Ipv6 bei Deutsche Glasfaser

Was ist denn dein Ziel? Warum soll die Fritzbox von außen erreichbar sein? Wäre ja Mord so eine Büchse direkt ins Netz zu stellen. Dafür gibst es Dinge wie MyFritz die dir dein Vorhaben vereinfachen?:
https://avm.de/service/myfritz/faqs/myfritz-konto-erstellen-und-in-fritz ...

Oder was genau willst du erreichen?

Gruß Kümmel

Der TO denkt vermutlich falsch und meint die FB macht auch für IPv6 NAT was ja nicht der Fall ist.
Er bekommt ja immer ein dediziertes IPv6 Netzwerk mit einer öffentlichen IPv6 Adresse per PD vom Provider zugewiesen für sein lokales LAN, sprich hat also im lokalen ein öffentlich erreichbares IPv6 Netz. Simpler Klassiker wie es jeder Provider bei IPv6 macht...
Allerdings arbeitet die Firewall der FB wie sie soll und blockt alle eingehenden Sessions sowie ICMPv6 Ping, so das man lokale IPv6 Adressen ohne ein entsprechendes Customizing der FB Firewall von außen nicht erreichen und pingen kann.
Genau das also was eine Firewall ja bekanntlich auch leisten soll um das lokale LAN zu schützen!
Fazit: IPv6 Firewall richtig customizen, dann kannst du auch lokale IPv6 Hosts von außen problemlos erreichen!

Hallo zusammen,

In der Regel ist der Provider egal, denn die haben heute fast alle ein eigenes Netz zwischen dem Internet
und Ihren Kunden! Carrier grade NAT, und in Deutschland ist es auch fast egal wer Dir einen Internetzugang
zur Verfügung stellt, da bekommt man eben nur sehr selten als private Person fast nie eine statische (feste/fixe)
IP Adresse! Also Du solltest einmal My!Fritz mit ins "Auge fassen" oder einen JumpHost im Internet bei einem
Provider besorgen!

Offene Ports sind einfach aber noch unsicherer geht es bald auch nicht mehr! Wenn Dein NAS oder RaspBerry PI
erst einmal Spam und Vire versendet ist das schnell vorbei mit Deinem Internetzugang bei Deinem ISP! Also
mach das lieber per VPN und dort steht WireGuard und IPSec zur Verfügung und das sollte dann auch für Dich
nicht das Problem sein.

Das mag alles sein nur würde ich persönlich immer per VPN auf die Resource hinter dem Internetrouter
zugreifen wollen dann das bietet eben auch die geringste Angriffsfläche. Selbst Firmen haben heute Ihre
Server nicht voll im Internet stehen, das sind dann Reserve-Proxys vorgeschaltet und die öffentlichen IPs
werden nur auf der Firewall hinterlegt und die Server selber haben sehr oft nur private IPs in der DMZ
vergeben. Damit da eben keiner mehr so einfach rankommt!

My!Fritz und VPN ist die Wahl die schnell und unkompliziert zu installieren ist. Sicher ist etwas anderes
aber offene Port am Internet für NAS und Server sollte man heute nicht mehr betreiben.

Dobby

Hallo nochmal,

Kein Thema.

Ist eben so eine Sache, WireGuard ist schon nett nur eben noch im Betastadium und mittels der Labor
Firmware von AVM die also auch noch einmal im Beta Stadium ist! Und da kann es eben an gewissen
Sachen liegen (Misserfolge) die wir hier alle noch gar nicht abschätzen können!

My!Fritz ist gier Dein Freund der lässt Dich eben genau das machen was Du ansonsten mittels eines
kleinen Servers bei einem Provider machen würdest bzw. damit erreichen würdest, nur eben kostenlos
und genau auf Deine AVM FB abgestimmt!

• 1. My!Fritz Account einrichten

Let's Encrypt auf Fritzbox-Routern von AVM

• 2. My!Fritz in der AVM FB aktivieren

My!Fritz AVM FB einrichten und aktivieren

• 3. Ein Let`s encrypt Zertifikat erstellen

Eventuell ein eigenes schon vorhandenes Zertifikat importieren

• 4. Zertifikat auf die Geräte verteilen (PC, Mac, Mobil, usw.....)

FRITZ!Box Zertifikat herunterladen und am Computer importieren

Und erst wenn das fertig ist, dann bitte das VPN einrichten!
Bein meinem iPhone war das danach in 15 Minuten erledigt und das auch nur weil auf dem Smartphone die
fummelige Tastatur manchmal nicht so das Wahre ist! (Oder ich zu ungeschickt bin)


Mobile Geräte (Klienten) einrichten und mit der AVM FB per VPN verbinden:
AVM VPN Android
VPN zur FRITZ!Box unter Android einrichten
AVM VPN iOS
VPN zur Fritz!Box unter iOS einrichten

PC und Laptop (Klienten) einrichten und mit der AVM FB per VPN verbinden:
AVM VPN MacOS
VPN zur Fritz!Box unter MacOS einrichten
AVM VPN Windows
VPN zur Fritz!Box unter Windows einrichten
AVM VPN Linux
VPN zur Fritz!Box unter Linux einrichten

Alternative VPN Klienten:
ShrewsSoft VPN Klient an AVM FB einrichten
ShrewSoft VPN Klient
The GreenBow VPN Klient
GreeBow VPN Klient

AVM Labor Versionen für FBs:
Labor Firmware
Falls Du doch lieber WireGuard ausprobieren möchtest!

Alternative VPN Verbindungen
VPN Lösung eines anderen Herstellers im Heimnetz einsetzen
Für den Fall das Dein NAS oder Dein Server so etwas anbieten
AVM FB mit einem Firmen VPN verbinden
Falls es mal dazu kommt

AVM APPs für Android und iOS:
AVM FB APPs
APPs mit denen man auch von unterwegs mittels VPN immer mit der AVM FB und dem gesamten Heimnetz verbunden ist

Dobby

Quellenhinweise

AVM
heise.de
GreenBow
ShrewSoft

Nope! Nicht immer. Die Telekom macht z.B. sauberen Dual Stack ohne Lite mit 2 öffentlichen IP Adressen für v4 und v6.
https://avm.de/service/vpn/uebersicht/
Merkzettel: VPN Installation mit OpenVPN
Merkzettel: VPN Installation mit Wireguard
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Usw. usw... Lesen und verstehen.

Die Fritzbox kann kein VPN über IPv6.

MyFritz Account anlegen
MyFritz Daten (URL) in AVM FB hinterlegen mit Anmeldedaten
MyFritz aktivieren
In der AVM FB einen Benutzer anlegen und dort wird dann auch VPN hinterlegt!
Lets encrypt certificate auf der AVM FB erstellen lassen
Zertifikat auf PC und Mobilgeräte exportieren und in Browser und Zertifikatsstelle einbinden (hinterlegen)
IPSec VPN Zugang mit der URL (MyFritz) und den Anmeldedaten in Android anlegen.

Welche AVM FB ist das denn? Und welche Firmware ist denn darauf installiert.

Dobby

Wie meinst du das jetzt?? Nur mit einer FritzBox und in Kombination mit einem DS-Lite Anschluss??
Oder allgemein? Die Frage ist etwas zu oberflächlich gestellt als das man zielführend antworten kann.

Nur so viel...

• Inbound, also das dein Router als VPN Server bzw. Responder auf eingehende VPN Verbindungswünsche remoter Clients oder Lokationen mit IPv4 antwortet, ist technisch auf einem DS-Lite Anschluss wegen CGN generell nicht möglich! Siehe oben...
• Outbound, also der Initiator Mode mit IPv4, wo der Router aktiv selber einen VPN Tunnel aufbaut klappt mit IPv4.
• VPN mit IPv6 klappt nur mit einer FritzBox nicht, da sie das (derzeit) schlicht und einfach als einfache Consumerbox nicht supportet. Mit anderer Router oder Firewall Hardware klappt das aber schon.

• Wir sollten Deine AVM FB kennen (Modell) und das darauf installierte FritzOS (Firmware)
• Wir sollten auch Dein Smartphone (Marke/Hersteller und Modellnummer) kennen und das dort installierte Android (Version)

__________________________________________________________________________________________________________________________________
AVM IPSec VPN unter Android einrichten
Ausführliche Anleitung mit Video

Google Pixel Android 11 und 12 Hinweis
Schon gelesen? Sind auch wichtige Hinweise drinnen die interressant sein könnten

My!Fritz APP
Als Alternative zu dem VPN

Dobby

Ist aber für ihn aussichtslos an einem DG Glasfaseranschluß mit DS-Lite. Mit IPv4 ist er da sowieso chancenlos und auch mit IPv6 bei AVM Hardware, weil die FB VPNs mit IPv6, wie Kollege @tikayevent schon gesagt hat, nicht supportet.
Es geht nur mit einem DG Businnes Vertrag da bekommt er eine öffentliche v4 IP oder wenn seine Oma Grete oder ein Freund auch eine FB hat, die dann aber eine öffentliche v4 IP haben muss.
Dann kann seine FB dorthin einen v4 Tunnel aufbauen und er nutzt diese "externe" FB dann als "Jumprouter" für sein VPN Zugang.
Alternativ geht das mit einem vServer als IPv4 Jumphost.
DS-Lite und IPv4 VPNs ist prinzipbedingt immer eine sehr schlechte Kombination.