Hi @RubenKelevra,

schön, dass du dich wieder bei uns meldest! 

Grundsätzlich kann ich dir die Info geben, dass wir eingehenden Verkehr welcher nicht vom Gerät angefragt wurde, zum Schutz unserer Kunden filtern. Anfragen vom Gerät und Antworten darauf werden nicht gefiltert. 

Betreffen die von dir genannten Herausforderungen bestimmte Seiten? 

Viele Grüße

Vivian 

Hallo Vivian, 

ich denke nicht, dass ich diesem Filtern irgendwo zugestimmt habe. Ich möchte einfach einen funktionierenden Internet-Anschluss haben und nicht durch meinen Provider bevormundet werden.

Bitte schaltet diese Filter für mich ab.

Ich schließe mich dem an und möchte ebenfalls gerne einen mobilen IPv6-Zugang haben, bei dem eingehende Verbindungen nicht blockiert werden.

Ideal wäre, wenn man den Filter im Kundencenter selber ein- oder ausschalten könnte, z.B. ein für SIM-Karten, die in einem Smartphone stecken, auf das keine eingehenden Verbindungen erwünscht sind, aber aus für SIM-Karten, die in einem Router stecken, der eine eigene Firewall hat und ein Netz versorgt, in dem einzelne Rechner gemäß Einstellungen im Router z.B. zu Fernwartungszwecken von außen erreichbar sein sollen.

Das Internet besteht nunmal nicht nur aus dem WWW und seinen “Seiten”, sondern umfasst auch andere Dienste, die nur möglich sind, wenn eingehende Verbindungen nicht blockiert werden.

Es war schlimm genug, dass bei IPv4 im Mobilfunknetz mit CG-NAT prinzipbedingt keine eingehenden Verbindungen möglich waren, bei IPv6 besteht diese Beschränkung allerdings nicht mehr und ich finde es ein Unding, die jetzt durch eine künstliche Sperre wieder einzuführen, anstatt eingehende Verbindungen zumindest auf Wunsch des Kunden zuzulassen. Bei DSL-Anschlüssen sind solche Sperren für eingehende Verbindungen ja auch nicht üblich.

Die Filter werden nicht für euch abgeschaltet.

Ein Portscan sollte immer blocked oder filtered antworten, denn ein Portscan zeigt offene Angriffsvektoren auf deinen Rechner. https://de.m.wikipedia.org/wiki/Portscanner
 

Das obige Ergebnis ist also eher noch schlecht, denn es sind 3 Ports grün. Bei mir sind 1000 von 1000 ipv6 Ports geblocked und alle ipv4 Ports gefiltert. 
 

Das hat nichts mit deinem Zugriff auf deine Apps oder Seitenzugriffe zu tun, denn da öffnest DU einen Port oder nutzt einen Port von Dir zum Ziel und die Antwort kommt auf dem gleichen Weg zurück. 
 

wenn du da Probleme hast, liegt das an den Apps oder den Seiten, den viele Seiten sind nicht ipv6 ready.

So sieht das mit dsl aus. Ein Hostnamen im Mobilfunk hast du nicht, da es eine Pooladresse ist. 

Mobilfunk ist auch langsam, wenn du einen hohen Ping hast, dauert es auch etwas, bis response kommt.

Ich kann das mit meiner Xbox nachvollziehen. Sie wird mit der Xbox App gefunden, kann aber nicht antworten. 

@o2_Vivian:

Dass ihr “zum Schutz der Kunden filtert”, ist eine wunderprächtige Nebelkerze.

Zum einen: Die Leute, die für 50€ die Nutzung einer echte IPv4-Adresse kaufen, werden in netpublic nicht gefiltert - denn mit dem Filter wäre der Sinn dahinter, die XBox zu erreichen, ad absurdum geführt.

Zum anderen:
Ich habe zwei Verträge, beide verhalten sich über die gleiche Basisstation verschieden.

Das eine ist “echter Mobilfunk” (mein Mobiltelefon) - da wird IPv6 nicht (komplett) gefiltert, ich kann einen Webserver auf der IPv6-Adresse einrichten (ganz einfache App) und den aus dem Netz ansprechen. (Wenn ich das in großen Stil tun würde und darüber mein Volumen verbrate, schneide ich mir nur ins eigene Fleisch.)
Das andere ist mein Homespot. Und darüber, Wunder oh Wunder, wird hart gefiltert, sogar gegen die Normen, auf die Internet als IPv6 setzt. (ICMPv6 wird weit vor dem Endpunkt gefiltert, was bei IPv6 größtenteils unzulässig ist, weil es ein notwendiges Basisprotokoll ist.)

Beim Homespot wird aber nicht “zum Schutz der Kunden” gefiltert, das ist hanebüchen. Da wird schlicht und einfach deswegen gefiltert, weil die Netze von o2 derzeit überlastet sind, und die Bandbreite in den Keller gehen würde, wenn die Leute über ihren Homespot - der eben nicht beschränkt ist, was das Datenvolumen angeht - z.B. ihre private Mini-Cloud ansprechen würden.

Insofern kann man derzeit feststellen:
Wer owncloud o.ä. über LTE@Home benutzen will, und geduldig auf IPv6 abgewartet hat, kann nun endgültig o2 den Rücken kehren - die großen anderen Anbieter sind da ehrlicher und verkaufen tatsächlich “Internet”, mit entsprechenden Möglichkeiten wie Fernzugriff etc.

Hallo @RubenKelevra und @Treverorum ,

mh, das es nicht so einwandfrei funktioniert ist natürlich nicht so schick. 

Wie @Sandroschubert schrieb, ist eine manuelle Aufhebung nicht vorgesehen. 
Danke  @Denner und @Sandroschubert  für eure Unterstützung hier. 

@Verwählt , die Nutzung des APN netpublic empfehlen wir ausschließlich für den konkreten Nutzungsfall, ansonsten sollte,
eben aus Sicherheitsgründen, stets der APN internet genutzt werden. IPv6 sollte sich im Mobilfunk bei allen Verträgen
identisch verhalten, eingehender, vom Gerät initialisierter Verkehr ist problemlos möglich.

Vielleicht hat @Droggelbecher hier ja noch eine Idee? 

Liebe Grüße Maria

@o2_Maria

Leider ist auch diese Antwort eher irreführend als hilfreich:

“eingehender, vom Gerät initialisierter Verkehr ist problemlos möglich”: Das gilt immer: Natürlich kann ich ein Webseite aufrufen und dann werden mir die Inhalte geschickt.

Das ist aber überhaupt nicht das, um was es hier geht!

Hier geht es um eingehenden, NICHT vom Gerät angeforderten Verkehr. DAS ist der Unterschied zwischen netpublic mit gekaufter IPv4 und internet mit Doppel-NAT-IPv4 - an ersteren gibt es eingehenden NICHT ANGEFORDERTEN Verkehr. (Nur so können sich Rechner direkt miteinander verbinden ohne Zwischenserver: Indem beide sich gegenseitig nicht angeforderte Daten schicken können. Peer-To-Peer nennt man das, das ist das ursprüngliche Konzept des Internet, jeder kann mit jedem kommunizieren, bitte mal nachlesen...)

Und im Gegensatz zu der Fehlinformation, die @Denner hier verbreitet: Wenn ich einen irgendeinen Server, z.B. Webserver oder OwnCloud oder sonst einen eigenen Dienst betreibe, und der nicht bei einem Portscan auftaucht, dann ist der nutzlos, da nicht erreichbar. Ein Dienst steht nur dann zur Verfügung, wenn er im Portscan auftaucht! Portscans zeigen erstmal nur an, welche Dienste angeboten werden. Ob das nun wieder Absicht ist, und ob diese gut abgesichert sind gegen Missbrauch, ist eine ganz andere Frage.

Sehr ernüchternd von euch zu hören, dass IPv6 (wie eigentlich leider schon zu erwarten war) nicht so funktioniert, wie man es sich eigentlich von IPv6 nach normalem Verstand vorstellt.

Ihr werdet vermutlich nicht drum rum kommen, euch eine dyn. öffentliche IPv4 zu buchen, um eingehende Anfragen entgegennehmen zu können… Denn solange Telefonica eine Public-IPV4 (u.U. gegen ein angemessenes Entgelt) anbietet, ist für die Bundesnetzagentur alles im grünen Bereich.

Sollte jedoch der netpublic-APN als Lösung für eingehenden Datenverkehr in Zukunft wegfallen, dann müssten die Filter für eingehenden IPv6-Datenverkehr abgeschaltet bzw. abschaltbar gemacht werden. Ansonsten wäre das ein Verstoß gegen die EU-Verordnung, weil Nutzer ihren Internetzugang nicht ausreichend Nutzen können.

Wen es interessiert – Auszug aus: „Netzneutralität in Deutschland Jahresbericht 2018/2019 – Bericht der Bundesnetzagentur an die Europäische Kommission und BEREC gemäß Art. 5  Abs.1 Verordnung (EU) 2015/2120 Berichtszeitraum:  Mai 2018 bis April 2019“ 

Die Bundesnetzagentur hat sich während des Berichtszeitraums - wie bereits im vorhergehenden Berichtszeitraum (vgl. Jahresbericht Netzneutralität 2017/2018, Rn. 28) mit der Bereitstellung privater und öffentlicher IPv4 Adressen und dem Einsatz von Network Address Translation (NAT) durch die Internetzugangsanbieter befasst. Es lagen Endnutzerbeschwerden über Konnektivitätsprobleme vor. b…]

Die Bundesnetzagentur beabsichtigt ein differenziertes Vorgehen, um eine ausreichende Konnektivität zu ermöglichen und gleichzeitig die Knappheitssituation bei IPv4 Adressen zu berücksichtigen sowie den Übergang auf den IPv6 Standard nicht zu behindern: Internetzugangsanbieter mit einem ausreichenden Vorrat an öffentlichen IPv4 Adressen sind verpflichtet, diese ihren Kunden auf Nachfrage zur Verfügung zu stellen. Es muss aber keine statische IPv4-Adresse vergeben werden. Die Vergabe einer dynamischen IPv4 Adresse ist ausreichend. Eine Verpflichtung zur Vergabe öffentlicher IPv4-Adressen entfällt für solche Unternehmen, wenn IPv4 als technischer  Standard veraltet ist, d.h. von der IETF als „historisch“ eingestuft wird.

Hi zusammen!

In Sachen Hintergrundinformationen bin ich bei diesem Thema auf dem gleichen Stand wie meine Kollegen hier vor mir.

Ich habe diesbezüglich aber bei unserer Fachabteilung nachgefragt und hoffe auf tiefergehende Infos dazu.

Viele Grüße;
Kurt

Hallo zusammen, bin gerade auf dieses Thema gestoßen nachdem ich Tagelang versucht habe auf meine Ipv6 Adresse von außen zuzugreifen.

Was O2 hier abliefert ist schon traurig wenn nicht gar eine Frechheit.

Wenn es bei O2 nur darum geht zusätzliches Geld zu generieren dann verstehe ich nicht warum das nicht gleich bei Vertragsabschluss sagt wird.

Das die Ipv4 Adressen knapp sind ok aber mit ipv6 sollte sich das Problem erst einmal erledigt haben.

Eine Abfrage wie benötigen Sie externen Zugriff auf Ihre Geräte wäre da ja ein Anfang.

Wenn ja kostet …. extra.

Ich hatte vorher gewusst das es bei O2 nur gegen extra Bezahlung eine öffentliche ip4 Adresse gibt.
Warum es nun eine öffentliche ipv6 Adresse gibt und die volle Nutzung durch Filterung still und heimlich unterbunden wird entbehrt doch jeder Logik.

Ich würde gern von unterwegs meine Hausautomation steuern können.
So ungewöhnlich ist das ja heutzutage nicht mehr.

Owncloud etc. würde mich nicht interessieren.

Der mehr an Traffic dafür würde ein paar MB ausmachen.

Du kannst deine Hausautomation damit von unterwegs steuern. Oder ist Uplink deiner Hausautomation etwa auch im Mobilfunknetz?

Das angesprochene Filterverhalten gibt es übrigens bei den Wettbewerber aus den gleichen Gründen auch. Sich aus der Firewall freizukaufen ist derzeit nur bei der Telekom möglich. Dazu muss man allerdings Geschäftskunde sein. Ich erreiche meine Festnetzgeräte (DS-lite) aus allen drei Mobilfunknetzen.

@thomasschaefer 

Ich habe ein O2 Home Tarif. Bei mir gibt es leider kein Festanschluss. Die enizige Möglichkeit Internet zu bekommen ist über Satelit oder über LTE,

Gerade deshalb ist es ja sehr Ärgerlich. Ich habe ein Home Tarif und nutze meinen Anschluss wie wie andere ihren DSL Anschluss, habe aber massive Einschränkungen.

Ich brauche an meinem Handy, wenn ich unterwegs bin keine öffentliche Adresse.

An einem anderen Anschluss (anderer Standort) habe ich VDSL von der Telekom. Dort habe ich beides eine öffentliche ungefiltere ipv4 und ipv6 Adressen.

Diese Künstliche Beschränkung bei ipv6 im Home Tarif ist für mich nicht nachvollziehbar

Ok, für den Hometarif sollte sich o2 dringend etwas einfallen lassen, sonst verdient der Tarif seinen Namen nicht. Du hast natürlich Recht, ein Festnetz-Ersatz sollte auch wie Festnetz funktionieren.

Ich habe dasselbe Problem, ich kann keinen IPV6 openVPN Tunnel aufbauen. Openvpn nutzt ICMP ports zum Aufbau des Tunnels. Diese werden geblockt und der Aufbau klappt nicht. Wenn der Tunnel in einem fremden wlan gestartet wird läuft er weiter wenn ich das wlan verlasse und ins Mobilfunknetz wechsele solange bis der traffic pausiert und der Tunnel neu etabliert wird.

Der eigentliche Tunnel funktioniert, O2 blockt leider durch das filtern der ICMP Ports das Zustandekommen.

Es hat mich einiges an Arbeit Mitschneiden von Router und handy traffic gekostet bis ich es herausgefunden habe, Wer sucht das Problem auch schon beim Provider.

Mir fehlt dafür das Verständnis.

@o2 kann man jetzt also sagen, dass das Problem mehr oder weniger bekannt ist und nichts mehr passiert, bzw. das die Lösung darin besteht, nach Vertragende woanders einen Vertrag abzuschliessen?

Viele Grüße,

Felix

Hallo, mir gehts auch so. Ich möchte eine Fernwartung meines LTE-Homespots ermöglichen, also per SSH von aussen auf meinen Router. Ich habe deshalb IPv6 auf meinem Router eingerichtet, in der Hoffnung dass ich damit von aussen einfach auf den Router komme.

Nach einem Telefonat mit dem Kundenservice gerade eben stellte sich heraus dass das einmalig 49€ kosten würde, “um auf den Knopf zu drücken”, der dies erlaubt. Ich verstehe dass IPv4 Adressen teuer geworden sind, aber ca. 50€ zu verlangen um den Zugriff über IPv6 finde ich nicht ok. Genau für diesen Zweck wurde IPv6 ja auch geschaffen, sodass man eben nicht kompliziert mit NAT/port-forwarding um die knappen IPv4 Adressen herum manövrieren muss.

Womit wird diese 50€ bei IPv6 denn nun gerechtfertigt ? Wenn das so weiter geht zögert sich der Umstieg auf IPv6 nur noch weiter in die Länge (wir “feiern” dieses Jahr übrigens das 25jährige Bestehen von IPv6). O2, da muss sich echt was ändern!

@Potl 

Wenn du die 49 Euro zahlst, was laut EU Recht schon nicht zulässig ist, bekommst du eine ipv4 Adresse.

Ipv6 wird dann gar nicht mehr funktionieren.

Rechtfertigen lässt im Grunde gar nicht da es einfach nicht zulässig ist.
O2 stört die Konnektivität und das darf ein Provider nicht. So steht es schon im Telekomunikationsgesetz.

Und warum hast du selber bezahlt? Dein Anwalt meinte doch …..

Doch, man muss nach Bedarf selber umstellen.

APN netpublic → öffentlich-dynamische IPv4

APN: internet → IPv6

Wurde das nicht bereits besprochen?

Ah, dann verstehe ich auch das Geschäftsmodell endlich: Einfach eingehenden IPv6 Traffic blocken und teuer die letzten öffentlichen IPv4s verkaufen

So ganz stimmt das nicht!

Alle Mobilfunkanschlüsse haben IPv4 (und IPv6), allerdings als Carrier Grade NAT. Daher ist der eingehende Verkehr normalerweise nicht möglich. Die knapp 50€ sind für eine “öffentliche IP”, also eine exklusiv zugewiesene dyn. IPv4, die von außen erreichbar ist. 

Wenn du die 49 Euro zahlst, was laut EU Recht schon nicht zulässig ist, bekommst du eine ipv4 Adresse.

Da eine IPv4 vorhanden ist, sehe ich keinen Rechtsverstoß. Bitte Quellen für anderweitige Infos liefern, damit das auch anderen Kunden hilft. Ein “ich hab das mal irgendwo gelesen” hilft niemand! Soo steht es jedenfalls nicht im TKG.

Geblockt ist etwas und “nicht mehr funktionieren” ist etwas ganz anderes.