Ich hatte doch schon geschrieben, dass dein OpenWRT-Router einen Präfix anfordern muss. Wo musst du gucken. Hab pfsense. Zudem (so mache ich es bei meiner pfsense) müssen die LAN-Interfaces das WAN-Interface tracken um aus dem dem WAN zugewiesen Präfix eigene Präfixe bilden zu können. Und zum Schluss müssen die Clients im LAN des OpenWRT-Routers auch wissen, dass sie dann DHCPv6 benutzen sollen. Wo und wie man das macht ist auch wieder Client-spezfisch. Bei Debian Servern z.B. per default in der /etc/network/interfaces.
Ich mische mich auch mal ein. Hab gerade den ganzen Verlauf durchgelesen.
Also: @The_eagle hat schon vieles richtig gesagt.
Die Dinge, die die KI gesagt hat, stimmen vorne und hinten nicht. Die sagt was von „Nichtmehrerreichbarkeit“ von dem Netz / den Netzen hinter dem OpenWRT. Das stimmt so schonmal nicht. Denn das Netz wird geroutet und die FB sollte (bzw. tut sie das meistens auch) eine Route zur Link-Local-Addresse des OpenWRT setzen zu dem Netz, was sie der OpenWRT-Kiste zugewiesen hat.
Und generell: Du wirst beim Freigeben von Diensten nicht drumherum kommen, Ports aufzumachen. Ich empfinde dass nicht als „Löcher in die FW bohren“. Aber trotzdem, deswegen hat man (auch laut BSI-Standard und wie Eagle schon sagte):
Äußere Firewall / Paketfilter (gleich!) → DMZ → Inneren Paketfilter → LAN (im BSI-Standard käme noch ein ALG dazu, aber das lassen wir jetzt mal aussen vor)
Hallo @m-electronics,
danke fürs “Einmischen” und bestätigen, dass ich auf dem richtigen Weg bin… auch wenn wir schon wieder weit, weit von meiner ursprünglichen Frage abgewichen sind.
Die besagten Ports habe ich für meine Web-Dienste ja schon eine ganze Weile in der Firewall der FritzBox geöffnet. Das Gute ist, dass ich sie dank MacVLAN und Optionen der FritzBox gezielt nur dafür geöffnet habe. Aus meiner Sicht, ist das schon ein “kleines” (aber kontrollierbares) Loch in der Firewall, da diese ja für die geöffneten Ports keinen eingehenden Verkehr mehr rigoros abblockt.
Was die FritzBox leider nicht kann, ist eine statische Filterung gegen z.B. die große IPV64-Blocking-Liste und so habe ich im Log meiner eventbasierten Filterung, die da CrowdSec heißt, gesehen, dass allein in einer Woche 43 als bösartig eingestufte Bots bei mir “angeklopft” haben. Und denen möchte ich mit der statischen Filterung eine weitere Hürde bieten und da solch eine Filterung (im Extremfall bei einem DDoS-Angriff) Rechenleistung kostet, möchte ich lieber das ein vorgeschalteter NanoPi bei der Abwehrt “in die Knie geht” als der eigentliche Mini-PC auf dem die Web-Dienste parallel zu meinem lokalen Diensten laufen, abschmiert.
Dies ist ein Sicherheitsgewinn explizit nur für meine Web-Dienste aber kein Sicherheits-Verlust ggü. meinem Heim-LAN, was einfach da bleibt, wo es immer war.
Die Netzwerkarchitektur mit “äußerem LAN”, “innerem LAN” und DMZ ist durchaus noch eine gute Überlegung und eine weitere Ausbaustufen-Option für die Zukunft, die ich aber aktuell noch nicht angehen kann und möchte. Die Gründe dafür sind genannt (hier in der Diskussion und in einiges vorher schon hier im Forum gelaufenen Diskussionen).
Also - Zurück zu meiner ursprünglichen Frage:
Ich kann es nach wie vor nicht live und in Farbe in meiner FritzBox prüfen aber ein netter Herr aus dem FRITZ-Support hat aus den letzten Support-Daten, die ich denen letzte Woche gesendet hatte, herausgelesen, dass ich zu dem Zeitpunkt von 1&1 ein /56-er IPv6 Präfix zugeteilt bekommen hatte. Wenn ich mal nicht davon ausgehe. dass mit 1&1 mit jeder DSL-Neuverbindung ein anderes Präfix zuteilt, müsste sich damit meine Ausgangssituation für OpenWRT verbessert haben.
Nur zur Sicherheit noch einmal zu meiner ursprünglichen Frage: Wenn die FritzBox nun OpenWRT “erlaubt” ein eigenes IPv6-Subnetz zu erzeugen, bleibt es weiterhin dabei, dass ich direkt die IPv6 aus dem Caddy-Container an IPV64 sende oder muss es dann doch die IPv6 von OpenWRT (in seinem eigenen LAN) selbst sein?
Danke und Grüße
Mic.
Moin, zu „erzeugen“ ist relativ
Die Fritzbox weißt das per DHCPv6-PD (Prefix Delegation) der OpenWrt-Kiste zu…
Und ja, wenn die Fritzbox sich richtig verhält (ich weiß gerade nicht genau, ob man da noch Freigaben schalten muss), musst du nach wie vor die IP der Container oder der VMs direkt weitergeben
“Erzeugen”, “aufspannen”, “bereitstellen”… was ist das richtige Wort dafür, was OpenWRT dann machen soll?
Die Portfreigaben würde ich dann “zweistufig”, wie im unteren Teil des Bildes in meinem ersten Posting gezeichnet, einrichten. Oder hätte das OpenWRT LAN dann einen eigenen Zugang mit Zugriff aus dem Internet, ohne dass es die FritzBox dann an die Ports von OpenWRT routen muss? 
Ne, ne. Das muss schon durch die Fritzbox. Aber ich weiß nicht genau, was die FB für Filtermöglichkeiten für vergebene IPv6-Prefixe hat
Aber auch nur, wenn die OpenWrt-Kiste einen IPv6-Präfix anfordert. Für die Fritteuse ist die OpenWrt-Kiste ja erst einmal nur ein DHCPv6-Client wie jeder andere im LAN der Fritteuse auch. Von denen bekommt nicht jeder einfach so einen Präfix zugewiesen. Die weitaus meisten können damit ja auch gar nichts anfangen.
Also muss die OpenWrt-Kiste (genau wie eine pfsense, OPNsense, etc.) zunächst der Fritteuse zurufen: „Hey ich bin ein Router und will einen IPv6-Präfix“ damit die Fritte das auch macht und im Anschluss dann weiß, dass alles was an IPv6-Adressen mit dem Präfix beginnt der OpenWrt-Kiste gehört.
Lektüre zum Thema:
Gemini sagt:
To request an IPv6 prefix in OpenWrt, configure the WAN6 interface to use the DHCPv6 client protocol and enable „Request IPv6-prefix of length“ (set to „auto“ or /64) under Advanced Settings. Ensure „Delegate IPv6 prefixes“ is checked on the WAN6 interface and that LAN interfaces are set to track this prefix for internal network assignment
Ich sage: wenn du von 1&1 einen /56erPräfix bekommst setze die Request IPv6-prefix of length auf /57 und nicht auf „auto“ oder /64
Ja, das hatte ich vergessen zu erwähnen, weil es für mich halt mit dem Verfahren „PD“ klar ist, das er das tun muss.
Und danach könnte der OP ja auch googeln
Moin @m-electronics, ich hab das auch nicht für dich geschrieben, denn mir ist klar, dass dir das bekannt sein dürfte.
Ich meinte auch nicht dich konkret, deswegen habe ich auch nicht @-Erwähnung oder sowas geschrieben.. sondern einfach allgemein
Ja, die Konfiguration von OpenWRT muss ich mir dann auch nochmal ansehen. OpenWRT hat die (komische) Eigenschaft, dass es nur ein LAN-Interface (LAN-BR) bereitstellt, was IPv4 und IPv6 widerspiegelt aber für WAN zwei Interfaces (WAN, WAN6) nutzt. Das muss ich mir nochmal genauer anschauen. Laut OpenWRT Forum soll da aber schon einiges richtig “voreingestellt” sein, wenn man die vorgegebenen Einstellungen “DHCP-Client” bzw. “DHCPv6-Client” für die beiden WAN-Interfaces (in der WebGUI LuCI) nutzt.
Ich werde wohl - sobald ich Zeit finde - noch ein paar “Trockenübungen” (Tests) mit OpenWRT zwischen FritzBox und Windows PC machen… ich habe ja jetzt (auch dank euch) einige neue Optionen, die ich ausprobieren muss. 
Ja, weil die Einstellungen für das LAN speziell sind…
OpenWRT ist eine Sache für sich…
In der Tat. Das kann man aber über alle Lösungen sagen. Ich finde es aber auf den ersten Blick ganz gut. Mein erster Versuch war es, OpenWRT auf einem alten FritzRepeater 450E zum Laufen zu bringen und das hat tatsächlich ganz gut geklappt.
Wenn man Jahrelang das FritzOS gewöhnt war, ist die Bedienoberfläche OpenWRT LuCI etwas gewöhnungsbedürftig aber mit der Zeit finde ich sie wirklich gut. Schön finde ich auch, dass man zusätzliche Add-Ons installieren kann und weiterhin auch die linuxtypische Kommandozeile per SSH hat. Außerdem ist es Open Source, nicht kommerziell (was ich beides befürworte), hat eine gute Community und ein hilfsbereites Forum und ist angeblich sogar aktuell die leistungsfähigste Router-Lösung auf dem nicht-kommerziellen Markt… und es läuft auf einer sparsamen ARM-CPU… aber wir schweifen schon wieder vom Thema dieses Foren-Beitrags ab. 
Ob es die leistungsfähigste Version ist, keine Ahnung. Aber es wird auf deutlich mehr Embedded-Systemen oder auch alten Routern, wofür es keinen Hersteller-Support mehr gibt, unterstützt als bspw. OPNsense…
So ganz verstehe ich die Probleme nicht. Ich habe zwar selbst Dual Stack, aber mir zusätzlich als Fallback – falls DynDNS mal nicht läuft – eine WireGuard-Verbindung zu meinem Hetzner-Server eingerichtet. So habe ich jederzeit Zugriff auf mein Netzwerk.
Hier mein Aufbau – ich benötige keine Firewall-/Router-Kaskade.
┌──────────────────────────┐
│ WAN / Internet (PPPoE) │
│ Willy.tel │
│ 1000/250Mbit/s Glasfaser │
│ (DualStack) │
│ │
└─────────────┬────────────┘
─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┼ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─
│
┌────────────────┐ ┌────────────────┐ ╔═════════════╩═════════════════════ pfSense+ ═══╗
│ TrueNAS SCALE │ │ Switch │ ║ Netgate 6100║ Stand: ─ ─ ┐
│Beelink ME Mini ├───┤ USW-Flex-XG ├────╣ Netzwerk Block: 172.30.0.0/19║ │
│ │ │ │ ║ LAN Block: 172.30.0.0/20║ 17.12.2025 │
└────────────────┘ └───┬─┬──┬───────┘ ║ VPN Block: 172.30.16.0/20║ │
┌────────────────┐ │ │ │ ║ LAN: 172.30.3.0/24║ ─ ─ ─ ─ ─ ─ ┘
│ UBNT │ │ │ │ ║ Gäste (W)LAN (VLAN2): 172.30.2.0/24║
│UniFI AP AC Pro ├───────┘ │ │ ║ IoT WLAN (VLAN4): 172.30.4.0/24║
│ │ │ │ ║ DynDNS über deSEC.io mit eigener Domain║
└────────────────┘ │ │ ║ VPN's:║
┌────────────────┐ │ │ ║ 1 x S2S WireGuard FB 7490 (172.30.20.0/24)║
│ Proxmox │ │ │ ║ 1 x S2S WireGuard FB 6591 (172.30.19.0/24)║
│ Intel NUC ├─────────┘ │ ║ 1 x pfSense S2S (Netgate 6100) IPSec║
│BNUC11TNHV50L00 │ │ ║ 1 x OpenVPN Road Warrior DCO (172.30.16.0/24)║
└────────────────┘ │ ║ 1 x WireGuard RA Hetzner (172.30.17.0/24)║
│ ║ 1 x WireGuard Road Warrior (172.30.18.0/24)║
│ ╚════════════════════════════════════════════════╝
┌────────────────┐ ┌────────┴───────────┐ ┌────────────────────┐ ┌──────────────────┐
│ Fritzbox 7490 │ │ Switch │ │ Switch │ │ UBNT │
│ IPClient ├───┤ USW Pro Max 16 PoE ├─┤ USW Pro XG 8 PoE ├─┤ UniFi AP-Flex-HD │
│ (Nur VoIP) │ │ │ │ │ │ │
└────────────────┘ └────┬───────────────┘ └──┬─────────────────┘ └──────────────────┘
┌────────────────┐ │ │ ┌───────────┐
│ UBNT │ │ │ │ │
│UniFI AP AC Pro ├────────┘ └────┤ Clients │
│ │ │ │
└────────────────┘ └───────────┘
Was genau hat das jetzt hier mit diesem Thema zu tun? 
Ich hatte doch geschrieben, dass ich das Problem nicht ganz verstehe und dass man es aus meiner Sicht recht simpel lösen könnte. Außerdem habe ich nur erklärt, wie ich es bei mir gelöst habe.
So ein bischen Dyndns kann doch nicht so schwer sein?
Es geht beim OP darum, dass er ein „zweites“ Netz hinter einem OpenWRT-Router aufbauen will. Und dabei von der KI verwirrt worden ist, welche Addressen er für das DynDNS zu IPv64 weitergeben muss…
Gib @Mic2025 doch die Chance die Informationen die er zwischenzeitlich von der NI erhalten hat und auch noch verarbeiten muss, erst einmal umzusetzen.
Hi Leute,
ein “micneu”? Wer versucht mich denn hier zu kopieren? >scherz< Danke für deinen Input und die neuen Ideen aber das ist in der Tat ein komplett anderer Ansatz als jener, den ich verfolge. Viel zu aufwändig und kompliziert für das, was ich erreichen möchte. Vielleicht irgendwann später einmal…
Ich denke, dank des Inputs von “The_eagle” und “m-electronics” habe ich erst einmal Themen, um die ich mich kümmern kann und muss sobald ich zeit dafür finde. Die Theorie dazu haben wir ja jetzt hier niedergeschrieben. Mal schauen, ob die Praxis mitspielt.
Danke euch und ein schönes Wochenende.
Grüße
Mic(Alt).
1 „Gefällt mir“