Frage

IPv6 Firewall


Benutzerebene 1

Nachdem ich zu meiner Freude festgestellt habe, dass ein DHCPv6 Client an der Ethernet Schnittstelle des HomeSpot eine IPv6 Adresse bekommt, kam danach auch gleich die Ernüchterung und die Frage: Und nun???

Die IPv6 Firewall auf dem HomeSpot Router kann scheinbar nur IPv6 Adressen freischalten. Wie soll das mit einem dynamischen Präfix funktionieren? Und wenn ich ICMP “echo request” (Type 128) Nachrichten erlauben will, verlangt er eine Port-Nummer? Wer hat denn da das Internet nicht verstanden? Und das Handbuch spricht von IPv6 “Portfreigaben”, was aber nicht zu den Konfigurationsmöglichkeiten passt?

Ich habe jetzt folgendes konfiguriert und der Router dahinter lässt IPv6 Pings zu, aber von außen kommt nichts zurück. Weiß jemand, wie die IPv6 Firewall zu konfigurieren ist?


9 Antworten

Nochmal ein Topic zu einem Thema?

 

Siehe hier https://hilfe.o2online.de/o2-homespot-o2-my-data-spot-21/neuigkeiten-zu-ipv6-538596?postid=2127269#post2127269

Benutzerebene 1

Anderes Thema :) Ich komme jetzt mit IPv6 raus. Leider kann man die falsche Lösung im verlinkten Thread nicht zurücknehmen, aber das ist so generell definitiv nicht richtig!

Mein Router hinter dem Homespot bekommt die IP aus dem Screenshot (auch: MediaWays, ernsthaft?). ping6 geht raus und auch ssh auf eine externe IPv6 Adresse funktioniert. traceroute geht aber nicht und ich arbeite gerade an NAT6 auf meinem internen Router, weil ich natürlich nur ein einziges /64 Präfix bekomme.

Die Frage ist jetzt: Wie komme ich ich von außen rein? Da scheint die “IPv6 Firewall” des HomeSpot im Wege zu stehen und ich frage, wie man die konfigurieren soll….

Benutzerebene 4

Da schon die IPv4 Portfreigabe rumzickt... könnte das schwer werden.

Eventuell per DMZ?

Der Homespot mag gute Hardware verbaut haben, aber die Software ist übel. Schlecht, arm an Funktionen und ungetestet.

 

Aber andere Frage, bist du wirklich sicher das die IPv6 von o2, aus deren Netz kommt?

Ich schnorchel mir ein IPv6 Praefix eines meiner VPs über eine DTAG Kupferleitung ins Netz, da ich bei o2 nichtmals Rahmen groß genug für komplette v6 Datagramme habe und das massiv fragmentierte... .

Bei einer solchen Spielerei hatte ich mir aus versehen eine v6 Adresse aus unserem Firmenlan gemopst und mich über das merkwürdige Routing gewundert :sweat_smile:

 

Benutzerebene 1

Intern habe ich ULAs, der IPv6-Testzugang über V ist deaktiviert. Ich habe zwar eine MediaWays-IP (ja, wirklich!), aber das Routing zeigt zu Telefonica Deutschland. Da bin ich mir ziemlich sicher, dass das von O2 kommt...

Benutzerebene 4

Schon interessant, bin neidisch.

 

Ich kann hier leider nicht ein Fitzelchen v6 direkt von o2 aus dem Netz ziehen :(

 

Allerdings habe ich aktuell auch einen Huawei im Bridge Betrieb dran, und nicht den Homespot.

Durchaus möglich das der Homespot v6 ins WAN routet ohne selbst eine WAN v6 zu haben, eine QS hat der ja nie gesehen.

Aber wo kommt dann die v6 her die du hast? Bist du dir sicher das die per DHCPd kommt und nicht irgendwo in den Tiefen von openWRT eine conf von DHCPd oder RADVD eine v6 herbeizaubert / generiert?

 

Eventuell ist auch nur wieder eine Route bei o2 kaputt und daher kommt eine v6 für dich in deren Netz.

Nach meinen Hotline und Techticket erlebnissen hier… schockt mich gar nichts, die Technik scheint [zensiert, gehört hier nicht hin].

Benutzerebene 1

DDNS funktioniert (also HTTP) und das meiste andere auch, ping, ssh:

PING google.de (2a00:1450:400e:809::2003): 56 data bytes
64 bytes from 2a00:1450:400e:809::2003: seq=0 ttl=108 time=78.020 ms
64 bytes from 2a00:1450:400e:809::2003: seq=1 ttl=108 time=66.528 ms

--- google.de ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 66.528/72.274/78.020 ms
root@OW2:/etc/config# ssh 2001:8d8:1800:80::1
root@2001:8d8:1800:80::1's password:

 

Das ist vom internen OpenWrt Router.

Benutzerebene 1

Und die Rückroute sieht auch OK aus (von einer IONOS VM):

root@IO1:~# traceroute 2a02:3035:0:1ac:7aa3:51ff:fe69:20f7
traceroute to 2a02:3035:0:1ac:7aa3:51ff:fe69:20f7 (2a02:3035:0:1ac:7aa3:51ff:fe69:20f7), 30 hops max, 80 byte packets
 1  fd8b::2 (fd8b::2)  0.261 ms  0.232 ms  0.222 ms
 2  ae-20-202.gw-distp-a.bap.rhr.de.oneandone.net (2001:8d8:0:202::a)  0.715 ms *  0.689 ms
 3  ae-0-0.bb-a.bap.rhr.de.oneandone.net (2001:8d8:0:9::8)  0.916 ms  0.912 ms  0.920 ms
 4  ae-10-0.bb-a.fra3.fra.de.oneandone.net (2001:8d8:0:2::f1)  6.641 ms  6.655 ms  6.608 ms
 5  xmwc-frnk-de01-chan-30.net.telefonica.de (2a02:30ff:ffff::1)  7.394 ms  7.406 ms  7.398 ms
 6  2a02:3001::26b (2a02:3001::26b)  13.648 ms  12.524 ms 2a02:3001::26a (2a02:3001::26a)  12.268 ms
 7  * * *
 8  * * *
 9  2a02:3001::16 (2a02:3001::16)  11.995 ms 2a02:3001::17 (2a02:3001::17)  12.020 ms 2a02:3001::16 (2a02:3001::16)  12.601 ms
10  2a02:3008:23:10:: (2a02:3008:23:10::)  14.199 ms 2a02:3008:23:10::6 (2a02:3008:23:10::6)  12.939 ms  12.903 ms

Die 2a02:30er IPs sind von Telfonica...

Anderes Thema :) Ich komme jetzt mit IPv6 raus. Leider kann man die falsche Lösung im verlinkten Thread nicht zurücknehmen, aber das ist so generell definitiv nicht richtig!

 

Zu dem Zeitpunkt war die Antwort aber korrekt ... ansonsten müssten ja zehntausende Lösungen aus den letzten 10 Jahren korrigiert werden.

Benutzerebene 1

Anderes Thema :) Ich komme jetzt mit IPv6 raus. Leider kann man die falsche Lösung im verlinkten Thread nicht zurücknehmen, aber das ist so generell definitiv nicht richtig!

 

Zu dem Zeitpunkt war die Antwort aber korrekt ... ansonsten müssten ja zehntausende Lösungen aus den letzten 10 Jahren korrigiert werden.


Da scheinst Du recht zu haben. Ich dachte ursprünglich, das läge an der neuen Konfiguration: OpenWRT via Ethernet statt Windows via WLAN. Aber ich habe mir das jetzt noch mal angeschaut und auch mein Windows Laptop bekommt jetzt über WLAN eine IPv6 Adresse. Da scheint also O2 tatsächlich was gemacht zu haben.

Aber das Problem besteht ja weiterhin: Wie konfiguriere ich die IPv6 Firewall auf dem HomeSpot Router damit ich von außen in mein Netz reinkomme??

Deine Antwort