sit-Handling bei der FritzBox

Nachdem ich ja unterwegs mein IPv6-Frusterlebnis mit der FritzBox 7360 hatte, habe ich zu Hause weiter experimentiert.

Ich habe eine meiner 7570er, die ich in Berlin als VoIP<>ISDN-Gateway laufen hatte (ich habe noch eine Armada an ISDN-Zeuchs, da ich seit 1994 eigentlich nur digital, d. h per ISDN (oder eben GSM) telefoniere) rausgekramt und statt als IP-Client als IP-Router konfiguriert: ist zwar doppeltes NAT für VoIP, aber dafür kann ich so mit den IPv6-Einstellungen spielen.

Nun ist die Firmware 75.04.92 leider nicht mehr ganz taufrisch, aber AVM verweigert seiner einstigen Top-Box ja jeglichen Fritz!OS-Support — technologisch ist die 7570 eine 7270v2 mit ADSL2- und VDSL2-tauglichem Modem, statt nur ADSL2 bei der 7270. Es wäre schon mehr als nur eine nette Geste, endlich auch die 7570 auf den FW-Stand der 7270v2/v3 zu hieven — und der Aufwand dürfte sich aufgrund der Hardwarenähe eh’ in sehr engen Grenzen halten. Ich mag meine Handvoll 7570er jedenfalls und setze sie ein, boykottiere aufgrund der Mißhandlung seitens AVM jegliche zukünftige 75er Box. Ge­brann­tes Kind, Ihr wißt schon.

Der erste Versuch war, der 7570 die 192.168.5.200 zu geben, mit der 192.168.5.33 als Gateway (und Ziel für den 6in4-Tunnel). Das klappte … leider nicht wirklich: Es fanden sich komische Fehlermeldungen im Eventlog — zu »IPv6 Fehler: Präfixzuweisung mit Fehlergrund 0« fand aber auch die allwissende Müllhalde leider nichts zielführendes.

Ich habe dann, die 7570 bekam noch immer die 192.168.5.200 zugewiesen, das Ziel für den 6in4-Tunnel ins Internet verlegt — keine Änderung, auch hier machte die FritzBox-Firmware keine Anstalten, überhaupt einen Verbindungsaufbau zu versuchen, verifiziert durch entsprechenden tcpdump-Aufruf.

Nachdem ich ja gesehen habe, daß Fritz!OS meckert, erkennt es eine RFC-1918-IP, dachte ich mir, okay, dann bekommt die 7570 also eine »normale« IP — ich habe ja öffentlichen IPv4-Adressraum, also kann ich ihn auch nutzen ;-)

Und, was soll ich sagen? Urplötzlich tat der 6in4-Tunnel — obwohl das Ziel weiterhin 192.168.5.33, also der lokale Router im RFC-1918-Adressraum ist. Ganz ganz großes Kino, was AVM hier vorführt :(

Aber, und das ist es, was zählt, mein Laptop hat nun von der 7570 eine v6-Adresse bekommen, und ist somit Teil des IPv6-Internets:

root@ysabell:~# traceroute6 google.com
traceroute to google.com (2a00:1450:4001:81a::200e) from 2a07:a907:50c:1003:f2de:f1ff:fe03:a21, port 33434, from port 40135, 30 hops max, 60 bytes packets
 1  2a07:a907:50c:1003:224:feff:feb7:41ab (2a07:a907:50c:1003:224:feff:feb7:41ab)  12.255 ms  0.575 ms  0.599 ms 
 2  gut1-tst1.as206946.net (2a07:a907:50c:f50b::2)  4.782 ms  4.597 ms  6.031 ms 
 3  de3-gut1.as206946.net (2a07:a907:50c:f700::1)  34.220 ms  35.168 ms  32.232 ms 
 4  uusix-4.tunnel.tserv18.fra1.ipv6.he.net (2001:470:12:f1::1)  39.977 ms  38.346 ms  40.183 ms 
 5  10ge11-8.core1.fra1.he.net (2001:470:0:3b2::1)  43.251 ms  42.442 ms  50.550 ms 
 6  de-cix10.net.google.com (2001:7f8::3b41:0:1)  40.248 ms  40.570 ms  40.083 ms 
 7  2001:4860:0:1::19f7 (2001:4860:0:1::19f7)  40.611 ms  40.119 ms  39.412 ms 
 8  2001:4860:0:1::195b (2001:4860:0:1::195b)  42.091 ms  39.793 ms  38.838 ms 
 9  fra16s14-in-x0e.1e100.net (2a00:1450:4001:81a::200e)  39.442 ms  38.924 ms  41.467 ms 

Der Test-Prefix wird über meinen bestehenden Zuhause-Prefix geroutet, denn ich wollte gerne Tunnel-in-Tunneln vermeiden. Interessant: wie schon bei IPv4 (da weniger relevant) blockt die 7570 auch bei IPv6 jeglichen Zugriff von außen nach innen — da IPv6 im Grunde die Ende-zu-Ende-Verbindung wiederherstellt, ist das wahrscheinlich, was »man« will, sprich: außer in bestimmten Szenarien sollen alle Endgeräte von Verbindungen abgeschirmt sein, die sie nicht aktiv angefordert haben. Die 7570 setzt es vorbildlich um:

root@hex:~# traceroute6 2a07:a907:50c:1003:f2de:f1ff:fe03:a21
traceroute to 2a07:a907:50c:1003:f2de:f1ff:fe03:a21 (2a07:a907:50c:1003:f2de:f1ff:fe03:a21), 30 hops max, 80 byte packets
 1  2a03:f80:ed15::1 (2a03:f80:ed15::1)  3.681 ms  3.790 ms  3.526 ms
 2  2a03:f82:abcd:43:5716::9 (2a03:f82:abcd:43:5716::9)  6.391 ms  6.144 ms  6.207 ms
 3  2a02:d28:3:1004::21 (2a02:d28:3:1004::21)  5.939 ms  6.533 ms  6.280 ms
 4  ae02.edge01.pra01.cz.as5580.net (2a02:d28:5580:1::1a5)  9.788 ms  9.793 ms  9.789 ms
 5  20ge1-3.core1.prg1.he.net (2001:7f8:14::6e:1)  9.960 ms  10.060 ms  9.941 ms
 6  100ge8-1.core1.fra1.he.net (2001:470:0:213::1)  17.261 ms  17.427 ms  17.569 ms
 7  2001:470:0:3b2::2 (2001:470:0:3b2::2)  17.512 ms  17.531 ms  17.678 ms
 8  uusix-4-pt.tunnel.tserv18.fra1.ipv6.he.net (2001:470:12:f1::2)  22.536 ms  22.286 ms  22.419 ms
 9  gut1-de3.as206946.net (2a07:a907:50c:f700::2)  50.767 ms  50.514 ms  50.917 ms
10  tst1-gut1.as206946.net (2a07:a907:50c:f50b::1)  54.182 ms !X  53.936 ms !X  55.021 ms !X

Dieser Test eröffnet nun Möglichkeiten, ggf. einen v6-Tunnel über einen IPsec-Tunnel laufen zu lassen; wesentlich intelligenter wäre es von AVM allerdings, einfach die Beschränkungen bei RFC-1918-Adressraum aufzugeben, denn auch dort kann man funktionale Tunnel realisieren. Wie dem auch sei, ich habe gelernt, was ich lernen mußte …