[DerBandit]

Hi all,

irgendwie bin ich in der Netzwerktechnik nicht so bewandert und ich bekomme keinen Zugriff auf meine Fritzbox von ausserhalb. Die IPv4 bzw. IPv6 Threads helfen mir irgendwie nicht weiter.

Kann mal einer ne Step-By-Step Anleitung machen. Was ich einstellen muß?
Die Box hängt via LAN1 am Glasfaser Router und funktioniert auch soweit.

Sie schickt auch fleißig Status Mails, SIP ist konfiguriert und funzt auch.
Nur halt Zugriff von aussen geht einfach nicht.

Danke euch
Berthold

[DerBandit]

Ich peil es nicht

Hier die Meldungen meiner Fritzbox:

31.12.14 14:26:09 Internetverbindung IPv6 konnte nicht aufgebaut werden: Keine Antwort vom DHCPv6-Server (SOL)
31.12.14 14:25:54 Internetverbindung IPv6 wurde erfolgreich hergestellt. IP-Adresse:

Ich habe auf der Genexis ein IPv6 Port forwarding auf die dort angegeben IP gemacht. Port 80,443,49019
Aber da tut sich irgendwie nix.
Oder geht es einfach doch nicht?

[Schimmelreiter]

Zuerst einmal ist Dein Aufbau grundverkehrt:

Der Genexis ist, wie Du ja gemerkt haben dürftest, ein kompletter Router und nicht einfach nur ein "Modem" bzw. eine "Bridge".
Trotzdem hängst Du mit der Fritz!Box einen weiteren Router dahinter und die Kernaufgabe eines Routers ist nun einmal das Trennen von Netzen.

Nun ist es aber so, daß der Genexis als vorgeschalteter Router der Fritz!Box kein eigenes IPv6-Netz gönnt (delegiert), mit dem sie arbeiten könnte, also gibt es hinter ihr auch kein IPv6-Netz mehr (Sie hat ja keines zur Verfügung). Ein Router ohne trennbare Netze auf beiden Seiten ist per definitionem sinnlos, also verwirft sie auch die eine IPv6-Adresse die sie selber als "WAN"-Adresse (Eigentlich als Adresse aus dem LAN des Genexis) erhalten hat wieder und geht in den reinen IPv4-Modus.
Sie erhält zwar auch keine "echte" IPv4-Adresse, aber über NAT steht den beiden beteiligten Routern eine Krücke zur Verfügung, um trotzdem "ein bißchen" zwischen den drei beteiligten Netzen (Internet/WAN, LAN 1 hinter dem Genexis, LAN 2 hinter der Fritz!Box) zu routen, aber eben nur per IPv4 (Sie schütteln sich die "unechten" (privaten) IPv4-Adressen quasi aus dem Ärmel, was bei IPv6 nicht vorgesehen ist, weil es bei Einsatz geeigneter Geräte absolut überflüssig wäre und der Genexis ist eben nicht wirklich geeignet).

Man will diesen Aufbau weder bei IPv4 noch bei IPv6 wirklich haben, bei IPv4 konnte man nur einigermaßen um die Konsequenzen herummurksen, bei IPv6 geht das nicht bzw. kaum.

Nach derzeitigem Stand ist der Betrieb eines eigenen Routers als richtiger Router hinter dem Genexis unmöglich.
Da nur ein einziges IPv6-Netz zur Verfügung steht, müssen eigene Router zum besseren Switch/Access Point degradiert werden (Bei der Fritz!Box ist das die Einstellung "Anderer Internetprovider" -> "Internet über LAN" -> "Vorhandene Internetverbindung mit benutzen (IP-Client)"), damit auch die Geräte am eigenen Router eine IPv6-Verbindung erhalten.
Dummerweise gönnen sich Router als Access Point dann meistens keine eigene IPv6-Adresse, so daß Du auch in dieser Betriebsart die Fritz!Box selbst nicht von außen erreichen kannst.

Router mit OpenWrt kämen der Einsatzart als Router noch am nächsten, aber im Wortsinne arbeitet auch dabei der IPv6-Teil nicht mehr im Router-Modus sondern als reine Hardware-Firewall, da sie nur noch zwei Teile des selben (IPv6-)Netzes miteinander verbinden, statt zwei IPv6-Netze zu trennen.

Es ist nicht völlig unmöglich, eine eigene Fritz!Box an diesem Anschluß von außen erreichbar zu machen, es ist allerdings fraglich, ob der Aufwand dazu im Verhältnis zum Nutzen steht, da die Fritz!Box als IP-Client sowieso große Teile ihrer Funktionalität verliert (MyFritz-Freigaben, AVM-VPN, ...).

Im Moment gibt es für Kunden der Deutsche Glasfaser primär zwei Optionen:

1a. Man lebt mit dem Funktionsumfang des eigenen Routers im AP-Modus sowie des Genexis-Routers und der scheunentorgroßen Hintertür¹ ins eigene Heimnetz, die entweder der Hersteller oder Deutsche Glasfaser sich eingebaut hat,
oder
1b. Wie 1a, aber zusätzlich wird über ein weiteres Gerät (Raspberry/Banana Pi, Thin Client o.ä.) bestimmte fehlende Funktionalität ersetzt (z.B. die Fritz!Box und/oder andere IPv4-Geräte von außen erreichbar gemacht, OpenVPN als VPN-Lösung implementiert, ...)
oder
2. Man setzt einen Router mit OpenWrt oder ein pfSense-geeignetes Gerät (oder andere HW-Firewall) als Firewall ein, die dann streng genommen eben keine Router sondern nur Firewalls sind, dabei aber immerhin die Erwartungen der meisten Laien an ihren Router erfüllen


¹Genexis und/oder Deutsche Glasfaser/fl!nk haben Vollzugriff auf sämtliche Geräte in Euren Heimnetzen.
Mehr dazu hier.

[TVHD]

(01.01.2015, 08:22)Schimmelreiter schrieb:  Nach derzeitigem Stand ist der Betrieb eines eigenen Routers als richtiger Router hinter dem Genexis unmöglich.
Da nur ein einziges IPv6-Netz zur Verfügung steht, müssen eigene Router zum besseren Switch/Access Point degradiert werden (Bei der Fritz!Box ist das die Einstellung "Anderer Internetprovider" -> "Internet über LAN" -> "Vorhandene Internetverbindung mit benutzen (IP-Client)"), damit auch die Geräte am eigenen Router eine IPv6-Verbindung erhalten.
...
Es ist nicht völlig unmöglich, eine eigene Fritz!Box an diesem Anschluß von außen erreichbar zu machen, es ist allerdings fraglich, ob der Aufwand dazu im Verhältnis zum Nutzen steht, ...

Im Moment gibt es für Kunden der Deutsche Glasfaser primär zwei Optionen:
1a. Man lebt mit dem Funktionsumfang des eigenen Routers im AP-Modus sowie des Genexis-Routers und der scheunentorgroßen Hintertür¹ ins eigene Heimnetz, die entweder der Hersteller oder Deutsche Glasfaser sich eingebaut hat,
oder
1b. Wie 1a, aber zusätzlich wird über ein weiteres Gerät (Raspberry/Banana Pi, Thin Client o.ä.) bestimmte fehlende Funktionalität ersetzt (z.B. die Fritz!Box und/oder andere IPv4-Geräte von außen erreichbar gemacht, OpenVPN als VPN-Lösung implementiert, ...)
oder
2. Man setzt einen Router mit OpenWrt oder ein pfSense-geeignetes Gerät (oder andere HW-Firewall) als Firewall ein, die dann streng genommen eben keine Router sondern nur Firewalls sind, dabei aber immerhin die Erwartungen der meisten Laien an ihren Router erfüllen


¹Genexis und/oder Deutsche Glasfaser/fl!nk haben Vollzugriff auf sämtliche Geräte in Euren Heimnetzen.
Mehr dazu hier.

@Schimmelreiter:
Deine Beiträge zum Thema möchte ich bestens anerkennen; Deine Erläuterungen sind für mich als Anwender mit "normalen" Nutzungsabsichten unter Sicherheitsaspekten beachtlich erschreckend:
Ich betreibe aktuell eine Router-Kaskade mit einer Fritzbox hinter dem Genexis-Router (Bei der Fritz!Box ist das die Einstellung "Anderer Internetprovider" -> "Internet über LAN" -> "Internetverbindung selbst aufbauen: Die FRITZ!Box stellt einen eigenen IP-Adressbereich zur Verfügung. Die Firewall bleibt dabei aktiviert").
Mein Heimnetz hängt komplett hinter der Fritzbox. Dank Deiner Erläuterungen beginne ich zu verstehen, warum sich dadurch bestimmte Einschränkungen ergeben.

Darf ich Dich um Auskunft bitten, ob diese Router-Kaskade wenigstens unter Sicherheitsaspekten "dicht" ist?
In diesem Fall wäre für mich die "dritte Option", Funktionseinschränkungen statt Vollzugriff durch externe Stellen auf sämtliche Geräte in meinem Heimnetz vorläufig hinzunehmen.

[Schimmelreiter]

(01.01.2015, 12:07)TVHD schrieb:  Darf ich Dich aus Auskunft bitten, ob diese Router-Kaskade wenigstens unter Sicherheitsaspekten "dicht" ist?

Ja und ja.

Also ja,, Du darfst fragen, und ja, ist sie (Soweit man in der IT von sicher sprechen kann, Absolute Sicherheit bietet nur ein gezogener Stecker).

(01.01.2015, 12:07)TVHD schrieb:  In diesem Fall wäre für mich die "dritte Option", Funktionseinschränkungen statt Vollzugriff durch externe Stellen auf sämtliche Geräte in meinem Heimnetz vorläufig hinzunehmen.

Das ist Dir überlassen.

Anders als bei DS-lite (Unitymedia, KabelBW, Kabel Deutschland, M-Net, ...) kommt es dadurch auch zu keinen sonstigen Beeinträchtigungen (Geschwindigkeit, MTU, Engpässe in irgendwelchen Gateways), da bei DGF die IPv4-Verbindung die native ist, auch wenn sie dem Anwender nur eine CGN-IPv4 bereitstellt.

Anzumerken wäre noch, daß die Variante "OpenWrt oder pfSense o.ä." ebenfalls sicher ist (So sicher eben eine Firewall ist), die Hintertür des Providers führt in diesem Fall nur bis ins Netzwerk des Genexis, das ja bei dieser Variante bis auf den WAN-Port der Firewall leer ist.

Aber immerhin:
DGF hat ja einen Bridge-Modus in Aussicht gestellt, dann würde auch jeder hundsgewöhnliche Plastikrouter hinter dem Genexis anständig funktionieren.

[TVHD]

(01.01.2015, 12:22)Schimmelreiter schrieb:  DGF hat ja einen Bridge-Modus in Aussicht gestellt, dann würde auch jeder hundsgewöhnliche Plastikrouter hinter dem Genexis anständig funktionieren.

Würde der Genexis-Router sich im Bridge-Mode nur noch wie ein Media-Konverter verhalten?

Hat DGF dies für Dich belegt wirklich zugesagt, und gibt es einen Zeit-Horizont dafür?
An welche Person bei der DGF müsste ein Kunde eine "Petition" für einen Bridge-Mode richten?

[Schimmelreiter]

Ja, im Bridge-Modus würde auf niedrigerer Ebene einfach nur durchgereicht, eine Bridge verhält sich transparent.
Das Cisco EPC3212 aus meiner Signatur, das ich als Altkunde bei Unitymedia noch habe, ist z.B. auch eine Bridge.


Ich beziehe mich da auf fl!nk-Kunden, denen auf Nachbohren der Bridge-Modus für das 1. Quartal 2015 in Aussicht gestellt wurde.

Die viel einfachere Variante, einfach den Einsatz des P1022 offiziell zu ermöglichen oder ihn zumindest zu dulden, wurde dabei definitiv abgelehnt. Und im Zusammenhang damit, daß sich der Hersteller/Anbieter ein Scheunentor wie ssh offenhält, finde ich das auch sehr suspekt.

Ich kann nachvollziehen, daß fl!nk/Glasfaser Deutschland nicht davon begeistert ist, wenn die Installationen auseinandergerupft werden um Drittanbieter-Mediaconverter anzuschließen. Für die Deaktivierung der Genexis-Originalkomponenten habe ich hingegen Null Verständnis.
Das ist ein Aufbau, der wunderbar funktioniert hat (Und bei Bornet auch immer noch funktioniert ...) und für den Genexis das modulare Konzept mit drei verschiedenen Konvertern schließlich entwickelt hat.
Technisch ist diese Entscheidung nur begründbar, wenn man einem der Beteiligten, also fl!nk/new oder GFD, Böses unterstellt, nämlich auf die Backdoor nicht verzichten zu wollen.

[TVHD]

(01.01.2015, 13:05)Schimmelreiter schrieb:  Ich beziehe mich da auf fl!nk-Kunden, denen auf Nachbohren der Bridge-Modus für das 1. Quartal 2015 in Aussicht gestellt wurde.
Die viel einfachere Variante, einfach den Einsatz des P1022 offiziell zu ermöglichen oder ihn zumindest zu dulden, wurde dabei definitiv abgelehnt.

Die Formulierung "in Aussicht gestellt" deutet für mich darauf hin, dass der "finale Entscheider" noch keine abschließend verbindliche Entscheidung getroffen hat.

(01.01.2015, 13:05)Schimmelreiter schrieb:  Für die Deaktivierung der Genexis-Originalkomponenten habe ich hingegen Null Verständnis.

Du hast Recht, dass es keine nachvollziehbaren technischen Gründe dafür gibt. Für mich deutet diese Deaktivierung jedoch darauf hin, dass ein Bridge-Mode ziemlich weit weg liegt und dieser nur kommen wird, falls der Gesetzgeber den Routerzwang (abschließend gesetzlich verbindlich) verbieten würde.

(01.01.2015, 13:05)Schimmelreiter schrieb:  Das ist ein Aufbau, der wunderbar funktioniert hat (Und bei Bornet auch immer noch funktioniert ...) und für den Genexis das modulare Konzept mit drei verschiedenen Konvertern schließlich entwickelt hat.

Ich meine irgendwo gelesen zu haben, dass BORnet bei Neuanschlüssen in Richtung Genexis-Router umgeschwenkt ist und bestehende Anschlüsse sogar entsprechend umgerüstet werden sollen.

(01.01.2015, 13:05)Schimmelreiter schrieb:  Technisch ist diese Entscheidung nur begründbar, wenn man einem der Beteiligten, also fl!nk/new oder GFD, Böses unterstellt, nämlich auf die Backdoor nicht verzichten zu wollen.

Das wäre keine "technische Begründung"!

Seitens der NEW wurde mir jüngst glaubhaft versichert, dass man gegen den "Zwangs-Router" der DGF ist und einen Media-Konverter als CPE bevorzugen würde, aber bei der DGF "auf Granit beißt".
Dem einzigen "unabhängigen" Einzelhändler (NEW) des Großhändlers "DGF Wholesale" scheint bisher also das verweigert zu werden, was der "abhängige" Einzelhändler fl!nk seinen Endkunden "flink" "in Aussicht stellt".

Ich unterstelle keinem Geschäftsunternehmen "Böses", sondern nur das Ziel der Gewinnmaximierung.
Dazu passt es besser, wenn DGF im Sinne einer Diversifikation das vertriebliche Produktangebot ausbauen kann, und dies geht am Besten, wenn das CPE möglichst weit in das Heimnetzwerk des Kunden reicht.
Als Beispiel für Diversifikation könnte man CATV und DGTV ansehen: Nachdem der prominente Marco W. in den Nachfragebündelungsveranstaltungen besonders herausstellte, dass DGF für TV-Angebote auf eine eigene Faser setzt, weil diese keine Bandbreite der Internet-Faser wegnimmt, hat mich das neue Produkt DGTV zunächst überrascht. Wenn ich mir die DGTV-Preise ansehe kann ich die Begründung des neuen Produktes jedoch gut nachvollziehen.

In meiner Nachbarschaft trat vor 2 Wochen der Fall auf, dass das WLAN des Genexis-Routers plötzlich abgeschaltet war und sich auch nach allen vor Ort möglichen Resets des Routers nicht mehr einschalten ließ.
Tage später erfuhr ich vom fl!nk-Helpdesk, dass beim Anschluss des Kunden "ein Signal nicht gesetzt wäre" und deshalb am Router das WLAN nicht eingeschaltet werden könnte; einen weiteren Tag später funktionierte das WLAN wieder, ohne dass es eine Nachricht von fl!nk dazu gegeben hätte.
Als bisher naiver Kunde eines Telekom DSL-Anschlusses hat mich überrascht, dass es tatsächlich Kabelanbieter gibt, die für die Aktivierung des WLAN bei einer Fritz!Box eine monatliche Gebühr verlangen.
Also begreife ich heute, dass DGF hier ein weiteres Produktportfolio, die "Option WLAN", in petto hält.

Bedenkt man das vertriebliche Interesse an einer Diversifikation spricht m.E. aus dieser Sicht alles gegen Bridge oder Media-Konverter.
Und sollte der Gesetzgeber tatsächlich den Zwangs-Router abschaffen wird sich dies nach meiner Einschätzung nicht mehr in diesem Jahr konkret auswirken.

[cyp]

Guten Tag zusammen,

sehr aufschlussreicher Thread, der hinter dieser Überschrift nicht zu erahnen war

Jetzt hab ich einen etwas besseren Einblick in das was mich bei der DGF bzw. Flink erwartet.

Bleibt also nur die Hoffnung, leider alles ziemlich unbefriedigend.

Ich finde man sollte noch die Frage klären ob die DGF nicht den Betrieb eines vollwertigen Routers gestatten muss. Da ein Router auch nur ein zulässiges Endgerät ist, wessen Anschluss und Betrieb laut der Bundesnetzagentur gestattet werden muss. Der vollwertige Betrieb wird einem nun nicht wirklich gestattet (Ipv6).

(01.01.2015, 12:22)Schimmelreiter schrieb:  Anders als bei DS-lite (Unitymedia, KabelBW, Kabel Deutschland, M-Net, ...) kommt es dadurch auch zu keinen sonstigen Beeinträchtigungen (Geschwindigkeit, MTU, Engpässe in irgendwelchen Gateways), da bei DGF die IPv4-Verbindung die native ist, auch wenn sie dem Anwender nur eine CGN-IPv4 bereitstellt.

Kannst du das etwas näher erläutern? Ich bin bisher von nativem Ipv6 ausgegangen.
Ich Plane meinen Ubiquiti Edge Router Lite hinter dem HRG1000 zu betreiben.
Es wäre denke ich ein entscheidendes Kriterium zur Planung ob ich meinen VPN Tunnel über Ipv6 oder Ipv4 aufbauen sollte, was wäre deine Empfehlung?



Meinetwegen kann die DGF auch für den normalen Endkunden Zusatzoptionen wie WLAN kostenpflichtig anbieten, sie sollten dem gewillten Nutzer dennoch alle anderen Möglichkeiten zur eigenen Infrastruktur offen halten bzw. nicht "verbieten". Prefix Delegation wäre mal ein brauchbarer Anfang.

Grüße

[Schimmelreiter]

(08.01.2015, 13:57)cyp schrieb:  Kannst du das etwas näher erläutern? Ich bin bisher von nativem Ipv6 ausgegangen.

Was gibt es da zu erläutern?

Die IPv4-Verbindung ist - ungeachtet der CGN-IPv4-Adresse - die native.

Die native IPv4-Anbindung hat z.B. den Vorteil, daß IPSec-VPNs (Wie z.B. das AVM-VPN) funktionieren, allerdings muß das VPN dann natürlich vom Glasfaseranschluß aus aufgebaut werden, da externe Anschlüsse Deinen Anschluß hinter dem CGN ja nicht sehen können.

Die IPv6-Anbindung erfolgt über den Übergangsmechanismus 6rd, d.h. IPv6-Pakete werden im Genexis-Router in IPv4 gekapselt und zum 6rd-Gateway (Welches bei fl!nk/new oder der Deutsche Glasfaser steht) geleitet, es sei denn, sie sind für einen anderen fl!nk/new-Anschluß bestimmt, dann gehen sie - auch per IPv4 - direkt an diesen.
Das 6rd-Gateway packt sie dann wieder aus ihrer IPv4-Hülle und leitet sie dann per IPv6 weiter.

Wenn Du mal von Deiner IPv4-Adresse die letzten drei Teile in hex umrechnest, wirst Du feststellen, daß sich diese Teile im IPv6-Präfix wiederfinden ... daran stellen benachbarte Router (Also die anderer fl!nk/new-Kunden) fest, ob sie sie direkt an den Zielrouter schicken können oder über's Gateway gehen müssen.

(08.01.2015, 13:57)cyp schrieb:  Es wäre denke ich ein entscheidendes Kriterium zur Planung ob ich meinen VPN Tunnel über Ipv6 oder Ipv4 aufbauen sollte, was wäre deine Empfehlung?

Ausgehend wäre im Prinzip IPv4 vorzuziehen, da so der Overhead durch 6rd vermieden wird.
Eingehend hast Du hingegen gar keine Wahl, eingehende Verbindungen - außer von anderen fl!nk/new-Kunden im selben Segment - kannst Du nur über IPv6 annehmen.