[IPv6] Fernzugriff per Portfreigabe

[mnet2023]

Hallo zusammen,

bis vor 4 Tagen konnte ich von einem auswärtigen WLAN auf meinen Rechner daheim per VNC zugreifen. Auf dem Rechner läuft ein VNC Server. Es gibt Portfreigaben für die IPv4/IPv6 Adresse. Die VNC Verbindung habe ich per MyFritzNet Adresse hergestellt: name.myfritz.net : PORT

Die IPv4/IPv6 Adressen im Online Monitor der FritzBox, unterscheiden sich von meinen öffentlich Adressen auf bspw. test-ipv6.com. Diese Seite zeigt die folgende Meldung an: Ihr DNS Server (wahrscheinlich von Ihrem ISP betrieben) scheint über IPv6-Internetzugriff zu verfügen.

Meine IPv6 Einstellung in der FitzBox steht auf "Native IPv4-Anbindung verwenden". Damit funktioniert das surfen im Internet und WireGuard Zugriff problemlos. Switche ich auf die Einstellung "Native IPv6-Anbindung verwenden" funktioniert der WIreGuard Zugriff von außen nicht mehr.

Auf dem Laptop, den ich zum Fernzugriff nutze, kann ich leider kein WIreGuard installieren. Der Zugriff auf meinen Rechner daheim erfolgte direkt per Portfreigabe.

Ich glaube, ich bin mit dem IPv6 Thema etwas überfordert. Ich habe die Tage im Netz recherchiert, vieles ausprobiert, aber ich bekomme den Fernzugriff nicht mehr hin.

Ich habe als Alternative zur MyFritz Adresse noch einen dynv6 Account angelegt. Wenn ich mich nicht im Heim Wlan befinde bekomme ich beim Aufruf von "tnc adresse.dynv6.net -port PORT" folgendes Ergebnis:

WARNING: TCP connect to ([IPv6-Adresse-FritzBox-OnlineMonitor] : PORT) failed
WARNING: TCP connect to ([IPv4-Adresse-FritzBox-OnlineMonitor] : PORT) failed

ComputerName : adresse.dynv6.net
RemoteAddress : [IPv6-Adresse-FritzBox-OnlineMonitor]
RemotePort : PORT
InterfaceAlias : WLAN
SourceAddress : [IPv6-Adresse-Netz-Laptop]
PingSucceeded : True
PingReplyDetails (RTT) : 5 ms
TcpTestSucceeded : False


Der Ping scheint erfolgreich zu sein, die TCP Verbindung nicht. Die IPv6 Interface Id des Rechners mit der Portfreigabe taucht dort nicht auf.

Ich weiß gerade nicht mehr, wo ich ansetzen muss, um wieder eine funktionierende VNC Verbindung hinzubekommen.

Ich wäre für jede Hilfe dankbar.

Grüße

 

[Pilatesjünger]

Du musst die öffentllich v6 freigeben.

 

[riversource]

bis vor 4 Tagen konnte ich von einem auswärtigen WLAN auf meinen Rechner daheim per VNC zugreifen.

Was ist denn vor 4 Tagen passiert, dass es nun nicht mehr geht?

Die VNC Verbindung habe ich per MyFritzNet Adresse hergestellt: name.myfritz.net : PORT

Dir ist klar, dass das bei IPv6 nicht mehr geht? Da musst du direkt auf den Rechner zugreifen, nicht mehr auf die Fritzbox mit IPv4.

Lange Rede, kurzer Sinn: Bei IPv6 musst du auf den Rechner zugreifen, nicht mehr auf die Fritzbox. Bei IPv6 hat jedes Endgerät eine öffentlich erreichbare Adresse, nicht nur der Router.

 

[mnet2023]

Was vor 4 Tagen passiert ist, kann ich leider nicht sagen. Ich hatte ab und zu schon mal Schwierigkeiten mich Remote zu verbinden, nach "Neu verbinden" über die FritzBox hat es wieder funktioniert. Der Trick klappt jetzt nicht mehr.

Meine Freigaben sehen aktuell so aus:

Diese IPv6 Adresse in den Freigaben, ist die wahrscheinlich die Adresse des Geräts. Im Online Monitor wird dann wohl die IPv6 der FritzBox angezeigt.

Sprich ich muss im VNC Viewer, um die Remoteverbindung herzustellen, einfach nur die IPv6 des Geräts ohne Port eintragen?

Die erstellten Portfreigaben können weg? Wie gebe ich dann die IPv6 des Geräts explizit frei?

Sorry falls ich es nicht verstehe.

 

[riversource]

Diese IPv6 Adresse in den Freigaben, ist die wahrscheinlich die Adresse des Geräts.

Das solltest du sicherstellen, dass dem wirklich so ist.

• passt das Prefix? Ist es aus dem zugewiesenen Prefixbereich vom Provider?
• Passt die Host-ID?
• Ist die IP auf dem Interface des Rechner wirklich die, die in der Fritzbox angezeigt wird, und ist sie auch die einzige IP, die für die Kommunikation infrage kommt? Alte IPs von früheren Verbindungen können da Ärger machen.

Sprich ich muss im VNC Viewer, um die Remoteverbindung herzustellen, einfach nur die IPv6 des Geräts ohne Port eintragen?

Kommt drauf an, ob der VNC Server Display 0 auf den Default Port aufmacht. Nur dann passt das. Sonst musst du den Port angeben. Bedenke, dass man IPv6 Adressen häufig nicht so ohne weiteres eingeben kann, sondern zuweilen in [] setzen muss. Manchmal geht es auch gar nicht. Lies die Doku deines VNC Clients, was der erwartet.

Die erstellten Portfreigaben können weg?

Nein. Die müssen natürlich bleiben, sonst blockt die Fritzbox den Zugriff.

 

[mnet2023]

Der Präfix der öffentlichen IPv6 Adresse (wieistmeineip.de) stimmt bei folgenden Adressen in der FritzBox überein:

Beispiel Präfix: 2b88 : g292 : 224

FritzBox Online Monitor
- IPv6-Adresse hier stimmt nur der erste und zweite Bereich überein, nicht der komplette Präfix:
2b88 : g292 : 22
- IPv6-Präfix passt: 2b88 : g292 : 224

FritzBox Freigabe "IP-Adresse im Internet": passt 2b88 : g292 : 224


Ich kann jetzt nicht bewerten, weshalb der Präfix der IPv6-Adresse im Online Monito nur in den ersten 2 Bereichen passt.

Ja den VNC Server hatte ich auch schon in Verdacht. Dort habe ich es auch schon mit [] versucht, leider auch kein Erfolg. Bevor ich eventuell den VNC Server austausche, wollte ich erstmal über die PowerShell ein erfolgreiche TCP Verbindung hinbekommen.

Beim Verbindungstest via PowerShell wieder folgende Ergebnisse - Getestet via Mobile Hotspot:

Test-NetConnection -computername [IPv6_Gerät] -port xxxxx
=> PING failed und TCP failed

Test-NetConnection -computername [IPv6_Adresse_OnlineMonitor] -port xxxxx
=> PING succesful und TCP failed


Bei IPv6 aus dem Online Monitor bekomm ich zumindest einen ping, aber bei der Adresse des Geräts nicht einmal ping, trotz Freigaben auf den port.

Ich bin echt ratlos.

Wie kann ich prüfen, ob eine Adresse schon in Verwendung ist?

Ergänzung (26. November 2023)

Nachtrag:
Problem des VNC Servers mit IPv6 kann ich wohl ausschließen. Ich kann mich zumindest mit einer Heimnetz IPv6 Adresse, welche beim Netzwerkgerät angezeigt werden verbinden.

 

[riversource]

Der Präfix der öffentlichen IPv6 Adresse (wieistmeineip.de) stimmt bei folgenden Adressen in der FritzBox überein:

Beispiel Präfix: 2b88 : g292 : 224 ...

Herrgott, warum immer so kompliziert? Schau doch einfach ins Webinterface deiner Fritzbox oder ins Ereignis-Log, welches Prefix dir zugewiesen wurde, und dann, ob es zur Adresse des Servers passt. Das dauert 30 Sekunden, und wieistmeineip braucht man dafür schon mal gar nicht, da gar nicht sichergestellt ist, ob du auf dem aufrufenden Gerät eine IP aus dem gleichen Prefix bekommst.

FritzBox Freigabe "IP-Adresse im Internet": passt 2b88 : g292 : 224

Bedenke, dass nicht nur das Prefix, sondern auch die Host-ID auch kritisch ist, je nachdem, ob sie per EUI-64 oder anderen Verfahren ermittelt wird. Achte darauf, für die Freigaben keine temporäre Host-ID zu erwischen. Überprüfe vor allem auch auf dem Server, ob die Adresse passt.

Ja den VNC Server hatte ich auch schon in Verdacht.

Die IPv6 Adresse musst du nicht im Server, sondern im Client eingeben.

Test-NetConnection -computername [IPv6_Gerät] -port xxxxx
=> PING failed und TCP failed

Bedenke, dass du Ping separat freigeben musst, im Router UND ggf. auch im Server. Vor allem bei Windows ist das Einrichten der Firewall ein Höllenritt.

Test-NetConnection -computername [IPv6_Adresse_OnlineMonitor] -port xxxxx
=> PING succesful und TCP failed

Damit hast du auf die Fritzbox zugegriffen. Da läuft kein VNC Server.

Wie kann ich prüfen, ob eine Adresse schon in Verwendung ist?

Bei IPv6 kann es keine doppelte Verwendung von Adressen geben, da ein Gerät immer vorab testet, bevor es sich eine Adresse zuweist (DAD - Duplicate Address Detection).

 

[mnet2023]

Herrgott, warum immer so kompliziert? Schau doch einfach ins Webinterface deiner Fritzbox oder ins Ereignis-Log, welches Prefix dir zugewiesen wurde, und dann, ob es zur Adresse des Servers passt. Das dauert 30 Sekunden, und wieistmeineip braucht man dafür schon mal gar nicht, da gar nicht sichergestellt ist, ob du auf dem aufrufenden Gerät eine IP aus dem gleichen Prefix bekommst.

sorry, das IPv6 Thema ist komplett neu für mich. Die Präfixe stimmen überein.

Bedenke, dass nicht nur das Prefix, sondern auch die Host-ID auch kritisch ist, je nachdem, ob sie per EIU-64 oder anderen Verfahren ermittelt wird. Achte darauf, für die Freigaben keine temporäre Host-ID zu erwischen. Überprüfe vor allem auch auf dem Server, ob die Adresse passt

wie kann ich das auf dem server prüfen? ipconfig ausgeführt auf dem server, zeigt mir nur temporäre IPv6 Adressen an. sollte hier nicht auf die öffentliche IPv6 Adresse vom Server angezeigt werden?

Haben die Einstellungen Auswirkungen auf den Zugriff?

Die IPv6 Adresse musst du nicht im Server, sondern im Client eingeben

das ist klar, wahrscheinlich falsch ausgedrückt.

Bedenke, dass du Ping separat freigeben musst, im Router UND ggf. auch im Server. Vor allem bei Windows ist das Einrichten der Firewall ein Höllenritt.

kann ich in Windows in einem Log sehen falls, etwas geblockt wird?

 

[riversource]

ipconfig ausgeführt auf dem server, zeigt mir nur temporäre IPv6 Adressen an.

Das ist schlecht, denn damit wird es nicht funktionieren. Aber wenn du nicht an den Windows Einstellungen herumgespielt hast, dann generiert sich Windows auch immer mindestens eine statische IP. Die musst du für die Freigaben nutzen.

Ethernet-Adapter Ethernet:

   Verbindungsspezifisches DNS-Suffix: fritz.box
   IPv6-Adresse. . . . . . . . . . . : abcd:abcd:abcd:abcd:abcd:5e49:9dc8:781
   IPv6-Adresse. . . . . . . . . . . : abcd:abcd:abcd:abcd:abcd:b31e:1fad:ff7d
   Temporäre IPv6-Adresse. . . . . . : abcd:abcd:abcd:abcd:abcd:ebe9:93:8bb3
   Verbindungslokale IPv6-Adresse  . : fe80::abcd:abcd:abcd:abcd:abcd%22
   IPv4-Adresse  . . . . . . . . . . : 192.168.175.2
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : fe80::abcd:abcd:abcd:abcd:abcd%22
                                       192.168.175.1

sollte hier nicht auf die öffentliche IPv6 Adresse vom Server angezeigt werden?

Ja, die wird da angezeigt. Aber öffentlich sind die temporären Adressen auch. Sie ändern sich nur nach kurzer Zeit und sind für einen Zugriff von außen entsprechend unbrauchbar.

Haben die Einstellungen Auswirkungen auf den Zugriff?

Nein, die nicht, das sind ja die WAN Einstellungen. Aber die IPv6 Einstellungen fürs Heimnetz in der Fritzbox haben natürlich Einfluss auf die Adressen des Rechners.

kann ich in Windows in einem Log sehen falls, etwas geblockt wird?

Vermutlich. Aber ggf. muss man das erst aktivieren. Gefühlt hat man vermutlich 12.000 Firewall Einstellungen ausprobiert, bevor man die Einstellung und das passende Log gefunden hat.

 

[mnet2023]

Ja, die wird da angezeigt. Aber öffentlich sind die temporären Adressen auch. Sie ändern sich nur nach kurzer Zeit und sind für einen Zugriff von außen entsprechend unbrauchbar.

ich erhalte nur die Adressen aus dem lokalen Netz. Ich habe sie mit den Adressen auf der FritzBox abgeglichen, die dort als lokale Adressen angezeigt werden. Ich bekomme nur eine Ipv6 Adresse angezeigt und das ist nicht die öffentliche.

Ethernet-Adapter LAN-Verbindung 2:

   Verbindungsspezifisches DNS-Suffix: fritz.box
   IPv6-Adresse. . . . . . . . . . . : abcd:abcd:abcd:abcd:abcd:5e49:9dc8:781
   Temporäre IPv6-Adresse. . . . . . : abcd:abcd:abcd:abcd:abcd:5e49:9dc8:781
   Verbindungslokale IPv6-Adresse  . : abcd:abcd:abcd:abcd:abcd:5e49:9dc8:781
   IPv4-Adresse  . . . . . . . . . . : 192.168.178.20
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : abcd:abcd:abcd:abcd:abcd:5e49:9dc8:781
                                       192.168.178.1

Nein, die nicht, das sind ja die WAN Einstellungen. Aber die IPv6 Einstellungen fürs Heimnetz in der Fritzbox haben natürlich Einfluss auf die Adressen des Rechners.

Zum testen hatte ich es mal auf "Native IPv6 Anbindung verwenden" umgestellt, dann bekomme ich zwar einige IPv6 Adressen angezeigt. Aber auch mit keiner von denen hat es funktioniert.


Ich hab weder in den FritzBox, Windows oder VNC Server Einstellungen etwas geändert. Ich hatte temporär die Probleme, das ich mal keine VNC Verbindung bekommen habe, konnte das aber mit "Neu verbinden" beheben. Ich weiß auch nicht, ob dafür vielleicht eine Änderung auf Providerseite verantwortlich sein kann.

 

[riversource]

ich erhalte nur die Adressen aus dem lokalen Netz. Ich habe sie mit den Adressen auf der FritzBox abgeglichen, die dort als lokale Adressen angezeigt werden.

Was genau steht denn in der Ausgabe von ipconfig? Dann zeige es doch einfach, wenn du unsicher bist.

Ich bekomme nur eine Ipv6 Adresse angezeigt und das ist nicht die öffentliche.

Das kann sein, wie gesagt. Solange das Prefix passt, musst du selber dafür sorgen, dass die Box deine Host-ID kennt, solange die Adressen nicht gemäß EUI-64 gebildet werden.

Zum testen hatte ich es mal auf "Native IPv6 Anbindung verwenden" umgestellt, dann bekomme ich zwar einige IPv6 Adressen angezeigt. Aber auch mit keiner von denen hat es funktioniert.

Noch mal: Das sind die WAN Einstellungen! Die haben überhaupt nichts mit deinem Problem zu tun. Du musst in die Heimnetz Einstellungen! Dort liegt offensichtlich das Problem, wenn deine Endgeräte keine öffentliche IPv6 bekommen. Schau im Zweifel in die AVM Anleitungen, wenn du nicht weißt, wovon ich rede.

Ich weiß auch nicht, ob dafür vielleicht eine Änderung auf Providerseite verantwortlich sein kann.

Vermutlich bekommst du keine öffentliche IPv4 mehr. Davon liest man in letzter Zeit öfter, dass die Provider auf CGNAT oder DS-Lite umstellen.

 

[mnet2023]

Internet > Online Monitor
IPv6-Adresse: 2a00:e125:16:912e:464e:6dff:fe43:138d/64
IPv6-Präfix: 2a00:e125:142b:4800::/56
 
------------------------------------------------
IPv6 Interface-ID
::85bb:f1e1:5eb3:2b11

------------------------------------------------
Internet > Freigaben
Bezeichnung        Protokoll    IP-Adresse im Internet                             Port extern vergeben
VNC                TCP            2a00:e125:142b:4800:85bb:f1e1:5eb3:2b11            1234


-------------------------------------------------
ipconfig
IPv6-Adresse. . . . . . . . . . . : 2a00:e125:142b:4800:1fef:988b:b1b8:2b5e
Temporäre IPv6-Adresse. . . . . . : 2a00:e125:142b:4800:65ca:f272:bb53:c31b
Verbindungslokale IPv6-Adresse  . : fe80::82bb:f1e1:5eb3:2b11%14

Eine Verbindung via Mobilfunk ist weder über die IPv6-Adresse noch Temporäre IPv6-Adresse möglich.

 

[riversource]

So, das sind doch mal brauchbare Informationen. Und was fällt auf den ersten Blick auf?

Du hast die Beiträge #5, #7 und #11 nicht beachtet, denn deine Host-ID wird nicht gemäß EUI-64 gebildet, und folglich passt die Freigabe nicht zur Adresse. Es macht Sinn, alle Hinweise zu verfolgen, die ihr bekommt, vor allem, wenn man sie mehrfach bekommt. Ich hab von Anfang an befürchtet, dass die Adressen nicht zusammenpassen, das ist bei Windows oft der Fall.

Aber nun ist wenigstens klar, was du tun musst. Verwenden musst du natürlich die Host-ID der "IPv6-Adresse" und nicht die der "Temporären IPv6-Adresse", aber das ist klar, denke ich. Ersetze ::85bb:f1e1:5eb3:2b11 durch ::1fef:988b:b1b8:2b5e, dann sollte zumindest die Freigabe klappen. Letzteres ist dann auch die Adresse für einen dyndns Eintrag, falls gewünscht.

Wenn dann die Windows Firewall und der Server korrekt eingerichtet sind, klappt es auch mit dem Verbindungsaufbau.

 

[mnet2023]

Ja so klappt es, auch aus dem Mobilfunknetz.

Ich habe es auch erfolgreich mit dynv6 hinbekommen, nachdem ich dort die Interface ID der IPv6 aus ipconfig hinterlegt habe.

Wie kommt es dazu, dass die Interface ID der FritzBox und ipconfig unterschiedlich sind?

Die Interface ID ist ja statisch, die muss ich nicht immer neu anpassen in der FritzBox?

 

[riversource]

Wie kommt es dazu, dass die Interface ID der FritzBox und ipconfig unterschiedlich sind?

Die Box kann grundsätzlich nicht wissen, welche Interface ID sich ein Gerät verpasst. Es gibt einen standardisierten Weg, die Interface-ID aus der MAC Adresse der Netzwerkkarte abzuleiten, das ist EUI-64. Den setzt die Box folglich auch an und richtet ihre Freigaben entsprechend ein. Bei der link-lokalen Adresse hat dein Windows PC die auch genutzt. Aber bei der öffentlichen halt nicht. Die Box kann ja auch nicht anhand des vorbeikommenden Datenverkehrs die ID mitsniffen, denn abgehend nutzt Windows natürlich die temporäre Adresse - die sich regelmäßig ändert, spätestens beim Reboot. Und im Heimnetz werden üblicherweise die link-lokalen Adressen genutzt: Die öffentliche statische IPv6 Adresse bleibt für die anderen Geräte im Netz unsichtbar.

Da bleibt nur, den PC umzukonfigurieren, dass er die EUI-64 IDs benutzt, oder eben in der Fritzbox die tatsächliche ID einzutragen. Die sollte auch stabil sein. Ich kann mich nicht erinnern, dass sie sich bei mir mal geändert hätte.

 

[mnet2023]

Ok alles klar, danke nochmal für deine Untersützung!

 

[mnet2023]

Heute morgen musste ich die Interface ID in der FritzBox erneuern, da sich die IPv6 Adresse des Rechners mit dem VNC Server geändert hat und der Remotezugriff nicht mehr möglich war. Der Rechner läuft nicht 24/7.

Kann es sein, dass Windows nach jedem Neustart der Netzwerkkarte des Rechner eine neue Adresse zuteilt? Falls ja, kann man das unterbinden?

 

[riversource]

Wie gesagt, die temporären Adressen ändern sich. Die anderen bleiben stabil, jedenfalls bei mir. Vielleicht ändern Windows Updates oder Treiberupdates was daran, wäre mir aber bislang nicht aufgefallen. Ich hab vor ca. knapp Jahr einen Rechner neu installiert und die Interface-ID in die Fritzbox eingetragen, und die ist bis heute noch die gleiche. Der Rechner wird ebenfalls nicht dauerhaft betrieben.

 

[mnet2023]

Die Neuzuweisung der IP Adresse für den Rechner wird getriggert, wenn die FritzBox eine neue IP erhält.

Für den Präfix ist das ok, aber die Interface ID sollte gleich bleiben, das wäre doch der Standardfall oder?

 

[riversource]

Ja, genau. Die Interface ID ist statisch, sie wird einmalig bei der Installation des Netzwerkgerätes festgelegt.

Die MAC Adresse der Netzwerkkarte ist ja auch statisch, oder? Wir reden auch nicht über HyperV oder ähnliche Mechanismen?