Die meisten Internet Service Provider geben noch keine IPv6-Subnetze an ihre Kunden frei. Wer trotzdem schon über IPv6 surfen will oder einen solchen Zugang braucht, um seine Server auch über IPv6 zu erreichen, kann zu zwei Tricks greifen: Die 6to4-Funktion der Fritzbox oder einen speziellen IPv6-Tunnel zu einem IPv6-Provider. Dieser Beitrag bezieht sich auf eine aktuelle AVM Fritzbox mit dem neuesten FritzOS und daran angebundene Linux-Clients. Ich kann mir aber vorstellen, dass das mit ähnlichen Routern auch funktioniert – vorausgesetzt, sie unterstützen IPv6-Tunnel.
IPv6 über die Fritzbox 6to4-Funktion
6to4 ist der einfachste Weg, an eine IPv6-Adresse zu kommen. Loggt euch in das Fritzbox Webinterface ein und navigiert zu Internet > Zugangsdaten > IPv6. Dort aktiviert ihr zunächst die IPv6 Unterstützung und wählt dann „Immer ein Tunnelprotokoll nutzen“. Weitere Optionen öffnen sich. Wählt die erste Option „6to4“ aus und bestätigt eure Auswahl. Es wird eine automatische Verbindung zum nächsten Tunnelserver aufgebaut und entsprechende IPv6-Adressen an die Rechner verteilt, die am Router angeschlossen sind.
Nachteil dieser Methode: Ihr bekommt dabei nach jeder Einwahl / Zwangstrennung des Routers ein neues IPv6 Netz. Die IP-Adresse bleibt also nicht konstant und ändert sich mit der Zeit. Zum Testen reicht das aber aus.
IPv6 über Tunnelprovider (SixXS)
Es gibt noch eine zweite Methode, um an einen IPv6-Anschluss zu kommen: Wie vorher aktiviert ihr unter Internet > Zugangsdaten > IPv6 die Unterstützung für das neue Internet Protokoll und wählt „Immer ein Tunnelprotokoll nutzen“. An dieser Stelle wählt ihr in den eingeblendeten Optionen aber „SixXS“ aus. Jetzt benötigt ihr einen SixXs Account und einen angelegten Tunnel.
Registriert euch auf der SixXS Website, sodass ihr euch einen Tunnel anlegen könnt. Euer Account muss jedoch erst von einem SixXS Mitarbeiter freigeschaltet werden. Das kann ein paar Minuten bis Stunden dauern. Nachdem der Account freigeschaltet ist, habt ihr die Möglichkeit, euch ein eigenes IPv6 Subnetz via Tunnel zu holen. Das Setup für einen neuen Tunnel erreicht ihr über den Menüpunkt „Request Tunnel“. Legt einen neuen Tunnel mit Heartbeat-Unterstützung an!
Auch der neue Tunnel muss zuerst von einem Mitarbeiter freigeschaltet werden. An einem Sonntag Nachmittag hat man übrigens schlechte Chancen ;) Da dauert dann bis zum Montag…
Sobald euer Tunnel freigeschaltet ist, erhaltet ihr eine Benachrichtigungs-E-Mail mit der Tunnel-ID. Jetzt könnt ihr euren SixXS Benutzernamen, das dazugehörige Passwort und die Tunnel-ID in die Felder im Fritzbox Interface eingeben und abspeichern.
Die Fritzbox stellt jetzt über IPv4 eine Verbindung zu dem Endpunkt her und gräbt einen IPv6 Tunnel. Vom Endpunkt erhält sie nun ein eigenes, statisches IPv6 Subnetz, das von euch exklusiv genutzt werden kann. Dabei verteilt die Box auch gleich IPv6-Adressen an eure Rechner im Netzwerk.
Auf dem Online-Monitor leuchtet der Indikator neben IPv6 grün auf und zeigt euch euer neues IPv6 Subnetz an, das nun allein euch gehört. ~136 Jahre lang zumindest – das überlebt ihr nicht ;)
Das tolle an IPv6 ist ja, dass man als Kunde nicht nur eine einzelne IP-Adresse bekommt, sondern gleich ein ganzes /64-er Netz. Jedes Gerät in diesem Netz erhält eine weltweit eindeutige, eigene IP-Adresse. Die IPs werden von den Clients in diesem Netz automatisch generiert. Wenn man die IP eines Geräte kennt, kann man es von überall direkt ansprechen. Kein Stress mehr mit NAT und 192.168.-er Netzen, die von außen nicht erreichbar sind.
Meine Geräte haben jetzt mehrere IP-Adressen. Welche ist die richtige?
Ggf. erscheinen mehrere IPv6-Adressen, wenn ihr sie euch mit dem „ip addr“ Befehl unter Linux ausgeben lasst. Eine der Adressen, die mit „scope local“ gekennzeichnet ist, eignet sich nur für den lokalen Gebrauch innerhalb des Netzes selbst. Sie wird nur selten genutzt. Außerdem gibt es noch Adressen mit „deprecated“-Kennzeichnung. Diese sind abgelaufen und nicht mehr gültig. Adressen mit „temporary“ sind nur temporär gültig und dienen der Beibehaltung der Privatsphäre. Die fixe IP-Adresse, auf die das Gerät immer reagiert ist die „global dynamic“ Adresse, die keine weiteren Kennzeichnungen hat.
Diese Adresse könnt ihr später mit dem Kommando „ping6“ anpingen.
Fritzbox Firewall umstellen
Wer jetzt versucht, seinen Computer von außen über die IPv6-IP anzupingen (ping6-Befehl!), wird feststellen, dass das nicht so einfach funktioniert. Warum nicht? Die Fritzbox hat immer noch eine aktive Firewall, die verhindert, dass von außen jemand auf die Geräte zugreift, die an der Fritzbox hängen. Die Firewall ist aber kein Problem – sie lässt sich durchlässiger einstellen oder sogar ganz abschalten, sodass die Geräte nur noch durch ihre eigene Firewall vom Internet abgeschirmt werden.
Die Firewalloptionen für IPv6 findet ihr unter Internet > Freigaben > IPv6.
Ihr habt die Möglichkeit, ein Gerät aus der Liste auszuwählen, oder die Interface-ID eines speziellen Geräts anzugeben, wenn dies nicht in der Liste erscheint. Die Interface-ID ist der Teil der 128-bittigen IPv6-Adresse, der von jedem Gerät selbst aus der MAC-Adresse erzeugt wird (64 Bit lang). Wir erinnern uns: Der IPv6-Provider übergibt uns nur ein Netz, aber keine IP(s). Die müssen wir uns schon selbst generieren. Die Clients generieren sich ihren Interface-Identifier selbst. Das Netz (aus dem Fritzbox-Status ablesbar) und die ID zusammen ergeben dann die komplette IP-Adresse, die man via „ip addr“ abrufen kann. Wenn ihr wissen wollt, wo das Netz bei einer Adresse aufhört, und wo die ID anfängt, braucht ihr die IP-Adressen eurer Client nur zu Vergleichen. Der Netz-Teil bleibt immer gleich. Oder ihr schaut im Fritzbox Online-Monitor nach, welches IPv6-Netz euch zugeteilt wurde ;) Der Rest einer IP ist dann die Interface-ID.
Wenn ihr ein Gerät aus der Liste auswählt, wird die ID aber sowieso für euch eingetragen – also keine Sorge … ;)
Nun könnt ihr die Firewall für dieses Gerät komplett abschalten (jede Anfrage aus dem Internet kommt so direkt am Gerät an) oder ihr lasst nur Anfragen auf bestimmte Ports durch die Fritzbox und blockt den Rest. Sicherer ist die zweite Methode.
Auch das pingen von außen kann durchgelassen werden, sodass ihr feststellen könnt, ob ein bestimmtes Gerät online ist.
Das war’s auch schon! Ihr könnt jetzt wie gewohnt surfen, habt aber gleichzeitig „richtige“ IPv6-Adressen für all eure Geräte! Was man davon hat? Freude!
Wenn ihr genaueres zu IPv6 wissen wollt, empfehle ich euch diesen Podcast: http://cre.fm/cre197-ipv6
Ihr wollt eurer Raspberry Pi mit IPv6 ausstatten? Wie das geht, erfahrt ihr hier: IPv6 unter Raspbian aktivieren
http://maltris.org
Und immer schön dran denken:
Wenn ihr wichtige Dienste über bestimmte Verbindungen (z.B. VPN) habt, die geschützt sein sollen, immer vorsorglich auf IPv6-Leaks prüfen. Sonst kanns mal derbe ins Auge gehen. :)
Danke super Beitrag , leider hat der Tunnelprovider SixXS.net nur noch ein engeschrähtes Interesse an Neukunden. Hab die leute von info@sixxs.net schon mehrfach angeschrieben seit mehreren Tagen keine Reaktion. bin beim Versuch einen Login zu erhalten Hängen geblieben, die Mail NR 1 im Anmeldeverfahren hat mich nicht erreicht. der 2. Versuch endeete mit „Reject du hast ja schon einen Account“ und noch immer keine Antwort auf Mail. Schade dass es RFC-Ignorant nicht mehr gibt, die SIXSX wäre da gut aufgehoben. Zurück zum Thema IPv6 , gibt es schon brauchbare Alternativen?
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Hi,
mir ist aus dem Kopf heraus leider kein anderer Anbieter bekannt, aber eine Suche nach „6 in 4 Tunnel Provider“ sollte dir helfen ;)
LG Thomas
Da ich eben problemlos und schnell einen SixXS-account erhalten habe, lag der Fehler vielleicht eher auf Deiner Seite. Hattest Du Deinen SPAM-Ordner (beim Provider) geprüft? Vielleicht sind die Mails immer dort gelandet…
Das mit SixXS ist ein Leiden! Ich habe einen Login bekommen und sogar einen ayiya Tunnel. Für OS X fand ich die Installation jetzt sehr Mac-unlike. Also ein kleines Fronten für die Konfiguration und den Start von aiccu gebaut. Dazu einen Installer und mal an die Junx geschickt. Ob es damit zusammen hing oder mit dem Jahres-Wechsel. Jedenfalls war am nächsten Tag mein User „disabled“. Mehrere Nachfragen und keine Reaktion. Erstmal verboten meine Sachen zu verwenden. Solange ich keine Antwort bekomme, werde ich mit SixXS nicht mehr beschäftigen!
Ach ja, habe einen IPv6 über Hurricane Electrics tunnelbroker.net geht problemlos mit der Fritz und der „6in4“ Konfiguration. Ändert sich die IPv4 kann man über den DynDNS Reiter den Tunnel aktualisieren:
<pass> ist dabei der MD5-Wert des Passwortes vom Login auf der Seite:
Danke für die Anleitung! Habe aber noch ein Problem damit: welche Interface-ID muss ich in der FritzBox angeben, wenn zwischen ihr um dem Server noch ein weiterer Router hängt, der Server also in einem anderen Netz liegt als die FritzBox selber?
Danke für Deine Seite!
Kann ich was fragen?
Wenn ich einen IPv6-Tunnel in die FritzBox bohre, erreiche ich meinen Webserver leider nicht von außen (den Router schon, also die FB unter 2a02:8109:8000:1c:898e:3cf1:e049:ac17).
Was mir auffällt, ist, dass die FB selbst in ihrer IPv6-Adresse ein anderes Präfix hat, als mein Netz (2a02:8109:8e00:78d4::/62). Wenn ich IPv6 richtig verstehe, wird mein Router doch von außen über das Präfix im DNS gefunden, und meine Rechner dank selbem Präfix mithilfe der Freigabe geroutet, oder? Also kann mein Webserver (2a02:8109:8e00:78d4:6a5b:35ff:fea4:eb94) doch gar nicht gefunden werden. Hast Du einen Tipp, was ich verkehrt mache oder falsch verstanden habe?
Herzlichen Dank!
Tatze
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Hi,
das mit dem Prefix ist bei mir auch so, dennoch funktioniert es. Du musst bei der FritzBox nur darauf achten, dass es eine IPv6 weiterleitung gibt. Die Fritzbox lässt nämlich standardmäßig aus Sicherheitsgründen kein IPv6 durch, deshalb ist dein Webserver nicht erreichbar. Die Durchleitung von IPv6 Anfragen kannst du in der erweiterten FritzBox Konfigurationsansicht (unten auf der Seite: Ansicht: Standard auf „Erweitert“ ändern) ändern unter „Internet => Freigaben => IPv6 => Neues Gerät einrichten“ Dort dann die Interface-ID (MAC_Adresse der Netzwerkschnittstelle des Webservers) eintragen + „komplett öffnen“ oder im Falle eines Webservers einfach Port 80 und 443 freigeben + evtl Ping6, wenn Pings durchkommen sollen.
LG Thomas
Hallo
Ich habe das Problem das meine ps4 mit einigen Freunden nicht sauber kommunizieren kann wegen NAT Probleme. Wir haben auf beiden Seiten Kabel bw als prowider und die fritzbox.
Würde uns der Tunnel da auch helfen oder funktioniert das auch nicht?
Mfg toni
Das liegt selten mal an ipv4 oder ipv6, soweit ich den Fehler kenne an fehlenden portfreigaben. Sollte dein Router upnp unterstützen, reicht es meist aus, das zu aktivieren.
Das Einrichten mit dieser Anleitung (6to4) war kein Problem. (Telekom IPv4-Anschluss)
Die Fritzbox erreiche ich jetzt per ipv4 und ipv6.
Was nun nicht mehr geht ist die Portweiterleitung bei IPv4.
Ohne den Tunnel habe ich die Geräte in meinem Netz per IPV4 erreicht. Seit dem der Tunnel da ist, sind die „Webseiten nicht erreichbar“. Wohlgemerkt über IPv4.
Kann das jemand erklären?
Danke für den tollen Beitrag! Ich steh vor dem kleinen „Problem“, dass ich gerne die Privacy-Extensions am Rechner nutzen würde und gleichzeitig ICMP (=Ping6 heißt die Einstellung in der Fritzbox ) nicht in der Fritzbox filtern möchte. Jetzt kann ich natürlich meine Interface-ID in der Fritzbox manuell eintragen, freigeben, und alles ist gut. Nur sobald ich den Rechner neustarte, habe ich eine neue IP (dank Privacy Extensions) und die Freigabe in der Fritzbox stimmt nicht mehr. Wenn ich die statische IP (bzw. die entsprechende Interface-ID davon) eintrage (die mit dem ff:fe in der Mitte), dann funktioniert die Freigabe natürlich nicht. Ich hab aus der Perspektive vom Internet ja eine andere Adresse.
Gibt es eine Möglichkeit die beiden Sachen (Privacy-Extensions und PING6-Freigabe) zu kombinieren?
Auf http://www.ipv6-test.com/ bin ich übrigens auf den Trichter gekommen, dass beides wohl ganz nett wäre. Hab ich einen Denkfehler?
Danke im Voraus!
Hier hab ich das gleiche Problem übrigens nochmal gefunden: http://www.geekzone.co.nz/forums.asp?forumid=66&topicid=146854
Ich denke man sollte mal AVM anschreiben, oder überseh ich ne Möglichkeit?