IPV6 Verbindung von Vodafone über Fritzbox Cable 6660 und GLI Router

[OlliPank]

Hi zusammen,

ich möchte/muss über das Internet auf meine Hardware zuhause zugreifen. Dabei ist die Fritzbox mit Vodafone verbunden.
Hinter der Fritzbox habe ich noch einen GLI Router GL-MT2500 (mit OpenWRT). Erst hinter dem GLI Router befindet sich meine
Hardware (diverse Geräte). Auf dem GLI Router läuft ein WireGard Server. So konnte ich unterwegs immer einen WireGard
Client starten. Der hat sich mit dem WireGard Server verbunden und ich war (wie zuhause) im Heimnetz und konnte überall zugreifen.

Bislang ging das über IPV4. Das hat mir Vodafone aber leider abgeschaltet und möchte das auch nicht mehr aktivieren.

Nun habe ich eine IPV6 Verbindung und er Zugriff klappt nicht mehr.

Mir ist bekannt das mit IPV6 jedes Gerät über eine öffentliche IP-Adresse verfügt. Aber leider bekomme ich das nicht so eingestellt,
dass ich wie früher arbeiten kann. Ich finde auch keine Installationshilfe die genau meine Umgebung abbildet.

Könnt ihr mir Tipps zur Konfiguration geben? Ich wäre euch sehr dankbar.

Grüße

OlliP

 

[norKoeri]

GL.iNet ist bei IPv6 äußerst schwach. Das wird ein steiniger Weg … Bist Du unterwegs ausschließlich mit Deinem Handy? Oder soll/muss es auch mal ein fremdes WLAN sein? In dem Fall solltest Du Dich eher um IPv4 bei Vodafone bemühen. Dabei können wir am Besten helfen, wenn Du uns Dein Bundesland verrätst.

GL-MT2500 (mit OpenWRT

Meinst Du damit, dass das Stock-ROM von GL.iNet auf OpenWrt basiert. Oder nutzt Du direkt das OpenWrt eigen Firmware-Image?

 

[Nero FX]

Wieso nutzt du nicht den Wireguard Server der Fritzbox? Das funktioniert mit myfritz einfach und unkompliziert.

 

[OlliPank]

Hi,

ich komme aus NRW und nutze das mit dem Router ausgelieferte OpenWRT.

Ich möchte total unabhängig sein. D.h. sowohl mit dem Smartphone, als auch mit einem GLInet AX3000 WIFI
Router unterwegs mich connecten können. Den Router habe ich dann als Bridge konfiguriert und gehe über WLAN an das WLAN des Büros/Hotels etc) um mich zu connecten. Und nutze dann dan LAN Kabelanschluss für den Laptop.

IPV4 scheidet aus, da mir Vodafone das nicht mehr einrichten möchte. Bislang hatte ich das so. Über
einen DynDSN-Update Dienst zeigte der DSN Name auf die IPV4-Adresse und damit auf den Router.

Die FritzBox hatte eine Portweiterleitung für den WireGuard-Port und der GLI Router hat dann 'entschieden'
wer sich anmelden/authorisieren kann. Und die Installation, sowie die Übernahme mit dem Config File
für das Smartphone und den AX3000 Router (für unterwegs) war perfekt.

Die Verbindung zur Fritzbox von außen habe ich per WireGuard (Fritzbox) hinbekommen (über VPN WireGuard). Allerdings komme ich dann nicht weiter. Ich bleibe im IpV4 Sub-Netz der Fritzbox und
komme nicht an den GLI Router.
Selbst dann nicht, wenn ich den GLI Router als exposed Host freigebe.

Wenn ich das hinbekommen könnte, ware das auch eine Lösung für mich.

Vielleicht kann ich an der Stelle weiterforschen?

Grüße

OlliP

 

[Nero FX]

@OlliPank

Die Fritz!Box braucht Fritz!OS 8.0 oder höher um IPv6 Pakete innerhalt der VPN Verbindung weiterzuleiten.
Hast du du schon die aktuelle Firmware?

Bis jetzt spricht nichts gegen die Fritz!Box als VPN Gateway.
Die Fritz!Box kann via MyFritz per IPv6 erreicht werden.

 

[rezzler]

Die Verbindung zur Fritzbox von außen habe ich per WireGuard (Fritzbox) hinbekommen (über VPN WireGuard). Allerdings komme ich dann nicht weiter. Ich bleibe im IpV4 Sub-Netz der Fritzbox und
komme nicht an den GLI Router.
Selbst dann nicht, wenn ich den GLI Router als exposed Host freigebe.

Wenn ich das hinbekommen könnte, ware das auch eine Lösung für mich.

Evtl. den GLI einfach weglassen?

 

[OlliPank]

Hi ihr Zwei,

@Nero FX: FritzBox Level ist auf 8.01.
@rezzler: Das war/ist auch eine Überlegung für mich zumindest kurzfristig den GLI Router wegzulassen.

Der Hintergrund weshalb ich einen GLI Router in meiner Installation habe ist folgender. Es gab in
der Vergangenheit einen DSL Anbieter, der mir einen vorkonfigurierten Router (FritzBox mit Branding)
geschickt hat. Bei einer Störung hat sich der Service Techniker auf meinen Router anmelden können
OHNE Rücksprache/Einwilligung. Welches Tor damit zu meinen Daten etc. offen war, brauch
ich nicht weiter erklären.

Mit dieser Erfahrung habe ich dann entschieden, dass nur derjenigie an meine Daten kommt, der
durch die VPN/Firewall kommt oder direkt sich im IP Netz dahinter anmelden kann.

Meine Überlegungen/ meine Probleme sind doch aktuell:

1) wie lautet die öffentliche IPv6 Adresse meines Routers
2) kann ich einen DynDSN Dienst auf diese Adresse einrichten
3) welche Freigaben muss ich ggf in der FritzBox einrichten, damit der Datenstrom an den VPN Server
weitergeleitet werden kann
4) oder kann ich einen zwei Phasen VPN einrichten. 1. Tunnel zur Fritzbox über Fritz VPN/Wireguard
und dann einen zweiten Tunnel zu meinem GLI Router. Welche Freigaben benötige ich dann in meiner
FritzBox.
5) Wenn der GLI Router nicht Leistungsstark genug ist (nach norKoeri 'GL.iNet ist bei IPv6 äußerst schwach.')
Welchen Router kann ich home-Seitig einsetzen, damit ich eine zwei Schicht Zugang (FritzBox und dann
2. Router) einsetzen kann.

Ich würde mich freuen, wenn ich weitere Anregungen bekommen würde.

Grüße

OlliP

 

[rezzler]

Meine Überlegungen/ meine Probleme sind doch aktuell:

1) wie lautet die öffentliche IPv6 Adresse meines Routers

Die müsste dir die FritzBox in der Übersicht/Online-Monitor anzeigen.

2) kann ich einen DynDSN Dienst auf diese Adresse einrichten

Natürlich, genauso wie für IPv4. Bzw. sollte das eigentlich eh in einem Abwasch passieren.

3) welche Freigaben muss ich ggf in der FritzBox einrichten, damit der Datenstrom an den VPN Server
weitergeleitet werden kann

Da du per FritzBox-Wireguard ja bereits reinkommst würd ich eher vermuten, das beim GLI da noch ein paar Portfreigaben fehlen?

4) oder kann ich einen zwei Phasen VPN einrichten. 1. Tunnel zur Fritzbox über Fritz VPN/Wireguard
und dann einen zweiten Tunnel zu meinem GLI Router.

Wäre das nicht etwas übertrieben? Ich erkenne hier erstmal keine Vorteile.

Welchen Router kann ich home-Seitig einsetzen, damit ich eine zwei Schicht Zugang (FritzBox und dann
2. Router) einsetzen kann.

Weitere FritzBox?

 

[Nero FX]

@OlliPank

Wenn du nicht willst das der Anbieter drauf kommt eigenen Router kaufen bzw. TR069 unter Zugangsdaten abschalten. Was rein und raus geht sieht der Provider auch hinter den GL.Inet Problemlos.

 

[norKoeri]

sowohl mit dem Smartphone, als auch mit einem [WiSP-Router]

Dann brauchst Du eine IPv4, weil Du in Fremdnetzen kein IPv6 voraussetzen kannst. Alles andere wäre für Dich ein Holzweg. Nur wenn Du ausschließlich über Mobilfunk gehen würdest oder dorthin immer ausweichen wolltest, kannst Du IPv6 voraussetzen.

NRW

Mein Tipp: In ein Forum gehen, dass sich rund um Vodafone Cable dreht. Gibt je nach Bundesland wilde Voraussetzungen für IPv4, also entweder Business-Tarif oder eigenes Cable-Modem. Oft will der Hottie am Telefon gar nicht helfen, man muss das Stichwort bzw. die Tarif-Option genau kennen, um IPv4 zu bekommen, manchmal sogar mehrmals anrufen.

Wäre mir jedenfalls neu, dass IPv4 gar nicht mehr geht. Aber sollte dem so sein, bräuchtest Du einen Zwischen-Server. Dazu haben wir einige Threads im Forum, vielleicht hat jemand Anderes einen Link griffbereit.

 

[OlliPank]

Hi zusammen,

@Nero FX: klar der Datenverkehr ist mir bekannt. Allerdings kann Vodafone nicht auf meine FB zugreifen und dann zeitweise den Zugang von draußen öffnen und dann wieder schließen. Das würde ich nicht mitbekommen. Das hätte aber der 'alte Internet-Dienstleister' machen können.

@rezzler:
zu 1)
FB Informationen: Internet/Online-Monitor/Verbindungsinformationen (seit FB V8)
IPv6-Adresse: 2a03:907:1200:3::14d9/64, Gültigkeit: 71671/71671s
IPv6-Präfix: 2a03:907:1250:1790::/59, Gültigkeit: 71671/71671s

Die Infos sind manipuliert! Aber mit den Original-Daten kann ich keinen Ping drauf machen. Das
Netzwerk ist von AUßEN nicht bekannt. M.E. ist das schon der private (Sub-)Bereich meines Anschlusses.
Wenn ich das intern anpinge geht es.

zu 3) jd an der Stelle suche ich noch. Ich habe diverse Ports freigegeben (für tests) aber das das hat
leider nicht geklappt (deswegen bin ich ja hier mir Forum unterwegs.

Zu den anderen Punkten... waren nur aufgeführt, damit ihr erkennen könnt, welche Gedanken/Planungen
ich mir mache. Das diese ggf sonnlos/oversized sind ist mir bekannt.

Grüße

OlliP

 

[norKoeri]

Wenn der GLI Router nicht Leistungsstark genug ist (nach norKoeri 'GL.iNet ist bei IPv6 äußerst schwach.')

Die Hardware des GL.iNet reicht dicke aus. Das Problem ist dessen Software, also die GL.iNet eigenen Erweiterungen, die IPv6 quasi kaputt machen. Wie geschildert, ist das alles völliger Holzweg. Du brauchst eine IPv4. Die bekommst Du von Vodafone. Du musst Dich nur besser vorbereiten, dass Du dort nicht abgewimmelt wirst.

Machen wir das akademische Spielchen, dass Du eine Router-Kaskade aufbauen willst. Dazu musst Du als erstes in der FRITZ!Box die IPv6-Präfix-Delegation einschalten: fritz.box → Heimnetz → Netzwerk → (Reiter) Netzwerkeinstellungen → (Taste) weitere Einstellungen → (Taste) IPv6-Adressen → DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren: DNS-Server und IPv6-Präfix (IA_PD) zuweisen.

Zusätzlich willst Du, dass der nachgelagerten Router im Internet einen Dienst bereitstellt. Dazu must Du die Firewall in der FRITZ!Box anpassen: fritz.box → Internet → Freigaben → (Reiter) Portfreigaben → Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen.

Zu guter Letzt musst Du in der Web-Oberfläche des GL.iNet die Option „IPv6“ einschalten. Jetzt musst Du „nur“ noch die IPv6-Adresse des GL.iNet herausbekommen. Das siehst Du am Einfachsten, indem Du von dessen Kommandozeile z. B. openssl s_client -crlf -servername ipv6.icanhazip.com -connect ipv6.icanhazip.com:443 und dort dann

GET / HTTP/1.1
Host: ipv6.icanhazip.com

mit zwei Returns/Zeilenumschaltern abschließen.

Nur nochmal, das ist nicht nur für Dich ein Holzweg – Du willst IPv4 –, sondern für einen Laien bei der heutigen IPv6-Umsetzung bzw. Qualität der Router-Betriebssystem zu vermeiden …

 

[OlliPank]

Hi norKoeri,

vielen Dank erst einmal mfür deine Rückmeldung.

Die Seitenfolge bei der FB ist (natrülich) anders, da V8.01

Ich werde mir das mal morgen/Montag ansehen. So auf die Schnell ging es nicht.
Außerdem werde ich mir den Artikel zu der Router-Qualität mal durchlesen.

Vielleicht habe ich dann ein Einsehen

Grüße

OlliP

 

[norKoeri]

Klappt es? Ansonsten zeihe eine meiner FRITZ!Boxen auf FRITZ!OS 8.

 

[OlliPank]

Hi norKoeri,

die letzten Tage waren etwas hektisch mit Arbeit und anderen Dingen. Deswegen liegt diese Aktion
auf Eis. Bis Ende nächster Woche gibt es auch keine Erholung. Ich melde mich wieder in diesem
Thread wenn es bei mir weitergeht.

Danke der Rückfrage.

Grüße

OlliP