IPV6-Zugriffe von außen trotz nicht vorhandener Portweiterleitung?

[jojo12345]

Gestern meldete meine DS die Blockierung eines Zugriffsversuchs einer IPV6-Adresse.

Laut IP-Check stammt diese IPV6-Adresse aus Süddeutschland.

Habe aber keine Portweiterleitung in der Fritz-Box aktiv.

Kann das denn sein?

 

[Uwe96]

Soweit ich weiß braucht man bei IPv6 keine Port Weiterleitung da jedes Gerät ja eine eindeutige Adresse hat. Gibt ja genug davon.
Kann mich aber auch irren da ich noch IPv4 nutze.

 

[the other]

Moinsen,
was wird als Router genutzt?
Wie sind da ggf. Einstellungen konfiguriert?

 

[Jim_OS]

Habe aber keine Portweiterleitung in der Fritz-Box aktiv.

Bekommst Du von Deinem Provider denn eine IPv6 Adresse, oder bist Du mit IPv4 unterwegs?

Ich weiß zwar nicht genau ob und welche Auswirkungen das bei der Fritzbox hat, aber hast Du bei Deiner Fritzbox ggf. IPv6 aktviert?
Anhang anzeigen 65707

Falls ja und Du IPv4 nutzt: Nimm bei IPv6-Unterstützung mal den Haken raus.

VG Jim

 

[synfor]

Wozu, damit Dienste, die nur über IPv6 erreichbar sind (die gibt es durchaus), unerreichbar werden? Normalerweise braucht's zwar keine Weiterleitung aber trotzdem eine Freigabe und die ist wohl da. Wenn nicht manuell im Router vorgenommen, so dann per UPnP.

 

[Jim_OS]

Ich verstehe gerade nicht was Du schreibst, oder wen oder was Du damit meinst.

Die IPv6-Unterstützung der Fritzbox ist standardmäßig deaktiviert und wird bei IPv4-Zugängen auch nicht benötigt.

VG Jim

 

[synfor]

Er hat aber wohl keinen IPv4-only Zugang zum Internet. Ob er da ohne Nebenwirkungen IPv6 abschalten kann, müsste man erst einmal herausfinden.

 

[Jim_OS]

Darum habe ist als erstes ja gefragt

Bekommst Du von Deinem Provider denn eine IPv6 Adresse, oder bist Du mit IPv4 unterwegs?

und dann geschrieben das er, falls er mit IPv4 unterwegs ist, aber die IPv6-Unterstützung aktiviert wäre, diese mal deaktivieren sollte. Eine aktivierte IPv6-Unterstützung könnte in so einem Fall ggf. irgendeine Auswirkungen haben.

Das er IPv6 nicht deaktivieren sollte, wenn er von seinem Provider IPv6 bekommt, sollte klar sein.

VG Jim

 

[ottosykora]

haben die heutigen Router nicht genau deswegen konfigurierbare IP6 Firewall ?

 

[Jim_OS]

Da wäre zu klären was Du unter "konfigurierbare IP6 Firewall" genau verstehst? M.W. unterscheidet sich eine Fritzbox mit IPv4 oder IPv6 diesbezüglich nicht. D.h. es gibt bei der Fritzbox bei IPv4 oder IPv6 (lediglich) ein paar Filter und Portfreigabemöglichkeiten. Auch das Prinzip der Nutzung und Einrichtung dieser unterscheidet sich nicht.

Wobei ich dazu sagen muss: Ich bin hier mit IPv4 unterwegs und habe daher keine praktischen Erfahrungen mit der Fritzbox und IPv6.

VG Jim

 

[ottosykora]

kenne mich mit Fritz nicht so gut aus, bei uns haben wir Router vom Provider, dort ist es jedoch integriert auch wenn bei mir alles ausgeschaltet.

 

[Jim_OS]

OK - weil unter "Firewall" kann man vieles verstehen und es ist halt nirgends definiert was eine Firewall genau beinhaltet und/oder welchen Funktionsumfang sie hat oder haben muss.

Bei Fritzboxen ist die "Firewall-Funktion" eher auf das Notwendigste reduziert. Was für den Otto-Nomal-Anwender aber durchaus ausreichend ist. Es gibt halt NAT, ein paar - teils vorkonfigurierte - Filter(regeln) und Portweiterleitungs-/freigabe-Möglichkeiten.
AVM nennt das Internetfilter und halt Portfreigaben. Solche Dinge wie z.B. frei konfigurierbare Deep-Packet-Inspection, Intrusion-Prevention Funktionen usw. gibt es bei einer Fritzbox nicht.

VG Jim

 

[the other]

Moinsen,
für IPv6 bietet die fritzbox aber üblicherweise ein paar (rudimentäre) firewall Funktionen unter Heimnetz>IPv6. Dort sind ein paar (ich glaube drei) Boxen, die angehakt werden können...
Im default macht die fritzbox auch unter IPv6 erstmal alles zu. Daher die Fragen von oben...
Aber der TE wird sich bestimmt noch melden...

 

[jojo12345]

Bin erstaunt (und begeistert ) welche zahlreichen Beiträge ich ausgelöst habe.

Vielleich noch einige Details für diejenigen, die mehr Durchblick als ich haben:

Telekom-Zugang mit IPV4 + IPV6

EiAnhang anzeigen 65709nstellung siehe Anhang

Was mir noch aufgefallen ist:

Habe eine QickConnect ID und eine DynDNS die lautet <meineQickConnect ID>.myds

Die wurde um 20:35 aktualisiert
Um 20:53:44 kam ein Zugriffsversuch mit Benutzer <meineQuickConnect ID>
Um 20:54:10 kamen dann mehrere mit einem anderen Benutzernamen
alle von der gleichen IPV6-Adresse

Vielen Dank allen und Grüße

 

[the other]

Moinsen,
und wie sehen die Einstellungen aus unter der Fritzbox bei
Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv6 (unter "weitere Einstellungen")
sowie unter
Internet > Freigaben > Portfreigaben... taucht hier dein NAS auf? Wenn ja: was wird gezeigt bei einem Klick auf das NAS in der Auflistung (Freigaben für Gerät)? Wie sind die Haken gesetzt bei / unter den IPv6 Einstellungen für die Freigabe....?

EIGENTLICH (ja, eigentlich) sollte die Fritzbox im default ales von außen weiterhin blocken, auch und gerade die IPv6 Anfragen. Wenn du aber eine Freigabe eingerichtet hast, dann kannst du wählen, was freigegeben werden soll.

 

[jojo12345]

Internet > Freigaben > Portfreigaben... taucht hier dein NAS auf? Wenn ja: was wird gezeigt bei einem Klick auf das NAS in der Auflistung (Freigaben für Gerät)? Wie sind die Haken gesetzt bei / unter den IPv6 Einstellungen für die Freigabe....?

Ja, sind ehem. Portfreigaben für die DS eingetragen. Die sind aber alle auf inaktiv gesetzt.
Die IPV6-Freigaben sind alle nicht angehakt.

Moinsen,
und wie sehen die Einstellungen aus unter der Fritzbox bei
Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv6 (unter "weitere Einstellungen")

Router Advertisement im LAN aktiv
Unique Local Addresses (ULA) zuweisen, solange keine IPv6-Internetverbindung besteht (empfohlen)
Diese FRITZ!Box stellt den Standard-Internetzugang zur Verfügung
DNSv6-Server auch über Router Advertisement bekanntgeben (RFC 5006)
DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren:
Nur DNS-Server zuweisen

VG
jojo12345

 

[the other]

Moinsen,
also, wenn du keine Freigaben aktiv hast, dann kann es ja eigentlich nicht an der Fritz liegen. Da ich mich mit quickConnect so gar nicht auskenne, bin ich mir folglich nicht sicher, wie es damit aussieht.
Sorry...

 

[Peter_Lehmann]

Hallo,

ich habe mir lange überlegt, ob ich hier antworten soll. Wenn ich aber die Ratschläge lese, IPv6 im Router zu deaktivieren, dann muss ich einfach etwas dazu schreiben.
Irgendwann in hoffentlich nicht allzu ferner Zeit müssen sich auch die letzten "IPv6-Verweigerer" gezwungenermaßen mit IPv6 befassen. Auch wenn es immer noch Provider gibt, welche einen Zugang mit echtem Dualstack anbieten (bspw.1&1 auf begründete Nachfrage), so laufen die meisten Internetzugänge heute doch wohl mit DS-lite, also priorisiert mit IPv6. Es ist also höchste Zeit, sich damit zu befassen und es ist langsam zu spät, sich immer noch zu verweigern.

Eigentlich hat ja "the other" mit seinem Beitrag #15 alles schon richtig beschrieben. (<= Danke!)

Es geistern trotzdem immer noch Meinungen durchs Netz, dass jedes Gerät mit seinen (es sind mehrere!) IPv6 immer aus dem bösen Netz erreichbar sind. Stimmt auch grundsätzlich und es ist auch gut so (WOWEREIT!) dass die alte Krücke, welche sich NAT nennt, so langsam nicht mehr benötigt wird. Und auf jeden Fall nicht mehr für IPv6!
Aber schon ein einfacher Plastik-Router wie unsere Fritz!Box lässt im Grundzustand keine von außen kommenden und nicht (von innen) angeforderten Pakete an die im Heimnetz stehenden Geräte rein. Erst wenn für bestimmte Geräte (= bestimmte IPv4 und IPv6) eine Portfreigabe (bewusst identische GUI für beide Protokolle!), also für IPv6 eine Öffnung der Firewall für diese IP und einen oder mehrere Ports angelegt werden, dann sind diese Geräte über ihre IPv6 auch erreichbar.
BTW: Da jedes Gerät eine (mehrere) eigene IPv6 bekommt, sind auch mehrere Geräte über ihren DynDNS-Namen auf dem gleichen Port erreichbar.

Ich befasse mich schon viele Jahre ganz bewusst mit IPv6 (anfangs sogar mit einem Tunnelanbieter - weil ich's einfach wissen wollte) und habe natürlich auch von diesen Befürchtungen gelesen. Aber ich wollte es wissen und habe mein Netz mit allen auf jedem Linux-Rechner installierten Tools intensiv "traktiert".
Ergebnis: Es ist mir in keinem Fall gelungen die/den Firewall der F!B zu durchbrechen. Auch die auf meinen "Opfergeräten" installierten Sensoren konnten keinen Angriff erkennen.

Vier Bemerkungen noch:
1. Mein "Gegner" ist kein Geheimdienst. Vor denen können wir uns wohl kaum schützen.
2. Und solche dummen Einstellungen wie "QickConnect" oder UPnP sollte man natürlich niemals nutzen.
3. Die Fritz!Box sollten wir nicht mit einer ausgewachsenen Firewall (zum Preis eines Kleinwagens) vergleichen. Das wäre einfach ungerecht.
4. Trotz alledem gibt es in meinem Heimnetz keinerlei gewollte Zugriffe aus dem Internet auf meine internen Geräte - außer über mein Wireguard-VPN natürlich ... .

vy 73 de Peter

 

[the other]

Moinsen,
sehr schöner Beitrag!!

 

[Jim_OS]

Wenn ich aber die Ratschläge lese, IPv6 im Router zu deaktivieren, dann muss ich einfach etwas dazu schreiben.

Da ich das ja geschrieben hatte will ich dann auch noch einmal etwas schreiben. Wie schon erwähnt hatte ich ja geschrieben: Falls er mit IPv4 unterwegs ist, aber die IPv6-Unterstützung aktiviert wäre, solle er diese mal deaktivieren. Auch hatte ich geschrieben das eine aktivierte IPv6-Unterstützung in so einem Fall ggf. irgendeine Auswirkungen haben könnte, ich aber nicht weiß ob und welche Auswirkungen das bei der Fritzbox ggf. hat.

Das man IPv6 im Router nicht deaktivieren sollte wenn der Provider IPv6 nutzt sollte wohl jedem ziemlich klar sein.

VG Jim