Lokaler Rechner nicht über IPv6 aus dem Internet erreichbar

[thomas001le]

Hallo,

ein toller Aspekt von IPv6 ist ja das wegfallen von NAT, port forwards und der ganzen Hölle. Nur leider ist nur die Router IPv6 Adresse und nicht die einem angeschlossenen PC zugewiesene IPv6 Adresse aus dem Internet erreichbar.
Der Router, ein Hitron CVE-30360, scheint also IPv6 Pakete aus dem öffentlichen Internet nicht ans LAN weiterzuleiten. Das ist vielleicht eine Sicherheitsmaßnahme aber nimmt mir einen Hauptvorteil von IPv6.

Kann ich irgendwie aktivieren, dass die Pakete ins LAN geroutet werden? Ich habe in der Web Oberfläche des Routers leider nichts gefunden.

Vielen Dank, Thomas

[fuerstth]

Hallo,

einfach beim Support anrufen und von IP6 auf IP4 umstellen lassen. Ist kostenlos und hat bei mir keine 10 Minuten gedauert. Und schon funktioniert alles wie gewohnt.

[Thyrael]

Das ist aber nicht Sinn der Sache, IPv4 muss weg, je schneller, desto besser.

@thomas001le
Hast du mal die Portforwardings im Hitron ausprobiert?

[thomas001le]

@thomas001le
Hast du mal die Portforwardings im Hitron ausprobiert?

Ja, wenn ich ein port forwarding auf die lokale IPv6 Adresse einrichte, klappt es.
Aber das kann doch nicht Sinn der Sache sein, wenn ich ports forwarden will, kann ich doch auch bei IPv4 bleiben?

Meine IPv6 sollte doch global im Internet routing fähig sein...ist das eine firewall das Kabelmodems?

PS: Wieso hat die IPv6-Adresse die im Router web interface angezeigt wird, eigentlich ein anderes Prefix als die IPv6 Adressen im LAN? oO

[Thyrael]

Die IPv6 des Routers hat wahrscheinlich ein /128 Präfix? Wenn ja, dann hat er kein Netz sondern eben nur eine einzige Adresse für eben dieses Gerät zugewiesen bekommen. Wenn du dir mal diesen Rechner anschaust, kannst du dir mit den Präfixen ansehen wieviele Netze/Adressen in einem bestimmten Präfix enthalten sind: http://www.gestioip.net/cgi-bin/subnet_calculator.cgi

Die IPv6 Firewall ist wohl dazu da um eben nicht jedes Gerät per Default ins öffentliche Netz zu hängen.

[thomas001le]

Danke für die schnelle Antwort.

Die IPv6 des Routers hat wahrscheinlich ein /128 Präfix? Wenn ja, dann hat er kein Netz sondern eben nur eine einzige Adresse für eben dieses Gerät zugewiesen bekommen. Wenn du dir mal diesen Rechner anschaust, kannst du dir mit den Präfixen ansehen wieviele Netze/Adressen in einem bestimmten Präfix enthalten sind: http://www.gestioip.net/cgi-bin/subnet_calculator.cgi

Beim Router wird nur eine Adresse ohne Präfixlänge angezeigt. Bei der verlinkten Seite muss ich ja aber die Präfixlänge schon vorher kennen.
Wenn ich auf http://ipv6-test.com/ gehe wird dort auch die Pv6-Adresse des LAN Rechners und nicht die des Routers angezeigt.

Wahrscheinlich ist die Router-Adresse aber auch nicht wichtig, sondern einfach die Adresse des Routers im letzten Netz vor meinem lokalen?
Es wird ja die "richtige" Adresse des jeweiligen PCs auch im Internet angezeigt.

Die IPv6 Firewall ist wohl dazu da um eben nicht jedes Gerät per Default ins öffentliche Netz zu hängen.

Kann man diesen Filter/Firewall abschalten?

Was bringt mir IPv6 wenn ich genauso Weiterleitungen konfigurieren muss wie bei IPv4.....außerdem kann man einen Port nur auf eine IPv6 Adresse weiterleiten lassen. Das klingt bei IPv6 nicht mehr sinnvoll, da ja der genaue Zielhost bekannt ist (anders als bei IPv4).

[Abraxxas]

Kann man diesen Filter/Firewall abschalten?

Willst du eine Sammelstelle für Viren und Trojaner einrichten oder einfach nur herausfinden wie lange es dauert bis dein Server abgeschossen wird?

[Thyrael]

Meine IPv6 sollte doch global im Internet routing fähig sein...

Die IPv6 deines Rechners ist doch global, sonst würde bei deinem Test ja die IP vom Router angezeigt werden, es ist nur nicht jeglicher Verkehr zu deinem Rechner per default möglich. Ob die Porteschichte nun so korrekt ist (der gleiche Port nur für eine IP), kann ich leider nicht sagen.

[reneromann]

@thomas001le
Hast du mal die Portforwardings im Hitron ausprobiert?

Ja, wenn ich ein port forwarding auf die lokale IPv6 Adresse einrichte, klappt es.
Aber das kann doch nicht Sinn der Sache sein, wenn ich ports forwarden will, kann ich doch auch bei IPv4 bleiben?

Nicht ganz - bei den Fritzboxen muss ebenfalls für JEDEN öffentlichen IPv6-Port eine Firewall-Regel eingetragen werden, DAMIT die Fritz den eingehenden Verkehr zum Endgerät durchlässt.
Ist aber auch sinnvoll, dass der Router für IPv6 per default keinen einzigen eingehenden Traffic zulässt und man selbst manuell eingehenden Traffic pro Rechner zulassen muss.

JEDOCH gibt es bei IPv6 eine "klitzekleine" Veränderung gegenüber IPv4:
Bei IPv4 musste man Ports forwarden, da man von außen nur über eine IPv4-Adresse erreichbar war. Wer also mehrere Geräte mit den gleichen Ports versorgen wollte, hatte Pech gehabt.
Da hieß es dann, dass Port 80 an Rechner 1, Port 81 an Rechner 2 usw. ging - das Problem ist mit IPv6 weg.
Bei IPv6 kann JEDER Rechner per se alle Ports bekommen, d.h. ein Forwarding in dem Sinn ist nicht mehr notwendig - JEDOCH eine Firewall, damit der Rechner nicht ungefiltert am Netz hängt.

Meine IPv6 sollte doch global im Internet routing fähig sein...ist das eine firewall das Kabelmodems?

Richtig - Du gibst "normalerweise" Ports in der Firewall für den jeweiligen Rechner frei, die die Firewall dann nicht mehr blockieren soll.

PS: Wieso hat die IPv6-Adresse die im Router web interface angezeigt wird, eigentlich ein anderes Prefix als die IPv6 Adressen im LAN? oO

Weil die (externe) IPv6-Adresse wohl kaum mit dem gleichen Präfix beginnen kann wie die interne IPv6.
Du vergibst ja auch unterschiedliche IPv4-Adressen und Subnetze für internes Netz und externes Netz, damit die Routing-Regeln [die bei IPv6 ebenso existieren wie bei IPv4] funktionieren.

[Boba Fett]

Weil die (externe) IPv6-Adresse wohl kaum mit dem gleichen Präfix beginnen kann wie die interne IPv6.
Du vergibst ja auch unterschiedliche IPv4-Adressen und Subnetze für internes Netz und externes Netz, damit die Routing-Regeln [die bei IPv6 ebenso existieren wie bei IPv4] funktionieren.

Man verwendet unterschiedliche Netze im Privatbereich für intern und extern weil man nicht für jedes Gerät eine öffentliche IP-Adresse kriegt. Dafür braucht man auch einen Router.
Mit IPv6 kriegt man nicht eine IP-Adresse sondern ein ganzes Netz zugewiesen.

Ich bin zu faul jetzt IPv6-Adressen zu tippen, das äquivalent mit IPv4 wäre:

Man kriegt vom Provider das ganze Subnetz 188.12.198.0/24. Darauf routet der Provider alle Anfragen an dein Subnetz. Theoretisch kann dabei sogar der DHCP beim Provider stehen und jedes einzelne deiner Geräte kriegt eine eigene IP aus deinem Subnetz zugewiesen. Damit bräuchte man selbst nichtmal mehr einen Router, dann würde sogar ein Switch ausreichen.

Mit IPv4 wurde einem die Netztrennung praktisch aufgezwungen, weil man eben nur eine Adresse erhalten hat. Allerdings ist es auch anderweitig durchaus sinnvoll, sein internes Netz abzutrennen, z.B. der Sicherheit halber.