IPv6 und Fritz!Box

Die meisten privaten Anwender nutzen intern vermutlich IPv4 mit privaten Adressen und wissen vermutlich auch nicht, dass ihr Internet-Router extern nur eine IP-Adresse hat und die Pakete entsprechend per NAT umsetzt. Einige Provider, z.B. Kabelnetz-Anbieter, schalten aber schon gar keine öffentliche IPv4-Adresse auf ihren Router, da IPv4-Adressen knapp sind und nutzen daher "Enterprise-NAT" um mit privaten Adressen doppelt per NAT umzusetzen. So können Sie natürlich keine eigenen Dienste hinter ihrem Internet-Router einfach bereit stellen.

Mit IPv6 hingegen kann jeder Provider über viel mehr Subnetze verfügen und jedem Kunden nicht nur eine öffentliche IPv6-Adresse zuweisen, sondern sogar komplette Subnetze. Ein Provider bekommt vom RIPE nämlich ganz ohne besondere Anforderungen in 32bit Netzwerk und kann dieses unterteilen, z.B. in viele 56bit-Netzwerke, er hat als 24bit für Netzwerke frei (16.777.216 Kunden), die mit den restlichen Bits zu 64er ihrerseits bis zu 255 Subnetze dahinter aufbauen können. Als Firma bekommen Sie sogar ein 48bitSubnetz, so dass Sie 26bit für eigene Subnetze verwenden können.

IPv6 auf der Fritz!Box und intern

Ob ihre Fritz!Box nach extern und Intern schon IPv6 nutzt, können Sie im Online-Monitor am besten sehen. Hier meine Einstellungen von zwei Tagen. Aktuell bekomme ich nach dem Reconnect nicht nur eine neue IPV4-Adresse sondern auch ein komplett neues IPv6-Netzwerk

Datum

Fritz!Box Status

IPConfig auf dem Client

20.8.2019

Ob ihre Fritz!Box schon IPv6 intern macht, finden Sie über die Kommandozeile und "IPCONFIG" einfach heraus.

Ethernet-Adapter LAN USB-C Lenovo:

Verbindungsspezifisches DNS-Suffix: fritz.box
IPv6-Adresse. . . . . . . . . . . : 2003:ea:a723:8b00:6db1:b36c:2c40:f67e
Temporäre IPv6-Adresse. . . . . . : 2003:ea:a723:8b00:e0b8:ad9f:6b5e:dee5
IPv6-Adresse. . . . . . . . . . . : fd00::6db1:b36c:2c40:f67e
Temporäre IPv6-Adresse. . . . . . : fd00::e0b8:ad9f:6b5e:dee5
Verbindungslokale IPv6-Adresse .  : fe80::6db1:b36c:2c40:f67e%33
IPv4-Adresse . . . . . . . . . .  : 192.168.178.50
Subnetzmaske . . . . . . . . . .  : 255.255.255.0
Standardgateway . . . . . . . . . : fe80::cece:1eff:fe34:3d04%33
                                    192.168.178.1

21.8.2019

Einen Tag später

Ethernet-Adapter LAN USB-C Lenovo:

   Verbindungsspezifisches DNS-Suffix: fritz.box
   IPv6-Adresse. . . . . . . . . . . : 2003:ea:a71a:f00:6db1:b36c:2c40:f67e(Bevorzugt)
   Temporäre IPv6-Adresse. . . . . . : 2003:ea:a71a:f00:793b:47b8:2ecd:b170(Bevorzugt)
   Verbindungslokale IPv6-Adresse  . : fe80::6db1:b36c:2c40:f67e%33(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.178.50(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Mittwoch, 21. August 2019 01:12:45
   Lease läuft ab. . . . . . . . . . : Samstag, 31. August 2019 22:11:05
   Standardgateway . . . . . . . . . : fe80::cece:1eff:fe34:3d04%33
                                       192.168.178.1
   DHCP-Server . . . . . . . . . . . : 192.168.178.1
   DHCPv6-IAID . . . . . . . . . . . : 182472515
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-22-75-DA-8C-8C-16-45-70-A0-EF
   DNS-Server  . . . . . . . . . . . : fd00::cece:1eff:fe34:3d04
                                       192.168.178.1
                                       fd00::cece:1eff:fe34:3d04

Mein Computer hat hier gleich mehrere IPv6-Adressen, was auch ganz normal ist. Jeder IPv6 Client hat eine "Verbindungslokale" -Adresse (fe80) , die in diesem Subnetz funktioniert aber hier auch noch eine fd00 in meinem Verbund und sogar eine globale 2003-Adresse, die mir mein Provider bereitgestellt hat. Das ist interessant, denn, mein DSL-Anschluss hat eine öffentliche IPv6-Adresse, unter der mein Client für alle IPv6-Clients in der Welt erreichbar sein könnte, wenn Router und lokale Firewall hier nichts verhindern.

Allerdings ist das Risiko wieder verringert, da ich mit jeder neuen Verbindung, also nach ca. 24h) wieder ein neues 56er Netzwerk bekomme mit 65535 Subnetzen a 2^64 Hosts. Für einen Subnetz-Scan sicher zu viel. Aber vielleicht interessant, wenn ein Client sich nach extern verbindet und der Rückkanal darauf aufgebaut werden kann.

Hier habe ich noch etwas nachzuprüfen, was tatsächlich möglich wäre. Wenn ein Client z.B. das aktuelle Subnetz per DynDNS bekannt machen könnte und die anderen Server im Subnetz feste Host-Adressen hätten, dann wäre das NAT endlich Geschichte.

IPv6 Konfiguration

Wenn auf ihrem Client aber quasi nichts von IPv6 zu sehen ist oder nur die FE80:-Adressen (Link Local) erscheinen, dann liegt der Verdacht nahe, dass ihre Fritz!Box gar kein IPv6 macht. Dann sollten sie unter Internet - Zugangsdaten schauen, ob ihre Fritz!Box schon für IPv6 konfiguriert ist.

Klären Sie aber vorher, welche Auswirkungen dies auf ihr Netzwerk haben kann. Wenn der Provider kein IPv6 spricht, dann haben Sie intern nun FE80-Adressen und können in ihrem Link Local Netzwerk mit IPv6 experimentieren. ein "Ping fritz.box" kann dann schon IPv6 sein. Wenn ihnen ihr Provider aber IPv6 Adressen zuweist und vielleicht sogar noch mehrere Subnetzen, dann ist Vorsicht geboten, wenn der DSL-Router offen wäre Wenn z.B. ihre Client dann auch eine "öffentliche" IPv6-Adresse bekommen und diese Adresse "bekannt" wird, könnte der Client auch von extern nach Innen erreichbar sein. Ein Szenario, welches Sie vielleicht nicht unbedingt anstreben sollten.

Fritz!Box als Firewall

Schon bei IPv4 hat eine Fritz!Box die internen Systeme erst einmal nicht aus dem Internet direkt erreichbar gemacht. Das war aber auch kein Hexenwerk, da die Clients durchweg mit "privaten IP-Adressen" gearbeitet haben. Mit IPv6 ist das aber anders, da jeder Kunde z.B. 265 Subnetze bekommt und die Fritz!Box als IPv6-Router fungiert. Allerdings ist auch hier keine eingehende Verbindung ohne entsprechende Konfiguration möglich.


Quelle: https://avm.de/service/fritzbox/fritzbox-6360-cable/wissensdatenbank/publication/show/845_IPv6-Freigaben-in-FRITZ-Box-einrichten/

Insofern müssen Sie schon explizit eine Freigabe einrichten.

Weitere Links