IPv6 Routerkaskade - Hat jemand Erfahrung?

[jugi]

Ahoi zusammen,

ich hab ne Fritzbox bei 1und1 mit nem /56er Prefix, an der Fritzbox hängt ein Archer C7 (aktuell mit Vanilla Firmware).
Jeweils hinter beiden Routern hängen direkt Geräte, die hinter der Fritzbox sind ohne Probleme aus dem Internet zu erreichen und bekommen auch "richtige" IPs (Prefix + MAC).
Die hinter dem Archer sind leider nicht erreichbar und bekommen auch von Ihm gar nicht erst eine IP zugewiesen. Mit manueller Eingabe der richtigen IP (Prefix + :1:2:3:4 o.ä.) kommen auch diese raus, da es aber teilweise um Notebooks geht ist das ja nicht praktikabel…

Generell ist IPv6 sowas wie ein weißer Fleck auf der Landkarte, keiner scheint so richtig ne Ahnung zu haben und verlässliche Infos zu finden ist auch nicht so ganz einfach. Hat zufällig hier jemand wirklich Ahnung von der Materie und Bock sich das mal anzusehen? (Hier im Forum natürlich, die anderen sollen ja auch was von haben…)

Ein paar Bilder, falls es hilft…


DS am Archer:


Statusanzeige im Archer:


Einstellungen Archer:


Einstellungen Fritzbox (LAN):




Einstellungen Fritzbox (WAN):



Help?

 

[Frogman]

Das ist ein aktuell noch sehr weit verbreitetes Problem - auch bei den Fritten. Die Ursache liegt darin, dass die Fritzbox für die IPv6-Subnets, die sie an nachgelagerte Router delegiert, ihre IPv6-Firewall nicht automatisch öffnet (dazu gibt's gerade einen aktuellen Artikel bei heise). Dazu solltest Du vielleicht auch dieses lesen.

 

[JudgeDredd]

Das Thema steht ja auch in der aktuellen c't (10-2016).
Ich meine beim "überfliegen" gelesen zu haben, das die Fritte da noch eine Schwachstelle hat.

 

[Frogman]

... wobei ich diese Schwachstelle ja verlinkt hatte

..., ihre IPv6-Firewall nicht automatisch öffnet (dazu gibt's gerade einen aktuellen Artikel bei heise). ..

 

[jugi]

Hrmpf… Ich merk schon, mit "mal eben einrichten" ist es (mal wieder) nicht getan…

Die Fritzbox ist das eine Problem, aber der Archer muss noch ein zweites haben - oder wieso haben die Clients im Archer-LAN gar nicht erst ne (globale) IPv6 Adresse (Der Archer selber scheint ja für sein LAN das Prefix 2003:86:ae2e:67fc::/64 definiert zu haben…).

Maaan, bis vorhin dachte ich noch, ich bin mit meinem Setup quasi fertig… "nur noch eben den zweiten Router anstecken" *kotz*

P.S. an der Fritte will ich erst rumspielen, wenn ich definitiv weiß, dass alles andere klappt…

Nachtrag: Das is doch alles Kacke. Hab jetzt OpenWRT wieder auf den Archer gepackt und funzte soweit auch erstmal. Die Geräte in seinem NEtz bekommen ne IPv6 und wieistmeineIP.de zeigt die auch brav an.
ABER aus mir noch unerfindlichen Gründen kriegen jetzt die Geräte im FB-Netz keine IPv6 mehr (bzw in der Fritte steht noch eine, die Geräte wissen aber nix mehr davon)

 

[jugi]

Ich hab das mit dem Hinweis auf den unimplemented.org Artikel bei AVM mal nachgefragt, Antwort:

Guten Tag Herr jugi,

vielen Dank für Ihre Anfrage an den AVM-Support.

Unter der Voraussetzung die FRITZ!Box erhält beim Herstellen der Internetverbindung ein IPv6-Präfix größer 64bit (z.B. /60 oder /56) können Sie für einen Router im Heimnetz der Fritz!Box ein IPv6 Subnetz einrichten. Der Router erhält dann von der FRITZ!Box per DHCPv6 Prefix-Delegation ein /62-Präfix.

IPv6-Subnetz im FRITZ!Box-Heimnetz einrichten

Freundliche Grüße aus Berlin
(AVM Support)

Werde es "bald" nochmal versuchen.

 

[Frogman]

Retortenantwort eben... hat wohl 'n Bot 'rausgeschickt

 

[jugi]

Joa, hab nochmal geantwortet, irgendwann wird schon mal n Mensch dran sein…

 

[bfpears]

Also noch mal auf die ct bezug nehmend:
* Fritzbox kann Subnetze an nach gelagerte Router weiter geben (Kaskade)
* FB kann keine Freigaben in die Kaskade einrichten
der in der ct getestete TP-Link Archer VR900V kann beides nicht
und (etwas unscharf formuliert) kann auch kein IPv6 Subnetz weitergeben.

Brauchst du denn eine Kaskade? geht der TP nicht auch als AP.

Wer ist fd00::3631:c4ff:fe4c:2f1b
oder wo hast du denn die Adresse für den DNS Server her?

PS: ich betreibe selbst kein IPv6 Netz, habe als streng genommen keine Ahnung von IPv6.
Bin aber an v6 interessiert

BF

 

[jugi]

Ich möchte mir eine DMZ aufbauen und bin dank Routerzwang an die Fritzbox gebunden, daher die Kaskade. Die IP ist die Fritzbox.

 

[jugi]

Hm, war doch n Mensch - hilfreich war er aber auch nicht…

Guten Tag Herr jugi,

vielen Dank für Ihre Rückmeldung.

"allerdings scheint es ja so zu sein, dass die Internen Netze nicht in die Firewall der Fritzbox eingetragen werden"

Ja, das ist richtig. Derzeit lassen Sie Freigaben in der Fritz!Box nur für das eigene Heimnetz, nicht aber für andere lokale IP-Netze konfigurieren. Dieses Problem ist bekannt und wird einer künftigen Firmwareversion gelöst. Weitere Informationen liegen uns dazu im AVM-Support leider nicht vor.

Freundliche Grüße aus Berlin
(AVM Support)

Dementsprechend auch meine Antwort:

Guten Tag Herr ***,

der von mir unten verlinkte Artikel ist mittlerweile über ein Jahr alt und bietet sogar eine für AVM vermutlich leicht zu implementierende Lösung. „In einer künftigen Firmwareversion“ bedeutet daher so viel wie „nie“ - korrekt?

Das wär sehr schade.

VG jugi

Politische Entscheidungen, ich liebe sie…

 

[jugi]

Ich weiß, welches Gerät hier im August als erstes aus meiner Wohnung fliegt…

Auf die Fritte ist aktuell (6.51) wohl nicht mehr via telnet draufzukommen, sämtliche bekannten Lösungen funktionieren nicht mehr.

Zusätzlich mit der fehlenden Möglichkeit "fremde" IPv6-Prefixes in der Firewall zu aktivieren bedeutet das faktisch, dass man mit einer Fritzbox momentan keine Möglichkeit hat IPv6 vernünftig zu nutzen.

Ich gebe an dieser Stelle erstmal auf und werde halt bis August ohne IPv6 leben müssen, glücklicherweise gibt es ja bisher keine IPv6-Only Webseiten/Dienste (jedenfalls ist mir keins bekannt)

 

[Frogman]

Auf die Fritte ist aktuell (6.51) wohl nicht mehr via telnet draufzukommen, sämtliche bekannten Lösungen funktionieren nicht mehr.

Ist alles im IP-Phone beschrieben

 

[jugi]

Link? Ich hab bisher nichts gefunden, was noch geht… Telefoncodes eh nicht, via pseudefirmware geht seit 6.51 auch nicht mehr und eine signierte firmware scheint es auch (noch) nicht zu geben…

 

[Frogman]

Vertief Dich mal um diesen Post herum...

 

[laserdesign]

und das hier wäre auch noch lesenswert.

 

[jugi]

Cool, ich hatte modfs zwar irgebdwo gefunden, aber da hieß es auch nur bis 6.50.
Aber gut - ich hab meinen Server letztendlich eh nicht bekommen (drecks DHL) und dsher ist das ganze sowieso erstmal gestorben. Jetzt so langsam aich entgültig (also für ein paar Monate ).

War aber sehr lehrreich alles - und hat (größtenteils) echt Spaß gemacht.