IPV6 Zugriff auf Geräte an der Fritzbox

Was genau hast du da jetzt vor? Du betreibst einen Webserver bei dir im lokalen Netz? Und der soll von außen über seine IPv6 Adresse erreichbar sein? Dir ist bewusst, dass bei IPv6 kein NAT mehr gibt und du direkt die IPv6-Adresse des Servers und nicht die des Routers benutzen musst? Firewallregeln wurden erstellt?

https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-6360/845_IPv6-Freigaben-in-FRITZ-Box-einrichten/

http://www.test-ipv6.com/
http://www.ipv6-test.com/7

Was sagen diese beiden Tests im Ergebnis.

https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/34_Portfreigaben-in-FRITZ-Box-einrichten/
Portforwarding ist das Stichwort. Ist allerdings so nicht zu empfehlen, weil Deine Geräte dann über die weitergeleiteten Ports grundsätzlich aus dem Internet erreichbar sind. Die AVM-VPN-Lösung kannst Du mit IPv6 so auch nicht nutzen.

https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/34_Portfreigaben-in-FRITZ-Box-einrichten/
Portforwarding ist das Stichwort. Ist allerdings so nicht zu empfehlen, weil Deine Geräte dann über die weitergeleiteten Ports grundsätzlich aus dem Internet erreichbar sind. Die AVM-VPN-Lösung kannst Du mit IPv6 so auch nicht nutzen.

1. wird das so bei ihm nicht funktionieren weil er keine öffentliche IPv4 Adresse mehr hat
2. es sind nicht ganze Geräte aus dem Internet erreichbar, sondern ein einziges Gerät mit einer internen Adresse aus dem FB-Standardbereich
3. Was soll da der Spruch ist nicht zu empfehlen? Genau das ist der Sinn und Zweck und das beabsichtigt er ja auch, weil er einen internen Server bei sich aus dem Internet direkt erreichen will
4. Wieso soll das nicht funktionieren? Für IPv6 gibt es kein NAT und daher auch so keine Portforwardings wie man sie bei IPv4 kennt. Man müsste der Firewall im Router bloß sagen, dass er für diese oder jene IPv6 Adresse den Port xyz nicht sperren soll. Nur für IPv4 muss man Portweiterleitungen einrichten, damit der Router weiß, an welche interne Adresse er Verbindungsfragen aus dem Internet weiterleiten soll. Ist natürlich was anderes wenn die FritzBox das grundsätzlich nicht erlaubt, also alles was eingehend für IPv6 ist und aus dem Internet kommt sperrt und man auch da keine Regeln für erstellen kann

Also verstehe ich die Antwort, dass die Fritzbox da nicht geeignet ist,
weil ihre Firewall für IPV6 keine Ausnahmen generieren kann?

Ich habe inzwischen eine Antwort vom Provider der sagt die Geräte hinter der Friutzbox wären Systembedingt unter IPV6 nicht erreichbar.

Zitat:
als schnell wachsender Internetprovider müssen wir uns an die technische Dynamik anpassen, so auch an die Tatsache der endlichen Zahl von IPv4 Adressen. Die vorhandenen IPv4 Adressen sind vollständig aufgebraucht. Damit ist es für uns unausweichlich, unser Netz vollständig auf IPv6 umzustellen.

Aktuell betreiben wir Endkundenanschlüsse im Dual-Stack-Betrieb mit NAT. Dabei werden jedem Anschluss eine private IPv4-Adresse und ein öffentlicher IPv6-Bereich zugewiesen. Dadurch sind Sie per IPv4 nicht direkt aus dem Internet erreichbar. Verbindungen von Ihnen zum Internet sind weiterhin über unsere zentralen NAT-Gateways möglich.

Der IPv4-Adressenmangel ist ein allgemeines Problem und betrifft alle Dienstanbieter. Wir bitten Sie, die gewünschten Dienste direkt über IPv6 zu nutzen. Mit dieser Methode ist es möglich, die wenigen verbliebenen IPv4-Adressen effizient zu nutzen.

Sollten Sie aus zwingenden Gründen eine dynamische, öffentlich erreichbare IP-Adresse benötigen, bieten wir Ihnen allerdings den Betrieb einer öffentlichen IPv4-Adresse zu einer monatlichen Zusatzgebühr von 1,95 € an.

Wenn Sie möchten, dass wir Ihren Anschluss entsprechend umstellen, antworten Sie bitte auf diese E-Mail und wir leiten den Sachverhalt gerne an unsere Vertragsabteilung für Sie weiter.

Falls Sie weitere Fragen haben, antworten Sie bitte auf diese E-Mail. Wir helfen Ihnen gerne weiter.

Sieht tatsächlich so aus, dass auch die Fritzbox keine IPv6-Server bzw Firewallregeln zulässt. Wenn man dann keine öffentliche v4-Adresse hat, bleiben nur diese Möglichkeiten:

1. anderen Router besorgen, mit dem man auch IPv6 richtig konfigurieren kann - statische IPv6-Adressen vom Provider wären aber vom Vorteil

2. statische öffentliche  IPv4-Adresse beim Providern bestellen

3. den Server nicht selbst betreiben sondern bei einem Hoster einen Server oder webspace mieten

1. Er kann die Box über MyFritz oder andere DynDNS-Dienste erreichen.
2. Ja, nicht alle Geräte, nur die freigegebenen sind erreichbar.
3. Kein Spruch, sondern eine Vorsichtsmaßnahme. Erreichbare Rechner sollten entsprechens sicher sein.
4. IPv6 gilt nur für die öffentliche IP. Wenn die Box über DynDNS-Dienste erreichbar ist, kann auch eine interne Weiterleitung auf Hostnames oder IPv4-Adressen im LAN erfolgen.

VPN funktioniert bei DSL-Lite-Stack nur eben nicht.
 

Das ganze Werk hat also mit einer öffentlichen IPv6 nix zu tun, so lange die Box über DynDNS oder wie auch immer erreichbar ist.

Sieht tatsächlich so aus, dass auch die Fritzbox keine IPv6-Server bzw Firewallregeln zulässt. Wenn man dann keine öffentliche v4-Adresse hat, bleiben nur diese Möglichkeiten:

1. anderen Router besorgen, mit dem man auch IPv6 richtig konfigurieren kann - statische IPv6-Adressen vom Provider wären aber vom Vorteil

2. statische öffentliche  IPv4-Adresse beim Providern bestellen

3. den Server nicht selbst betreiben sondern bei einem Hoster einen Server oder webspace mieten

Naja.
1. Funktioniert wahrscheinlich nicht weil der Provider schon sagt es geht nicht.
2+3. Erzeugt Zusatzkosten die wir nicht wollen.

1. Er kann die Box über MyFritz oder andere DynDNS-Dienste erreichen.
2. Ja, nicht alle Geräte, nur die freigegebenen sind erreichbar.
3. Kein Spruch, sondern eine Vorsichtsmaßnahme. Erreichbare Rechner sollten entsprechens sicher sein.
4. IPv6 gilt nur für die öffentliche IP. Wenn die Box über DynDNS-Dienste erreichbar ist, kann auch eine interne Weiterleitung auf Hostnames oder IPv4-Adressen im LAN erfolgen.

VPN funktioniert bei DSL-Lite-Stack nur eben nicht.
 

Das ganze Werk hat also mit einer öffentlichen IPv6 nix zu tun, so lange die Box über DynDNS oder wie auch immer erreichbar ist.

Ich mags nicht sagen... Aber das ist nun total falsch.

Das Drama fing damit an, dass der Zugriff über myFritz nicht ging.
Man kommt bis auf die Dritte. Alles an der Fritte liefert keine Daten.
Vermutung war, dass der Firewall der Fritte das verhindert.
Dazu sind Portfreigaben da. Die schalten den Firewall der Fritte für den Port aus.
Aber auch das funktioniert nicht.
Dann kam die Info vom Provider, dass der IPV4 quasi simuliert ist.
Und unter IPV6 das ganzer Systembedingt nicht geht.

DynDNS liefert keinerlei Freigaben oder Verbesserungen.
DynDNS liefert lediglich die aktuelle IP an einen externen Server.
Von dort aus über die dort generierte URL kann dann die Fritte sofort gefunden werden.
Weil dämlicher Weise die Anbieter die IP regelmäßig ändern.
Das bringt zwar das Auffinden der Fritte, ändert jedoch nichts an der Erreichbarkeit der angeschlossenen Geräte.

Was Webserver angeht ist das hier vermutlich ein Verständnis Problem.
Es handelt sich hier nicht um Datenserver auf denen Files liegen.
Es handelt sich um "Webseiten" die aktuelle Zustände abbilden.
Da ist nichts was man von extern ändern kann. Lediglich einsehen.
In meinem Fall Überwachung von BMS und Inverter einer PV Anlage.

Der letzte Punkt ist genau das Problem.
Genau das funktioniert hier nicht. Ich kenne das unter DSL und IPV4 genau so.
Das hat auch jahrelang problemlos funktioniert. Mit Portfreigaben.
Jetzt habe ich hier einen Glasanschluss, ohne natives IPV4, und zickigem IPV6.
Da geht gar nix von extern.

Ob VPN nicht funktioniert weiß ich noch nicht.

1. Er kann die Box über MyFritz oder andere DynDNS-Dienste erreichen.
2. Ja, nicht alle Geräte, nur die freigegebenen sind erreichbar.
3. Kein Spruch, sondern eine Vorsichtsmaßnahme. Erreichbare Rechner sollten entsprechens sicher sein.
4. IPv6 gilt nur für die öffentliche IP. Wenn die Box über DynDNS-Dienste erreichbar ist, kann auch eine interne Weiterleitung auf Hostnames oder IPv4-Adressen im LAN erfolgen.

(1) Wie bitte soll das gehen wenn er keine öffentliche IPv4 hat, sondern nur so eine CGNAT-Adresse?
(2) Eben. So wie man das einstellt.
(3) Das ist so als wenn du einem der ein Auto kaufen will, weil er pendeln muss, von einem Auto abrätst, weil Autofahren ist ja gefährlich.
(4) Nein genau das geht ja bei ihm nicht. Weil sein Router prinzipiell keine IPv6-Serverdienste zulässt/durchlässt. Und seine IPv4-CGNAT-Adressen sind dafür von vornherein nicht geeignet. Daran ändert auch DynDNS auch nichts, das macht nur Namensauflösung.

Naja.
1. Funktioniert wahrscheinlich nicht weil der Provider schon sagt es geht nicht.
2+3. Erzeugt Zusatzkosten die wir nicht wollen.

Unsinn - natürlich funktioniert das. Dafür wurde IPv6 konzipiert. Wenn man aber einen Router hat, der das nicht kann, muss man da ansetzen und eben einen besorgen der das kann.
Du musst aber schon bereit sein, Geld zu investieren in eine der drei Möglichkeiten, die das Problem lösen können (anderer Router, öffentliche IPv4-Adresse oder über einen Hoster das irgendwie lösen), sonst wird dein Webserver aus dem Internet nicht erreichbar sein.