Erreichbarkeit mittels IPv6

[Tjaden]

Hallo zusammen,

ich habe vor kurzem meinen Internetanbieter gewechselt und verwende nun Glasfaser statt DSL.

Seitdem ist weder meiner FB, noch mein NAS von außen erreichbar. Ich suche nun seit mehreren Tagen nach einer Lösung und finde keine.

Ich sehe unter "Online-Monitor" eine IPv6-Adresse und einen IPv6-Präfix. Alles grün.


Meine IPv6-Einstellungen lauten:


Und die FB ist angeblich über das Internet erreichbar:

Neben der FB ist wie gesagt auch mein NAS nicht erreichbar. Für dieses sieht die Freigabe u. a. wie folgt aus:


Wenn ich die Adressen (FB oder NAS) aufrufe, bekomme ich stets den Fehler

Diese Seite funktioniert nicht[2a00:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XX37] hat keine Daten gesendet.
ERR_EMPTY_RESPONSE

Interessanterweise ergibt ein Trace auf die Adresse vom NAS letztendlich (Position 9) die Adresse der FB.

traceroute to 2a00:XXXX:XXXX:XXXX:XXX:XXXX:XXXX:XX37 (XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XX37) from XXXX, 30 hops max, 24 byte packets
 1  2a01:XXXX:66::a5c:XXXX(2a01:488:66::a5c:2478)  0.191 ms  0.14 ms  0.066 ms
 2  ae3-u100.cr-XXXX.sxb1.bb.godaddy.com (2a01:XXXX:bb::42)  0.351 ms  0.271 ms  0.779 ms
 3  ae1.sxb1-ibr-XXXX.bb.gdinf.net (2a01:XXXX:bb00:105::2)  0.65 ms  0.608 ms  1.169 ms
 4  ae0.sxb1-ibr-XXXX.bb.gdinf.net (2a01:XXXX:bb00:107::3)  0.926 ms  0.681 ms  0.541 ms
 5  ae7.fra10-cr-XXXX.bb.gdinf.net (2a01:XXXX:bb03:101::2)  3.333 ms  3.162 ms  2.968 ms
 6  * pr1.XXXX-fra.dg-w.de (2001:7f8::XXXX:0:1)  4.002 ms *
 7  2a00:XXXX:0:c::2 (2a00:XXXX:0:c::2)  4.11 ms  4.169 ms  4.143 ms
 8  2a00:XXXX:ffff:ffff::19 (2a00:XXXX:ffff:ffff::19)  7.962 ms  7.431 ms  7.12 ms
 9  2a00:XXXX:XXXX:XX::8a (2a00:XXXX:XXXX:XX::8a)  12.003 ms !X  11.902 ms !X  12.331 ms !X

Ich bin absoluter Glasfaser, bzw. IPv6-Neuling und verstehe nicht, warum ich keine Verbindung aufbauen kann. Zum testen des externen Zugriffs verwende ich entweder NordVPN oder das Mobilfunknetz.

Ich teste, indem ich die Adresse anpinge mittels

[2a00:XXXX:XXXX:XXXX:XXX:XXXX:XXXX:XX37]

oder im Browser aufrufe mittels

https://[2a00:XXXX:XXXX:XXXX:XXX:XXXX:XXXX:XX37]

bzw. mit Port

https://[2a00:XXXX:XXXX:XXXX:XXX:XXXX:XXXX:XX37]:5001

Die FB hängt hinter einem Fibertwist-p2410 (Deutsche Glasfaser) und ist via WAN mit diesem verbunden. Die Internetverbindung funktioniert ansonsten tadellos.

Ich wäre sehr glücklich, wenn jemand hier einen Hinweis für mich hat was ich falsch mache.

Gruß
Tjaden

 

[Stationary]

https://kleine-technikwelt.de/vpn-und-glasfaser.php

 

[Barungar]

Bei IPv6:

• musst Du PING für jedes Gerät bei der FritzBox explizit in den "Freigaben" freigeben;
• bringt ein DynDNS auf dem Router keine Erreichbarkeit für ein Gerät dahinter, sondern nur für den Router selbst;
• muss das DynDNS auf dem Gerät laufen, dass erreicht werden soll;

Zusammengefasst:
DynDNS funktioniert bei IPv6 anders als IPv4. Während sich bei IPv4 alle Geräte hinter der gleichen IPv4 verstecken (NAT) und damit der DynDNS auch nur diese eine IP auflösen muss, hat bei IPv6 jedes Gerät eine eigene IPv6 und braucht damit auch einen eigenen DynDNS-Namen.

PING für IPv6-Host auf FritzBox freigeben:


Oben in dem Traceroute sieht man, dass die Pakete bis zum FritzBox kommen, dort aber mit !X terminieren Das !X ist ein untrügerisches Kennzeichen, dass hier eine Firewall erreicht wurde, die blockiert. Soweit ich das sehe ist das Deine FritzBox. Du hast übrigens nicht alles sauber anonymisiert. Deshalb konnte ich es auch direkt mal ausprobieren...

Und Deine FritzBox ist übrigens perfekt erreichbar.


Eine IPv6-Erreichbarkeit mittels NordVPN zu versuchen ist übrigens genauso wie bei geschlossenen Rolläden aus dem Fenster zu schauen und sich zu wundern, dass man nix sieht. NordVPN, wie auch alle (mir bekannten) kommerziellen VPN-Dienste bieten kein IPv6 an. Das sagt NordVPN auch offen auf ihrer Seite: "Wir NIX IPv6!"



Und wenn man es dann doch versucht, in dem man NordVPN eine IPv6 aufdrängt... naja, dann erhält man eine "Null-Daten-Fehlermeldung"... Hattest Du sowas nicht auch?!

 

[Nival]

Du hast übrigens nicht alles sauber anonymisiert.

Ich habe mir erlaubt, das einmal kurz anzupassen, @Tjaden

 

[Tjaden]

Zunächst einmal vielen Dank für die Antworten! Und danke an @Nival für das Nachbessern.

Ein Gutes hatte meine nachlässige Anonymisierung: Ich weiß jetzt dass die FB erreicht werden kann und meine Testmethode nicht zielführend war . Ich bin jetzt von der bequemen Testweise vom nicht geeigneten NordVPN zum Full-Tunnel-VPN meiner Arbeitsstelle gewechselt.

Aus dem Mobilfunknetz (1&1, bzw. O2-Netz) bekomme ich die Fehlermeldung ERR_ADDRESS_UNREACHABLE, wobei mein Telefon offenbar auch keine IPv6 zugewiesen bekommt, was das erklären könnte. Meine Frau ist mit ihrem Telefon im Netz der Telekom unterwegs (ich werde nächstes Jahr wechseln) und hat eine IPv6-Adresse.

Das hier sind die Einstellungen die ich für das NAS (Synology DS218+) getroffen hatte:

"Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen." habe ich nun auf deinen (@Barungar) Beitrag hin wieder deaktiviert.

Da ich hier im Unterforum AVM FB bin hatte ich nicht erwähnt, dass ich für meine DS schon entsprechende Einstellungen bzgl. DDNS getroffen hatte:


Die IPv6 Adresse musste ich hier händisch eintragen. Sie wird allerdings korrekt der myDS Subdomain zugewiesen. Nur funktioniert die Verbindung nicht.

Nun fragt sich, was ich noch falsch mache bei der DS.

Ich könnte mir noch vorstellen, dass hier der Hase im Pfeffer liegt:


Ein IPv6-Standard-Gateway kann ich nicht auswählen:

Daher habe ich nun noch mal gezielter nachgeforscht und siehe da, IPv6 war an der DS tatsächlich aus...

Ich habe das nun einfach auf "Automatisch" geschaltet und kann die DS nun auch via IPv6 erreichen. Allerdings nur aus dem internen Netzwerk. Bei Versuchen von extern erhalte ich einen Timeout.

So sieht der Trace aus:

traceroute to 2a00:XXXX:XXXX:XXXX:XXX:XXXX:XXXX:ca37 (2a00:XXXX:XXXX:XXXX:XXX:XXXX:XXXX:ca37) from XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:0:1, 30 hops max, 24 byte packets
 1  2a01:XXXX:XXXX::XXXX:XXXX (2a01:XXXX:XXXX::XXXX:XXXX)  0.14 ms  0.161 ms  0.097 ms
 2  ae3-u100.cr-XXXX.XXXX.bb.godaddy.com (2a01:XXXX:XXXX::42)  0.374 ms  0.31 ms  0.254 ms
 3  ae1.XXXX-ibr-XXXX.bb.gdinf.net (2a01:XXXX:XXXX:105::2)  1.034 ms  1.086 ms  0.631 ms
 4  ae0.XXXX-ibr-XXXX.bb.gdinf.net (2a01:XXXX:XXXX:107::3)  0.829 ms  0.624 ms  0.681 ms
 5  ae7.XXXX-cr-XXXX.bb.gdinf.net (2a01:XXXX:XXXX:101::2)  3.142 ms  4.97 ms  3.144 ms
 6  * pr1.XXXX-fra.dg-w.de (2001:XXXX::XXXX:0:1)  4.585 ms *
 7  2a00:XXXX:0:c::2 (2a00:XXXX:XXXX:XXXX::2)  4.249 ms  4.251 ms  4.175 ms
 8  2a00:XXXX:XXXX:XXXX::19 (2a00:XXXX:XXXX:XXXX::19)  7.623 ms  7.371 ms  7.376 ms
 9  2a00:XXXX:XXXX:XXXX::8a (2a00:XXXX:XXXX:XXXX::XXXX)  12.129 ms !X  12.153 ms !X  12.035 ms !X

Also nach wie vor das !X...

Falls hier noch jemand Vorschläge haben sollte, so sind diese herzlich willkommen. Ich durchforste derweil weiter die Synology-Foren.


NACHTRAG:
Ich habe jetzt einfach noch mal "Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen." wieder eingeschaltet und siehe da, ich kann die DS von außen erreichen! Nun muss ich nur noch das DDNS hinbiegen. Das funktionierte mal mit IPv6, nun aber nicht mehr... "DNS_PROBE_FINISHED_NXDOMAIN"

Meine Überlegungen und Einstellungen oben lasse ich dennoch im Beitrag – für den Nächsten, der das gleiche Problem hat.

 

[blurrrr]

Allerdings nur aus dem internen Netzwerk. Bei Versuchen von extern erhalte ich einen Timeout.

Portfreigabe auf der Fritzbox eingerichtet + Synology-Firewall kontrolliert?

 

[Barungar]

Noch ein paar Tipps... Der DynDNS-Name für das NAS (und auch der für die FritzBox) sollen ausschließlich AAAA-Records (IPv6-Adressen) liefern, ein A-Record hilft Dir nichts, weil Du keine (öffentliche) IPv4-Adresse hast. Das kann eher noch Geräte verwirren, weil sie dann eventuell versuchen eine IPv4-Verbindung aufzubauen, die zum Scheitern verurteilt ist.

Auch sehe ich auf Deinem Screenshot oben etwas "böses". Nämlich eine http-Freigabe auf eine CGNAT-IPv4... die kannst Du direkt wieder löschen, die bringt nämlich auch nichts. Stattdessen wäre es interessant, ob Du passende http bzw. https-Freigaben in der Firewall der FritzBox für das NAS drin hast.

Die Option "Delegierte"... sollt eigentlich nichts bewirken, weil keine IPv6-Subnetze an das NAS delegiert werden, ich würde sie daher ausschalten; ist sicherer.

 

[Tjaden]

@blurrrr Die Firewall der DS hatte ich kurzzeitig vollständig ausgeschaltet, ohne Erfolg.

@Barungar Die Freigabe auf die CGNAT-IPv4 resultierte noch aus der Historie, da ich ja bis vor kurzem noch eine eindeutige IPv4 hatte. Daher habe ich auch die 100. am Anfang nicht unkenntlich gemacht, damit klar ist, dass das eine CGNAT-IPv4 ist. Aber du hast Recht, ist überflüssig und ich habe diese Freigaben gelöscht.

 

[blurrrr]

Warum kurzzeitig? Wenn das NAS von aussen erreichbar sein soll, bedarf es schon einer dauerhaften Freigabe (ausser Du greifst nur via VPN zu).

 

[Tjaden]

Kurzzeitig weil zu testzwecken – und das war ja nicht erfolgreich, daher habe ich die FW wieder eingeschaltet. Mit dem DDNS bin ich übrigens noch nicht weiter gekommen.



Bzw. bei Ping-Versuch:
Ping-Anforderung konnte Host "XXXXXXXX.myds.me" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut.

 

[blurrrr]

Schau doch mal nach, auf was die DynDNS-Adresse auflöst und ob das der IPv6-Adresse der Syno entspricht, also nebst:

Der DynDNS-Name für das NAS (und auch der für die FritzBox) sollen ausschließlich AAAA-Records (IPv6-Adressen) liefern

EDIT: Btw "ausgehend" IPv6 von der Syno funktioniert aber?

 

[Tjaden]

@blurrrr Da müsstest du mir bitte auf die Sprünge helfen, wie ich das teste. Normalerweise pinge ich Domains an und erhalte dabei quasi als Nebenprodukt die IP. AAAA-Records kenne ich von meinen eigenen Domains, denen ich vor geraumer Zeit vergeblich versucht hatte, meine DynDNS-Adresse zuzuweisen. Alternativ viele mir noch nslookup ein. Das liefert:

nslookup XXXX.myds.me
Server:  fritz.box
Address:  fd00::XXXX:XXXX:XXXX:XXXX

Name:    XXXX.myds.me

Die IPv6-Adresse ist nicht wirklich statisch, oder?

EDIT: Btw "ausgehend" IPv6 von der Syno funktioniert aber?

Wie meinen? Die DS hat Internetzugriff. Ist ja auch über ihre IPv6 erreichbar. Nur DDNS will nicht.

 

[Barungar]

Das nslookup liefert nicht mehr?! Ich meine da fehlt die IPv6-Adresse...

Ein nslookup sollte liefern:

• Server (Name des DNS-Servers)
• Address (IP des DNS-Servers)
• Name (Name der angefragten FQDN)
• Address(es) (alle A & AAAA des FQDN)

Falls da wirklich keine IP-Adressen rausgekommen sind, müsstest Du eventuell eine DNS-Rebind Ausnahme für Deine DynDNS auf der FritzBox eintragen.

 

[Tjaden]

Nein, das ist alles was ich erhalte.

Andere Domains liefern auch keine IPv6:

C:\Users\XXX>nslookup t-online.de
Server:  fritz.box
Address:  fd00::XXXX:XXXX:XXXX:XXXX

Nicht autorisierende Antwort:
Name:    t-online.de
Addresses:  34.246.241.220
          54.217.253.146
          52.209.116.123

 

[Barungar]

siehe oben, das riecht nach DNS-Rebind-Schutz

Was das IPv6 beim nslookup für andere Domänen angeht:
t-online.de war auch ein schlechter Versuch, die sind total in der Steinzeit, die machen kein IPv6.
Nimm lieber google.de oder bing.com -- da solltest Du auch IPv6 bekommen.

Als kleine Lektüre ggf. das hier mal lesen: https://forum.heimnetz.de/threads/t...webserver-etc-bei-ipv6-mit-der-fritzbox.2186/

 

[Tjaden]

siehe oben, das riecht nach DNS-Rebind-Schutz

War wohl gestern schon zu spät, hab ich überlesen.

Habe die myds.me-Adresse als Ausnahme eingetragen und es läuft! Tausend Dank, SFTP läuft so direkt auch wieder und ich komme wieder an mein Keepass VPN teste ich morgen im Büro.