Ich hatte doch schon geschrieben, dass dein OpenWRT-Router einen Präfix anfordern muss. Wo musst du gucken. Hab pfsense. Zudem (so mache ich es bei meiner pfsense) müssen die LAN-Interfaces das WAN-Interface tracken um aus dem dem WAN zugewiesen Präfix eigene Präfixe bilden zu können. Und zum Schluss müssen die Clients im LAN des OpenWRT-Routers auch wissen, dass sie dann DHCPv6 benutzen sollen. Wo und wie man das macht ist auch wieder Client-spezfisch. Bei Debian Servern z.B. per default in der /etc/network/interfaces.
Ich mische mich auch mal ein. Hab gerade den ganzen Verlauf durchgelesen.
Also: @The_eagle hat schon vieles richtig gesagt.
Die Dinge, die die KI gesagt hat, stimmen vorne und hinten nicht. Die sagt was von „Nichtmehrerreichbarkeit“ von dem Netz / den Netzen hinter dem OpenWRT. Das stimmt so schonmal nicht. Denn das Netz wird geroutet und die FB sollte (bzw. tut sie das meistens auch) eine Route zur Link-Local-Addresse des OpenWRT setzen zu dem Netz, was sie der OpenWRT-Kiste zugewiesen hat.
Und generell: Du wirst beim Freigeben von Diensten nicht drumherum kommen, Ports aufzumachen. Ich empfinde dass nicht als „Löcher in die FW bohren“. Aber trotzdem, deswegen hat man (auch laut BSI-Standard und wie Eagle schon sagte):
Äußere Firewall / Paketfilter (gleich!) → DMZ → Inneren Paketfilter → LAN (im BSI-Standard käme noch ein ALG dazu, aber das lassen wir jetzt mal aussen vor)
Hallo @m-electronics,
danke fürs “Einmischen” und bestätigen, dass ich auf dem richtigen Weg bin… auch wenn wir schon wieder weit, weit von meiner ursprünglichen Frage abgewichen sind.
Die besagten Ports habe ich für meine Web-Dienste ja schon eine ganze Weile in der Firewall der FritzBox geöffnet. Das Gute ist, dass ich sie dank MacVLAN und Optionen der FritzBox gezielt nur dafür geöffnet habe. Aus meiner Sicht, ist das schon ein “kleines” (aber kontrollierbares) Loch in der Firewall, da diese ja für die geöffneten Ports keinen eingehenden Verkehr mehr rigoros abblockt.
Was die FritzBox leider nicht kann, ist eine statische Filterung gegen z.B. die große IPV64-Blocking-Liste und so habe ich im Log meiner eventbasierten Filterung, die da CrowdSec heißt, gesehen, dass allein in einer Woche 43 als bösartig eingestufte Bots bei mir “angeklopft” haben. Und denen möchte ich mit der statischen Filterung eine weitere Hürde bieten und da solch eine Filterung (im Extremfall bei einem DDoS-Angriff) Rechenleistung kostet, möchte ich lieber das ein vorgeschalteter NanoPi bei der Abwehrt “in die Knie geht” als der eigentliche Mini-PC auf dem die Web-Dienste parallel zu meinem lokalen Diensten laufen, abschmiert.
Dies ist ein Sicherheitsgewinn explizit nur für meine Web-Dienste aber kein Sicherheits-Verlust ggü. meinem Heim-LAN, was einfach da bleibt, wo es immer war.
Die Netzwerkarchitektur mit “äußerem LAN”, “innerem LAN” und DMZ ist durchaus noch eine gute Überlegung und eine weitere Ausbaustufen-Option für die Zukunft, die ich aber aktuell noch nicht angehen kann und möchte. Die Gründe dafür sind genannt (hier in der Diskussion und in einiges vorher schon hier im Forum gelaufenen Diskussionen).
Also - Zurück zu meiner ursprünglichen Frage:
Ich kann es nach wie vor nicht live und in Farbe in meiner FritzBox prüfen aber ein netter Herr aus dem FRITZ-Support hat aus den letzten Support-Daten, die ich denen letzte Woche gesendet hatte, herausgelesen, dass ich zu dem Zeitpunkt von 1&1 ein /56-er IPv6 Präfix zugeteilt bekommen hatte. Wenn ich mal nicht davon ausgehe. dass mit 1&1 mit jeder DSL-Neuverbindung ein anderes Präfix zuteilt, müsste sich damit meine Ausgangssituation für OpenWRT verbessert haben.
Nur zur Sicherheit noch einmal zu meiner ursprünglichen Frage: Wenn die FritzBox nun OpenWRT “erlaubt” ein eigenes IPv6-Subnetz zu erzeugen, bleibt es weiterhin dabei, dass ich direkt die IPv6 aus dem Caddy-Container an IPV64 sende oder muss es dann doch die IPv6 von OpenWRT (in seinem eigenen LAN) selbst sein?
Danke und Grüße
Mic.
Moin, zu „erzeugen“ ist relativ
Die Fritzbox weißt das per DHCPv6-PD (Prefix Delegation) der OpenWrt-Kiste zu…
Und ja, wenn die Fritzbox sich richtig verhält (ich weiß gerade nicht genau, ob man da noch Freigaben schalten muss), musst du nach wie vor die IP der Container oder der VMs direkt weitergeben
“Erzeugen”, “aufspannen”, “bereitstellen”… was ist das richtige Wort dafür, was OpenWRT dann machen soll?
Die Portfreigaben würde ich dann “zweistufig”, wie im unteren Teil des Bildes in meinem ersten Posting gezeichnet, einrichten. Oder hätte das OpenWRT LAN dann einen eigenen Zugang mit Zugriff aus dem Internet, ohne dass es die FritzBox dann an die Ports von OpenWRT routen muss? 
Ne, ne. Das muss schon durch die Fritzbox. Aber ich weiß nicht genau, was die FB für Filtermöglichkeiten für vergebene IPv6-Prefixe hat
Aber auch nur, wenn die OpenWrt-Kiste einen IPv6-Präfix anfordert. Für die Fritteuse ist die OpenWrt-Kiste ja erst einmal nur ein DHCPv6-Client wie jeder andere im LAN der Fritteuse auch. Von denen bekommt nicht jeder einfach so einen Präfix zugewiesen. Die weitaus meisten können damit ja auch gar nichts anfangen.
Also muss die OpenWrt-Kiste (genau wie eine pfsense, OPNsense, etc.) zunächst der Fritteuse zurufen: „Hey ich bin ein Router und will einen IPv6-Präfix“ damit die Fritte das auch macht und im Anschluss dann weiß, dass alles was an IPv6-Adressen mit dem Präfix beginnt der OpenWrt-Kiste gehört.
Lektüre zum Thema:
Gemini sagt:
To request an IPv6 prefix in OpenWrt, configure the WAN6 interface to use the DHCPv6 client protocol and enable „Request IPv6-prefix of length“ (set to „auto“ or /64) under Advanced Settings. Ensure „Delegate IPv6 prefixes“ is checked on the WAN6 interface and that LAN interfaces are set to track this prefix for internal network assignment
Ich sage: wenn du von 1&1 einen /56erPräfix bekommst setze die Request IPv6-prefix of length auf /57 und nicht auf „auto“ oder /64