12
Verbindung von aussen bei DG IPv6 Anschluss
Hallo Zusammen,
seit einiger Zeit bin ich nun zur Deutschen Glasfaser gewechselt.
Da ich aktuell etwas zeit habe, wollte ich mir nun gerne wieder einen externen zugang mittels VPN einrichten.
Die DG stellt allerdings im Privatbereich lediglich einen DS-Lite anschluss bereit weswegen ich das Interne VPN der verwendeten Ftritzbox vergesen kann (Kein IPv6 Support).
Soweit so gut, also dachte ich mir richte ich mir einen Pi mit PIVPN ein damit sollte das ganze zu meistern sein.
Kurz gesagt funktioniert nichts. Bei meiner recherche stoße ich zum teil zu komplett unterschiedlichen konfigurationen der server.conf für eine IPv6 Verwendung.
Damit würde ich mich aber später noch einmal auseinander setzen, denn es ist mir derzeitig nicht einmal möglich einen einfachen Ping6 auf dem PI abzusetzen.
Um ehrlich zu sein habe ich kaum erfahrungen mit der verwendung von IPv6.
Der Pi selber hat 4 adressen:
1) 2a00:aaaa:aaaa:aaaaa:bbbb:bbbb:bbbb:bbbb
2) 2a00:aaaa:aaaa:aaaaa:cccc:cccc:cccc:cccc
3) fe80::bbbb:bbbb:bbbb:bbbb
4) fe80::cccc:cccc:cccc:cccc
Soweit ich das verstanden habe sind nun für einen ausseneinsatz 1 / 2 relevant.
c entspricht der IPv6 interface ID des gerätes laut fritzbox, und hier ist auch die portfeigabe gesetzt.
Im LAN kann ich den pi und auch das VPN über adresse 1 ansprechen, aber aus dem Internet ist keine der adressen ansprechbar noch pingbar.
Ping6 ist in der Fritzbox für dieses gerät aktiviert.
Wenn ich nun vom Pi aus z.B. ipv6-test.com aufrufe wird mir gesagt das ICMP pakete gefiltert werden, ich wüsste aber nicht wo ich noch weitere konfigurationen durchführen könnte?
Kann es sein das das Glasfaser Modem hier alle anfragen aus dem Netz blockiert?
Falls Ihr ideen habt was ich noch einstellen/testen könnte wäre das super.
Vielen Dank.
seit einiger Zeit bin ich nun zur Deutschen Glasfaser gewechselt.
Da ich aktuell etwas zeit habe, wollte ich mir nun gerne wieder einen externen zugang mittels VPN einrichten.
Die DG stellt allerdings im Privatbereich lediglich einen DS-Lite anschluss bereit weswegen ich das Interne VPN der verwendeten Ftritzbox vergesen kann (Kein IPv6 Support).
Soweit so gut, also dachte ich mir richte ich mir einen Pi mit PIVPN ein damit sollte das ganze zu meistern sein.
Kurz gesagt funktioniert nichts. Bei meiner recherche stoße ich zum teil zu komplett unterschiedlichen konfigurationen der server.conf für eine IPv6 Verwendung.
Damit würde ich mich aber später noch einmal auseinander setzen, denn es ist mir derzeitig nicht einmal möglich einen einfachen Ping6 auf dem PI abzusetzen.
Um ehrlich zu sein habe ich kaum erfahrungen mit der verwendung von IPv6.
Der Pi selber hat 4 adressen:
1) 2a00:aaaa:aaaa:aaaaa:bbbb:bbbb:bbbb:bbbb
2) 2a00:aaaa:aaaa:aaaaa:cccc:cccc:cccc:cccc
3) fe80::bbbb:bbbb:bbbb:bbbb
4) fe80::cccc:cccc:cccc:cccc
Soweit ich das verstanden habe sind nun für einen ausseneinsatz 1 / 2 relevant.
c entspricht der IPv6 interface ID des gerätes laut fritzbox, und hier ist auch die portfeigabe gesetzt.
Im LAN kann ich den pi und auch das VPN über adresse 1 ansprechen, aber aus dem Internet ist keine der adressen ansprechbar noch pingbar.
Ping6 ist in der Fritzbox für dieses gerät aktiviert.
Wenn ich nun vom Pi aus z.B. ipv6-test.com aufrufe wird mir gesagt das ICMP pakete gefiltert werden, ich wüsste aber nicht wo ich noch weitere konfigurationen durchführen könnte?
Kann es sein das das Glasfaser Modem hier alle anfragen aus dem Netz blockiert?
Falls Ihr ideen habt was ich noch einstellen/testen könnte wäre das super.
Vielen Dank.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 563506
Url: https://administrator.de/contentid/563506
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
12 Kommentare
Neuester Kommentar
richte ich mir einen Pi mit PIVPN ein
Was bitte soll das für eine Art VPN sein ? IPsec, L2TP, SSL ??Wie kommst du auf die Idee das das IPsec VPN der FB kein v6 kann ? Die FB kann ja selber IPv6. Ist das irgendwo in den Datenblättern zum FritzOS oder FritzBox dokumentiert ?
Um ehrlich zu sein habe ich kaum erfahrungen mit der verwendung von IPv6.
Dann solltest du dich besser erstmal grundsätzlich schlau machen mit einem kostenlosen guten Buch bevor wir hier ins Eingemachte gehen !https://danrl.com/projects/ipv6-workshop/
Das ist nicht böse gemeint aber hilft allen hier, da man dir nicht immer alle Basisfunktionen des IPv6 Protokolls einzeln erklären muss. In einem Administrator Forum sollte man einige Grundlagen wissen.
Der Pi selber hat 4 adressen:
1.) und 2.) = das vom Provider dir per /64er Prefix Delegation zugeteilte öffentliche lokale IPv6 Netz. Einmal mit einer SLAAC Adresse und einmal mit einer Random v6 Adresse um dich nicht trackbar zu machen. Sog Privacy Extension:https://www.heise.de/ct/artikel/IPv6-Privacy-Extensions-einschalten-1204 ...
3.) und 4.) die stinknormalen Link local Unicast Adressen
Soweit ich das verstanden habe sind nun für einen ausseneinsatz 1 / 2 relevant.
Ja.aber aus dem Internet ist keine der adressen ansprechbar noch pingbar.
Logisch ! Denn das verhindert die Firewall deines Routers.Es wäre ja fatal wenn dein lokales IPv6 LAN vollkommen ungeschützt aus dem Internet erreichbar wäre. Das wirst ja sogar auch du wohl hoffentlich verstehen.
Wenn du pingen willst musst du in der Firewall erst ICMP von außen erlauben. Zugriff auf bestimmte lokale IPv6 Adressen geht auch logischerweise nur wenn du das explizit in der Firewall zulässt !
Zeigt wie wenig du leider nachdenkst aber wie gut dein IPv6 Router funktioniert !!
ich wüsste aber nicht wo ich noch weitere konfigurationen durchführen könnte?
Wie immer in der Firewall deines Internet Routers. Wo auch sonst ?!Kann es sein das das Glasfaser Modem hier
Meinst du damit ein reines Modem also nur einen Medienwandler Glas/Kupfer oder hast du hier mal wieder laienhaft den Begriff Router und Modem verwechselt ?!Du solltest hier schon etwas pärziser sein für eine zielführende Hilfe !
Nur so viel: Ein Modem ist ein passiver Medienwandler auf Layer 1 und nicht am IP Paket Forwarding beteiligt. Folglich kann also ein reines Modem niemals irgentetwas blocken weil es gar nicht weiss was TCP/IP ist !
Das kann natürlich nur ein Router.
Fragt sich also von was du jetzt genau redest ?!
https://avm.de/service/fritzbox/fritzbox-6360-cable/wissensdatenbank/pub ...
Nur nebenbei: Du hast einen einfachen IPv6 Consumer Anschluss mit wechselndem Prefix. Deshalb wird auch dein lokales IPv6 Netz immer wechseln. Für einen stabilen remoten Zugang ist das nicht gerade hilfreich und erfordert etwas Handarbeit und DNS Customizing bei der Einrichtung.
Bei IPv6 braucht man auch kein VPN in dem Sinne, denn du bekommst bei v6 ja so oder so immer ein öffentliches lokales Netz was remote immer erreichbar ist. Es gibt ja kein NAT mehr.
Das Problem ist hier wie bei IPv4 das du immer und immer wieder wechselnde IP Adressen hast. Bei IPv6 nicht nur die WAN IP sondern zusätzlich auch noch das lokale LAN was es so bei v4 nicht gibt.
Es wäre daher auf die Dauer sinnvoller du forderst bei deinem Provider ein fixes IPv6 Prefix an. Das ist mit einem simplen Anruf in der Kunden Hotline erledigt. Damit befreist du dich dann von der Bürde der ewig wechselnden IPv6 Adressen was für einen remoten Zugang immer kontraproduktiv ist wie du dir sicher selber denken kannst.
pivpn ist ein Skript welches openvpn und wohl auch wireguard einrichtet.
Es hat leider einen gravierenden Fehler. Es unterstützt kein IPv6.
https://github.com/pivpn/pivpn/issues/259
Die Fritzbox kann kein VPN via IPv6. Das ist allgemein bekannt und kann auch in den FAQs von AVM nachgelesen werden.
Es hat leider einen gravierenden Fehler. Es unterstützt kein IPv6.
https://github.com/pivpn/pivpn/issues/259
Die Fritzbox kann kein VPN via IPv6. Das ist allgemein bekannt und kann auch in den FAQs von AVM nachgelesen werden.
1
1. mit eingeschalteten PE hast du wenig Freude, schalte am Raspi die Privacy Extensions aus:
in
die Zeile
Jetzt solltest du nur noch eine weltweit gültige IPv6-Adresse haben. (ggf. Neustart Netzwerk/Rechner)
Richte dir jetzt eine Myfritz-Freigabe ein. Diese hat den Vorteil, dass du auch gleich einen DNS-Namen dazu bekommst. Der ist zwar hässlich, aber trotzdem nützlich für Stabilität (via Bookmarks, Konfigurationsdateien)
Die Freigabe will meist einen TCP-Port haben. Du kannst aber aber auch nachträglich weitere Freigaben auf dem Gerät machen bis hin zum exposed host.
Trage eine Ausnahme im DNS-Rebindschutz der Fritzbox ein!
2. Prüfe die Erreichbarkeit von innen und außen, ggf. installiere dir dazu kurz den apache mit der Beispielseite. (z.B. https://ipv6-test.com/validate.php )
3. Befasse dich nun mit der Installation deines VPN. In der ct 15/19 war ein guter Artikel mit Wireguard.
Auf meiner Homepage findest du eine Möglichkeit das mit OpenVPN einzurichten.
4. Bedenke, dass Verbindungen nur von IPv6-Gegenstellen möglich sind. Also z.B. vom Handy mit einer SIM der Telekom oder von Vodafone oder eben von anderen Anschlüssen mit DS-lite oder Dualstack.
Hinweise zu den APN-Einstellungen findest du ebenfalls dazu auf meiner Webseite. Nutze dazu ein Suchmaschine deiner Wahl mit dem Stichworten "apn ipv6".
in
/etc/dhcpcd.conf slaac hwaddrJetzt solltest du nur noch eine weltweit gültige IPv6-Adresse haben. (ggf. Neustart Netzwerk/Rechner)
Richte dir jetzt eine Myfritz-Freigabe ein. Diese hat den Vorteil, dass du auch gleich einen DNS-Namen dazu bekommst. Der ist zwar hässlich, aber trotzdem nützlich für Stabilität (via Bookmarks, Konfigurationsdateien)
Die Freigabe will meist einen TCP-Port haben. Du kannst aber aber auch nachträglich weitere Freigaben auf dem Gerät machen bis hin zum exposed host.
Trage eine Ausnahme im DNS-Rebindschutz der Fritzbox ein!
2. Prüfe die Erreichbarkeit von innen und außen, ggf. installiere dir dazu kurz den apache mit der Beispielseite. (z.B. https://ipv6-test.com/validate.php )
3. Befasse dich nun mit der Installation deines VPN. In der ct 15/19 war ein guter Artikel mit Wireguard.
Auf meiner Homepage findest du eine Möglichkeit das mit OpenVPN einzurichten.
4. Bedenke, dass Verbindungen nur von IPv6-Gegenstellen möglich sind. Also z.B. vom Handy mit einer SIM der Telekom oder von Vodafone oder eben von anderen Anschlüssen mit DS-lite oder Dualstack.
Hinweise zu den APN-Einstellungen findest du ebenfalls dazu auf meiner Webseite. Nutze dazu ein Suchmaschine deiner Wahl mit dem Stichworten "apn ipv6".
1
Es mag sein, dass ein DG auch statische Präfix anbietet. Andere Provider tun dies nur gegen Aufpreis für Geschäftskunden. Ein VPN lässt sich auch mit Dyndns betreiben. Ich mache dies schon seit mehren Jahren so.
Zum Sinn oder Unsinn eines VPN: Du hast natürlich recht. Bei IPv6 kann man vieles direkt machen, z.B. ssh
Manche haben aber daheim noch Sachen, die nur IPv4 können oder nicht richtig verschlüsseln oder die man aus anderen Gründen lieber hinter der Firewall behalten möchte. Für solche Fälle sind VPN nach wie vor nützlich, auch an Anschlüssen mit wechselnden IP Adressen.
Zum Sinn oder Unsinn eines VPN: Du hast natürlich recht. Bei IPv6 kann man vieles direkt machen, z.B. ssh
Manche haben aber daheim noch Sachen, die nur IPv4 können oder nicht richtig verschlüsseln oder die man aus anderen Gründen lieber hinter der Firewall behalten möchte. Für solche Fälle sind VPN nach wie vor nützlich, auch an Anschlüssen mit wechselnden IP Adressen.
1
Hallo aqui vielen Dank für Ihre Rückmeldung. Wenn ich mir Ihre anderen postings auf dieser Seite so anschaue scheinen Sie ein ordentliches know how im bereich VPN zu besitzen, dennoch kann ich keineswegs verstehen warum mann so unfreundlich und beleidigend sein muss.
Da Sie sich die Zeit genommen haben mir eine Rückmeldung zu schreiben (auch wenn ich da keinerlei lösungshilfe drinn ersehe) möchte ich so fair sein und auch Ihnen eine Rückmeldung auf Ihre aufgeführten Punkte geben:
Ich komme auf die Idee weil AVM dies selber sagt, eingehende VPN verbindunggen auf v6 basis werden nicht unterstützt.
Hierzu einfach mal die stichworte "Fritzbox, IPv6 und VPN" in google eingeben und die erste Seite begutachten:
AVM Wissensdatenbank
Sorry wenn ich meinen Text etwas sehr laienhaft geschrieben hab. Grundsätzliche IT kentnisse sind durchaus vorhanden.
In der Ausbildung haben wir damals auch das grundkonzept von IPv6 bereits durchgenommen. Prüfungsrelevant und schwerpunkt war zu dieser zeit aber eben v4. Da ich danach auch nicht mehr wirklich mit v6 netzen zu tun gehabt habe ist da auch ein wenig was in vergessenheit geraten. Wenn es für mich relevanter wird werde ich hierzu auch nochmal ein buch wälzen aber nicht um ein einfaches heim VPN einzurichten.
Danke das ist doch einer der kerne den ich wissen wollte, btw. privacy extension ist zum testen schon seit einigen tagen abgeschaltet.
Danke für die mehrfache beleidigung, natürlich ist mir bewusst das die Firewall dementsprechen konfiguriert werden muss!
Mit der Aussage:
Dachte ich das ich dies zum ausdruck gebracht hätte. Ich habe nicht alles was ich in den vergangenen Tagen gemacht oder getestet habe oben aufgeführt weil der Text dann einfach zu lang geworden wäre.
Zur info selbst wenn ich folgende drei eintellungen in der Fritzbox vornehme werden ICMP pakete weiter gefiltert:
- Ping 6 Freigeben
- Firewall für deligierte IPv6 Präfixe für dieses gerätes öffnen
- Dieses Gerät komplett für den Internetzugriff über IPv6 freigeben (exposed Host)
Da man vor lauter Bäumen den Wald manchmal nicht mehr sieht habe ich gedacht wende ich mich an dieses Forum vllt kann mir hier ja auf anhieb geholfen werden was ich falsch gemacht habe...
Danke für den tipp, falls Sie noch eine explizietere Information haben wo ich was übersehen haben könnte wär das super.
Ja ich meine ein Modem oder in diesem fall ONT. Ja mir ist ebenfalls bewusst das ein Modem regulär nur auf OSI Layer 1 arbeitet. Danke für den IT grundkurs. Leider finde ich zu dem hier verbauten ONT jedoch keinerlei Datenblatt oder ähnliche informationen ob es lediglich nur ein modem ist oder noch weitere funktionen erfüllt. Hätte ja sein können das vllt noch ein DG kunde hier mitliest und etwas mehr über die büchse weis. Fakt ist das ich meiner meinung nach zum Testen bereits in meinem Router mein netzwerk wie ein scheunentor geöffnet hatte und dennoch keine ICMP pakete von aussen druchkamen.
Daher habe ich einfach das modem als unbekannten mit in die diskussion gebracht.
Den link habe ich mir nochmal angeschaut beinhaltet aber nichts was nicht schon gemacht worden wäre...
Weiss nicht was das nun mit meinem momentanen problem zu tun hat.
Soweit die Theorie, wenn ich dennoch nicht auf das Gerät aus welchem grund auch immer zugreifen kann bringt es mir nichts.
Desweiteren habe ich im meinem Netzwerk geräte die kein v6 unterstützen, diese könnte ich so oder so nicht erreichen.
Daher hilf dann doch nur das VPN.
Ja in der tat gebe ich Ihnen hier recht, hat aber immer noch nichts mit meinem akuten problem zu tun
Da Sie sich die Zeit genommen haben mir eine Rückmeldung zu schreiben (auch wenn ich da keinerlei lösungshilfe drinn ersehe) möchte ich so fair sein und auch Ihnen eine Rückmeldung auf Ihre aufgeführten Punkte geben:
Zitat von @aqui:
Wie kommst du auf die Idee das das IPsec VPN der FB kein v6 kann ? Die FB kann ja selber IPv6. Ist das irgendwo in den Datenblättern zum FritzOS oder FritzBox dokumentiert ?
Wie kommst du auf die Idee das das IPsec VPN der FB kein v6 kann ? Die FB kann ja selber IPv6. Ist das irgendwo in den Datenblättern zum FritzOS oder FritzBox dokumentiert ?
Ich komme auf die Idee weil AVM dies selber sagt, eingehende VPN verbindunggen auf v6 basis werden nicht unterstützt.
Hierzu einfach mal die stichworte "Fritzbox, IPv6 und VPN" in google eingeben und die erste Seite begutachten:
AVM Wissensdatenbank
Zitat von @aqui:
Dann solltest du dich besser erstmal grundsätzlich schlau machen mit einem kostenlosen guten Buch bevor wir hier ins Eingemachte gehen !
https://danrl.com/projects/ipv6-workshop/
Das ist nicht böse gemeint aber hilft allen hier, da man dir nicht immer alle Basisfunktionen des IPv6 Protokolls einzeln erklären muss. In einem Administrator Forum sollte man einige Grundlagen wissen.
Dann solltest du dich besser erstmal grundsätzlich schlau machen mit einem kostenlosen guten Buch bevor wir hier ins Eingemachte gehen !
https://danrl.com/projects/ipv6-workshop/
Das ist nicht böse gemeint aber hilft allen hier, da man dir nicht immer alle Basisfunktionen des IPv6 Protokolls einzeln erklären muss. In einem Administrator Forum sollte man einige Grundlagen wissen.
Sorry wenn ich meinen Text etwas sehr laienhaft geschrieben hab. Grundsätzliche IT kentnisse sind durchaus vorhanden.
In der Ausbildung haben wir damals auch das grundkonzept von IPv6 bereits durchgenommen. Prüfungsrelevant und schwerpunkt war zu dieser zeit aber eben v4. Da ich danach auch nicht mehr wirklich mit v6 netzen zu tun gehabt habe ist da auch ein wenig was in vergessenheit geraten. Wenn es für mich relevanter wird werde ich hierzu auch nochmal ein buch wälzen aber nicht um ein einfaches heim VPN einzurichten.
Zitat von @aqui:
1.) und 2.) = das vom Provider dir per /64er Prefix Delegation zugeteilte öffentliche lokale IPv6 Netz. Einmal mit einer SLAAC Adresse und einmal mit einer Random v6 Adresse um dich nicht trackbar zu machen. Sog Privacy Extension:
https://www.heise.de/ct/artikel/IPv6-Privacy-Extensions-einschalten-1204 ...
3.) und 4.) die stinknormalen Link local Unicast Adressen
1.) und 2.) = das vom Provider dir per /64er Prefix Delegation zugeteilte öffentliche lokale IPv6 Netz. Einmal mit einer SLAAC Adresse und einmal mit einer Random v6 Adresse um dich nicht trackbar zu machen. Sog Privacy Extension:
https://www.heise.de/ct/artikel/IPv6-Privacy-Extensions-einschalten-1204 ...
3.) und 4.) die stinknormalen Link local Unicast Adressen
Soweit ich das verstanden habe sind nun für einen ausseneinsatz 1 / 2 relevant.
Ja.Danke das ist doch einer der kerne den ich wissen wollte, btw. privacy extension ist zum testen schon seit einigen tagen abgeschaltet.
Zitat von @aqui:
Es wäre ja fatal wenn dein lokales IPv6 LAN vollkommen ungeschützt aus dem Internet erreichbar wäre. Das wirst ja sogar auch du wohl hoffentlich verstehen.
Wenn du pingen willst musst du in der Firewall erst ICMP von außen erlauben. Zugriff auf bestimmte lokale IPv6 Adressen geht auch logischerweise nur wenn du das explizit in der Firewall zulässt !
Zeigt wie wenig du leider nachdenkst aber wie gut dein IPv6 Router funktioniert !!
aber aus dem Internet ist keine der adressen ansprechbar noch pingbar.
Logisch ! Denn das verhindert die Firewall deines Routers.Es wäre ja fatal wenn dein lokales IPv6 LAN vollkommen ungeschützt aus dem Internet erreichbar wäre. Das wirst ja sogar auch du wohl hoffentlich verstehen.
Wenn du pingen willst musst du in der Firewall erst ICMP von außen erlauben. Zugriff auf bestimmte lokale IPv6 Adressen geht auch logischerweise nur wenn du das explizit in der Firewall zulässt !
Zeigt wie wenig du leider nachdenkst aber wie gut dein IPv6 Router funktioniert !!
Danke für die mehrfache beleidigung, natürlich ist mir bewusst das die Firewall dementsprechen konfiguriert werden muss!
Mit der Aussage:
Ping6 ist in der Fritzbox für dieses gerät aktiviert.
Zur info selbst wenn ich folgende drei eintellungen in der Fritzbox vornehme werden ICMP pakete weiter gefiltert:
- Ping 6 Freigeben
- Firewall für deligierte IPv6 Präfixe für dieses gerätes öffnen
- Dieses Gerät komplett für den Internetzugriff über IPv6 freigeben (exposed Host)
Da man vor lauter Bäumen den Wald manchmal nicht mehr sieht habe ich gedacht wende ich mich an dieses Forum vllt kann mir hier ja auf anhieb geholfen werden was ich falsch gemacht habe...
Danke für den tipp, falls Sie noch eine explizietere Information haben wo ich was übersehen haben könnte wär das super.
Zitat von @aqui:
Meinst du damit ein reines Modem also nur einen Medienwandler Glas/Kupfer oder hast du hier mal wieder laienhaft den Begriff Router und Modem verwechselt ?!
Du solltest hier schon etwas pärziser sein für eine zielführende Hilfe !
Nur so viel: Ein Modem ist ein passiver Medienwandler auf Layer 1 und nicht am IP Paket Forwarding beteiligt. Folglich kann also ein reines Modem niemals irgentetwas blocken weil es gar nicht weiss was TCP/IP ist !
Das kann natürlich nur ein Router.
Fragt sich also von was du jetzt genau redest ?!
https://avm.de/service/fritzbox/fritzbox-6360-cable/wissensdatenbank/pub ...
Meinst du damit ein reines Modem also nur einen Medienwandler Glas/Kupfer oder hast du hier mal wieder laienhaft den Begriff Router und Modem verwechselt ?!
Du solltest hier schon etwas pärziser sein für eine zielführende Hilfe !
Nur so viel: Ein Modem ist ein passiver Medienwandler auf Layer 1 und nicht am IP Paket Forwarding beteiligt. Folglich kann also ein reines Modem niemals irgentetwas blocken weil es gar nicht weiss was TCP/IP ist !
Das kann natürlich nur ein Router.
Fragt sich also von was du jetzt genau redest ?!
https://avm.de/service/fritzbox/fritzbox-6360-cable/wissensdatenbank/pub ...
Ja ich meine ein Modem oder in diesem fall ONT. Ja mir ist ebenfalls bewusst das ein Modem regulär nur auf OSI Layer 1 arbeitet. Danke für den IT grundkurs. Leider finde ich zu dem hier verbauten ONT jedoch keinerlei Datenblatt oder ähnliche informationen ob es lediglich nur ein modem ist oder noch weitere funktionen erfüllt. Hätte ja sein können das vllt noch ein DG kunde hier mitliest und etwas mehr über die büchse weis. Fakt ist das ich meiner meinung nach zum Testen bereits in meinem Router mein netzwerk wie ein scheunentor geöffnet hatte und dennoch keine ICMP pakete von aussen druchkamen.
Daher habe ich einfach das modem als unbekannten mit in die diskussion gebracht.
Den link habe ich mir nochmal angeschaut beinhaltet aber nichts was nicht schon gemacht worden wäre...
Zitat von @aqui:
Nur nebenbei: Du hast einen einfachen IPv6 Consumer Anschluss mit wechselndem Prefix. Deshalb wird auch dein lokales IPv6 Netz immer wechseln. Für einen stabilen remoten Zugang ist das nicht gerade hilfreich und erfordert etwas Handarbeit und DNS Customizing bei der Einrichtung.
Nur nebenbei: Du hast einen einfachen IPv6 Consumer Anschluss mit wechselndem Prefix. Deshalb wird auch dein lokales IPv6 Netz immer wechseln. Für einen stabilen remoten Zugang ist das nicht gerade hilfreich und erfordert etwas Handarbeit und DNS Customizing bei der Einrichtung.
Weiss nicht was das nun mit meinem momentanen problem zu tun hat.
Zitat von @aqui:
Bei IPv6 braucht man auch kein VPN in dem Sinne, denn du bekommst bei v6 ja so oder so immer ein öffentliches lokales Netz was remote immer erreichbar ist. Es gibt ja kein NAT mehr.
Bei IPv6 braucht man auch kein VPN in dem Sinne, denn du bekommst bei v6 ja so oder so immer ein öffentliches lokales Netz was remote immer erreichbar ist. Es gibt ja kein NAT mehr.
Soweit die Theorie, wenn ich dennoch nicht auf das Gerät aus welchem grund auch immer zugreifen kann bringt es mir nichts.
Desweiteren habe ich im meinem Netzwerk geräte die kein v6 unterstützen, diese könnte ich so oder so nicht erreichen.
Daher hilf dann doch nur das VPN.
Das Problem ist hier wie bei IPv4 das du immer und immer wieder wechselnde IP Adressen hast. Bei IPv6 nicht nur die WAN IP sondern zusätzlich auch noch das lokale LAN was es so bei v4 nicht gibt.
Es wäre daher auf die Dauer sinnvoller du forderst bei deinem Provider ein fixes IPv6 Prefix an. Das ist mit einem simplen Anruf in der Kunden Hotline erledigt. Damit befreist du dich dann von der Bürde der ewig wechselnden IPv6 Adressen was für einen remoten Zugang immer kontraproduktiv ist wie du dir sicher selber denken kannst.
Es wäre daher auf die Dauer sinnvoller du forderst bei deinem Provider ein fixes IPv6 Prefix an. Das ist mit einem simplen Anruf in der Kunden Hotline erledigt. Damit befreist du dich dann von der Bürde der ewig wechselnden IPv6 Adressen was für einen remoten Zugang immer kontraproduktiv ist wie du dir sicher selber denken kannst.
Ja in der tat gebe ich Ihnen hier recht, hat aber immer noch nichts mit meinem akuten problem zu tun
1Zitat von @thomasschaeferm:
1. mit eingeschalteten PE hast du wenig Freude, schalte am Raspi die Privacy Extensions aus:
in
die Zeile
Jetzt solltest du nur noch eine weltweit gültige IPv6-Adresse haben. (ggf. Neustart Netzwerk/Rechner)
Richte dir jetzt eine Myfritz-Freigabe ein. Diese hat den Vorteil, dass du auch gleich einen DNS-Namen dazu bekommst. Der ist zwar hässlich, aber trotzdem nützlich für Stabilität (via Bookmarks, Konfigurationsdateien)
Die Freigabe will meist einen TCP-Port haben. Du kannst aber aber auch nachträglich weitere Freigaben auf dem Gerät machen bis hin zum exposed host.
Trage eine Ausnahme im DNS-Rebindschutz der Fritzbox ein!
2. Prüfe die Erreichbarkeit von innen und außen, ggf. installiere dir dazu kurz den apache mit der Beispielseite. (z.B. https://ipv6-test.com/validate.php )
3. Befasse dich nun mit der Installation deines VPN. In der ct 15/19 war ein guter Artikel mit Wireguard.
Auf meiner Homepage findest du eine Möglichkeit das mit OpenVPN einzurichten.
4. Bedenke, dass Verbindungen nur von IPv6-Gegenstellen möglich sind. Also z.B. vom Handy mit einer SIM der Telekom oder von Vodafone oder eben von anderen Anschlüssen mit DS-lite oder Dualstack.
Hinweise zu den APN-Einstellungen findest du ebenfalls dazu auf meiner Webseite. Nutze dazu ein Suchmaschine deiner Wahl mit dem Stichworten "apn ipv6".
1. mit eingeschalteten PE hast du wenig Freude, schalte am Raspi die Privacy Extensions aus:
in
/etc/dhcpcd.conf slaac hwaddrJetzt solltest du nur noch eine weltweit gültige IPv6-Adresse haben. (ggf. Neustart Netzwerk/Rechner)
Richte dir jetzt eine Myfritz-Freigabe ein. Diese hat den Vorteil, dass du auch gleich einen DNS-Namen dazu bekommst. Der ist zwar hässlich, aber trotzdem nützlich für Stabilität (via Bookmarks, Konfigurationsdateien)
Die Freigabe will meist einen TCP-Port haben. Du kannst aber aber auch nachträglich weitere Freigaben auf dem Gerät machen bis hin zum exposed host.
Trage eine Ausnahme im DNS-Rebindschutz der Fritzbox ein!
2. Prüfe die Erreichbarkeit von innen und außen, ggf. installiere dir dazu kurz den apache mit der Beispielseite. (z.B. https://ipv6-test.com/validate.php )
3. Befasse dich nun mit der Installation deines VPN. In der ct 15/19 war ein guter Artikel mit Wireguard.
Auf meiner Homepage findest du eine Möglichkeit das mit OpenVPN einzurichten.
4. Bedenke, dass Verbindungen nur von IPv6-Gegenstellen möglich sind. Also z.B. vom Handy mit einer SIM der Telekom oder von Vodafone oder eben von anderen Anschlüssen mit DS-lite oder Dualstack.
Hinweise zu den APN-Einstellungen findest du ebenfalls dazu auf meiner Webseite. Nutze dazu ein Suchmaschine deiner Wahl mit dem Stichworten "apn ipv6".
Vielen Dank für die Hilfe. In der Tat hatte ich vor OpenVPN und nicht Wireguard zu verwenden.
Da ich noch 3 weitere VPN's gelegentlich nutze die alle auf OpenVPN basieren, würde ich gerne mein Heimnetzwerk auch darüber erreichbar haben um nicht mehrere VPN client Software nutzen zu müssen.
Werde mich gerne noch einmal auf Ihrer Homepage umschauen sobald ich das grundlegende problem der IPv6 erreichbarkeit gefunden habe.
1
Notfalls kannst du mich auch per Email erreichen. Ggf. für Erreichbarkeitstests mit IP-Adressen/ddns-Einträgen, die du aber nicht in der Öffentlichkeit sehen willst. Oder mit direkter Hilfe via jitsi-meet.
Es hat leider einen gravierenden Fehler. Es unterstützt kein IPv6.
Das kann man ja kinderleicht manuell ändern:https://www.heise.de/select/ct/2018/13/1529374309620058
Deine Arroganz ist beispiellos. Ich habe nicht geschrieben, dass openvpn nicht ipv6 könne. Ich habe selbst zwei openvpn-Serverinstanzen hinter einem DS-lite-Anschluss laufen. Das Problem ist, dass das Skript "pivpn", welches vorgibt, die Installation ganz einfach und automatisch zu erledigen, nicht mit IPv6 umgehen kann.
So hier nochmal ein paar Informationen was ich heute noch getestet habe.
Zuerst einmal habe ich um zu testen ob ich von aussen irgendein Ping rein bekomme, noch mal mit zwei Windows 10 maschienen hier getestet.
Ich habe bei beiden maschienen, ICMP Echo explizit in der Windows Firewall erlaubt.
Habe in der Fritzbox alles geöffnet und Ping6 erlaubt. Ergebnis identisch zum Raspberry PI.
Von aussen kann keiner der 3 Systeme angepingt werden. "Destination unreachable Administraively prohibited"
Die filterung wird laut IP von der Firtzbox ausgeführt.
Und hier einmal ein auszug aus einer der Testfreigaben:
Falls es interessant ist Fritz OS befindet sich auf 07.12
Zuerst einmal habe ich um zu testen ob ich von aussen irgendein Ping rein bekomme, noch mal mit zwei Windows 10 maschienen hier getestet.
Ich habe bei beiden maschienen, ICMP Echo explizit in der Windows Firewall erlaubt.
Habe in der Fritzbox alles geöffnet und Ping6 erlaubt. Ergebnis identisch zum Raspberry PI.
Von aussen kann keiner der 3 Systeme angepingt werden. "Destination unreachable Administraively prohibited"
Die filterung wird laut IP von der Firtzbox ausgeführt.
Und hier einmal ein auszug aus einer der Testfreigaben:
Falls es interessant ist Fritz OS befindet sich auf 07.12
ICMP Echo explizit in der Windows Firewall erlaubt.
Das ist auch falsch !Von außen (Internet) kommt ja ein ICMP Echo Request an das Zielgerät rein. Das ist ein ICMP Typ 8 Paket:
https://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Dann antwortet das angepingte Gerät mit einem ICMP Typ 0 (Echo Reply)
Vermutlich hast du genau den falschen Typ gefiltert ?!
Außerdem unterscheidet die Windows Firewall noch genau zw. dem v4 und dem v6 Filter ! Hier gilt es also auch aufzupassen..
Dein Screenshot oben (was auch immer das ist ?!) sagt zudem auch noch explizit: ICMP Filtered ! Also wird im dort ICMP zusätzlich noch gefiltert.
Das ein Ping dann scheitert ist natürlich klar !
Frage auch ob IPv6 generell auf deinem Raspberry aktiv ist ?
- Was sagt ein ifconfig auf dem RasPi ?? Und...
- kannst du den RasPi im internen IPv6 LAN denn von einem anderen Gerät (PC usw.) per v6 pingen ?
ICMP Echo explizit in der Windows Firewall erlaubt.
Das ist auch falsch !Von außen (Internet) kommt ja ein ICMP Echo Request an das Zielgerät rein. Das ist ein ICMP Typ 8 Paket:
https://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Dann antwortet das angepingte Gerät mit einem ICMP Typ 0 (Echo Reply)
Vermutlich hast du genau den falschen Typ gefiltert ?!
Außerdem unterscheidet die Windows Firewall noch genau zw. dem v4 und dem v6 Filter ! Hier gilt es also auch aufzupassen..
Dein Screenshot oben (was auch immer das ist ?!) sagt zudem auch noch explizit: ICMP Filtered ! Also wird im dort ICMP zusätzlich noch gefiltert.
Das ein Ping dann scheitert ist natürlich klar !
Frage auch ob IPv6 generell auf deinem Raspberry aktiv ist ?
- Was sagt ein ifconfig auf dem RasPi ?? Und...
- kannst du den RasPi im internen IPv6 LAN denn von einem anderen Gerät (PC usw.) per v6 pingen ?
Höflicher wird es anscheinend keineswegs.
Was habe ich denn die ganze zeit gesagt es werden ICMP pakete gefiltert, schön das Sie anscheinend im screenshot aber nicht meinen text lesen können. Ich habe sogar geschrieben von welcher stelle es gefiltert wurde => FB
-Natürlich ist/war IPv6 am Pi aktiv
-Die ifconfig ist ebenfalls töfte
-steht oben bereits beschrieben.
Naja jedenfalls kann der threadt geschlossen werden, fehler selbst gefunden und ICMP funktioniert und VPN auch
Zur Info der Fehler lag in der FB config, und zwar wurde die interface ID nicht korrekt übernommen.
Nach manueller korrektur löschung und neu erstellung der Freigabe funktioniert nun alles.
1
