Versions Compared

Old Version 3

changes.mady.by.user Alexander Dahl

Saved on

compared with

New Version 4

changes.mady.by.user Alexander Dahl

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Leicht zu sehen sind die öffentliche IP-Adresse 79.197.155.30 aus dem Netz der Deutsche Telekom AG. Für IPv6 bekommt die Fritz!Box selbst die Adresse 2003:d8:3bf:c76:cece:1eff:fe02:7f22, das IPv6-Subnetz zum Delegieren an nachgelagerte Router wird hier nicht angezeigt, die FRITZ!Box zeigt dies aber beim Menüpunkt Internet unter Online-Monitor an. Hier habe ich derzeit das IPv6-Präfix 2003:d8:3cc:7c00::/56 bekommen, was 256 verschiedene /64 Netze ermöglichen würde. Nett. (smile) (Lächeln)

IPv4

Die Einrichtung für IPv4 kann zunächst so übernommen werden. Ggf. passt man die Adresse für das Subnetz an. Werkseitig benutzt die FRITZ!Box hier stets 192.168.178.0/24 – ich ändere hier immer das dritte Oktett auf einen von random.org gelieferten Wert.

...

Was noch fehlt, ist eine Öffnung der Firewall der FRITZ!Box für delegierte Netze. Leider ist die Freigabe dafür erst seit FRITZ!OS 6.83 (question) (Frage) möglich, dort sieht das dann so aus:

...

Man klickt auf die Freigabeoptionen des fli4l-Routers und wählt bei den IPv6-Einstellungen mindestens "Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen." Nur so wird es später möglich sein aus dem Internet von außen über IPv6 auf Rechner hinter dem fli4l-Router zuzugreifen. PING6 will man auch freigeben. ICMPv6 zu sperren ist eher hinderlich für sauber funktionierende IPv6-Verbindungen. Die Freigabe als Exposed Host ist jedoch für IPv6 nicht nötig. Zugriff direkt auf den fli4l-Router will man in der Regel nicht aus dem Internet erlauben.

fli4l

...

IPv4

Die Konfiguration für das veraltete IP-Protokoll unterscheidet sich hier nicht von bekannten Setups. Es kann ganz normal parallel zu der Konfiguration für das aktuelle Protokoll eingerichtet werden.

IPv6

Für IPv6 sind auf dem fli4l-Router Einstellungen in verschiedenen Konfigurationsdateien nötig. Zunächst braucht es ab fli4l 4.0 einen geeigneten circuit für DHCPv6 über Ethernet. Das Interface ist natürlich genau das, wo das von der Fritz!Box kommende Kabel eingesteckt wurde. Beispiel für einen entsprechenden Abschnitt in circuits.txt:

No Format
CIRC[] {
  NAME='Fritz-IPv6'
  TYPE='dhcp'
  PROTOCOLS='ipv6'
  USEPEERDNS='yes'
  ENABLED='yes'
  UP='yes'
  DHCP_DEV='eth0'
  DHCP_PREFIX_LENGTH='60'
  NETS_IPV6[]='::/0'
}

In der base.txt ist natürlich OPT_IPV6='yes' zu setzen. Zusätzlich muss ein Netz für die Clients definiert werden:

No Format
IPV6_NET[1]='{Fritz-IPv6}+::1:0:0:0:1/64'                                                   
{                                                                                                   
  DEV='eth0'                                                                                
  ADVERTISE='yes'                                                                                   
  ADVERTISE_DNS='yes'                                                                               
}

Was noch fehlt, sind die Einstellungen für den Paketfilter (Firewall). Viele Regeln sind hier nicht nötig, zusätzlich zu den Defaults benutze ich folgende:

No Format
PF6_INPUT[]='[fe80::0/10] ACCEPT'
PF6_INPUT[]='IPV6_NET_1 ACCEPT'
PF6_INPUT[]='tmpl:samba DROP NOLOG'
{
  COMMENT='no samba traffic allowed'
}

PF6_FORWARD[]='tmpl:samba DROP'
PF6_FORWARD[]='IPV6_NET_1 ACCEPT'
PF6_FORWARD[]='prot:icmpv6:echo-request any {Fritz-IPv6.prefix} ACCEPT'                     
{                                                                                                   
  COMMENT='ICMPv6 Echo Request'                                                                     
}

Bei den Paketfilterregeln sollte man wie auch bei IPv4 entsprechend sorgfältig vorgehen! Optional kann man auch in dns_dhcp.txt noch Hosts anlegen, falls man im Netz hinter dem fli4l-Router Server o.ä. laufen hat. Für den reinen Client-Zugriff ist das nicht nötig.