Warum O2
Warenkorb
Service
Frage

IPv6 Firewall


Benutzerebene 2

Nachdem ich zu meiner Freude festgestellt habe, dass ein DHCPv6 Client an der Ethernet Schnittstelle des HomeSpot eine IPv6 Adresse bekommt, kam danach auch gleich die Ernüchterung und die Frage: Und nun???

Die IPv6 Firewall auf dem HomeSpot Router kann scheinbar nur IPv6 Adressen freischalten. Wie soll das mit einem dynamischen Präfix funktionieren? Und wenn ich ICMP “echo request” (Type 128) Nachrichten erlauben will, verlangt er eine Port-Nummer? Wer hat denn da das Internet nicht verstanden? Und das Handbuch spricht von IPv6 “Portfreigaben”, was aber nicht zu den Konfigurationsmöglichkeiten passt?

Ich habe jetzt folgendes konfiguriert und der Router dahinter lässt IPv6 Pings zu, aber von außen kommt nichts zurück. Weiß jemand, wie die IPv6 Firewall zu konfigurieren ist?


15 Antworten

Nochmal ein Topic zu einem Thema?

 

Siehe hier https://hilfe.o2online.de/o2-homespot-o2-my-data-spot-21/neuigkeiten-zu-ipv6-538596?postid=2127269#post2127269

Benutzerebene 2

Anderes Thema :) Ich komme jetzt mit IPv6 raus. Leider kann man die falsche Lösung im verlinkten Thread nicht zurücknehmen, aber das ist so generell definitiv nicht richtig!

Mein Router hinter dem Homespot bekommt die IP aus dem Screenshot (auch: MediaWays, ernsthaft?). ping6 geht raus und auch ssh auf eine externe IPv6 Adresse funktioniert. traceroute geht aber nicht und ich arbeite gerade an NAT6 auf meinem internen Router, weil ich natürlich nur ein einziges /64 Präfix bekomme.

Die Frage ist jetzt: Wie komme ich ich von außen rein? Da scheint die “IPv6 Firewall” des HomeSpot im Wege zu stehen und ich frage, wie man die konfigurieren soll….

Benutzerebene 4

Da schon die IPv4 Portfreigabe rumzickt... könnte das schwer werden.

Eventuell per DMZ?

Der Homespot mag gute Hardware verbaut haben, aber die Software ist übel. Schlecht, arm an Funktionen und ungetestet.

 

Aber andere Frage, bist du wirklich sicher das die IPv6 von o2, aus deren Netz kommt?

Ich schnorchel mir ein IPv6 Praefix eines meiner VPs über eine DTAG Kupferleitung ins Netz, da ich bei o2 nichtmals Rahmen groß genug für komplette v6 Datagramme habe und das massiv fragmentierte... .

Bei einer solchen Spielerei hatte ich mir aus versehen eine v6 Adresse aus unserem Firmenlan gemopst und mich über das merkwürdige Routing gewundert :sweat_smile:

 

Benutzerebene 2

Intern habe ich ULAs, der IPv6-Testzugang über V ist deaktiviert. Ich habe zwar eine MediaWays-IP (ja, wirklich!), aber das Routing zeigt zu Telefonica Deutschland. Da bin ich mir ziemlich sicher, dass das von O2 kommt...

Benutzerebene 4

Schon interessant, bin neidisch.

 

Ich kann hier leider nicht ein Fitzelchen v6 direkt von o2 aus dem Netz ziehen :(

 

Allerdings habe ich aktuell auch einen Huawei im Bridge Betrieb dran, und nicht den Homespot.

Durchaus möglich das der Homespot v6 ins WAN routet ohne selbst eine WAN v6 zu haben, eine QS hat der ja nie gesehen.

Aber wo kommt dann die v6 her die du hast? Bist du dir sicher das die per DHCPd kommt und nicht irgendwo in den Tiefen von openWRT eine conf von DHCPd oder RADVD eine v6 herbeizaubert / generiert?

 

Eventuell ist auch nur wieder eine Route bei o2 kaputt und daher kommt eine v6 für dich in deren Netz.

Nach meinen Hotline und Techticket erlebnissen hier… schockt mich gar nichts, die Technik scheint [zensiert, gehört hier nicht hin].

Benutzerebene 2

DDNS funktioniert (also HTTP) und das meiste andere auch, ping, ssh:

PING google.de (2a00:1450:400e:809::2003): 56 data bytes
64 bytes from 2a00:1450:400e:809::2003: seq=0 ttl=108 time=78.020 ms
64 bytes from 2a00:1450:400e:809::2003: seq=1 ttl=108 time=66.528 ms

--- google.de ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 66.528/72.274/78.020 ms
root@OW2:/etc/config# ssh 2001:8d8:1800:80::1
root@2001:8d8:1800:80::1's password:

 

Das ist vom internen OpenWrt Router.

Benutzerebene 2

Und die Rückroute sieht auch OK aus (von einer IONOS VM):

root@IO1:~# traceroute 2a02:3035:0:1ac:7aa3:51ff:fe69:20f7
traceroute to 2a02:3035:0:1ac:7aa3:51ff:fe69:20f7 (2a02:3035:0:1ac:7aa3:51ff:fe69:20f7), 30 hops max, 80 byte packets
 1  fd8b::2 (fd8b::2)  0.261 ms  0.232 ms  0.222 ms
 2  ae-20-202.gw-distp-a.bap.rhr.de.oneandone.net (2001:8d8:0:202::a)  0.715 ms *  0.689 ms
 3  ae-0-0.bb-a.bap.rhr.de.oneandone.net (2001:8d8:0:9::8)  0.916 ms  0.912 ms  0.920 ms
 4  ae-10-0.bb-a.fra3.fra.de.oneandone.net (2001:8d8:0:2::f1)  6.641 ms  6.655 ms  6.608 ms
 5  xmwc-frnk-de01-chan-30.net.telefonica.de (2a02:30ff:ffff::1)  7.394 ms  7.406 ms  7.398 ms
 6  2a02:3001::26b (2a02:3001::26b)  13.648 ms  12.524 ms 2a02:3001::26a (2a02:3001::26a)  12.268 ms
 7  * * *
 8  * * *
 9  2a02:3001::16 (2a02:3001::16)  11.995 ms 2a02:3001::17 (2a02:3001::17)  12.020 ms 2a02:3001::16 (2a02:3001::16)  12.601 ms
10  2a02:3008:23:10:: (2a02:3008:23:10::)  14.199 ms 2a02:3008:23:10::6 (2a02:3008:23:10::6)  12.939 ms  12.903 ms

Die 2a02:30er IPs sind von Telfonica...

Anderes Thema :) Ich komme jetzt mit IPv6 raus. Leider kann man die falsche Lösung im verlinkten Thread nicht zurücknehmen, aber das ist so generell definitiv nicht richtig!

 

Zu dem Zeitpunkt war die Antwort aber korrekt ... ansonsten müssten ja zehntausende Lösungen aus den letzten 10 Jahren korrigiert werden.

Benutzerebene 2

Anderes Thema :) Ich komme jetzt mit IPv6 raus. Leider kann man die falsche Lösung im verlinkten Thread nicht zurücknehmen, aber das ist so generell definitiv nicht richtig!

 

Zu dem Zeitpunkt war die Antwort aber korrekt ... ansonsten müssten ja zehntausende Lösungen aus den letzten 10 Jahren korrigiert werden.


Da scheinst Du recht zu haben. Ich dachte ursprünglich, das läge an der neuen Konfiguration: OpenWRT via Ethernet statt Windows via WLAN. Aber ich habe mir das jetzt noch mal angeschaut und auch mein Windows Laptop bekommt jetzt über WLAN eine IPv6 Adresse. Da scheint also O2 tatsächlich was gemacht zu haben.

Aber das Problem besteht ja weiterhin: Wie konfiguriere ich die IPv6 Firewall auf dem HomeSpot Router damit ich von außen in mein Netz reinkomme??

Benutzerebene 3

Intern habe ich ULAs, der IPv6-Testzugang über V ist deaktiviert. Ich habe zwar eine MediaWays-IP (ja, wirklich!), aber das Routing zeigt zu Telefonica Deutschland. Da bin ich mir ziemlich sicher, dass das von O2 kommt...

Das ist ja nicht schlimm. MediaWays wurde von Telefonica übernommen. Ist also schon okay, wenn du eine MediaWays-IP bekommst.

Benutzerebene 7
Abzeichen

Intern habe ich ULAs, der IPv6-Testzugang über V ist deaktiviert. Ich habe zwar eine MediaWays-IP (ja, wirklich!), aber das Routing zeigt zu Telefonica Deutschland. Da bin ich mir ziemlich sicher, dass das von O2 kommt...

Das ist ja nicht schlimm. MediaWays wurde von Telefonica übernommen. Ist also schon okay, wenn du eine MediaWays-IP bekommst.

Es hat nur noch niemand die IPv6-Präfixe bei RIPE umbennant.

 

Ich habe vermutlich eine schlechte Nachricht für euch, Inbound im Mobilfunk ist nicht üblich für Privatkunden. Bis auf einen kurzen Fehler hatte die Telekom zum Beispiel entweder public IPv4 oder private IPv4 und IPv6 mit Inbound gesperrt.

Die Moderatoren sollten dies mal an die Fachabteilung weitergeben, vielleicht kann man da ja was tun.

Benutzerebene 2

@Droggelbecher : Private IPv4 (Carrier Grade NAT) sind immer gesperrt, deshalb verkauft O2 ja auch öffentliche IPv4 Adressen. Und bei IPv6 sollte es eigentlich kein CGN mehr geben, weil genug Netze da sind? Bei T bekomme ich zumindest ein öffentliches /64er Netz...

Aber ich habe jetzt auch die weiße Fahne geschwenkt. Wie in einem anderen Thread beschrieben, ist das mit den dynamischen /64er Präfixen wirklich nicht der Weisheit letzter Schluss. Aber um O2 mal in Schutz zu nehmen: die anderen sind auch nicht besser, so ein Oligopol muss schön sein :-/

Ich hole mir jetzt ein /48er Präfix von tunnelbroker zu meinem Cloud Server und route ein /56 über einen bestehenden VPN Tunnel nach Hause. Klar kann man das machen, es ist nur frustrierend, dass man das im 21sten Jahrhundert so machen muss...

Benutzerebene 7
Abzeichen

@Droggelbecher: Private IPv4 (Carrier Grade NAT) sind immer gesperrt, deshalb verkauft O2 ja auch öffentliche IPv4 Adressen. Und bei IPv6 sollte es eigentlich kein CGN mehr geben, weil genug Netze da sind? Bei T bekomme ich zumindest ein öffentliches /64er Netz...

Aber ich habe jetzt auch die weiße Fahne geschwenkt. Wie in einem anderen Thread beschrieben, ist das mit den dynamischen /64er Präfixen wirklich nicht der Weisheit letzter Schluss. Aber um O2 mal in Schutz zu nehmen: die anderen sind auch nicht besser, so ein Oligopol muss schön sein :-/

Ich hole mir jetzt ein /48er Präfix von tunnelbroker zu meinem Cloud Server und route ein /56 über einen bestehenden VPN Tunnel nach Hause. Klar kann man das machen, es ist nur frustrierend, dass man das im 21sten Jahrhundert so machen muss...

Öffentlich und für eingehende Verbindungen erreichbar sind zwei paar Schuhe. Die Telekom hat auch diverses gesperrt.

Deine MTU tut mir leid!

Benutzerebene 2

MTU, guter Punkt, aber: IPv6 schreibt Path-MTU-Discovery vor. Ansonsten hat OpenVPN 14 Byte und der 6in4 Tunnel 20 Byte (=minimaler IPv4 Header). Und ich verwende ja nur entweder, oder:

[INET]==6over4==[VM]==VPN==[HOME]

Verglichen mit DSL und PPPoE (8 Byte) ist das noch vertretbar…

Und bei T steht sowieso noch ein Test mit einem alternativen AP (angeblich für kostenfreie öffentliche IPv4s und evtl. IPv6-PD) an, da werde ich das mal mit testen..

Benutzerebene 3

Öffentlich und für eingehende Verbindungen erreichbar sind zwei paar Schuhe.

Genau. Ich habe zu Hause auch CGNAT mit privater IPv4, bin aber trotzdem von außen zu erreichen, da es ein 1:1-NAT ist.

Deine Antwort