Skip to main content
Warum O2
Warenkorb
 Service
Gelöst

O2 Kabel - DS-Lite - AVM 6660: IPv6 Portfreigaben funktionieren nicht

  • May 8, 2025
  • 5 Antworten
  • 92 Aufrufe
N
Besucher:in

Hallo in die Runde!

Bevor ich jetzt einen Roman mit technischen Details schreiben - vorab die Kurzfassung:

Ich habe einen O2 Kabelanschluss DS-Lite inkl. der AVM 6660 Cable. IPv6 ist auf der FritzBox eingerichtet und verteilt auch IPv6 Adressen an die Geräte dahinter. Die Box hat die Fritz!OS Version 7.57 über O2 (über ein Update würde ich mich freuen ;-) ). Die 6660 ist bei MyFritz registriert und hat darüber einen öffentlichen DNS Eintrag.

Hinter der 6660 habe ich noch einen eigene FritzBox 7590 für mein Heimnetz. Mein Ziel ist es eine Wireguard Verbindung aus dem Internet auf die 7590 aufzubauen. Dazu habe ich auf der 7590 das Wireguard VPN eingerichtet. Auf der 6660 habe ich eine IPv6 UDP Portfreigabe auf die 7590 (mit dem entsprechenden Port) eingerichtet. Auf dem Client habe ich die Wireguard Konfiguration eingetragen und als Zielhost die 6660 (aus MyFritz) übernommen. Nachdem die Wireguard Verbindung nicht funktionierte hat, habe ich AVM angesprochen. Sie haben das Vorgehen bestätigt - müsste so funktionieren.

Um zu testen habe ich auf der 6660 auch ein Wireguard VPN eingerichtet. Das funktioniert ad hoc.
Hinter der 6660 habe ich einen Webserver mit einem individuellen Port eingerichtet und eine entsprechende Portfreigabe auf die 6660 eingerichtet. Der Webserver ist nicht aus dem Internet erreichbar. Aus dem internen Netz der 7590 mit der IPv6 Adresse funktioniert das problemlos.

Im Wireshark Trace der Internet-Anbindung der 6660 sehe ich jeweils den IPv6 Verbindungsversuch des Clients. Die 6660 antwortet dem Client dann immer direkt (egal ob Wireguard oder Webserver) „Destination Unreachable - Administratively prohibited”  Damit kommt die Verbindung nicht zustande.

Jetzt zu meiner Frage: Hattet Ihr auch schon das Problem? Konntet Ihr das lösen? Was mache ich falsch?
Meine Vermutung sind evtl. ICMP oder DNS Probleme. Vielleicht hat die Fritz!OS Version 7.57 der 6660 einen Bug? 

 

Viele Grüße
Helmer

Lösung von noch _ein_Helmer

Hallo,

“Abschlussmeldung“ :-)
Ich habe einen anderen DyDNS Dienst als MyFritz eingesetzt - spdyn.de.
Damit funktioniert Wireguard auch mit dem Hostnamen, den ich bei spdyn.de eingetragen haben und der durch die 7590 aktualisiert wird. Ich lasse hier auch nur die IPv6 Adresse von der 7590 eintragen. Der Dienst über MyFritz macht da wohl bei IPv6 irgendetwas anders. Auf der 6660 ist nur die Portfreigaben auf die 7590 über IPv6 auf den UDP Port, den die 7590 bei der Einrichtung von Wireguard vergeben hat, definiert.

Viele Grüße
Helmer

5 Antworten

thomasschaefer
Mitgestalter:in
Forum|alt.badge.img+7

Ich verstehe nicht, warum du als Zielhost im Client die 6660 für wireguard einträgst, wenn der WG Server auf der 7590 läuft.

Es wäre gut, wenn du für verschiedene Probleme verschiedene Anfragen stellst.

Bevor du Router kaskadierst, solltest du erstmal mit einfachen Freigaben Erfahrung sammeln.

Bei Kaskaden von Fritzboxen kann es für wireguard notwendig sein, die automatische Portfreigabe anstatt der manuellen zu verwenden.

Deine Frage ist ein Roman geworden.

 

 

 

 

N
Besucher:in

Hallo,

vielen Dank für die Antwort!

Ja stimmt - es ist doch viel Text geworden. Ich hätte nur das Phänomen mit der Portfreigabe auf der 6660 beschreiben sollen. Ich werde in Zukunft darauf achten.

Die automatische Portfreigabe hatte ich schon eingerichtet und ausprobiert. Davon hatte mir dann AVM abgeraten und geschrieben, dass das nicht notwendig ist. Ich habe das ad hoc jetzt noch einmal mit dem Webserver direkt hinter der 6660 getestet und es hat keine Verbesserung ergeben.
Auch die “Extremvariante” mit “Dieses Gerät komplett für den Internetzugriff über IPv6 freigeben (Exposed Host)” funktioniert nicht.

Die WG Clientkonfiguration mit der 7590 als Ziel habe ich auch schon ausprobiert. Das war mein erster Versuch. Das funktioniert jedoch nicht. AVM hat mir auch bestätigt, dass die 6660 eingetragen werden muss. Die Portfreigabe soll dann dafür sorgen, dass die Kommunikation zustande kommt. Die 7590 als Zielhost habe ich jetzt auch noch einmal ausprobiert. Auch inkl. der Portfreigabe auf der 6660 hat das nicht funktioniert.

In der Vergangenheit hatte ich für meinen Sohn und seine Freunde an einem Vodafone Kabelanschluss einen Minecraft Server über eine AVM FritzBox mit Portfreigabe eingerichtet. Hat hatte ad hoc funktioniert. Das lief allerdings über IPv4. 
Ich vermute daher, dass es an dem DS-Lite oder an der AVM Fritz!OS Version liegt. Die 6660 lehnt die Abfragen immer mit „Destination Unreachable - Administratively prohibited” ab.

 

Viele Grüße
Helmer

N
Besucher:in

Hallo noch einmal,

die Antwort hat mir doch schon weitergeholfen.

Wenn eine Portfreigabe in der 6660 eintrage ist und das Ziel (Webserver oder WG 7590) über die direkte IPv6 Adresse des Clients aufrufe wird, funktioniert es.
Ich gehe daher jetzt davon aus, dass bei der Namensauflösung wären des Verbindungsaufbaus etwas nicht funktioniert. Der Client erreicht die 6660 über das Internet. Dann vermute ich, dass die 6660 versucht den Hostnamen zu verifizieren. Das klappt dann anscheinend nicht und die Verbindung wird abgelehnt. 

Jetzt bin ich schon einmal einen Schritt weiter und schaue mir das weiter an. :-)

Viele Grüße
Helmer

thomasschaefer
N
Besucher:in

Hallo,

“Abschlussmeldung“ :-)
Ich habe einen anderen DyDNS Dienst als MyFritz eingesetzt - spdyn.de.
Damit funktioniert Wireguard auch mit dem Hostnamen, den ich bei spdyn.de eingetragen haben und der durch die 7590 aktualisiert wird. Ich lasse hier auch nur die IPv6 Adresse von der 7590 eintragen. Der Dienst über MyFritz macht da wohl bei IPv6 irgendetwas anders. Auf der 6660 ist nur die Portfreigaben auf die 7590 über IPv6 auf den UDP Port, den die 7590 bei der Einrichtung von Wireguard vergeben hat, definiert.

Viele Grüße
Helmer

o2_Daniela
o2_Daniela
  • o2_DanielaModeratorin
  • Moderatorin
  • May 13, 2025

Hallo ​@noch _ein_Helmer,

vielen Dank für dein Update😊
Freut mich zu lesen, dass es mit einem anderen DyDNS Dienst nun
funktioniert.
Falls du weitere Fragen hast, lass es uns gerne wissen🙂

Viele Grüße
Daniela

Hat dir eine Antwort weiter geholfen? Perfekt, dann markiere diese bitte als "Lösung", damit hilfst du auch weiteren Leuten. :-)
Allgemeine Nutzungsbedingungen der O₂ CommunityAccessibility statement
© Telefónica Germany GmbH & Co. OHG Telefónica