Fritzbox 6591 an VF Business (BW): Konfiguration Bridgemode für IPv6

[Mettwurscht]

Hallo zusammen,

ich nutze eine Fritzbox 6591 an einem Businessanschluss der Vodafone in Baden-Württemberg im Bridgemodus. Für IPv4 funktioniert das wunderbar, dazu musste am Ende noch eine Route auf den eigenen Router gesetzt werden.

Nun wollte ich IPv6 aktivieren. Der Router bekommt das 56er Präfix von der Fritzbox und kann eigene Netze vergeben. Die Clientes bekommen das Präfix aus ihrem Netz mit und geben sich eine Adresse. Von der Seite klappt also alles. Es wollen allerdings keine Pakete fließen.

Kann es sein, dass auch noch eine IPv6-Route gesetzt werden muss? In den Freigabeeinstellungen ist der eigene Router bereits als exposed host gesetzt.

 

[riversource]

Nur, damit hier keine Missverständnisse aufkommen: Der Bridgemodus bedeutet, dass die Fritzbox als reines Modem arbeitet, und der Router dahinter die IPs direkt von Vodafone bekommt (und nicht von der Fritzbox). Richtig? Weil, einige Dinge in deiner Beschreibung hören sich nicht nach Bridge Modus an.

Für IPv4 funktioniert das wunderbar, dazu musste am Ende noch eine Route auf den eigenen Router gesetzt werden.

Das verstehe ich nicht. Welche Route musstest du denn da setzen?

Der Router bekommt das 56er Präfix von der Fritzbox und kann eigene Netze vergeben.

Nein, er bekommt es von Vodafone. Im Bridgemodus hat die Fritzbox nichts damit zu tun.

In den Freigabeeinstellungen ist der eigene Router bereits als exposed host gesetzt.

Die Einstellung kann es im Bridgemodus nicht geben, zumindest sie hat keinerlei Relevanz.

 

[Mettwurscht]

Du hast schon recht. Die Fritzbox arbeitet in dem Modus als vorgeschalteter Router, entsprechend trifft es so zu, wie ich es beschrieben habe und deine vermeintlichen Korrekturen treffen nicht zu.

 

[norKoeri]

Router

Dürfen wir noch erfahren, welchen Du nutzt?

 

[Mettwurscht]

Ah, sicher. Einen Mikrotik RB4011

 

[Tom_123]

Hi,

dann drössel ich mal auf

1. Die Fritz!Box stellt derzeit keinen Bridge-Port bereit, sondern der Traffic des Mikrotik Routers läuft weiterhin über die kompletten Fritz!Box Bestandteile (Router, Firewall usw.). Bridge-Port gibt es nur bei Verzicht auf die feste IP Adressen.

Früher wurde bei festen IP-Adressen im ex-Unitymedia Gebiet nur IPv4 unterstützt. Ich bin mir derzeit aber nicht sicher, ob sich da in letzter Zeit etwas geändert hat. Laut Einrichtungsanleitung (Seite 15) wird nur IPv4 unterstützt. Ansonsten kannst du mal probieren, am Mirkotik fest ein /62 Präfix anzufordern. Laut Leistungsbeschreibung wird dieses zugesichert.

 

[norKoeri]

Nehmen wir mal (kurz) an, der Internet-Anschluss bzw. die FRITZ!Box wäre richtig eingestellt, denn rein technisch ginge auch eine Router-Kaskade. Daher vermute ich den (eigentlichen) Fehler eher im MikroTik. Wenn der MikroTik bereits ein IPv6-Präfix bekommen hat, sind für mich die FRITZ!Box bzw. Vodafone Cable als Baustelle raus.

Hast Du jemals IPv6 auf einem MikroTik eingerichtet? Das wäre wirklich eine Frage für das MikroTik eigene Forum. Hast Du die neuste Firmware drauf, welchen Firmware-Branch nutzt Du genau (beta, stable, …)? @0-8-15 User hat auch einen MikroTik. Vielleicht kann er was dazu sagen bzw. überprüfen.

Ich jedenfalls habe das bei RouterOS v7.9.x nicht über WinBox sondern über die Web-Oberfläche so gemacht:

1. Quick Set → (bottom right) Factory Reset
2. Quick Set → Home AP
   • Internet → Address Acquisition: PPPoE or DHCP → (button) Apply Configuration
3. (if VLAN) WebFig → Interfaces (→ Interfaces) → Add New → VLAN
   • VLAN ID: 7 (for example; Telekom Deutschland, 1&1, O₂)
   • Interface: ether1 (for example; WAN interface)
   • (button) OK
   • pppoe-out1 → Interfaces: vlan1
   • (button) OK
4. WebFig → IPv6 → DHCP Client (→ DHCP Client) → Add New
   • Interface: pppoe-out1 (PPPoE) or ether1 (DHCP)
   • Request: prefix
   • Pool name: myISP (anything as you like, reused below)
   • Add Default route: yes
   • (button) OK
5. WebFig → IPv6 → Addresses → Add New
   • From Pool: myISP
   • (button OK)

Klappt das nun? Ausgehend davon, kannst Du dann komplexere Konfigurationen basteln. In Deinem Fall mit Vodafone Cable (oder der FRITZ!Box als vorgelagerter Router) musst Du DHCP/ether1 nehmen. PPPoE wäre wenn Du Telekom Deutschland, 1&1, O₂ oder so hättest.

Wenn Du eine neue IP-Adresse vom Internet-Anbieter bekommst (nach einem längeren Stromausfall oder technischer Umstellung), dann musst Du das neu machen, weil MikroTik mit dynamischen IPv6-Präfixen nicht wirklich klar kommt. Für PPPoE existiert ein Skript … behoben seit RouterOS v7.9.

noch eine Route auf den eigenen Router

Bild 3? Dürfte für IPv6 eigentlich nicht nötig sein, weil es bereits öffentliche Adressen sind. Aber reine Spekulation, weil ich nicht einmal verstehe, warum Du das für IPv4 machen musstest. An dem Punkt bin ich wirklich raus. Wie Tom_123 schreibt, bitte klären, ob Du wirklich im Bridge-Modus bist oder den überhaupt willst / haben musst. Obiges müsste für beide Szenarien gehen.

 

[riversource]

Ok, wir halten fest: Du bist nicht im Bridge Mode. Das ist mehr als offensichtlich.

Aber reine Spekulation, weil ich nicht einmal verstehe, warum Du das für IPv4 machen musstest.

Ich auch nicht. Das kann eigentlich nur bedeuten, dass der Mikrotik nicht NAT macht. Ist das wirklich so gewollt? Und macht die Fritzbox NAT für ein fremdes Netz? Ich bin noch nie auf die Idee gekommen, das zu testen.

Dürfte für IPv6 eigentlich nicht nötig sein, weil es bereits öffentliche Adressen sind.

Genau, und wenn ein Router sich bei der Fritzbox per Prefix Delegation ein Prefix holt, dann richtet sie die Route dahin selber ein.
Die Frage ist: Wie groß ist das Prefix, dass du von Vodafone bekommst? Weil du schreibst, dass du ein /56 von der Box bekommst. Bist du sicher, dass es kein /62 ist? Wenn das Prefix von Vodafone /56 ist, dann kannst du es nicht komplett weitergeben.

 

[ookee]

Ansonsten kannst du mal probieren, am Mirkotik fest ein /62 Präfix anzufordern. Laut Leistungsbeschreibung wird dieses zugesichert.

Bei Nutzung der statischen IPv4-Adresse gilt das nur im "Gebiet A":

Optional wird eine feste öffentliche IPv4 Adresse bereitgestellt. Im "Gebiet A" steht parallel ein fester IPv6/62 Präfix (Dual Stack) zur Verfügung.

Baden-Württemberg gehört aber zum "Gebiet B", demnach ist in dem Fall wohl kein IPv6 zugesichert.

 

[Mettwurscht]

Hast Du jemals IPv6 auf einem MikroTik eingerichtet?

In der Tat. Überwiegend an Telekom-PPPoE, aber auch schon in einer Kaskade an einem (m.W.) Privatkunden-Kabelanschluss. an dem noch DualStack läuft.

In dem Setup hab ich mal geschaut, was ich gemacht habe:
Tatsächlich fordert der Router ein 62er Präfix von der Fritzbox an und bekommt es auch. Im internen Netz stellt der Router ein 64er bereit. Hier funktioniert auch alles. Ich komme per IPv6 raus und eingehend erhalte ich auf einen Ping

Destination unreachable: Administratively prohibited

Da blockiert also die Fritzbox ICMP an die "internen" Netze.

Hier an dem Kabel-Businessanschluss hingegen kommt ja gar nix.

Was mich vor allem stutzig macht: Ich habe testweise einen 6to4-tunnel über HE.net laufen. Dessen IPv6-Adresse auf dem Interface erreiche ich auch nicht.

[...]
Klappt das nun?

Das ist eigentlich alles schon so eingerichtet.

Jetzt kann es eigentlich nur noch ein MTU-Problem sein...

 

[norKoeri]

Telekom-PPPoE

OK. Dann aber bitte obiges Skript beachten, ansonsten klappt das ab und zu nicht, jedenfalls an nicht-Business-Anschlüssen.

kann es eigentlich nur noch ein MTU-Problem sein

Mein Tipp wäre den Datenverkehr mitzuschneiden, also was zwischen MikroTik und FRITZ!Box passiert. Das Einfachste dürfte irgendein konfigurierbarer Switch mit Port-Mirroring sein. Wenn ich mich jetzt nicht ganz vertue, dann kann man leider auf einer FRITZ!Box Cable, deren WAN nicht mitschneiden. Geht nur bei den anderen FRITZ!Boxen, also DSL und Fiber.

In der Tat

Hast Du im Forum von MikroTik ein Thread parallel laufen?

 

[Mettwurscht]

Und hier kommt die Auflösung:

Der Vodafone-Service sagt, dass man an Business-Anschlüssen mit statischer IPv4 keinen DualStack nutzen kann. Die Fritzbox zieht sich zwar eine IPv6 und ein Präfix, das wird aber nicht geroutet. Man muss die statische IPv4 auf eine dynamische Adresse umstellen, dann klappts auch wieder mit dem DualStack.

Nachdem ich in der Fritzbox IPv6 wieder deaktiviert habe, hat dann auch der Tunnel zu HE.net wieder funktioniert bzw. der Router auf Pings geantwortet. Das ist für mich eine gangbare Alternative, bis der Telekom-Glasfaseranschluss mit statischem DualStack zur Verfügung steht.

 

[norKoeri]

Die Fritzbox zieht sich zwar […] ein Präfix, das wird aber nicht geroutet.

Das muss ein Scherz sein.
Woher wüsste denn die FRITZ!Box, wenn sie denn der Internet-Router wäre, dass sie die Finger von diesem IPv6-Präfix lassen soll?

 

[Mettwurscht]

Vodafone routet das Präfix nicht. Daher läuft der Traffic auch ins Leere.

 

[bender_]

Woher wüsste denn die FRITZ!Box, wenn sie denn der Internet-Router wäre, dass sie die Finger von diesem IPv6-Präfix lassen soll?

Das ist der scheißegal solange IPv4 funktioniert.

 

[norKoeri]

Daher läuft der Traffic auch ins Leere.

OK. Und wenn ich eine Anwendung habe, die nicht automatisch auf IPv4 zurückfällt bzw. nicht beide IP-Versionen parallel macht? Die kommt dann nicht ins Internet. Mal abgesehen davon, dass Happy-Eyeballs nicht dafür gemacht ist, falsch konfigurierte Internet-Verbindungen forever zu verbergen. Stehe gerade echt auf dem Schlauch.

 

[bender_]

Und wenn ich eine Anwendung habe, die nicht automatisch auf IPv4 zurückfällt

Anwendungen sind OSI Schicht 7 und interessieren sich nicht für IP Adressen.

IPv6 only Verbindungen wären betroffen, die gibt's aber faktisch (noch) gar nicht.

IPv4 only Internetzugänge dürften hingegen weltweit noch mit Abstand die häufigste Verbindungsart ins Internet sein. Daraus ergeben sich so gut wie keine Nachteile. Schon gar nicht für übliche Anwendungsfälle von Privatkunden.

Du @norKoeri stehst deshalb auf dem Schlauch, weil du glaubst eine IPv6 Verbindung wäre irgendwie zwingend notwendig um im Internet unterwegs zu sein.

 

[riversource]

Die Fritzbox zieht sich zwar eine IPv6 und ein Präfix, das wird aber nicht geroutet.

Das glaube ich sogar, das ist bei den Telekom Company Anschlüssen ja auch so. Das heißt aber nicht, dass man kein IPv6 nutzen kann, es funktioniert nur anders, als üblicherweise an Privatkundenanschlüssen.

Man bekommt ein Prefix, und alles für dieses Prefix wird auf Schicht 2 am Anschluss abgeliefert. Es gibt keine IPv6 Adresse für den Router, auf den das Prefix geroutet wird, dafür muss man selber sorgen. Ich weiß nicht, ob man eine Fritzbox so eingerichtet bekommt, das hab ich noch nie probiert (wäre aber mal interessant).

Aber wenn ich dich richtig verstanden habe, willst du die Box ja eh im Bridge Modus betreiben. Für den Router hinter der Fritzbox müsstest du halt selber schauen, wie du den für den Anwendungsfall konfiguriert bekommst.

Wenn es ein Prefix gibt, dann bin ich mir sehr sicher, dass man es auch nutzen kann.

 

[Mettwurscht]

Das glaube ich sogar, das ist bei den Telekom Company Anschlüssen ja auch so. Das heißt aber nicht, dass man kein IPv6 nutzen kann, es funktioniert nur anders, als üblicherweise an Privatkundenanschlüssen.

Also der Telekom Company-Anschluss, an dem ich IPv6 nutze, funktioniert genau so wie mein Privatkundentelekomanschluss: Ich bekomme beim PPPoE-Verbindungsaufbau die LL-Adresse eines Gateways, das in der Defaultroute steht. Mein PPPoE-Interface in der Mikrotik-Kiste bekommt auch eine IP-Adresse. Bzw. ich vergebe dem eine.

Aber wenn ich dich richtig verstanden habe, willst du die Box ja eh im Bridge Modus betreiben. Für den Router hinter der Fritzbox müsstest du halt selber schauen, wie du den für den Anwendungsfall konfiguriert bekommst.

Du hast eingangs schon richtig erwähnt, dass die am Kabelanschluss nicht als bridge läuft, sondern als Router alles an den eigenen Router weiterroutet. Ich hatte mich unpräzise bzw. falsch ausgedrückt.

Ich kannte das bei alten KabelBW-Businessanschlüssen so, dass eine Fritzbox als bridge konfiguriert wurde. Man hat also an einem Port einen eigenen Router angeschlossen und bekam an dem Port vom DHCP-Server des Providers direkt die IP-Adresse. Also ein klassisches DOCSIS-Modem.

Dass das bei moderneren Anschlüssen anders läuft, musste ich damals auch erst lernen.

Wenn es ein Prefix gibt, dann bin ich mir sehr sicher, dass man es auch nutzen kann.

Vodafone sagt nein.

 

[damyan]

Und hier kommt die Auflösung:

Der Vodafone-Service sagt, dass man an Business-Anschlüssen mit statischer IPv4 keinen DualStack nutzen kann. Die Fritzbox zieht sich zwar eine IPv6 und ein Präfix, das wird aber nicht geroutet. Man muss die statische IPv4 auf eine dynamische Adresse umstellen, dann klappts auch wieder mit dem DualStack.

Nachdem ich in der Fritzbox IPv6 wieder deaktiviert habe, hat dann auch der Tunnel zu HE.net wieder funktioniert bzw. der Router auf Pings geantwortet. Das ist für mich eine gangbare Alternative, bis der Telekom-Glasfaseranschluss mit statischem DualStack zur Verfügung steht.

TL;DR: Es ist genau wie Mettwurscht sagt: alles doof.

Long version:
Ausgangssituation: Vodafone Red Business Anschluss in BW mit einer alten Unitymedia Box Vodafone Station. Die Box lies sich problemlos auf bridge mode stellen, dahinter ist ein privater Router (Asus RT-AX56U), der das Netzwerk (LAN und WiFi) bereitstellt.

• der Router bekam einen /56 IPv6 Block, den er per RA an die restlichen Geräte verteilte (nice)
• der Router hatte eine "echte" IPv4 Adresse (nice)
• man konnte einzelne Geräte/TCP ports wunderbar nach aussen exposen (nice)
• die IPv4 Adresse war dynamisch, sprich nach paar Monaten hatte sie sich geändert, so dass viele Firewall Regeln, ACLs und Konfigurationfiles geändert werden mussten. Da der Router secondary Mail und secondary DNS nach aussen exposed, sind das viele Änderungen an vielen Geräten (doof)

Dann habe ich mir einen statischen /30 Adressblock vom Vodafone bestellt. Alles kein Problem, kostet 5€/mntl. mit Red 300. Damit kam eine Gefrickel Box 6591.

• bridge mode ist nichts mehr, man kann aber an einen oder mehrere Ports Geräte mit public Adressen exposen (uh-la-la, wollte eigentlich bridge mode)
• eigener Router angeschlossen, IP Adresse zugeordnet, exposed (ok ein Hop mehr, aber was soll's), geht (nice)
• IPv6 an der FritzBox aktiviert, sie bekam eine Adresse und behauptete sie hätte IPv6 Konektivität (angeblich gut, ist aber nicht)
• die FritzBox bekommt auch einen IPv6 /56 Block. Egal wie man Box und Router konfiguriert, kein Gerät "kommt raus", weil der Block vom Vodafone (s. Kommentar oben) NICHT geroutet wird. Selbst wenn man den Router weglässt und per WiFi direkt auf die FritzBox connected, kommt man nicht per IPv6 raus (ziemlich doof)

Es ist also wohl unmöglich in BW von Vodafone einen Dual Stack zu bekommen, wie ich es an der Uni vor mehr als 20 Jahren hatte.

Es bleibt, wie zu KabelBW Zeiten vor 15 Jahren: 6in4 he.net Tunnel. Da aber die die GeoIPLocation in rwhois machen, was heutzutage keiner liest, wird man lokalisiert mal nach HongKong, mal nach USA, je nach Tunnelendpunkt (https://www.ip2location.com/demo/2001:470:6d:b6d::bad). Das Ganze macht google/IPtv/netflix/n-tv streams kaputt. Lösung: keine. (https://forums.he.net/index.php?topic=4092.0, #3 oder https://ipv6.he.net/certification/faq.php ganz unten). (ganz ganz doof)

Ich schalte demnächst IPv6 komplett aus, damit ich bei n-tv streams, zatoo und co. wieder als Deutsche gelte.

Alles sehr, sehr doof.