.

Ich halte das ja für naiv.
Meinst Du die Firewall und das NAT in der Fritze werden bei ipv6 praktischer Weise gleich mit deaktiviert?! Das wäre doch Unsinn?! Du hast doch mit ipv6 zunächst mal die gleichen Hürden, wie bei ipv4?!
Mitglied: mjohanning99
mjohanning99 01.12.2021 aktualisiert um 18:19:40 Uhr
Goto Top
Zitat von @Visucius:
Ich halte das ja für naiv.
Meinst Du die Firewall und das NAT in der Fritze werden bei ipv6 praktischer Weise gleich mit deaktiviert?! Das wäre doch Unsinn?! Du hast doch mit ipv6 zunächst mal die gleichen Hürden, wie bei ipv4?!

Ich bin was IPv6 betrifft ja, wie ich bereits gesagt habe, definitiv kein Experte sondern habe das hier hauptsächlich zum Testen einmal aufgebaut. Allerdings bin ich mir nicht sicher, inwiefern NAT oder die Firewall der FRITZ!Box deaktiviert worden sein sollten.
Mitglied: Visucius
Visucius 01.12.2021 um 18:29:26 Uhr
Goto Top
Wenn ich allerdings nun versuche, aus dem Internet aus auf eines der Endgeräte zuzugreifen, so funktioniert dies leider nicht und ich bekomme stattdessen einfach immer einen Timeout.

Interessanterweise kann ich aber auf die Weboberfläche des Mikrotik aus dem Internet ohne Probleme zugreifen, nur halt auf die Clients in den beiden VLANs hinter dem Mikrotik nicht.

Ok, den zweiten Satz hatte ich überlesen – und mich wundert schon das. D.h. Du hast Freigaben/Routing in der Fritze erstellt?!

Im Standard(!) läuft am Port 1 bei routerOS mW. eine Firewall?! Oder hast Du ihn manuell von "scratch" aufgebaut?!
Mitglied: mjohanning99
mjohanning99 01.12.2021 um 18:44:18 Uhr
Goto Top
Zitat von @Visucius:
Ok, den zweiten Satz hatte ich überlesen – und mich wundert schon das. D.h. Du hast Freigaben/Routing in der Fritze erstellt?!

Im Standard(!) läuft am Port 1 bei routerOS mW. eine Firewall?! Oder hast Du ihn manuell von "scratch" aufgebaut?!

Die Default-Konfiguration habe ich nach Erhalt der Firewall direkt gelöscht und, wie du bereits gesagt hast, alles von Anfang an aufgebaut. Und ja, in der FRITZ!Box sind Freigaben für den Mikrotik selbst und auch ein Routing in die IPv6-Subnets hinter dem Mikrotik eingerichtet. Freigaben für die Geräte hinter dem Mikrotik kann ich ja nicht erstellen — zumindest nicht, dass ich wüsste. Vielleicht habe ich bei dem Routing auch etwas falsch gemacht — aber dann käme ich ja eigentlich auch nicht ins Internet, oder?
Mitglied: mjohanning99
Lösung mjohanning99 01.12.2021 um 19:28:45 Uhr
Goto Top
Ich habe das Problem lösen können, es war wohl eine Fehlkonfiguration der FRITZ!Box. Ich musste hier die "Firewall für deligierte IPv6-Präfixe dieses Gerätes öffnen"-Option aktivieren. Jetzt kann ich ohne Probleme auf die Endgeräte aus dem Internet zugreifen
screenshot 2021-12-01 at 19.27.29
Heiß diskutierte Beiträge
general
Liste von URLs in wininet.dllFennek11Vor 1 TagAllgemeinInternet13 Kommentare

Hallo, die Frage ist zugleich enrsthaft und Satire: Windows enthält die Datei "c:\windows\system32\wininet.dll", die für viele Verbindungen ins Internet benötigt wird. Ein Blick in die ...

question
2 Faktor Authentifizierung generell abschaltenratzekahl1Vor 1 TagFrageGoogle Android9 Kommentare

Hallo zusammen, ich habe eine Frage: Kann ich in Google die 2 Faktor Authentifizierzung generell abschalten? Wenn ich ein Gerät als vertrauenswürdig hinzugefügt habe, ja, ...

question
Netzwerk Grafisch darstellen?FireWorldVor 1 TagFrageInternet8 Kommentare

Hallo, ich bin der Zeit auf der Suche nach einem Programm zur Grafischen Darstellung von inbound/outbound eines Servers in einem Rechenzentrum. Hat Jemand eine idee ...

info
Ruhe in Frieden, HackbratenVision2015Vor 1 TagInformationOff Topic5 Kommentare

Der US-Sänger Meat Loaf ist tot. Er starb laut seiner Facebook-Seite in der vergangenen Nacht im Alter von 74 Jahren. Meat Loaf, mit bürgerlichem Namen ...

question
Fritz Repeater 1750E "verloren"reksierpVor 1 TagFrageHardware9 Kommentare

Hallo, ich habe ein 150 Jahre altes Haus (ehemaliger Dorf-Bahnhof), sehr verwinkelt, viele Räume, mit Anbau, 2 Kriech-Dachböden. Vor mehreren Jahren hab ich einige Repeater ...

question
Tablet-Display defekt: wie Zugriff auf DatenMahstarDVor 1 TagFrageGoogle Android6 Kommentare

Guten Abend, ich habe ein Tablet überreicht bekommen mit der Bitte um den Versuch einer Datenrettung. Tablet: Samsung Galaxy Tab-A (2016, SM-T585) Das Display ist ...

info
SonicWall Bootloop seit letzter NachtSt-AndreasVor 1 TagInformationFirewall2 Kommentare

Sonicwall Gen 7 spielen Bootloop seit letzter Nacht. Hilfe dazu hier ...

question
Verständnisproblem SubnettingKarolaVor 18 StundenFrageNetzwerkgrundlagen6 Kommentare

Hallo, möchte mal nerven weil ich keine Antwort finde Ein Netzwerk 172.16.0.0 /16 besteht aus einem alten Router als 4 Port Switch und 4 Clients. ...