ComputerBase Menü
Aktuelles

Fritzbox Teredofilter deaktivieren FW der Fritzbox noch aktiv? ?

Amiga500

Amiga500

Vice Admiral
Registriert
Dez. 2005
Beiträge
6.480
Egal wie aber mit meiner XBOX Series X bekomme ich kein NAT Opfen bzw auf Moderat wenn der Teredofilter aktiviert ist.
Ich habe auch Upnp und Portfreigabe für die XBOX freigegeben.

Es hilft nur den Teredofilter zu deaktivieren...jetzt Frage ich mich wenn ich den deaktiviere ob mein System dann offen wie ein Scheunentor ist oder die Firewall der Fritze noch aktiv ist !?
 
Amiga500 schrieb:
Es hilft nur den Teredofilter zu deaktivieren...jetzt Frage ich mich wenn ich den deaktiviere ob mein System dann offen wie ein Scheunentor ist oder die Firewall der Fritze noch aktiv ist !?
Zum Vergrößern anklicken....

Nein, die Firewall ist natürlich auch dann aktiv und es ist eher das Gegenteil der Fall, da nun der Port für den Toredofilter geschlossen ist. Der Toredofilter ist im Grunde nichts anderes als ein offener Port, der über den Microsoft Server eine Umsetzung von IPv4 auf IPv6 ermöglicht, wenn ich die kurze Zusammenfassung über Google richtig verstanden habe.

Die Frage wäre, ob dein Router IPv4 oder IPv6 nutzt? Wenn du IPv6 nutzt bzw. nutzen kannst, ist der Toredo Filter irrelevant.
 
Zuletzt bearbeitet:
Hallo, ich danke dir, aber so ganz verstehe ich das alles nicht.
Ich habe die Fritzbox 7530 mit neuester FW 7.50
In der XBOX wird mir angezeigt das ich IPv 4+ 6 habe.

Die Fritzbox hat eine Native IPv6 Anbindung und eine IPv4 als DS LIGHT
(Hat wohl die FW 7.50) Automatisch so eingestellt)

Kann ich jetzt den Teredofilter gefahrlos deaktivieren ? Die FW meiner Fritzbox hat dann noch ihre Firewall definitiv an ?

Wenn ich ehrlich bin..verstehe ich das so gar nicht

fritze.jpg
 
Die Beschreibung auf der FritzBox sagt zum Toredo-Filter aber etwas anderes:
Dieser Filter sperrt Teredo-Pakete. Teredo ist ein Tunnelprotokoll, über das einzelne Geräte im Heimnetz eine eigene IPv6-Verbindung an der FRITZ!Box Firewall vorbei aufbauen können. Teredo ist normalerweise nicht notwendig, wenn die FRITZ!Box eine native IPv6-Verbindung für das Heimnetz bereitstellt. Deaktivieren Sie den Filter nur dann, wenn ein Netzwerkgerät zwingend Teredo erfordert und der Schutz der FRITZ!Box IPv6-Firewall gegen ungewollte Teredo-Verbindungen nicht gewünscht ist.
Zum Vergrößern anklicken....
Es ist keine Teredo-Freigabe, sondern ein Filter, der diese Pakete verwirft.

Die Beschreibung verstehe ich aber so, dass die IPv6-Firewall trotzdem weiterhin aktiv ist, aber nun eben Teredo-Pakete durchlässt (anstatt sie zu verwerfen).

Wikipedia beschreibt die mögliche Gefahr durch aktives Teredo (=deaktiviert Filter) ganz gut:

Gefahren​

Durch die Tunnelung des IPv6 besteht die Gefahr, dass insbesondere die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können. Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen Paketfilter wirkungslos bleiben. Es liegt seit 2007 eine Analyse durch Symantec vor, die diesen Sachverhalt bestätigt.[1][2] Dem sicherheitsorientierten Administrator wird daher empfohlen, bis zur Verfügbarkeit entsprechender Firewalls den durch Teredo benutzten UDP-Port 3544[3] komplett zu sperren.
Zum Vergrößern anklicken....
(Quelle: https://de.wikipedia.org/wiki/Teredo)

Amiga500 schrieb:
mit meiner XBOX Series X bekomme ich kein NAT Opfen bzw auf Moderat
Zum Vergrößern anklicken....
Den Satz verstehe ich leider nicht. Was versuchst du?

Und vorab schon mal gefragt: ist auf deiner Fritzbox IPv6 aktiv und hat sie eine IPv6-Adresse vom Anbieter erhalten?
Teredo sollte ja nur notwendig sein, wenn man zwingend eine IPv6-Verbindung benötigt und die müsstest du eventuell mit normalen Einstellungen auch hinbekommen, sofern du nicht bei einem der wenigen Internetanbietern in Deutschland bist, die in ihrem Netz noch nicht IPv6 aktiviert haben.

Edit:
Oh, zu spät.
IPv6 ist also aktiv und bei IPv4 hast du laut Einstellung der Fritzbox keine einzigartige IPv4-Adresse (du teilst dir die Adresse mit anderen Kunden) und dein Anschluss steckt in einer NAT-Umgebung. Das heißt du kannst z.B. keinen Server bei dir daheim betreiben und den über IPv4 erreichbar haben.

Was du aber durchaus kannst, ist den Server über die IPv6-Adresse erreichbar machen.

Und falls jemand von außen eine Verbindung zur X-Box herstellen können muss, damit du mit ihm zocken kannst (oder so), dann solltest du das über die IPv6-Adresse machen und dafür dann IPv6-Freigaben einrichten.
Alle eventuell bestehenden IPv4-Freigaben kannst du verwerfen und diese stattdessen für IPv6 erstellen.
 
@R00kie

Wenn der Teredofilter aktiviert ist dann bekomme ich mit der Xbox keinen NAT hin. Wenn ich den Filter deaktiviere dann ist der Nat auf open.
Anders bekomme ich den Nat der XBOX auch nicht auf offen oder moderat hin. Es hilft nur den Teredofilter zu deaktivieren

Meine Fritzbox 7530 hat eine Native IPV6 eingestellt aber IPV4 Verbindung hat sie auch wie ich im Online Monitor sehe.

Ich bin mir halt nicht sicher , wenn ich den Teredofilter deaktiviere ob mein Internet, vor allem der PC dann offen wie ein Scheunentor ist !? Ich habe wirklich gar keine Ahnung davon


Um es kurz zu machen. Kann ich den Teredofilter deaktivieren und deaktiviert lassen ? Ist meine Firewall dann noch aktiv?
fritze.jpg
 
Zuletzt bearbeitet:
Ich kenne die X-Box nicht und verstehe nicht so ganz, warum die X-Box irgendwelche NAT-Einstellungen vornehmen möchte. Dass sie Port-Freigaben auf dem Router durchführen möchte, würde ich noch verstehen.
Kannst du die X-Box irgendwie konfigurieren, dass sie primär IPv6 verwendet?

Wenn du einen DS-Light-Anschluss hast, dann wäre es besser die Verwendung von IPv4 auf der X-Box zu deaktivieren und sie IPv6 verwenden zu lassen - zumindest wenn sie vom Internet aus erreichbar sein muss und das scheint ja hier der Fall zu sein.
 
@R00kie. danke. Ich hatte mal keinen DS Light Anschluss ich weiß nicht ob durch die kürzliche "Moderiniserung" der Leitung bei mir auf DS Light umgestellt wurde oder nicht oder ob die Fritzbox durch das neue 7.50 es so eingestellt hat.

Die IPv4 kann man auf der XBOX glaube ich nicht deaktivieren und auch auf der PS5 nicht.

Die Frage die sich mir nach wie vor stellt ist, ob ich den Teredofilter nun gefahrlos deaktivieren kann ohne das dann mein System offen wie ein Scheunentor am PC (womit ich ja im Netz surfe etc) ist.
Denn er findet bei der XBOX keinen Nat solang der teredofilter aktiviert ist. Das heißt ich kann kein Online Gaming oder Partychat mit der XBOX machen


:edit ach ja im Ereignisprotokoll der Fritze wird mir die Melding got no AFTR angezeigt ...das bedeutet doch das ich keinen DS Light Anschluss habe , oder?
 
Zuletzt bearbeitet:
Na gefahrlos eben nicht. Wie oben zitiert, können Sicherheitsmechanismen umgangen werden.
Ich bin nur verwundert, warum Teredo, eine Übergangslösung, wenn IPv6 am eigenen Anschluss nicht verfügbar ist, der X-Box hilft.

Ich würde nach anderen Lösungen suchen und den Filter nur deaktivieren, wenn es absolut nicht anders geht.

Offen wie ein Scheunentor ist dein Netzwerk nicht. Die Firewall für v4 und v6 bleibt aktiv. Nur über Teredo wäre es Angreifern (wie der X-Box :D) möglich ungestört nach Hause zu telefonieren und Daten zu verschicken.
Das muss jedenfalls von innerhalb deines Netzwerks initiiert werden. Von außen direkt in dein Netzwerk geht es nicht.

Frag mal deinen Internetanbieter nach Dual Stack (statt DS Light)
 
Ist DS Lite denn jetzt wirklich noch so ein Problem? Mittlerweile sollte es doch keine Probleme diesbezüglich mehr geben !?
 
Das ist ja, was mich auch verwundert. DS Lite ist ein Problem, wenn Geräte im heimischen Netzwerk unbedingt über eine IPv4-Verbindung von außen erreicht werden müssen. Dann wäre Dual Stack besser.
Heutzutage unterstützen inzwischen so viele Dienste IPv6, dass kaum mehr eine Abhängigkeit von IPv4 bestehen sollte.

Aber nun versucht ja deine X-Box offensichtlich über IPv4 getunnelt eine IPv6-Verbindung aufzubauen und da bin ich einfach nur verwundert und überfragt, warum man die IPv6-Verbindung tunneln möchte, wenn man auch direkt über IPv6 eine Verbindung aufbauen könnte.

Ach ... jetzt kommt mir tatsächlich eine Idee:
Für die IPv6-Verbindung müssen natürlich die Ports in der Firewall freigeschaltet werden, sonst kommt kein Traffic durch und vielleicht bekommt die X-Box das aus irgendeinem Grund nicht hin.

Du könntest mal folgendes probieren:
suche dir mal die Ports aus dem Internet raus, die die X-Box benötigt (geöffnet haben muss), damit sie so funktioniert wie sie möchte und dann öffne diese Ports über die Internet -> Freigaben -> IPv6.
Dann teste noch mal, ob die X-Box sich weiter beschwert. NAT sollte dann aber auch nicht mehr nötig.

Prüfe mal bitte ebenso ob die X-Box eine IPv6-Adresse zugewiesen bekommen hat und IPv6 konfiguriert ist:
https://support.xbox.com/de-DE/help/hardware-network/connect-network/ipv6-on-xbox-one
 
Allgemeines UPNP würde ich immer aus lassen, braucht man bei Fritzbox eigentlich auch nicht, das ist außerdem so gesehen eine sicherheitslücke.
Einfach nur für die Xbox bzw jeweilige Konsole eigenständige portfreigabe Haken an sollte reichen, und ist eigentlich das gleiche nur auf dass jeweilige Gerät beschränkt, für ein PC z.b würde ich diesen Haken niemals setzen.
Also allgemeines UPnP aus, und für die jeweiligen Konsole Haken für eigenständige portfreigabe an.

Teredo Filter aus lässt halt teredo Verbindungen zu, das hat aber ansonsten mit dem Rest der Firewall nichts zu tun.
Als Xbox Spieler haben wir eh keine andere Wahl, microsoft unterstützt anscheinend kein natives IPv6, oder braucht zumindest zusätzlich zwingend ein Tunnel um sauber zu laufen.
Fängt ja schon beim internen Internet Test an dass der dann weint, und macht sich dann auch gerne in Spielen bemerkbar in Form von lag, high ping usw.
Teredofilter aus sofern eine Xbox im Haushalt ist.

Echtes Dual Stack ist definitiv von Vorteil beim zocken, nicht nur auf Konsole und auch nicht nur beim zocken, es ist immer besser, das kann ansonsten zt ordentlich Performance kosten je nach aftr-getaway Auslastung, und kann auch gerne Nat Typ offen verhindern oder wieder andere Probleme beim matchmaking und so weiter verursachen.
Je nach Anbieter versuchen dort echtes dual-stack zu bekommen.
 
  • Gefällt mir
Reaktionen: R00kie
@R00kie und @Engaged woran erkenne ich denn ob ich nun Dual Stack oder DSL Lite habe?
Ich hatte definitiv mal Dual Stack ..jetzt anscheinend nicht mehr !? Soll ich da bei 1&1 anrufen und mich darüber beschweren?

In meiner Fritze der Ereignisverlauf zeigt mir zu AFTR folgendes an

AFTR.jpg



Ist doch ein Anzeichen das ich noch Dual Stack habe !?

Meine IPv4 Aderesse fängt mit 87.XXX. an ist das nicht auch eine öffentliche Ip ?

Muss ja auch erstmal wissen ob die mich wirklich aufn DS LITE umgestellt haben damit ich denen sagen kann das ich Dual Stack wieder haben möchte
 
Zuletzt bearbeitet:
Wenn du eine IPv4 und eine IPv6 hast dann sollte es ohne besondere Kennzeichnung dual stack sein, ansonsten müsste da irgendwas mit DS Lite Tunnel stehen, bei DSL Informationen glaube ich, bei mir steht da ja nichts. 😅

Warum will sich dein Anschluss am aftr getaway anmelden wenn es anscheinend kein gibt? 🤔
 
In dem Online Monitor ? Von tunneln steht da nichts

Da steht bei IPV4 die IP Adresse und bei IPv6 auch eine ...von tunneln ist da nichts zu erkennen

Das mit AFTR stand aber auch vorher schon immer da ist aber auch in den IPV 6 Einstellungen von der Fritze so vorgegeben



Also doch Dual Stack ?
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Engaged
Ich würde mal den Haken rausnehmen bei IPv4 Verbindung über DS Lite herstellen, dann siehst Du es ja, wenn sowieso kein aftr getaway erreichbar ist sollte das dann ja eh die richtige Einstellung sein, wenns nicht klappt nicht dann weißt du es ja. 😉
 
  • Gefällt mir
Reaktionen: R00kie und Amiga500
Woran genau erkenne ich das dann ? Was sollte dann passieren ?
 
Ich möchte ja IPv6 Native behalten ;-)

Ich habe jetzt mal die IPv4 Anbindung über DsL Lite Herstellen deaktiviert

und ich habe nach wie vor eine IPv4 adresse und einen IPv6

das bedeutet also das ich doch noch Dual Stack habe?
 
  • Gefällt mir
Reaktionen: R00kie und Engaged
Jo, sieht gut aus, dann dürfte auch die aftr getaway fehlermeldung in Zukunft wegbleiben.

Ich habe nativ IPv4 Haken an weil das zumindest am Telekom Anschluss die empfohlene Vorgabe ist.
Das Internet hat es ja noch nicht so mit IPv6, es wird aber natürlich trotzdem genutzt bei DS, könnte auch nativ IPv6 Haken anmachen würde hier keinen Unterschied machen.
Ca. zwei Drittel sind aber noch IPv4 Verbindungen wenn ich hier so in meine Pi hole logfiles schaue, von daher gebe ich dem noch den Vorgang.

PS: Auge drauf behalten wenn du bei 1&1 bist, es sieht so aus als wenn sie einigen Leuten in der letzten Zeit nachträglich die IPv4 wegnehmen, sehe den ein oder anderen Thread hier im Forum. 😅
 
  • Gefällt mir
Reaktionen: Amiga500 und R00kie
Da werde ich auch verstärkt drauf achten ...sollte in der Richtung was geschehen, werde ich sofort dort anrufen ;)
 
  • Gefällt mir
Reaktionen: Engaged
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

J
Fritzbox! App Zugriff außerhalb des eigenen Wlan
Antworten
8
Aufrufe
380
User007
User007
Phil_81
Fritzbox hinter Fritzbox - Zugriff auf Gerät hinter zweiter Fritzbox
Antworten
4
Aufrufe
1.539
Phil_81
Phil_81
S
Wireguard Verbindung zu Fritzbox -> andere Geräte im Netzwerk plötzlich nicht mehr erreichbar
Antworten
2
Aufrufe
1.606
h00bi
h00bi
C
Vodafone Kabel (RLP): Austausch VF Station gg. Fritzbox 6690
Antworten
3
Aufrufe
486
Mosed
M
J
Fritzbox 6600 Cable Vodafone kein Bridge Mode, IPV6 lässt sich nicht deaktivieren
Antworten
7
Aufrufe
755
Lee Monade
Lee Monade
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz