Routing & Fritz!Box 7590 mit nachgelagerter FW/Router

[0j4N90]

HI,

ich habe an meinem Telekom Anschluss eine Fritz!Box 7590 hängen. Neben meiner festen IPv4-Adresse habe ich auch einen IPv6-Adressblock mit festem IPv6-Präfix: 2003:a:xxx:yyy0::/56
Diesen Adressblock habe ich unter anderem wie folgt aufgeteilt:

Zone: EDMZ
Subnetz Addresse: 2003:a:xxx:yyy0::/64

Zone: IDMZ
Subnetz Addresse: 2003:a:xxx:yyy1::/64

Zone: INTRA
Subnetz Addresse: 2003:a:xxx:yyy7::/64

Für die Adress- und Routen-Versorgung in der Zone EDMZ kümmert sich die Fritz!Box. Mit einem der LAN-Ports der Fritzbox ist eine Linux-VM verbunden, die als Firewall die Zonen IDMZ und Intra von der Zone EDMZ (und natürlich auch dem großen weitem "::/0" abschottet. Per Ansible wurde die IP-Adress und Routenkonfiguration dieser VM (vml000210) statisch konfiguriert, Router-Advertisements der Fritz!Box werden dort per Firewall-Regel blockiert und auch ignoriert.

Stecke ich einen Laptop an einen weiteren LAN-Port der Fritz!Box so kann ich jederzeit z.B. problemlos folgende Tests machen:

1. SSH-Daemon des hosts vml000210 erreichen.

    $ ssh -p 22 2003:a:xxx:yyy0:1920:168:0:210
   $ ssh -p 192.168.0.210

2. Mit dem Mailserver der auf dem Host (vml000110) läuft kommunizieren

    $ telnet 2003:a:xxx:yyy1:10::110 25
   $ telnet 2003:a:xxx:yyy1:10::110 465
   $ telnet 2003:a:xxx:yyy1:10::110 587

Komme ich von extern dann habe ich folgendes Phänomen:

1. Ich kann mich aus dem Internet mit dem SSH-Daemon der nachgelagerten Firewall, also meiner VM vml000210 problemlos verbinden:

    $ ssh -p 22222 2003:a:xxx:yyy0:1920:168:0:210

2. Versuche ich aber nun wiederum den Mailserver auf der VM vml000110 hinter der nachgelagerten Firewall vml000210 zu erreichen, passiert folgendes:

    $ telnet 2003:a:xxx:yyy1:10::110 25
   
   Trying 2003:a:xxx:yyy1:10::100
   telnet: Unable to connect to remote host: Permission denied

   Das gleiche natürlich auch bei den beiden anderen Ports. Wenn ich von außen komme gelange ich nicht zu Hosts, die hinter meiner nachgelagerten VM vml000210 sind.

Es sieht ganz so aus, als werden keinerlei Pakete von der Fritz!Box bei diesem Versuch zur Firewall auf der VM vml000210 geroutet. Wie ich zu der Annahme komme? Nun im journal der VM werden keinerlei Firewall-Verstöße gemeldet. Ferner wird mir beim Testen mit tracepath nur der Weg bis zur Fritz!Box gezeigt aber nicht weiter zur Firewall auf der VM vml000210.

$ tracepath -6 -b 2003:a:e0d:7601:10::110
 1?: [LOCALHOST]                        0.022ms pmtu 1280
 1:  2001:678:e68:102::2 (2001:678:e68:102::2)           503.045ms
 1:  2001:678:e68:102::2 (2001:678:e68:102::2)            47.441ms
 2:  2001:678:e68:fff0::1 (2001:678:e68:fff0::1)          85.491ms
 3:  2a00:11c0:47:3::f8 (2a00:11c0:47:3::f8)              56.798ms
 4:  2a00:11c0:47:1:47::131 (2a00:11c0:47:1:47::131)      30.837ms
 5:  2003:0:f00::118 (2003:0:f00::118)                    67.753ms
 6:  2003:0:1a00:e400::1 (2003:0:1a00:e400::1)            45.602ms asymm  9
 7:  2003:0:1a00:e40c::1 (2003:0:1a00:e40c::1)            40.733ms asymm  9
 8:  2003:0:1a00:e40c::1 (2003:0:1a00:e40c::1)            54.630ms asymm  9
 9:  2003:a:xxx:yyyy:zzzz:XXXf:YYY0:ZZZ9 (2003:a:xxx:yyyy:zzzz:XXXf:YYY0:ZZZ)  72.209ms !A
     Resume: pmtu 1280

Warum funktioniert das nun "hinter" der Fritz!Box ohne Probleme aber "vor" der Fritz!Box verhungere ich gnadenlos.

O.K. nun wird man mich wohl fragen wie hast Du denn die Fritz!Box konfiguriert? Das will ich natürlich auch noch zeigen:

Internet → Zugangsdaten → IPv6 :

IPv6-Unterstützung​

✓ IPv6-Unterstützung aktiv

IPv6-Anbindung​

✓ Native IPv4-Anbindung verwenden

Verbindungseinstellungen​

✓ DHCPv6 Rapid Commit verwenden

Internet → Freigaben → Portfreigaben :
Gerät : vml000210
IPv6 Interface-ID: ::1920:168:0:210

IPv6-Einstellungen​

✓ PING6 freigeben.
✓ Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen.
✓ Dieses Gerät komplett für den Internetzugriff über IPv6 freigeben (Exposed Host).

Heimnetz → Netzwerk → Netzwerkeinstellungen → IPv6-Einstellungen :
✓ Router Advertisement im LAN aktiv

Unique Local Addresses​

Wählen Sie aus, wie den Geräten im Heimnetz die Unique Local Addresses (ULA) zugewiesen werden sollen.

✓ Unique Local Addresses (ULA) zuweisen, solange keine IPv6-Internetverbindung besteht (empfohlen)

Weitere IPv6-Router im Heimnetz​

✓ Diese FRITZ!Box stellt den Standard-Internetzugang zur Verfügung

DHCPv6-Server im Heimnetz​

✓ DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren:

✓ DNS-Server und IPv6-Präfix (IA_PD) zuweisen

Heimnetz → Netzwerk → Netzwerkeinstellungen → IPv6-Routen :
Netzwerk 2003:a:bbb:ccc1:0:0:0:0 Präfixlänge 64 Gateway 2003:a:bbb:ccc:1920:168:0:210
Netzwerk 2003:a:bbb:ccc7:0:0:0:0 Präfixlänge 64 Gateway 2003:a:bbb:ccc:1920:168:0:210

Es scheint mir so, als ob die Fritz!Box keinerlei Interesse zeigt, diese Routen zu honorieren. Selbst wenn ich eigens für die Fritz!Box auf der VM vml000210 eine radvd starte der die Route für das Netz 2003:a:bbb:ccc1::/64 via Gateway 2003:a:bbb:ccc:1920:168:0:210 verteilt, ändert sich absolut nichts. Traffic aus dem Internet verhungert an der Fritz!Box bis auf den SSH-Traffic der den nachgelagerten Router/Firewall auf 2003:a:xxx:yyy0:1920:168:0:210 als Ziel hat.

Ich hoffe mal, dass irgendwer da draußen einen heißen Tip für mich auf Lager hat, der AVM-Support guckt übrigens bis jetzt genau so ratlos aus der Wäsche wie ich - über ein RTFM sind die noch nicht hinweg gekommen...

ttyl
0j4N90

 

[Barungar]

Das Problem dürfte sein, dass die Firewall der FritzBox statische Sub-Präfixe nicht hinbekommt. Sondern sie kann nur mit dynamischen Sub-Präfixen umgehen. Wenn es für Dich kein Problem wäre, auf dynamische Sub-Präfixe umzustellen wird es gehen.

Du musst nämlich in der Firewall die "delegierten Netze" freigeben. Das ist diese Option in der Firewall der FritzBox.


Dafür müssen die Netze aber von der FritzBox als "delegierte Netze" erkannt werden, was sie nicht getan werden, wenn Du sie statisch einfach nur per Route "weiterleitest".

In den Netzwerk-Einstellungden der FritzBox kannst Du im Bereich IPv6 sehen, welche Netze sie selbst verwendet und welche sie als "sauber" delegiert erkennt!



Das dynamische delegieren erfolgt über DHCPv6 als IA_PD-Request! Und dann könnte es noch sein, dass das Unterdrücken der RAdv-Meldungen schlecht ist; das kannst Du aber probieren, wenn Du erst mal "sauber" delegiert hast. Ich bin mir gerade nicht sicher, ob für die saubere "Delegation" auch das RAdv mitlaufen müsste.

Stecke ich einen Laptop an einen weiteren LAN-Port der Fritz!Box so kann ich jederzeit z.B. problemlos folgende Tests machen:

Weil hier keinerlei Firewall-Regeln seitens der FritzBox greifen, sondern alles über die statischen Routen "erledigt" werden kann.

Komme ich von extern dann habe ich folgendes Phänomen:

Weil hier eben die Firewall der FritzBox "dicht" macht, sie weiß nicht, dass das Sub-Präfix "delegiert" sein soll und daher macht sie keine Freigaben dahin auf!

Internet → Freigaben → Portfreigaben :
Gerät : vml000210
IPv6 Interface-ID: ::1920:168:0:210

IPv6-Einstellungen​

✓ PING6 freigeben.
✓ Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen.
✓ Dieses Gerät komplett für den Internetzugriff über IPv6 freigeben (Exposed Host).

Das ist alles nice, das wird aber konkret nur bewirken, dass Du die vml000210 von extern anpingen und auf ALLEN Ports erreichen kannst. Der "Exposed Host" gilt nur für genau die EINE IPv6 der vml000210. Und da Deine FritzBox vermutlich keine delegierten Netze erkennt, ist mit dem Rest eben Essig.

 

[0j4N90]

HI,

Das Problem dürfte sein, dass die Firewall der FritzBox statische Sub-Präfixe nicht hinbekommt. Sondern sie kann nur mit dynamischen Sub-Präfixen umgehen.

Tja, wie hat mein Admin-Kollege mal gesagt: "Ja, die Fritz!Box kann alles, aber nicht alles gut ..."

Du musst nämlich in der Firewall die "delegierten Netze" freigeben. Das ist diese Option in der Firewall der FritzBox.

Ja, das habe ich angehakt.

Dafür müssen die Netze aber von der FritzBox als "delegierte Netze" erkannt werden, was sie nicht getan werden, wenn Du sie statisch einfach nur per Route "weiterleitest".

In den Netzwerk-Einstellungden der FritzBox kannst Du im Bereich IPv6 sehen, welche Netze sie selbst verwendet und welche sie als "sauber" delegiert erkennt!

O.K. Deinem Screenshot kann ich erahnen, dass die mit 2001:4... anfangen. Ist dem so? Die erkannten delegierten Netze sind also im min in den ersten beiden xxxx-Teilen der IPv6 gleich wenn nicht sogar auch noch ein Teil dahinter, oder? Nur mal so aus Neugierde gefragt. Schon klar dass Du aus Privacy-Gründen die Adressen verbirgst, hab ich in meinem Ursprungspost ja auch gemacht.

Darf ich mal fragen, wie es denn bei Dir in der Fritzbox aussieht:

Internet → Online-Monitor
DSL-Verbindung
Internet, IPv6 : IPv6-Adresse
Internet, IPv6 : IPv6-Präfix

Der hier angezeigte Präfix findet sich dann auch in der Anzeige hier wieder:
Heimnetz → Netzwerk
IPv6-Einstellungen
Verwendete IPv6 Präfixe

Verwendete IPv6 Präfixe:
Heimnetz      - / -
Gastnetz       - / -
WAN             2003:a:eXX:ABCD:: / 64
Delegiert       2003:a:eYY:EFGH:: / 62

Gastnetz gibt es nicht hier, wozu auch? Wenn Gäste kommen dann, können die Freifunk verwenden!
Heimnetz ist leer, warum auch immer. WAN deckt sich "nur" mit der IPv6-Adresse ist aber kein Teil vom IPv6-Präfix aus dem Internet → Online-Monitor. Etwas verwirrend :/

Das dynamische delegieren erfolgt über DHCPv6 als IA_PD-Request!

Aber die Delegation kommt doch vom nachgelagerten radvd zur Fritz!Box, oder?

Und dann könnte es noch sein, dass das Unterdrücken der RAdv-Meldungen schlecht ist; das kannst Du aber probieren, wenn Du erst mal "sauber" delegiert hast.

Das will ich keinesfalls abstreiten, mal sehen, wie ich das sauber hinbekomme, damit die Fritz!Box die Delegation des radvd-Meldungen des Hosts vml000210 akzeptiert.

Der "Exposed Host" gilt nur für genau die EINE IPv6 der vml000210. Und da Deine FritzBox vermutlich keine delegierten Netze erkennt, ist mit dem Rest eben Essig.

So ist es entweder erkennt die Fritz!Box bis jetzt noch überhaupt kein delegiertes Subnetz, oder es wird mir da eine Adresse angezeigt, die zwar Teil meines /56 ist, aber fernab meiner gewünschten Definition:

Bsp:
IPv6-Präfix:
2003:a:bbb:cc00::/56
2003:a:bbb:ccfc::/62

Ich will ja die Netze:
2003:a:bbb:cc01::/64
...
2003:a:bbb:cc07::/64
delegiert haben.

 

[Barungar]

Aber die Delegation kommt doch vom nachgelagerten radvd zur Fritz!Box, oder?

Nein, das RAdv ist der FritzBox an der Stelle mit ziemlicher Sicherheit egal. Ich habe zwei Sub-Präfixe an meine OPNsense delegiert, und die OPNsense sendet definitiv keine RAdv zur FritzBox hin. Die einzige Kommunikation zwischen der FritzBox und der OPNsense an der Stelle ist das DHCPv6 IA_PD und das sorgt für die "saubere Delegation".

Verwendete IPv6 Präfixe:
Heimnetz - / -
Gastnetz - / -
WAN 2003:a:eXX:ABCD:: / 64
Delegiert 2003:a:eYY:EFGH:: / 62

Das sieht aber nicht sauber aus... Im Heimnetz müsste auf jeden Fall auch etwas stehen, nämlich Dein EDMZ... das sollte das sein, was bei der FritzBox dem "Heimnetz" entspricht.

Und wo kommt da bei Dir diese eine Delegation her?! Hast Du ein Gerät das IA_PDs sendet?!

 

[0j4N90]

Ach ja was ich noch auch noch nicht herausgefunden habe ist folgendes: Wie definiere ich denn wie die Fritz!Box selbst die Subnetze aufteilen soll? Laut https://avm.de/service/wissensdaten...90/1239_IPv6-Subnetz-in-FRITZ-Box-einrichten/

Jetzt ist der Router für den Einsatz mit eigenem IPv6-Subnetz eingerichtet und erhält von der FRITZ!Box per DHCPv6 Prefix-Delegation ein /62-Präfix.

Was ist nun, wenn ich das mir zugewiesene /56 in einige /64 aufteilen und delegieren möchte?

 

[0j4N90]

O.K. nun zu Deinen Fragen und Anmerkungen:

Nein, das RAdv ist der FritzBox an der Stelle mit ziemlicher Sicherheit egal.

In meinem Designansatz ist auf der Firewall auf dem Host vml00210 auch gar kein radv-Daemon angedacht. Ich habe den auf der EDMZ-Firewall vml000210 auch wieder gestoppt!

Der läuft nur auf einer noch weiter hinten gelagerten Firewall, die u.a. das Intranet via DHCP(v6) die Adressversorgung übernimmt. Dort brauche ich den radvd, da die Clients ja auch neben der Adress-Information auch die Routeninfos brauchen.

Ich habe zwei Sub-Präfixe an meine OPNsense delegiert, ....

Jetzt wird es spannend! WO genau hast Du denn diese Delegation in der Fritz!Box vorgenommen? Wie weiß die Fritzbox wie viele und welche Sub-Präfixe an Deine OPNsense delegiert werden sollen?

und die OPNsense sendet definitiv keine RAdv zur FritzBox hin. Die einzige Kommunikation zwischen der FritzBox und der OPNsense an der Stelle ist das DHCPv6 IA_PD und das sorgt für die "saubere Delegation".

Fassen wir also zusammen, die IPv6-Sub-Präfix Delegation ist etwas das von der Fritz!Box aus in Richtung nachgelagerter Router passiert, IA_PD ist hier das Zauberwort. Richtig?

Das sieht aber nicht sauber aus... Im Heimnetz müsste auf jeden Fall auch etwas stehen, nämlich Dein EDMZ... das sollte das sein, was bei der FritzBox dem "Heimnetz" entspricht.

Liegt das vielleicht daran, dass der EDMZ-Router nicht direkt an der Fritzbox angesteckt ist, sondern an einen Netzwerk-Switch? Ich habe jedenfalls in der Fritzbox nichts anderes definiert.

Und wo kommt da bei Dir diese eine Delegation her?! Hast Du ein Gerät das IA_PDs sendet?!

Kann ich Dir gerade nicht fallabschliessend beantworten, da der Eintrag nach einem harten Power-Reset der Fritz!Box nun weg ist!

 

[Barungar]

Jetzt wird es spannend! WO genau hast Du denn diese Delegation in der Fritz!Box vorgenommen? Wie weiß die Fritzbox wie viele und welche Sub-Präfixe an Deine OPNsense delegiert werden sollen?

Du kannst auf der FritzBox keine Delegationen manuell erstellen. Die FritzBox erstellt die, wenn Du ein DHCPv6 IA_PD sendest. Entsprechend lasse ich von meiner OPNsense per DHCPv6 IA_PD zwei Präfixe bei der FritzBox anfordern. Die trägt die FritzBox dann auch brav in die "Delegation" ein.

Fassen wir also zusammen, die IPv6-Sub-Präfix Delegation ist etwas das von der Fritz!Box aus in Richtung nachgelagerter Router passiert, IA_PD ist hier das Zauberwort. Richtig?

Ja!

 

[0j4N90]

Das Problem dürfte sein, dass die Firewall der FritzBox statische Sub-Präfixe nicht hinbekommt. Sondern sie kann nur mit dynamischen Sub-Präfixen umgehen.

Da würde ich stand heute ganz kühn behaupten, da ist wohl ein Bug in der FritzBox-Firmware. Wenn man schon über die WEB-UI angeboten bekommt statische IPv6-Routen einzurichten, dann sollte IMHO der Paketfilter dieses auch honorieren!

Wenn es für Dich kein Problem wäre, auf dynamische Sub-Präfixe umzustellen wird es gehen.

Tja, das ist gerade mein Problem. Die Netzwerkkonfiguration ist ja auf dem hinter der Fritz!Box gelagerten VM (vml000210) statisch via Ansible verwaltet und auf dem Host wird dazu der systemd-network verwendet. Wenn ich nun per DHCPv6 IA_PD Subprefixe anfordern will, dann geht das wohl nur wenn ich hier auf DHCP=Ipv6 umstellen würde. Das will ich aber eigentlich ganz und gar nicht, da ich ja selbst festlegen möchte welche IPv6-Adressen verwendet werden und welche Sub-Präfixe verwendet werden sollen.

Subnetz Addresse
2003:a:bbb:cc01::/64
2003:a:bbb:cc02::/64
2003:a:bbb:cc03::/64
2003:a:bbb:cc04::/64
2003:a:bbb:cc05::/64
2003:a:bbb:cc06::/64
2003:a:bbb:cc07::/64
2003:a:bbb:cc08::/64
2003:a:bbb:cc09::/64

Und aktuell habe ich keine Ahnung wie ich dem systemd-networkd diese Subnetze beibringen soll, damit er diese bei der Fritz!Box als delegated anmeldet.

Da wäre es logisch viel einfacher die bereits vorhandene Möglichkeit zu nutzen, die diese für IPv6-Routen zur Verfügung stellt. Hier fehlt nur eine saubere Implementierung von Seiten AVM in der Firmware. Wer "A" sagt sollte auch "B" sagen können, oder?

 

[Barungar]

Tja, da können wir Dir nicht helfen... da wirst Du wohl AVM "löchern" müssen. Aber soweit ich das kenne, delegiert die FritzBox nur IA_PDs.

 

[0j4N90]

Tja, da können wir Dir nicht helfen... da wirst Du wohl AVM "löchern" müssen.

Mache ich schon seit geraumer Zeit, letzte Antwort war:

...
Mir liegt leider noch keine Rückmeldung zu Ihrer Anfrage vor.
Ich melde mich bei Ihnen, sobald mir neue Informationen vorliegen.
 
Bitte haben Sie bis dahin noch ein wenig Geduld.
...

 

[0j4N90]

So, Problem gelöst - nun funktioniert hier alles wie geplant!

Wie habe ich das gelöst? Na, ganz einfach, ich hab die Fritz!Box rausgeworfen und gegen eine Digitalisierungsbox Premium 2 der Telekom getauscht, feste IPv6 Routen und Firewallfreischaltungen eingerichtet und schon klappt das wie geplant und wie am Schnürchen! So muss das!

Tja, wie heisst es treffend? Die Fritz!Box kann fast alles, aber nichts so richtig ... :/ Egal, jetzt läuft's ..