FRITZ!Box IPv6 Prefix Delegation - Administratively prohibited

Hallo zusammen,

ich betreibe ein eigenes Netzwerk hinter einer FRTIZ!Box mithilfe eines MikroTik hAP ax^3. Hauptsächlich, damit ich mich ausprobieren kann mit VLANs, Firewall, usw., ohne dass ich das Netzwerk meiner Eltern (die FRITZ!Box) lahmlege.

Der MikroTik verbindet sich zur FRITZ!Box über WLAN, erhält eine IPv4-Adresse per DHCP und leitet alle Anfragen an ihm unbekannte Netze per NAT an die FRITZ!Box weiter. Das ganze funktioniert auch und die Geräte in meinem Netzwerk können alle auf das Internet zugreifen.

Ich versuche mich gerade ein wenig mit IPv6 zu beschäftigen und habe auf der FRITZ!Box folgende Einstellungen vorgenommen:

  • DNS-Server und IPv6-Präfix (IA_PD) zuweisen
  • PING6 freigeben (für MikroTik)
  • Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen (für MikroTik)

Anschließend habe ich auf dem MikroTik per DHCP ein /62-Subnetz zugewiesen bekommen.

Anschließend dem VLAN 41 ein /64-Subnetz zugewiesen.

Der Debian-Client in VLAN 41 bekommt nun auch eine öffentliche IPv6-Adresse, allerdings kommt er mit dieser Adresse nicht ins Internet. Ein Ping zu google.com sieht z. B. so aus:

root@localhost:~# ping google.com -6
PING google.com(fra16s53-in-x0e.1e100.net (2a00:1450:4001:813::200e)) 56 data bytes
From 2001:9e8:4037:f99a:464e:6dff:fe3d:2607 (2001:9e8:4037:f99a:464e:6dff:fe3d:2607) icmp_seq=1 Destination unreachable: Administratively prohibited
From 2001:9e8:4037:f99a:464e:6dff:fe3d:2607 (2001:9e8:4037:f99a:464e:6dff:fe3d:2607) icmp_seq=2 Destination unreachable: Administratively prohibited
From 2001:9e8:4037:f99a:464e:6dff:fe3d:2607 (2001:9e8:4037:f99a:464e:6dff:fe3d:2607) icmp_seq=3 Destination unreachable: Administratively prohibited
From 2001:9e8:4037:f99a:464e:6dff:fe3d:2607 (2001:9e8:4037:f99a:464e:6dff:fe3d:2607) icmp_seq=4 Destination unreachable: Administratively prohibited
^C
--- google.com ping statistics ---
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 3004ms

Ein Zugriff auf google.com per curl liefert hier noch ein anderes Ergebnis:

root@localhost:~# curl http://google.com -6
<html><head><title>302 Document moved</title></head><body><h1>302 Document moved</h1>This document has moved <a href="http://fritz.box/tools/kids_not_allowed.lua?account=default-2001:9e8:4eb6:81f8:be24:11ff:fe60:b21a">here</a>.<p></body></html>

Heißt für mich, dass die Kindersicherung der FRITZ!Box hier etwas blockiert, oder? Warum sollte sie das tun, wenn für das Gerät keine Einschränkungen vorgegeben sind und explizit die „Firewall für delegierte IPv6-Präfixe dieses Gerätes“ geöffnet wurde?

Weitere Informationen:

  • FRITZ!Box 7590, FRITZ!OS 8.00
  • MikroTik hAP ax^3, RouterOS 7.16.1
  • IPv6-Firewall des MikroTik ist leer, d. h. keine Regeln vorhanden
  • ::/0-Route ist vorhanden im MikroTik

Kann sich das einer erklären? Die FRITZ!Box muss die delegierten Präfixe doch einem bestimmten Gerät zuordnen können, oder?

Vielen Dank schonmal, wer bis hierhin gelesen hat und ich würde mich über hilfreiche Kommentare freuen.

Liebe Grüße
Luca

Stell mal in der FRITZ!Box um auf DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen. Dann sollte es klappen.

Habe ich gemacht, leider hat sich nichts geändert.

Lies mal das:

Zitat: „Hab jetzt umgestellt auf IA_PD & IA_NA und jetzt geht es“. Gleiches Problem. Da war (IA_NA) auch die Lösung.
Das es nicht (sofort) wirkt kann mehrere Ursachen haben.

  • die Leastime. Durch Umstellung auf IA_PD & IA_NA wird ja die Art der Adressvergabe (IPv6) verändert. Das bekommen die Clients im LAN aber nicht umgehend mit, sondern frühestens nach Ablauf der Leastime, also des Zeitraums für den die bisherige IPv6-Adresse als gültig betrachtet wird, bevor eine neue angefordert (DHCPv6) oder ausgehandelt wird (SLAAC). Somit kann es eine Weile dauetn bis sich das im LAN „rumspricht“.
  • es kann natürlich noch weitere Probleme im per DHCP im /62-Subnetz der MikroTik geben, die auch eine Ursache sein können. Das wäre dann aber nur eine weitere, nicht die alleinige Ursache.

Und noch etwas ist auffällig. Warum hat die MikroTik ein /62-Subnetz?
Üblich ist, dass die ISP (bei welchem ISP bist du?) gerade Präfixe vergeben. /48, /56, /60, /64. Also was für einen Präfix bekommt die FB vom ISP am WAN zugewiesen? Ist es ein /64 hast du Pech, daraus können keine kleineren Subnetze mehr gebildet werden. Bekommst du an der Fritte vom ISP ein /56, solltest du die MikroTik so konfigurieren, dass sie ein /57-Präfix anfordert und daraus weitere /64-Subnetze bildet und jedem LAN-Segment ein eigenes /64 zuweist.

Welches Präfix die FB vom Prvider bekommt siehst du hier (im Beispiel ein /56:


(letzte Zeile IPv6)

Nachtrag: die Anleitung aus dem OPNsense-Manual (Link oben) zu lesen würde ich dir zudem noch empfehlen. Auch wenn du keine OPNsense hast, sondern eine MikroTik bekommst du dort einige grundlegende Informationen die hilfreich sind um die Zusammenhänge und Abhängigkeiten zu verstehen und eventuell die Konfiguration der MikroTik diesbezüglich zu optimieren.

Das kann natürlich auch ein Problem sein (habe ich beim ersten lesen leider überlesen). Ich kenne die MikroTik-Firewall nicht.
Bei einer pfsense bedeutet keine Regeln vorhanden das alles verboten ist. Lediglich im LAN-Segment (nur dem ersten lokalen Netzwerk) gibt es eine Anti-Lockout Rule, die verhindern soll sich selbst vom Zugriff auf die pfsense auszusperren (erlaubt Zugriff auf Port 80/443 der pfsense selbst). Alles andere, selbst ping ins WAN, ist verboten.
Keine Ahnung wie das bei deiner MikroTik-Firewall ist. Aber das solltest du mal prüfen, wenn du es nicht sicher weißt.

@lheid0815 Bei MikroTik heißt nichts, alles ist erlaubt.

Das stimmt nicht, das geht schon. Ist nur nicht vorgesehen, weil dann der automatisch generierte Interface-Identifiert nicht mehr dranpasst.

Das funktioniert auch heute noch nicht.

Die FRITZ!Box delegiert standardmäßig anscheinend ein /62-Subnetz. Wenn ich als Prefix Hint allerdings ::/57 eintrage, kriege ich auch ein /57-Subnetz. Das sollte also nicht das Problem sein. Auch wie @m-electronics bereits gesagt hat, die Firewall-Regeln leer bedeutet bei MikroTik gleich alles ist erlaubt.

Ich habe die gleiche Konfiguration auch mal bei einem Kollegen getestet (ohne IA_NA zuweisen), und da läuft das alles sofort. Kein „Administratively prohibited“ und selber Aufbau wie bei mir: FRITZ!Box → MikroTik → Windows-VM.

Bisher kann ich mir das nicht erklären. Auch Neustart der FRITZ!Box bzw. Neustart des MikroTik bringt nichts.

welchen Präfix bekommt deine Fritte denn selbst vom ISP?

Irgendeinen Unterschied zur Konfiguration bei einem Kollegen muss es ja geben, und wenn es nur der ist, dass ihr beide bei unterschiedlichen ISP seit.

Gibt es bei der MikroTik die Möglichkeit einen ping6 zu senden? Also entweder direkt von der Konsole, per ssh über den Terminal oder meinetwegen auch von der Weboberfläche der MikroTik aus?
Hintergrund: würde die MikroTik direkt pingen (IPv6) können (oder auch nicht), der Debian-Client in VLAN 41 aber nicht, ließe das Rückschlüsse zu wo der Fehler zu verorten sein könnte.

1 Like

Bekommt der MikroTik selbst eine IPv6-Addresse von FB? Also auf seinem „WAN“?

Ich habe mich eben noch mal in eine FB7490 eingeloggt, damit ich hier nichts falsches schreibe. Bei Geräten im LAN einer FB sind die Optionen

  • PING6 freigeben
  • Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen

ausgegraut, wenn diese Geräte keine IPv6-Adresse haben oder zumindest hatten (weil derzeit offline).
Da lheid0815 im ersten Post schreibt diese Optionen für seine MikroTik freigegeben zu haben, muss diese eine IPv6-Adresse am WAN haben.

Die FRITZ!Box bekommt das Subnetz 2001:9e8:4e99:4300::/56 und nutzt das Subnetz 2001:9e8:4e99:4300::/64 für ihr eigenes LAN. Aus dem /56-Subnetz deligiert sie das Präfix 2001:9e8:4e99:4380::/58 an meinen MikroTik.

Ich denke, das sieht soweit gut aus.

Auch ein ICMPv6 direkt vom MikroTik funktioniert nicht.

[admin@MikroTik] > ping 2606::
  SEQ HOST                                     SIZE TTL TIME       STATUS                                       
    0 2001:9e8:4037:311d:464e:6dff:fe3d:2607    104 254 5ms255us   admin prohibited                             
    1 2001:9e8:4037:311d:464e:6dff:fe3d:2607    104 254 7ms88us    admin prohibited                             
    2 2001:9e8:4037:311d:464e:6dff:fe3d:2607    104 254 5ms235us   admin prohibited                             
    3 2001:9e8:4037:311d:464e:6dff:fe3d:2607    104 254 7ms678us   admin prohibited                             
    4 2001:9e8:4037:311d:464e:6dff:fe3d:2607    104 254 5ms761us   admin prohibited                             
    5 2001:9e8:4037:311d:464e:6dff:fe3d:2607    104 254 6ms565us   admin prohibited                             
    6 2001:9e8:4037:311d:464e:6dff:fe3d:2607    104 254 5ms465us   admin prohibited                             
    sent=7 received=0 packet-loss=100%

Aber dieser Host der da sagt, „Admin prohibited“ ist ja nicht in deinem Netz. Das ist irgendwas vom ISP :thinking:

Das ist die WAN IPv6 von meiner FRITZ!Box.

Nachdem ich eben einmal versucht habe, im Browser auf http://[2620:fe::fe] zuzugreifen, habe ich glaube ich den Übeltäter gefunden. Ich wurde nämlich hierhin weitergeleitet:

Also mal auf die FRITZ!Box zugegriffen und die „Kindersicherung“ angeschaut.

Sieht also danach aus, dass bei IPv6 nicht das Profil des Routers gilt (bei mir Unbeschränkt), sondern das Standardprofil. Und in diesem ist bei uns der Internetzugriff verboten, damit neue Geräte erstmal keinen Zugriff auf das Internet haben und das ist auch richtig so.

Ist das ein bekanntes Problem? Ich habe online dazu nichts gefunden. Normalerweise sollte die FRITZ!Box doch den Internetverkehr freigeben, da sie ja weiß, an wen sie das Präfix delegiert hat und welche Beschränkungen für dieses Gerät gelten. Außerdem habe ich folgendes ja freigegeben:

  • PING6 freigeben (für MikroTik)
  • Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen (für MikroTik)

Sieht irgendwie so aus, als könnte die FRITZ!Box das delegierte Präfix nicht meinem Gerät zuordnen, denn sonst würden die Regeln ja gelten.

Ich schon, nämlich das AVM Wissensdokument #214
Titel: „Kindersicherung verhindert fälschlicherweise Internetzugriff“
Zitat: „Wenn das Gerät über einen WLAN-Repeater bzw. -Router eines anderen Herstellers mit der FRITZ!Box verbunden ist, wird die Kommunikation des Gerätes mit der FRITZ!Box verändert, so dass diese von einem Täuschungsversuch ausgeht und den Internetzugang für das Gerät vollständig sperrt“ und weiter
„Bei Anschluss über einen anderen Repeater bzw. Router wird die MAC-Adresse des Gerätes von dem anderen Router nicht an die FRITZ!Box übertragen. Da die FRITZ!Box jedes Gerät anhand der Kombination von IP- und MAC-Adresse identifiziert, wertet sie Anfragen von gleichen MAC- aber unterschiedlichen IP-Adressen als Versuch, die Kindersicherung zu umgehen.“

Bei dir tritt also genau das ein von dem AVM will, das es in so einem Fall passiert.

Wieder ein Punkt mehr, warum die FB nicht für etwas komplexere Netze geeignet ist.

Volle Zustimmung. Bei mir liegt die auch schon seit Jahren in einem Karton im Schrank im Keller. Allerdings hebe ich sie aus gutem Grund auf. Musste leider mehrfach die Erfahrung machen, dass die „Fachleute“ bei verschiedenen ISP Störungsmeldungen immer sofort abbügeln und per se erst einmal behaupten es läge nicht an deren Netz sondern an meiner (in deren Augen) exotischen Hardware, die einfach nicht kompatibel sein.
Darum schließe ich dann vor dem Anruf bei diesen „Fachleuten“ erst mal wieder die Fritte an, damit die dann was machen und nicht einfach alles abbügeln. Mit einer Fritte, die die auf ihrer offiziellen Supportliste haben oder gar selbst an die Kundschaft verteilen, reagieren die nämlich deutlich schneller und besser.

1 Like

Ok, typisch ISPs :sweat_smile:

Nach Umstellung des Standardprofils in der Kindersicherung auf Unbeschränkt funktioniert nun alles, wie es soll.

Vielen Dank für eure Unterstützung!

Liebe Grüße
Luca