tl;dr: Wie konfiguriere ich (falls überhaupt) in der FritzBox die IPv6-Firewall für Hosts, die *nicht* in dem IPv6-Netz hängen, das direkt von der FritzBox verwaltet word?
Wir haben in unserem Hackerspace einen KD-Zugang mit FritzBox 6360. Dahinter hängt unser eigener Router (ein RouterOS-Gerät von MikroTik, aber das tut nicht viel zu Sache) und spannt drei Subentze auf: Für Mitglieder, Gäste und DMZ. Die FritzBox delegiert via DHCPv6 zwei IPv6-Netze an unseren Router, der diese dann in zwei unserer Subnetze per Router Advertisment bekannt gibt. Das klappt alles so weit ganz gut (abgesehen von dem Ärgernis, dass wir von den vier IPv6-Netzen, die KD uns zuteilt, nur zwei nutzen können).
Nun zum Problem: In der DMZ sollen Server hängen, die aus dem Internet erreichbar sein sollen, und zwar via IPv4 und IPv6. IPv4 nutzt wie gehabt NAT und Port-Forwarding, soweit noch alles i.O. Die IPv6-Adressen der Server sind jedoch global gültige Adressen, entsprechend sollten die Maschinen ohne Port Forwarding direkt verfügbar sein. Das Problem ist nun die IPv6-Firewall der FritzBox: So weit ich das sehe, lässt diese sich nicht komplett ausschalten. Alles, was wir tun können, ist einzelne Hosts freizugeben. Diese werden durch ihren Interface-Identifier beschrieben, also dem Host-Teil der IPv6-Adresse (die letzten 64bit). Das schaltet jedoch den entsprechenden Host nur in dem Subnetz frei, das die FritzBox direkt und selbst via RA verteilt. Die anderen Subnetze, die sie via DHCPv6 delegiert hat, scheinen sich nicht konfigurieren zu lassen. Das heißt wiederum, dass die Server in unserer DMZ hinter einer Firewall hängen, was natürlich dem Prinzip eines Servers zuwiderlauft...
Das Ergebnis ist, dass jeder Versuch eines Verbindungsaufbaus zu dem Server via IPv6 von außen fehlschlägt. Die Firewall unseren zweiten Routers ist für die DMZ durchlässig, und außerdem klappt der Zugang von anderen internen Subnetzen - das Problem ist also die FritzBox.
Hat jemand hier Erfahrungen gemacht mit via DHCPv6 delegierten Subnetzen hinter der FirtzBox? Insb. würde mich natürlich interessieren, ob jemand einen Weg gefunden hat, die Firewall auszuschalten - oder sonst irgendeinen Trick, der uns helfen könnte. Eine eigene Firmware kann man offenbar nicht aufspielen, zumindest habe ich dazu nichts vernünftiges entdeckt. Ich habe das Tutorial zum Bridge-Modus der FirtzBox gefunden, aber dort steht ja, dass das nicht wirklich funktioniert - trotzdem will ich das morgen mal ausprobieren. Mein momentaner Eindruck ist aber, dass wir wohl KD dazu bringen müssen, uns einen Bridge-fähigen Router zu geben - und die Aussicht, unser Problem dem Kundenservice zu schildern, stimmt mich nicht gerade zuversichtlich
.Vielen Dank schonmal,
Ralφnator
