Glasfaser IPv6 kein VPN usw.

[ple]

Hallo zusammen,
hier bei uns im Dorf wurde Glasfaser verlegt und ich hätte jetzt 100 mbit.
Mir ist bis jetzt noch nicht bekannt, ob es Dual Stack oder DS-Lite ist. Leider wurde meine Testwoche wieder abgeschaltet.
Ich hätte da jetzt ein paar Fragen zu.
Soweit ich ja weiß, kann ich nicht von aussen auf mein Netzwerk zugreifen, also kann auch nicht mein Raspberry mit IPC erreicht werden.
Gibt es da eine einfach Lösung für???
Ich habe ein DYNDNS pro Account, kann ich darüber die IPV4 Anfragen weiterleiten an Dyndns und von da weiter als IPv6 an den Raspberry? Wenn die Fritzbox 7390 das überhaupt kann.

Ich liste mal auf, was ich hier habe, vielleicht gibt es ja eine einfach Lösung dafür.
1. Fritzbox 7390
2. Raspberry Pi mit IPC Oscam
3. Einen Rootserver von Strato

Danke für eure Hilfe.

 

[Schimmelreiter]

AW: Glasfaser IPv6 kein VPN usw.

hier bei uns im Dorf wurde Glasfaser verlegt und ich hätte jetzt 100 mbit.

Kreis Heinsberg/Selfkant/Holland-Süd?
Zeitpunkt der Verlegung, "Dorf", Glasfaser und 100 MBit/s passen zu Glasfaser Deutschland/Glasfaser Heinsberg bzw. Glasfaser Viersen.

Mir ist bis jetzt noch nicht bekannt, ob es Dual Stack oder DS-Lite ist.

Zumindest Glasfaser Heinsberg wäre DS-lite.
Entscheidend ist der eigentliche Anbieter, denn Glasfaser Deutschland erstellt nur die Anschlüsse, bei Glasfaser HS und Glasfaser VS wären die Anbieter am Ende NEW oder fl!nk.
Für die Pampa um Borken/Wesel wäre der Anbieter bornet.

new, fl!nk und bornet arbeiten alle mit DS-lite.

Soweit ich ja weiß, kann ich nicht von aussen auf mein Netzwerk zugreifen, also kann auch nicht mein Raspberry mit IPC erreicht werden.
Gibt es da eine einfach Lösung für??? Verstehe ich das richtig, dass ich eine feste IPv6 Adresse habe aber die Clients sich nicht verbinden können weil sie nur IPV4 können?

Falsch. Jain. Jain.

1. Du bist durchaus von außen erreichbar und zwar über IPv6.
3a. Die IP-Adressen bei IPv6 sind - ohne Not - nicht fest, sondern - wie früher die IPv4-Adressen für Privatkunden - ebenfalls dynamisch. Übrigens kriegst Du nicht eine IPv6-Adresse sondern Abermillionen. Genug, damit jedes Gerät seine eigene kriegen kann.
3b. Tatsächlich ist das Kernproblem bei der Erreichbarkeit von IPv6-Servern, daß andere oftmals noch kein IPv6 haben.
2. Es gibt nicht eine Lösung, sondern je nach Problem verschiedene. Deren Schwierigkeitsgrad schwankt zwischen "Pipifax, der in 5 Minuten erledigt ist" und "nahezu unmöglich".

Ich liste mal auf, was ich hier habe, vielleicht gibt es ja eine einfach Lösung dafür.
1. Fritzbox 7390
2. Raspberry Pi mit IPC Oscam
3. Einen Rootserver von Strato

Von daher bist Du perfekt aufgestellt:
Du hast bereits alles, um alle derzeit lösbaren Startschwierigkeiten mit IPv6 auch tatsächlich zu lösen.

Um Dir konkret helfen zu können, bräuchten wir aber konkretere Angaben dazu, was Du vorhast.

Prinzipiell ist aber alles möglich:
- Der oscam auf Deiner Himbeere kann dank der Fritz!Box auch direkt per IPv6 von außen erreichbar gemacht werden.
- Du kannst Dir auf Deinem Root-Server einen eigenen IPv4-to-IPv6-Portproxy einrichten, der den heimischen oscam (oder auch andere IPv6-Server) auch für IPv4-only-Clients erreichbar macht.
- Zu den beiden vorgenannten Punkten empfehle ich einen Blick in diesen Thread.

- Mit der Fritz!Box 7390 und der Himbeere hast Du im Heimnetz sogar mindestens zwei Geräte, die in der Lage wären, eine OpenVPN-Verbindung (auch über IPv6) herzustellen.
Mittels OpenVPN kannst Du also über IPv6 (als Trägernetz) eine VPN-Verbindung z.B. zum Root-Server aufbauen und über diese dann auch IPv4-Traffic (als Payload/Nutzdaten) abwickeln.

Mal aus Jux eine (ältere) Ansicht meines oscams, bei dem alle Clients und Server nur per IPv6 verbunden sind:
Der Proxy mit dem Unitymedia-Logo ist ein entfernter oscam (an einem Unitymedia-Anschluß ...) und der Client mit dem vodafone-Logo ist ein entfernter oscam (an einem vodafone-Anschluß, wer hätte es gedacht ...)

Keiner der beteiligten Anschlüsse läuft mit DS-lite, sondern alle "ab Werk" IPv4-only, nutzen aber einen Tunnel um auch IPv6 zu können. Alle weiteren Proxies und User sind im lokalen Netzwerk, nutzen aber trotzdem IPv6, obwohl sie innerhalb des Heimnetzes (oder durch ein VPN hindurch) natürlich auch IPv4 nutzen könnten.
Ich müßte also gar kein IPv6 nutzen, tu's aber aus Spaß an der Freude trotzdem ...

Du musst angemeldet sein, um Bilder zu sehen.

 

[ple]

AW: Glasfaser IPv6 kein VPN usw.

Erst mal danke für deine Zeit und deine Mühe.
Der Anbieter ist Bornet, mit denen hab ich im Moment auch mehr Probleme als Lösungen. Wir hatten bereits Gespräche mit dem Geschäftsführer sowie der Pressesprecherin der Deutschen Glasfaser.
Als Lösung für die VPN Geschichten wurde immer darauf hingewiesen, dass es bald ein Update der CPE geben soll, damit sie IPv6 können. Sie schieben aber auch die Probleme auf Cisco Hardware in den Verteilungen. Glauben kann ich es nicht.
Mir wurde ein Geschäftsanschluss angeboten für 200€, nur weil ich eine IPv4 Adresse haben wollte wie bei der Telekom jetzt noch.

Aber zurück zu deinen Fragen.
1. ich möchte einen Zugang zur Himbeere gewährleisten. Kann ich weiterhin den DynDNS nutzen??? wegen den Dynamischen Adressen??
2. Ich möchte weiterhin VPN nutzen können, damit ich von außen in meinen Netzwerk bin für Webif oder auch RDP für meinen Homeserver.
3. Denke alle meine Geräte können IPv6, Rechner, HTPC, Iphone, Ipad, Linux Lappi, Macbook. Welche wohl nicht gehen wären TV usw.
4. Einfach zu realisieren, da ich es auch bei anderen Anwohner hier im Ort einrichten möchte.

Ich könnte jetzt auch das Vorabinternet von denen nutzen, die machen da so Sonderangebote. Weiß du, ob die Fritzbox das Telefon weiterhin über ISDN von der Telekom schalten kann und ich den Lan 1 für Internet von Bornet nutzen kann? Sonst bräuchte ich noch eine Fritzbox. eine internet und eine mein Heimnetzwerk.

 

[Schimmelreiter]

AW: Glasfaser IPv6 kein VPN usw.

Als Lösung für die VPN Geschichten wurde immer darauf hingewiesen, dass es bald ein Update der CPE geben soll, damit sie IPv6 können.

Bei diesem Punkt blicke ich nicht ganz durch:
Soweit ich das sehen kann, arbeitet das CPE als transparente Bridge, d.h. die Verbindung wird von der Fritz!Box (oder einem anderen angeschlossenen WAN-Router) selber aufgebaut.
Bei dieser Betriebsart sollte die Fritz!Box normalerweise durch das CPE hindurch (Welches sie in dem Sinne gar nicht sieht) vom Netzwerk ein IPv6-Präfix mitgeteilt bekommen.

Dies suggeriert zumindest die von bornet verlinkte

Sie müssen registriert sein, um Links zu sehen.

.

Sollte das CPE jedoch in Wirklichkeit ein kompletter Router sein, der womöglich keine Präfix Delegation unterstützt, dann wäre das in der Tat ein dramatisches Hindernis. Das CPE wäre damit ein absoluter Show-Stopper, genau wie das DK7200 (Dreckniknotzlor DK7200) bei Unitymedia.
In diesem Fall bekäme die Fritz!Box nämlich lediglich eine private IPv4-Adresse aus dem LAN des Glasfaser-Routers, was für genau gar nichts außer Surfen und eMails abholen gut ist.

Das wäre ein Punkt, den Du vorab in Erfahrung bringen müßtest:
Rein von den technischen Daten des Herstellers (Das CPE ist ein Genexis "Residential Gateway") ist das CPE bereits selber ein Router, wobei allerdings jeder der vier Ports durch den Anbieter (Also new, fl!nk, bornet) in den sog. "Bridge-Modus" geschaltet werden kann.
Wenn der Anbieter diese Funktionalität nutzt, dann wird ein IPv6/DS-lite-fähiger Router auch in der Lage sein, daran ein eigenes IPv6-Subnet zu beziehen und zu verwalten.
Läuft das CPE aber im reinen Router-Modus und läßt den Bridge-Mode nicht zu (Genau das ist das Problem beim DK7200 von Unitymedia), dann wird der Anschluß eines eigenen Routers unnötig erschwert bis unmöglich.

Wenn Du einen Anschluß zum Testen zur Verfügung hast, kannst Du es wie folgt ausprobieren:

• Schließe die Fritz!Box wie in der o.g. Anleitung beschrieben an.
• Schalte sie in die "erweiterte Ansicht" (Das ist bei neueren Firmwares der erste Punkt im Fußleisten-Menü auf jeder Seite der Fritz!Box-Oberfläche)
• Gehe im linken Menü auf "Internet -> Zugangsdaten" und dann auf den Reiter "IPv6".
• Stelle sie dort wie folgt ein:
  (*) Immer eine native IPv6-Anbindung nutzen
  [X] IPv4-Anbindung über DS-Lite herstellen
  (*) AFTR-Adresse automatisch über DHCPv6 ermitteln

Wenn bornet das CPE vernünftig eingestellt hat, dann solltest Du danach in der Übersicht in etwa folgendes sehen:

Du musst angemeldet sein, um Bilder zu sehen.

Die Darstellung kann wegen der erweiterten Ansicht und einer anderen Firmware abweichen, entscheidend ist nur, daß dort hinter "Internet, IPv6" auch wirklich "verbunden" und ein öffentliches IPv6-Präfix (Im Falle von bornet also beginnend mit "2a03:fc03:") steht.

Geschieht das nicht, verbindet sich die Fritz!Box also nicht, dann müßtest Du das Interface des Glasfaser-CPEs überprüfen, ob Du einen seiner Ports in den Bridge-Modus versetzen kannst.
Wenn nicht, bliebe nur noch eine Anfrage bei bornet, ob die das per Fernkonfiguration tun würden.

Ohne Bridge-Modus im bornet-CPE nutzt Dir die ganze IPv6-Funktionalität der Fritz!Box leider nix.

1. ich möchte den Clients den Zugang zur Himbeere gewährleisten, wenn ich meine Fritzbox an die CPE anschließe ohne die Line zu ändern. Kann ich weiterhin den DynDNS nutzen??? wegen den Dynamischen Adressen??

Bezahlte Dyn.com-Konten können IPv6-Adressen nutzen, ja.

Besser wäre es allerdings, den freedns.afraid.org-Service in Verbindung mit dem MyFritz!-Dienst zu benutzen:
Wenn Du in einer aktuellen Fritz!Box eine MyFritz!-Freigabe einrichtest, dann richtet die Fritz!Box automatisch
- eine IPv4-Portweiterleitung für das Gerät/den Port (Nutzlos bei DS-lite, ich glaube, bei DS-lite überspringt die Fritte diesen Part auch)
- eine IPv6-Freigabe (Also eine Ausnahmeregel in ihrer IPv6-Firewall) für die IPv6-Adresse+den Zielport des Zielgerätes
und
- einen DynDNS-Hostname <Gerät>.<kryptische Buchstabenfolge>.myfritz.net
ein.

Beispiel:
Angenommen, Du richtest eine MyFritz!-Freigabe für einen HTTPS-Server/Port 443 auf der Himbeere ein und das Teil heißt bei Dir im Netz auch "himbeere", dann könntest Du danach die Himbeere von überall auf der Welt unter

Sie müssen registriert sein, um Links zu sehen.

erreichen.
Also ein absoluter all-inclusive Service Deiner Fritte ...

Und damit man sich das behämmerte "himbeere.kdfbngibgif.myfritz.net" nicht merken muß, kannst Du dann noch bei freedns.afraid.org einen DynDNS-Account mit einem CNAME anlegen:
himbeere.mooo.com als CNAME von himbeere.kdfbngibgif.myfritz.net
Danach läßt sich die Himbeere von überall auf der Welt auch unter

Sie müssen registriert sein, um Links zu sehen.

erreichen.
Das Dyn-Update erledigt trotzdem die Fritz!Box, denn himbeere.mooo.com ist und bleibt dabei lediglich ein Verweis auf den schwieriger zu merkenden, aber von der Fritz!Box gepflegten DynDNS-Host himbeere.kdfbngibgif.myfritz.net.

2. Ich möchte weiterhin VPN nutzen können, damit ich von außen in meinen Netzwerk bin für Webif oder auch RDP für meinen Homeserver.

Das ist auch durchaus möglich, sofern der Client (Ich betrachte jetzt mal Deine Himbeere als Server) auch IPv6 beherrscht.

Wenn das gegeben ist, reicht ein einfaches Ändern von
proto tcp-server
bzw.
proto tcp
in
proto tcp6-server
und
proto tcp6
in der entsprechenden OpenVPN-Konfiguration.

Auf Server-Seite kann man das übrigens sowieso machen, der Server arbeitet danach nämlich per Dual-Stack, wäre also auch weiterhin über IPv4 erreichbar.

Beachte:
Mit diesen Einstellung wird beeinflußt, wie OpenVPN die Verbindung aufbaut, also über IPv6 bzw. Dual Stack. Was Du durch den Tunnel transportierst, ist Dir überlassen und kann sogar IPv4-only bleiben.
Du kannst also sogar zwei nur per IPv6 von außen erreichbare Netze mittels OpenVPN über IPv6 verbinden und trotzdem das entstehende virtuelle Netz als reines IPv4-Netzwerk belassen.

3. Denke alle meine Geräte können IPv6, Rechner, HTPC, Iphone, Ipad, Linux Lappi, Macbook. Welche wohl nicht gehen wären vielleicht so Billigboxen (Opticum), TV oder was ich gerade so vergessen habe.

Innerhalb des Heimnetzes/LAN/WLANs stimmt das.
iPhones und iPads können aber im Mobilfunk nur dann IPv6, wenn es vom Mobilfunkprovider kommt und das bietet eben keiner an.
Es gibt allerdings eine Lösung und zwar eine OpenVPN-Verbindung zu einem Dual-Stack-Server (In Deinem Fall z.B. Deinem Root-Server). Dann kann sich das iPhone mit diesem über IPv4 verbinden und durch das VPN eine IPv6-Adresse erhalten. Da es sich aus Sicht des Apple-OS dann um eine LAN-Verbindung und keine Mobilverbindung handelt, unterstützt es im VPN dann doch wieder IPv6.

Androiden hingegen können auch direkt eine Tunnelanbindung (SixXS) nutzen, um auch unterwegs IPv6 nutzen zu können (z.B. um das DS-lite-Heimnetz erreichen zu können).
Ab Android 4.3 wird das allerdings dadurch wieder erschwert, daß man den DNS-Server nicht mehr ändern kann. Da der voreingestellte DNS-Server des Mobilfunkproviders meistens keine IPv6-Adressen auflösen kann, endet man mit einem zwar prinzipiell funktionierenden aber doch weitgehend nutzlosem Tunnel (Du müßtest dann die IPv6-Adressen der Gegenseiten selber kennen).

4. Einfach zu realisieren, da ich es auch bei anderen Anwohner hier im Ort einrichten möchte.

Darüber machen wir uns erst Gedanken, wenn der erste Punkt geklärt ist, nämlich ob man die Fritz!Box wirklich vollwertig hinter dem CPE betreiben kann, also ob das CPE den Bridge-Modus beherrscht.
Dann ist alles andere kein Problem mehr.

Weiß du, ob die Fritzbox das Telefon weiterhin über ISDN von der Telekom schalten kann und ich den Lan 1 für Internet von Bornet nutzen kann? Sonst bräuchte ich noch eine Fritzbox. eine internet und eine mein Heimnetzwerk.

Nein, eine reicht.

Das gilt für alle Fritten, die einen Eingang für echtes ISDN/analoge Telefonie haben:
Denen ist es scheißegal, woher das Telefonsignal an diesem Eingang kommt, das kann aus einem beliebigen ISDN-Anschluß, einem beliebigen analogen Anschluß oder auch aus einem anderen VoIP-Router aus dessen Buchse zum Anschluß eines Telefons/einer ISDN-Anlage kommen.

Meine Fritz!Box 7390 hängt z.B. auch mit dem ISDN-Kabel am Splitter vom Vodafone-DSL und mit LAN1 hinter dem Kabel-Modem von Unitymedia, während das Vodafone DSL von meiner alten Fritz!Box 7570 hinter der mitgelieferten Easybox benutzt wird ...

 

[ple]

AW: Glasfaser IPv6 kein VPN usw.

Du scheinst ja echt fit zu sein in diesem Thema, da bin ich dir auch sehr Dankbar für. Solche Infos konnte ich leider per Google nicht finden, daher hatte ich es hier mal versucht.

Ok, die Geschichte mit der CPE und der Bridge kann ich heute noch beim Kollegen nachsehen, da hatte ich gestern sein Netzwerk aufgebaut mit SIP und so weiter. Er betreibt eine 7490.
Da kann ich das dann nachvollziehen. Wenn alles im Vorfeld in Ordnung ist, dann werde ich mir die 100 mbit vorab freischalten lassen. Ansonsten muss ich mal schauen wie ich da wieder rauskomme aus dem Vertrag. Die ganze Gemeinde ist eh gerade ein wenig aufgebracht, da Geschwindigkeiten nicht passen, oder TV nicht läuft, oder Telefon nicht freigeschaltet werden konnte, oder das sie andere Rufnummern bekamen als angegeben usw.

ich melde mich heute mittag dann mal wieder.

 

[Schimmelreiter]

AW: Glasfaser IPv6 kein VPN usw.

Du scheinst ja echt fit zu sein in diesem Thema,

Jeliert is jeliert (Für Nicht-Kölner: "Gelernt ist gelernt")

Ok, die Geschichte mit der CPE und der Bridge kann ich heute noch beim Kollegen nachsehen, ...
Da kann ich das dann nachvollziehen. Wenn alles im Vorfeld in Ordnung ist, dann werde ich mir die 100 mbit vorab freischalten lassen.

Wenn nicht:
Wie gesagt, geh mal auf die Oberfläche vom CPE (Wenn Du nicht weißt wie: PC direkt am CPE anschließen, gucken, was er für eine IP bekommt, das CPE sollte dann dieselbe IPv4 haben wie der PC, nur als letztes eine .1, ansonsten im PC bei den Eigenschaften der LAN-Verbindung nachsehen, welche IP das default gateway hat, diese IP dann im Browser öffnen.) und schau dort nach, ob man einen der Ports direkt im CPE auf "Bridge-Mode", "bridged" o.ä. umschalten kann.
Geht auch das nicht, dann würde ich mal bei bornet anrufen und die fragen, ob die Dir den ersten oder letzten Port vom CPE in den Bridge-Mode versetzen würden.

Es kann sehr gut sein, daß er standardmäßig nicht an ist (Aus gar nicht mal so dummen Gründen, Billigstrouter wie z.B. fast alle von TP-Link würden dann nämlich keine Verbindung kriegen, da sie gar kein IPv6 können).
Das ist aber kein Problem, solange bornet - im Gegensatz zu den Arschnasen bei UM - bereit ist, den nachträglich zu aktivieren.

 

[Stratego]

AW: Glasfaser IPv6 kein VPN usw.

Hallo

Ich klinke mich jetzt hier mal mit ein weil ich auch diesen besagten Anschluß habe und auch hier sind einige viele^^Kunden verärgert weil die altverträge nicht zeitig gekündigt wurden,einen IPv4 Anschluß bekommen nur Gewerbliche,Tel erreicht man nur Kundenhotlein mit Leuten die dir nicht helfen können weil Sie keine Ahnung haben,Emails duern ewig bis die beantwortet werden(12 Tage bei mir um eine standart Antwort zu bekommen)ich bin richtig stinkig auf den Laden....bitte um Tel rückruf wird mit paziger Mail abgeschmettert...Technikservice gibts nicht bzw keine Tel NR von.


Da es hier um den gleichen Anschluß geht schreibe ich hier mal weiter da ich in einem anderen Thema schon was geschrieben hatte aber hier past das sicher besser.

Meine Hardware:
Linksys Router WRT 160 NL mit Firmware: DD-WRT v24-sp2
Igel Thinclient mit oscam IPv6 suport yes
VIP bei Dyndns
DRGOS Router"vom Anbieter
werde mich wohl doch mit der Einrichtung CS mit IPv6 befassen müßen.......dazu brauche ich hilfe

 

[Schimmelreiter]

AW: Glasfaser IPv6 kein VPN usw.

Ob ich Euch beim Zusammenspiel mit diesem konkreten Anschluß helfen kann, hängt davon ab, wie er funktioniert.

Wie schon angesprochen ist es elementar wichtig, daß an den Geräten überhaupt funktionierendes IPv6 ankommt:
Bei Unitymedia/KabelBW ist es ja z.B. so, daß man an einem Anschluß mit der Option "Telefon Komfort" eine Fritz!Box 6360 kriegt, mit der man das gut hinkriegen kann, weil sie auch guten IPv6-Support hat; während man ohne die Option "Telefon Komfort" einen Technicolor TC7200 (Drecknikotzlor DK7200) bekommt, mit dem sich nicht viel reißen läßt, da man keine gezielten IPv6-Freigaben anlegen kann. Beide Geräte sind "Zwangsrouter", die der Kunde auch nicht durch eigene Geräte ersetzen kann, gleichzeitig läßt sich auch kein eigener Router richtig dahinterklemmen.

Für den Anschluß von Glasfaser Deutschland (incl. Glasfaser HS, VS, ...) muß ich erst einmal das vergleichbare Hintergrundwissen zum Anschluß haben:
Prinzipiell ist das CPE des Anbieters, nämlich das

Sie müssen registriert sein, um Links zu sehen.

(Das oberste der drei aufeinandergeklickten Module) auch ein (Zwangs-)Router (und nicht etwa ein reines Modem). Hinter einem solchen Router wäre der Einsatz eines eigenen Routers zumindest erheblich erschwert!

Dieser Zwangs-Router kann jedoch für einzelne Ports zur transparenten Bridge umkonfiguriert werden (Zumindest per Fernkonfiguration durch den Anbieter) und dann kann ein eigener Router vollwertig dahinter betrieben werden, wenn er IPv6 und DS-lite unterstützt.
Meine Frage wäre also: Läuft bereits einer oder mehrere der Ports als Bridge (Mich irritiert, daß der Benutzer je nach Anbieter sowieso noch einen (externen) Router dazu bekommt, das spräche sehr für einen Bridge-Mode-Port)?

Wenn es nicht möglich ist, das "Live! Gateway" durch die Hotline oder die Konfigurationsoberfläche in den Bridge-Mode zu versetzen, müßte ich sehen können, was man in diesem CPE so alles einstellen kann. Vielleicht hat es ja selber eine brauchbar konfigurierbare IPv6-Firewall.
Frage also: Kann mich mal jemand mit Screenshots dieses Teils bedienen? Eine Anleitung finde ich nirgendwo und ich weiß beim besten Willen nicht, was man einstellen kann (und darf) ...

 

[Stratego]

AW: Glasfaser IPv6 kein VPN usw.

Hi
Ich habe das im Netz gefunden über den Router :

Sie müssen registriert sein, um Links zu sehen.

leider in englisch hoffe es hilft weiter


Ich habe jetzt mal versucht den Server direkt an den Genexis anzuschließen an den 4. Lananschluß
Ich komme auf den Server.
Ich habe nun versucht eine Portfreigabe einzurichten zum server.....mit open Port check tool ist der Port geschloßen.....wäre ja auch zu einfach gewesen

PS:bei der Besprechung damals wurde uns mitgeteilt das wir einen 2. Router benötigen werden der an den Genexis angeschlossen wird zb eine FB...

 

[hoddelac]

AW: Glasfaser IPv6 kein VPN usw.

hallo ich bin auch Nutzer des Glasfasernetzes der Deutschen Glasfaser in Heinsberg, ich kann bestätigen das eine ipv6 Verbindung mit der FB7390 hinter dem Genexis Router nicht Zustande kommt. (so wie es auf dem Bild von Schimmelreiter zu sehen ist). Es wird zwar eine ipv6 Adresse vergeben aber kurz danach gibts diese Meldung im log :
Internetverbindung IPv6 konnte nicht aufgebaut werden: Keine Antwort vom DHCPv6-Server (SOL) ?

im übrigen beherrscht die CPE nicht diesen Bridge Modus.

 

[Stratego]

AW: Glasfaser IPv6 kein VPN usw.

Das die Antwort die ich heute bekommen habe auf den Wunsch eine IPV4 Adresse zu bekommen,nur wie mein Standort von Außen einwandfrei erreichbar ist schreiben die nicht.
Auf einen telef. Rückruf zwecks Lösung des Problems wurde nicht reagiert,nur eine knappe Mail wegen Vertrag ist unterschrieben und nicht kündbar,IPv4 adressen nur an Geschäftlich

Spoiler

Guten Tag Herr XXXXXX,

im Leistungsumfang Ihres gebuchten Glasfaser Produktes für Privatkunden ist eine statische und öffentliche IPv6 Adresse bereits beinhaltet.
Über diese Adresse ist auch Ihr Standort von außen einwandfrei erreichbar. Sollte dies nicht der Fall sein, so bitte ich um Ihre Information.

Öffentliche IPv4 Adressen werden im Privatkundensegment inzwischen bei nahezu keinem Provider mehr neu bereit gestellt, da inzwischen der größte Teil der Kommunikation über IPv6 laufen wird.
Die internationalen Vergabestellen richten inzwischen auch keine neuen IPv4 Netze mehr ein.

Als einer der ersten Anbieter adaptieren wir mit IPv6 daher bereits heute die Zukunftstechnologie innerhalb unserer Netze.

Ich hoffe, dass ich Ihnen mit diesen Angaben weiter helfen konnte.

Mit freundlichem Gruß,

 

[hoddelac]

AW: Glasfaser IPv6 kein VPN usw.

statische ipv6 Adresse, da kann ich nur lachen, die ändert sich täglich......

 

[Schimmelreiter]

AW: Glasfaser IPv6 kein VPN usw.

Ich habe das im Netz gefunden über den Router :

Sie müssen registriert sein, um Links zu sehen.

Es hätte noch schlimmer kommen können.

Ich habe jetzt mal versucht den Server direkt an den Genexis anzuschließen an den 4. Lananschluß
Ich komme auf den Server.

Erhält der Server in diesem Fall auch eine öffentliche IPv6-Adresse?

Prüfen mit
ipconfig (Windows)
bzw.
ifconfig (Linux)
auf der Kommandozeile/Shell.

Öffentlich sind die IPv6-Adressen, wenn sie diesen Adressbereichen entstammen:
fl!nk: 2a00:61e0::/32 (Also alle, die mit 2a00:61e0: beginnen)
new: ??? aber mit Sicherheit auch mit 2xxx beginnend.
bornet: 2a03:fc0::/32 (Also alle, die mit 2a03:fc0: beginnen)

Wenn nein:
Ist er überhaupt IPv6-tauglich?
Ggf. mit einem PC mit Windows Vista oder neuer oder aktuellem Linux ausprobieren.

Wenn ja:
Der Genexis Router kann tatsächlich richtige IPv6-Portfreigaben.
Die sind zwar umständlicher als nötig einzurichten, aber eben möglich und das ist schon ein gewaltiger Vorteil gegenüber den Opfern von Unitymedias DK7200 Schrottrouter.

Sofern also diese Konfigurationsseite ...

Sie müssen registriert sein, um Links zu sehen.

... des Genexis Routers erreichbar ist, dann wird alles gut.

ich kann bestätigen das eine ipv6 Verbindung mit der FB7390 hinter dem Genexis Router nicht Zustande kommt. (so wie es auf dem Bild von Schimmelreiter zu sehen ist). Es wird zwar eine ipv6 Adresse vergeben aber kurz danach gibts diese Meldung im log :
Internetverbindung IPv6 konnte nicht aufgebaut werden: Keine Antwort vom DHCPv6-Server (SOL) ?

Das sagt uns ...
1. Bridge Mode ist wohl nicht, sonst würde das nicht schiefgehen. -> Schlecht
2. Vom Genexis Router werden den angeschlossenen Geräten korrekt IPv6-Adressen zugewiesen bzw. es wird "ein Subnet advertised". -> Gut
3. Prefix Delegation hingegen und somit nachgeschaltete Router unterstützt er nicht -> Schlecht

Die Konfigurationsanleitung für die Fritz!Boxen macht so keinen Sinn bzw. muß als fehlerhaft betrachtet werden.
Ohne "Bridge Mode" und ohne "Prefix Delegation" kann die Fritz!Box gar keine eigene Verbindung aufbauen wie es auf den Screenshots der Anleitung eingestellt wurde, stattdessen entsteht eine Router-Kaskade durch die im Netz der Fritz!Box jegliche IPv6-Konnektivität am Arsch ist.

Die korrekte Anleitung wäre vielmehr diese:

Sie müssen registriert sein, um Links zu sehen.

.

In dieser Einstellung erfolgt die Adresszuweisung aller Geräte, auch der Fritz!Box selber sowie aller dahinter angeschlossener Geräte, durch den Genexis-Router.
Geräte am Genexis-Router und Geräte an der Fritz!Box befinden sich dann im selben Netz und in der Fritz!Box werden der DHCP-Server, die Firewall, die IPv6-Firewall und andere Kleinigkeiten deaktiviert, da diese Funktionalität bereits durch den Genexis-Router gewährleistet wird.

Es entwertet die Fritz!Box zwar deutlich (Die ist danach nur noch Telefonanlage, Fax, NAS, WLAN-Access Point und 4-Port-Switch), aber es ist die einzige Möglichkeit, IPv6 durchkommen zu lassen und somit IPv6-Freigaben anlegen zu können.

Wenn das mal jemand soweit eingerichtet und überprüft hat, können wir uns an die IPv6-Portfreigaben machen.

Wichtig ist:
1. Die Fritz!Box muß als IP-Client eingerichtet sein. Alle Geräte incl. der Fritz!Box beziehen IPv4-Adressen aus dem Netz des Genexis und IPv6-Adressen aus dem Pool des Anbieters (siehe oben)
2. Alle Geräte im Heimnetz müssen sich untereinander erreichen können.
3. Alle Geräte müssen ins Internet kommen.

Wer mag, kann noch etwas ausprobieren und in Chrome

Sie müssen registriert sein, um Links zu sehen.

und/oder in Firefox

Sie müssen registriert sein, um Links zu sehen.

installieren.
Wenn Ihr mit dieser Erweiterung surft, wird Euch bei jeder Website angezeigt, ob sie per IPv6 oder per IPv4 geöffnet wird. Bei Facebook, Google, YouTube u.v.m. sollte eine grüne 6 stehen.

Kann man auch gut als "vorher - nachher"-Test machen:
Mit der Fritz!Box im Modus "Verbindung selber herstellen" wird dort immer eine rote 4 stehen, im IP-Client-Modus sollte es mindestens auf den o.g. Seiten eine grüne 6 sein.


Für Nicht-Fritz!Box-Besitzer:
Was bei der Fritz!Box der "IP-Client"-Modus ist, heißt bei anderen Routern "Access Point", Googeln nach "<Euer Router> als Access Point" sollte für praktisch jeden Router eine Anleitung finden.

Nur Besitzer eines Routers mit aktuellem OpenWRT können den eigenen Router als Router laufen lassen (Die haben einen ganz speziellen Hybrid-Modus jenseits aller Standards).
Aktuell heißt: Barrier Breaker, Attitude Adjustment Release 12.09.1 und neuer.

 

[hoddelac]

AW: Glasfaser IPv6 kein VPN usw.

bei mir sieht das so aus

inet Adresse:192.168.1.11 Bcast:192.168.1.255 Maske:255.255.255.0
inet6-Adresse: 2a00:61e0:xxxx:xxxx:xxxx:xxxx

die ipv6 port forwarding ist auch erreichbar

 

[Schimmelreiter]

AW: Glasfaser IPv6 kein VPN usw.

bei mir sieht das so aus
inet6-Adresse: 2a00:61e0:xxxx:xxxx:xxxx:xxxx
die ipv6 port forwarding ist auch erreichbar

Perfekt.

Nächster Schritt:
Läuft auf dem von Dir getesteten Gerät irgendein IPv6-fähiger Server?

Das verrät Dir
netstat -ant
auf der Shell.

Die Ausgabe sieht z.B. so aus:

tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN
tcp        0      0 :::8001                 :::*                    LISTEN
tcp        0      0 :::80                   :::*                    LISTEN
tcp        0      0 :::21                   :::*                    LISTEN
tcp        0      0 :::22                   :::*                    LISTEN
tcp        0      0 :::23                   :::*                    LISTEN
tcp        0      0 :::443                  :::*                    LISTEN

Wo links als Adresse ":::" steht, steckt ein IPv6 listener hinter, steht dort eine IPv4-Adresse, incl. 0.0.0.0, dann ist es nur ein IPv4 listener.

Wenn Du einen IPv6-Server hast, dann versuche Dich, lokal mit diesem zu verbinden.
In dem von mir gezeigten Beispiel sind fast alle Server per IPv6 erreichbar, also sollte sich z.B. (Port 80 = http)

Sie müssen registriert sein, um Links zu sehen.

und (Port 443 = https)

Sie müssen registriert sein, um Links zu sehen.

und (Port 21 = ftp)

Sie müssen registriert sein, um Links zu sehen.

im Browser öffnen lassen (2a00:61e0:xxxx:xxxx:xxxx:xxxx durch die richtige IPv6 ersetzen ).

Zumindest ssh (Port 22) läuft fast immer auch als IPv6 listener, also sollte eine ssh-Sitzung mit [2a00:61e0:xxxx:xxxx:xxxx:xxxx] möglich sein.
Je nach Client müssen die eckigen Klammern [] korrekt angegeben werden oder auch weggelassen werden. Im Browser müssen sie praktisch immer angegeben werden.

Wenn eine lokale Verbindung gelingt, geht's an das Anlegen der Port-Weiterleitung.
Dafür
externer Port = interner Port = der oben gefundene tatsächlich vorhandene Serverport
einstellen
und als Adresse die 2a00:61e0:xxxx:xxxx:xxxx:xxxx (Natürlich korrekt und nicht ausge-x-t).

Nach der Freigabe kann der freigegebene Port mit

Sie müssen registriert sein, um Links zu sehen.

(andere testen oft nur IPv4) getestet werden.
Er sollte nun "offen" angezeigt werden.


PS:
Ich bräuchte mal anständige und aktuelle Screenshots der Seiten
IPv6 Port Forwarding
und
DNS Configuration
aus dem Genexis Router.

Ich kann irgendwie nicht wirklich glauben, daß man die IPv6-Adressen komplett eingeben muß. Die Option, nur ein Präfix einzugeben, ist absolut witzlos, denn genau das ändert sich ja.

Was fehlt ist die Möglichkeit, nur das SUFFIX einzugeben, also statt z.B.
2a00:61e0:0ab0:0000:7645:ab65:7352:ff87
komplett eintragen zu müssen, ist die Möglichkeit unverzichtbar, dieselbe Freigabe auch irgendwie mit der Angabe von lediglich
::7645:ab65:7352:ff87
einrichten zu können, damit sie auch bei sich wechselndem Präfix bestehen bleibt.

In der Fritz!Box selber würden sie auch genau so funktionieren, d.h. es wird das Gerät nur über den hinteren Teil der Adresse konfiguriert, das (wechselnde) Präfix wird automatisch von der Fritz!Box ergänzt.
Das nutzt aber nix, wenn die Fritz!Box nicht vollwertig benutzt werden kann ...