[FRITZ!Box:] 5490 - Internet sharing via IPv6 (exposed host)

Ik heb een vraag over de FRITZ!Box 5490 en wel het onderdeel ‘internet sharing via IPv6 (exposed host)’.

Ik heb een nieuwe aansluiting in gebruik genomen en alles lijkt prima te werken. Ik krijg alleen ‘Port Sharing to Home Network Devices’ niet voor elkaar voor IPv6. IPv4 is geen enkel probleem en werkt, maar wat ik ook probeer, de host is niet bereikbaar via IPv6. De host heeft zelf geen enkel probleem om verbindingen op te zetten naar IPv6-adressen op het internet en ook is het geen probleem om de host zelf via IPv6 te benaderen vanuit mijn lokale netwerk. Verkeer vanaf het internet komt echter niet aan. Ik heb vanaf verschillende plekken getest, o.a. IPv6 test - web site reachability

Als eerste probeerde ik eenvoudig de voor de hand liggende optie ‘Open this device completely for internet sharing via IPv6 (exposed host)’:

Dit werkt prima voor IPv4, maar voor IPv6 niet. Ik heb gecontroleerd of het IPv6 Interface ID overeenkomt met het adres op de host en dat is het geval, want daar zag ik in een xs4all-thread iets over.

Daarna heb ik verschillende dingen geprobeerd. Ik heb via ‘Permit Access’ losse poorten opgegeven. Ik heb enkel IPv6 proberen te delen, zonder IPv4. Maar wat ik ook probeer, de host is alleen op IPv4 bereikbaar.

Via Diagnostics->Security valt mij wel het onderstaande op:

Screenshot_2021-03-02_12-53-49

Die opened ports 0 voor Ping6 en IPv6. Aan de ene kant hecht ik er geen waarde aan, maar ik begrijp ook niet helemaal wat er staat en met veel fantastie zou ik er een soort van blokkade in kunnen zien.

Heeft iemand een idee wat ik verkeerd doe?

Portsharing/port forward is helemaal niet nodig voor IPv6.

Alle apparaten hebben een eigen adres in IPv6… (zonder NAT).
Je kan (binnen je /48 Prefix) zelf een hele structuur bedenken van 64K netwerken waar ieder 2^64 systemen ondergebracht kunnen worden).
Je kan dus ook een static adres op een PC binnen zetten (naast het tijdelijke adres dat (on)regelmatig veranderd zodat device tracking niet goed mogelijk is op adres basis) zodat je PC direct bereikbaar is op het static adres.
vb. Je prefix = 2001:db8:1::/48
Dan krijgen je apparaten vanzelf een adres hieronder:bv. 2001:db8:1:0:abcd:01fe:ff02:0304
als je zelf een static adres: 2001:db8:1:0::1 uitgeeft aan dat apparaat dan kun je wereld wijd met dat adres naar je PC.

(Wel de firewall in je router hiervoor opzetten).

1 like

Ik denk eerlijk gezegd dat feddy hier vraagt om hoe zijn fritzdoos te configureren dat vanaf je het internet bij zijn ipv6-verbonden hosts in zijn network kan komen.

(Mijn ervaring met eerdere fritzdozen is dat avm echt helemaal niets van ipv6 snapt, en er ook allerlei rare dingen zelf bij heeft bedacht, op de screenshot van feddy lijkt het erop alsof daar nog niet veel verandering in is gekomen.)

Het klopt @mcfab, dat probeer ik inderdaad. Sorry @Noci, ik ben nog niet heel ervaren met IPv6, maar deze details ken ik. Misschien had ik naast in de titel ook in het bericht zelf op moeten nemen dat het om het configureren van een FRITZ!Box 5490 gaat. Ik zal hem bericht even bewerken, dat dit ook duidelijk is.

Ik heb heel de web-interface doorgespit en kom tot de conclusie dat dit de manier is om het te doen. Dit is het dichtste wat bij een firewall in de buurt komt in de configuratie. Maar ik maak er ongetwijfeld een foutje in, want ik kan mij haast niet voorstellen dat dit niet werkt.

Ik heb geen doos van fritz…, en kan er inhoudelijk dan verder weinig over zeggen.
Het getoonde scherm is meer een port-forward functie, niet iets dat op firewall regels lijkt.

Helpt deze link? https://en.avm.de/service/fritzbox/fritzbox-7340/knowledge-base/publication/show/845_Setting-up-IPv6-port-sharing-in-the-FRITZ-Box/?

Ik schreef ook bewust “het dichtste wat bij een firewall in de buurt komt”, @Noci. Verder vind ik nergens in het apparaat iets wat op een firewall-configuratie lijkt.

De link die jij stuurde beschrijft op een subtiel andere manier wat je via de pagina die ik toonde kunt bereiken. Het subtiele verschil zit er ongetwijfeld in dat deze beschrijving voor een 7340 is en ik een 5490 heb. Dat is verder niet zo erg.

Even voor de duidelijkheid, ik heb de handleiding van de 5490 gelezen en deze beschrijft dat je de door mij getoonde configuratie-pagina moet gebruiken om diensten aan het internet beschikbaar te maken. En ja, ik realiseer mij dat er fundamentele verschillen tussen IPv4 en IPv6 zijn, waardoor je voor IPv4 network address translation nodig hebt om een host met een prive-adres diensten aan het publieke internet aan te laten bieden en dat dit met IPv6 niet nodig is, omdat elke host met IPv6 een publiek IP-adres kan krijgen. Toch geeft de 5490 aan dat je het op deze manier met ‘internet sharing via IPv6 (exposed host)’ moet doen. Ik ga er daarom ook vanuit dat de FRITZ!Box onder de motorkap een firewall openzet voor IPv6 en dat hij voor IPv4 een DNAT opzet.

Maar goed, ik doe waarschijnlijk toch nog iets subtiel verkeerd, want werken doet het niet. Is er iemand die het wel werkend heeft met de FRITZ!Box 5490?

In de 5490 geef als IPv6 adres de laatste 4 blokken op van het ip adres van het apparaat:

::bcd:1234:efgh:5678

En dan geef je de poorten aan welke doorgestuurd moeten worden.

Ik weet niet of ik je helemaal begrijp @jemmie. Ik schreef in mijn originele bericht: “Ik heb gecontroleerd of het IPv6 Interface ID overeenkomt met het adres op de host en dat is het geval”. Het IPv6 interface ID bestaat inderdaad uit vier blokken en daar heb ik inderdaad de laatste vier blokken (de 64-bits van het host-deel van het adres) van het IP-adres van de host waar ik diensten vanaf aan wil bieden ingevuld. Dit is wat jij ook bedoelt toch? Toch werkt het dan nog niet.

Ja, en zo werkt het bij mij.

Zie je, als je van deze host naar https://watismijnip.nl ga, dan ook je IPv6 adres?

Ja, ik zie daar (daar is eigenlijk ifconfig.io, maar dat maakt niet uit) inderdaad mijn IPv6-adres. Het internet op werkt zonder problemen. Het is alleen de andere kant op dat niet lukt.

En wat als je niet de exposed host aanklik, maar alleen de poorten welke je open wil hebben staan kies?

Dat heb ik helaas ook al geprobeerd: "Daarna heb ik verschillende dingen geprobeerd. Ik heb via ‘Permit Access’ losse poorten opgegeven. Ik heb enkel IPv6 proberen te delen, zonder IPv4. Maar wat ik ook probeer, de host is alleen op IPv4 bereikbaar."

Zowel met als zonder het aanvinken van “Open this device completely for internet sharing via IPv6 (exposed host)”. Ook heb ik het met en zonder aanvinken van "Permit independent port sharing for this device"

Heb je ook de host via IPv4 ge’nat? Dit staat bij mij wel aan misschien dat dit iets triggerd waardoor het wel werkt.

Zowel met als zonder geprobeerd.

In een poging mijn website op een Raspberry Pi via IPv6 / FRITZ!Box 7590 aan de praat te krijgen heb ik onderstaande ontdekt. Dit zijn de stappen om je website op IPv6 aan de praat te krijgen. IP en MAC adressen hieronder zijn geanonimiseerd

Maak een overzicht van de IP / IPv6 adressen van de Pi:

pi@RaspberryPi:~ $ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether b8:27:eb:e1:e2:e3 brd ff:ff:ff:ff:ff:ff
inet 192.168.178.45/24 brd 192.168.178.255 scope global eth0
valid_lft forever preferred_lft forever
inet6 2a10:6789:d2c:1:e1ec:ef75:63dc:c249/64 scope global mngtmpaddr noprefixroute dynamic
valid_lft 7184sec preferred_lft 3584sec
inet6 fe80::902e:734c:5695:47bd/64 scope link
valid_lft forever preferred_lft forever
3: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether b8:27:eb:b1:b2:b3 brd ff:ff:ff:ff:ff:ff
inet 10.3.141.1/24 brd 10.3.141.255 scope global wlan0
valid_lft forever preferred_lft forever
inet6 fe80::76b5:1433:5fe5:d9da/64 scope link
valid_lft forever preferred_lft forever

Er van uitgaande dat port sharing het al doet voor IPv4:
Log in op de FRITZ!Box. Ga naar ‘Overview’-> ‘Port Sharing’.
Klik op het blauwe potlood rechts om de instellingen te wijzigen:
Afbeelding1

Het volgende venster verschijnt:
Afbeelding2

Standaard staat in de FRITZ!Box achter “IPv6 interface ID” de laatste 8 bytes (16 karakters) van het IPv6 ‘link-local’ adres (dikgedrukt gemarkeerd in IP overzicht). Vervang dit door de laatste 8 bytes (16 karakters) van het IPv6 ‘global’ adres (dik+cursief gemarkeerd in IP overzicht). Bevestig de wijzigingen.

Testen: Ga naar http://www.ipv6scanner.com/cgi-bin/main.py en vul het dikgedrukt gemarkeerde IPv6 adres in. Indien de FRITZ!Box juist geconfigureerd is, zie je dat de poorten 80 en 443 open zijn.

Met het schaamrood op mijn kaken kan ik gelukkig mededelen dat ik het werkend heb. Ik had twee afzonderlijke problemen, welke mij bij elkaar opgeteld aardig in de war brachten.

Probleem 1: de poorten 80 en 443 luisterden alleen op een IPv4-adres.
Probleem 2: de hosts op het internet die ik gebruikte voor mijn tests kunnen prima met elkaar en andere plekken op internet communiceren, maar niet met mij.

Door het gebruik van http://www.ipv6scanner.com/cgi-bin/main.py viel mij ineens op dat de poorten 22 en 25 wel open stonden. Dus toen viel het kwartje vrij snel, want tot mijn verbazing bleken de poorten 80 en 443 helemaal niet te luisteren op een IPv6-adres, wat ik niet verwacht had. Stom!

Het testen van poort 80 deed ik via https://ipv6-test.com/validate.php en het testen van poort 22 en ping deed ik via een drietal shell-hosts ergens op het internet. Het stomme is dat ik alleen tcpdump’s had lopen tijdens de testen naar poort 22. Als ik die met 80 en 443 ook had lopen, had ik het veel sneller gevonden. Die shell-hosts zijn werkende IPv6-machines, maar op een nog voor mij onbekende reden kunnen ze niet met mijn IPv6-prefix communiceren. Daar ga ik morgen nog eens naar op zoek, voor vandaag is het mooi geweest.

Iedereen bedankt voor de hulp!

Dit topic is na 22 uur automatisch gesloten. Nieuwe antwoorden zijn niet meer toegestaan.