Discussion:
fritzbox ipv6 "Administratively prohibited"
(te oud om op te antwoorden)
richard lucassen
2018-04-15 08:25:47 UTC
Permalink
Ik zit te etteren met een FB7360 waar ik heb een linuxdoosje achter heb
staan met een paar subnetten aan de achterkant. Dat werkt, maar alleen
van binnen naar buiten, omgekeerd krijg ik een "Administratively
prohibited" als ik van buiten naar binnen wil. Waar kan ik dat
uitzetten zodat ik gewoon toegang krijg?

Het gaat me niet om de link-local naar de FB, dat kun je met forwarding
doen maar om de subnetten achter de linuxdoos.

R.
--
richard lucassen
http://contact.xaq.nl/
hja
2018-04-15 08:40:38 UTC
Permalink
Post by richard lucassen
Ik zit te etteren met een FB7360 waar ik heb een linuxdoosje achter heb
staan met een paar subnetten aan de achterkant. Dat werkt, maar alleen
van binnen naar buiten, omgekeerd krijg ik een "Administratively
prohibited" als ik van buiten naar binnen wil. Waar kan ik dat
uitzetten zodat ik gewoon toegang krijg?
Het gaat me niet om de link-local naar de FB, dat kun je met forwarding
doen maar om de subnetten achter de linuxdoos.
Jouw omschrijving is vaag, erg vaag.

Je wilt back-end netwerken via de Fritz via NAT toegankelijk maken? (IPv4)
Je wilt een IPv6 netwerk achter je linuxdoosje toegankelijk maken?

Het lijkt mij dat de Fritz niet begrijpt dat als je interne netwerk
192.168.178.x is dat je dan 192.168.100.x ook wil exporteren.
Ik kan me goed voorstellen dat de Fritz maar 1 ip4 subnet en 1 ip6
subnet aankan en dat de rest dichtgezet is.

Is dat je probleem?
Is dubbel NAT een optie? (Natuurlijk niet het antwoord wat je wil horen).

Met vriendelijke groet,
Huub Reuver
richard lucassen
2018-04-15 09:15:37 UTC
Permalink
On 15 Apr 2018 08:40:38 GMT
Post by hja
Post by richard lucassen
Ik zit te etteren met een FB7360 waar ik heb een linuxdoosje achter
heb staan met een paar subnetten aan de achterkant. Dat werkt, maar
alleen van binnen naar buiten, omgekeerd krijg ik een
"Administratively prohibited" als ik van buiten naar binnen wil.
Waar kan ik dat uitzetten zodat ik gewoon toegang krijg?
Het gaat me niet om de link-local naar de FB, dat kun je met
forwarding doen maar om de subnetten achter de linuxdoos.
Jouw omschrijving is vaag, erg vaag.
Ik vind 'm zelf nogal duidelijk :-)
Post by hja
Je wilt back-end netwerken via de Fritz via NAT toegankelijk maken?
(IPv4) Je wilt een IPv6 netwerk achter je linuxdoosje toegankelijk
maken?
Dit is toch xs4all.ipv6? Niks ipv4 dus...
Post by hja
Het lijkt mij dat de Fritz niet begrijpt dat als je interne netwerk
192.168.178.x is dat je dan 192.168.100.x ook wil exporteren.
Ik kan me goed voorstellen dat de Fritz maar 1 ip4 subnet en 1 ip6
subnet aankan en dat de rest dichtgezet is.
Is dat je probleem?
Is dubbel NAT een optie? (Natuurlijk niet het antwoord wat je wil horen).
Het is een zuiver ipv6 issue. De FB geeft een "Administratively
prohibited" als ik naar iets anders wil dan de toegewezen ipv6 adressen
via port forwarding. Je mag dus kennelijk ook niet eens naar statische
adressen op de local link van de FB. En dus ook al niet naar de /62
die de FB aan de linuxdoos toewijst. Ik wil die "Administratively
prohibited" op ipv6 kunnen uitzetten maar ik zie niet waar dat kan.

R.
--
richard lucassen
http://contact.xaq.nl/
Rob
2018-04-15 09:18:58 UTC
Permalink
Post by hja
Post by richard lucassen
Ik zit te etteren met een FB7360 waar ik heb een linuxdoosje achter heb
staan met een paar subnetten aan de achterkant. Dat werkt, maar alleen
van binnen naar buiten, omgekeerd krijg ik een "Administratively
prohibited" als ik van buiten naar binnen wil. Waar kan ik dat
uitzetten zodat ik gewoon toegang krijg?
Het gaat me niet om de link-local naar de FB, dat kun je met forwarding
doen maar om de subnetten achter de linuxdoos.
Jouw omschrijving is vaag, erg vaag.
Nee hoor. Er staat ook een titel boven.

Richard, ik heb zelf niet zo'n ding maar ik begrijp dat het wel kan.
Je moet hem op advanced config zetten en dan bij port forwarding kijken.
Daar staat voor IPv6 een optie om inkomend verkeer toe te laten.
(niet erg correct maar het is het denkbeeld van de IPv4+NAT admin)
richard lucassen
2018-04-15 09:26:59 UTC
Permalink
On 15 Apr 2018 09:18:58 GMT
Post by Rob
Richard, ik heb zelf niet zo'n ding maar ik begrijp dat het wel kan.
Je moet hem op advanced config zetten en dan bij port forwarding
kijken. Daar staat voor IPv6 een optie om inkomend verkeer toe te
laten. (niet erg correct maar het is het denkbeeld van de IPv4+NAT
admin)
Dat is het 'm juist: je kunt, voor zover ik het kan zien, alleen maar
inkomend verkeer toelaten op de door slaac aangewezen adressen en
verder krijg je een "Administratively prohibited" voor je kiezen. Dus
als je een adres toevoegt naast het slaac adres dan krijg je ook een
"Administratively prohibited" te zien.

Het ding is niet van mij helaas anders had er al iets fatsoenlijks
gestaan.
--
richard lucassen
http://contact.xaq.nl/
Rob
2018-04-15 09:40:43 UTC
Permalink
Post by richard lucassen
On 15 Apr 2018 09:18:58 GMT
Post by Rob
Richard, ik heb zelf niet zo'n ding maar ik begrijp dat het wel kan.
Je moet hem op advanced config zetten en dan bij port forwarding
kijken. Daar staat voor IPv6 een optie om inkomend verkeer toe te
laten. (niet erg correct maar het is het denkbeeld van de IPv4+NAT
admin)
Dat is het 'm juist: je kunt, voor zover ik het kan zien, alleen maar
inkomend verkeer toelaten op de door slaac aangewezen adressen en
verder krijg je een "Administratively prohibited" voor je kiezen. Dus
als je een adres toevoegt naast het slaac adres dan krijg je ook een
"Administratively prohibited" te zien.
O dat zou kunnen ja. Ik weet wel dat men het identificeren van lokale
systemen totaal niet snapt bij AVM (werkt op basis van MAC, het herkennen
van slaac adres is daar natuurlijk ook een variant van) maar ik heb zelf
geen concrete ervaring anders dan het plaatsen van een router achter zo'n
ding die met DHCPv6 en prefix krijgt en daar uitgaand verkeer over doet,
dat werkt.
richard lucassen
2018-04-15 09:45:49 UTC
Permalink
On 15 Apr 2018 09:40:43 GMT
Post by Rob
O dat zou kunnen ja. Ik weet wel dat men het identificeren van lokale
systemen totaal niet snapt bij AVM (werkt op basis van MAC, het
herkennen van slaac adres is daar natuurlijk ook een variant van)
maar ik heb zelf geen concrete ervaring anders dan het plaatsen van
een router achter zo'n ding die met DHCPv6 en prefix krijgt en daar
uitgaand verkeer over doet, dat werkt.
Het enige dat ik zo'n beetje vind is:

http://xs4all.ipv6.narkive.com/kcQMh2tH/linux-ipv6-router-achter-de-fritz-met-laatste-firmware

maar dat is van 6 jaar terug. Maar goed, laat maar, ik heb het al
opgelost met 6to4 (sic) en policy routing.

Die forwarding rammelt ook nog eens aan alle kanten, iedere keer als je
iets doet moet je de forwarding weggooien en opnieuw aanmaken.

R.
--
richard lucassen
http://contact.xaq.nl/
Rob
2018-04-15 10:30:35 UTC
Permalink
Post by richard lucassen
On 15 Apr 2018 09:40:43 GMT
Post by Rob
O dat zou kunnen ja. Ik weet wel dat men het identificeren van lokale
systemen totaal niet snapt bij AVM (werkt op basis van MAC, het
herkennen van slaac adres is daar natuurlijk ook een variant van)
maar ik heb zelf geen concrete ervaring anders dan het plaatsen van
een router achter zo'n ding die met DHCPv6 en prefix krijgt en daar
uitgaand verkeer over doet, dat werkt.
http://xs4all.ipv6.narkive.com/kcQMh2tH/linux-ipv6-router-achter-de-fritz-met-laatste-firmware
maar dat is van 6 jaar terug. Maar goed, laat maar, ik heb het al
opgelost met 6to4 (sic) en policy routing.
Die forwarding rammelt ook nog eens aan alle kanten, iedere keer als je
iets doet moet je de forwarding weggooien en opnieuw aanmaken.
Ik heb een tijdje hier gewerkt met een Fritzbox als modem zodanig
geconfigureerd dat een MikroTik router erachter de PPPoE kan opzetten
en dat werkte goed (niet de bovenstaande issues uiteraard) alleen had
je dan die MTU van 1492. Nu zit mijn Draytek 130 er weer aan en heb ik
weer MTU 1500. Ik had hem omgewisseld omdat ik ineens VDSL problemen
had en ik niet wilde dat men het gooide op "je gebruikt niet het modem
wat wij ondersteunen". Het maakte geen verschil en nadat men dit na
een week of 6 eindelijk gefixed had heb ik het weer terug gewisseld.
richard lucassen
2018-04-15 11:39:53 UTC
Permalink
On 15 Apr 2018 10:30:35 GMT
Post by Rob
Ik heb een tijdje hier gewerkt met een Fritzbox als modem zodanig
geconfigureerd dat een MikroTik router erachter de PPPoE kan opzetten
en dat werkte goed (niet de bovenstaande issues uiteraard) alleen had
je dan die MTU van 1492. Nu zit mijn Draytek 130 er weer aan en heb
ik weer MTU 1500. Ik had hem omgewisseld omdat ik ineens VDSL
problemen had en ik niet wilde dat men het gooide op "je gebruikt
niet het modem wat wij ondersteunen". Het maakte geen verschil en
nadat men dit na een week of 6 eindelijk gefixed had heb ik het weer
terug gewisseld.
Die FB's zijn misschien leuke dingen voor een groot aantal mensen, maar
zodra je buiten de lijntjes gaat blijkt het ding onbruikbaar. Ik
vrees dat het nooit goedkomt tussen mij en de FB's.
--
richard lucassen
http://contact.xaq.nl/
Louis Lagendijk
2018-04-16 17:19:15 UTC
Permalink
Post by richard lucassen
On 15 Apr 2018 09:40:43 GMT
Die forwarding rammelt ook nog eens aan alle kanten, iedere keer als je
iets doet moet je de forwarding weggooien en opnieuw aanmaken.
R.
Ja, die firewall van de Fritzbox is een ramp. Zolang je die regels
aanmaakt zolang je devices direct aan de lan-interface hangen gaat het
min of meer goed (als je de forwarding in een keer goed zet).

Als je wilt routeren werkt het dan nog niet echt lekker: je kunt met
DHCP-PD nog wel een deel van je /48 routeren, maar zodra je je modem
moet rebooten werkt IPv6 pas weer als je de router forceert om eerst
weer een DHCP request stuurt voor de oude v6 range. Jammer genoeg
vergeet de Fritz bij een reboot de gealloceerde range. Je kunt echer wel
de firewall open zetten voor devices achter de router

Ik heb uiteindelijk een Edgrouter aan de Fritz gehangen die de PPPOE
doet en de DHCP-PD. Werkt perfect zolang je geen IP-TV nodig hebt:
http://www.pe1pzu.nl/fb7581bridge/

Zodra de ER ziet dat de pppoe down is wordt IPv6 ook opnieuw gestart,
ideaal om dan met een static IPv6 router weer verder te routeren.

Die jongens bij AVM hebben andere ideeen over routing en firewall dan ik
heb. Nu heb ik volledige controle, met de Fritzbox alleen al modem (en
dat werkt (bijna) perfect. En zonder rfc4638 kan ik wel leven.

/Louis
A. Dumas
2018-04-15 10:52:02 UTC
Permalink
Post by richard lucassen
On 15 Apr 2018 09:18:58 GMT
Post by Rob
Richard, ik heb zelf niet zo'n ding maar ik begrijp dat het wel kan.
Je moet hem op advanced config zetten en dan bij port forwarding
kijken. Daar staat voor IPv6 een optie om inkomend verkeer toe te
laten. (niet erg correct maar het is het denkbeeld van de IPv4+NAT
admin)
Dat is het 'm juist: je kunt, voor zover ik het kan zien, alleen maar
inkomend verkeer toelaten op de door slaac aangewezen adressen en
verder krijg je een "Administratively prohibited" voor je kiezen. Dus
als je een adres toevoegt naast het slaac adres dan krijg je ook een
"Administratively prohibited" te zien.
Oh shiiit, nu begint het me weer te dagen. Ik had een nieuw servertje
neergezet en inderdaad geprobeerd "port forwarding" te configureren voor
ipv6 maar het lukte maar niet om het goed werkend te krijgen. Vergeten:
verander "slaac private" in "slaac hwaddr" in /etc/dhcpcd.conf
A. Dumas
2018-04-15 11:25:01 UTC
Permalink
Post by A. Dumas
Oh shiiit, nu begint het me weer te dagen. Ik had een nieuw servertje
neergezet en inderdaad geprobeerd "port forwarding" te configureren voor
verander "slaac private" in "slaac hwaddr" in /etc/dhcpcd.conf
(Niet van toepassing op het besproken probleem neem ik aan, maar het was
precies de hint die ik nodig had, dus bedankt.)
Miquel van Smoorenburg
2018-04-15 11:10:52 UTC
Permalink
Post by richard lucassen
Ik zit te etteren met een FB7360 waar ik heb een linuxdoosje achter heb
staan met een paar subnetten aan de achterkant. Dat werkt, maar alleen
van binnen naar buiten, omgekeerd krijg ik een "Administratively
prohibited" als ik van buiten naar binnen wil. Waar kan ik dat
uitzetten zodat ik gewoon toegang krijg?
Het gaat me niet om de link-local naar de FB, dat kun je met forwarding
doen maar om de subnetten achter de linuxdoos.
Internet -> permit access -> Port sharing -> Add device
Daar staat bij IPv6 settings de optie
"Open firewall for delegated IPv6 prefixes of this device."

Dit is op een FB7581 06.85 (FRITZ!OS: 06.85-50446 PLUS), ik
weet niet wanneer de optie in de firmware toegevoegd is.

Mike.
richard lucassen
2018-04-15 11:37:42 UTC
Permalink
On 15 Apr 2018 11:10:52 GMT
Post by Miquel van Smoorenburg
Post by richard lucassen
Ik zit te etteren met een FB7360 waar ik heb een linuxdoosje achter
heb staan met een paar subnetten aan de achterkant. Dat werkt, maar
alleen van binnen naar buiten, omgekeerd krijg ik een
"Administratively prohibited" als ik van buiten naar binnen wil.
Waar kan ik dat uitzetten zodat ik gewoon toegang krijg?
Het gaat me niet om de link-local naar de FB, dat kun je met
forwarding doen maar om de subnetten achter de linuxdoos.
Internet -> permit access -> Port sharing -> Add device
Daar staat bij IPv6 settings de optie
"Open firewall for delegated IPv6 prefixes of this device."
Dit is op een FB7581 06.85 (FRITZ!OS: 06.85-50446 PLUS), ik
weet niet wanneer de optie in de firmware toegevoegd is.
Thnx, maar die optie bestaat helaas niet op de 7360 met 6.30. Ik wil
alleen maar een paar stations kunnen pingen voor wat monitoring. Maar ik
heb het nu opgelost met 6to4 en wat policy routing die dat icmp verkeer
afhandelt zodat ik de originele ipv6 ook nog kan blijven gebruiken.

Ik heb ook nog de optie om via ipv4 NAT met verschillende payload sizes
de verschillende hosts achter een firewall te kunnen pingen (werkt
uitstekend) maar ook hier gooit die FB weer roet in het eten: bij een
exposed host gaan icmp echo requests niet naar de exposed host maar
handelt de FB het zelf af.

Kortom...
--
richard lucassen
http://contact.xaq.nl/
BUSSIE
2018-04-15 20:18:19 UTC
Permalink
On Sun, 15 Apr 2018 13:37:42 +0200, richard lucassen
Post by richard lucassen
On 15 Apr 2018 11:10:52 GMT
Post by Miquel van Smoorenburg
Post by richard lucassen
Ik zit te etteren met een FB7360 waar ik heb een linuxdoosje achter
heb staan met een paar subnetten aan de achterkant. Dat werkt, maar
alleen van binnen naar buiten, omgekeerd krijg ik een
"Administratively prohibited" als ik van buiten naar binnen wil.
Waar kan ik dat uitzetten zodat ik gewoon toegang krijg?
Het gaat me niet om de link-local naar de FB, dat kun je met
forwarding doen maar om de subnetten achter de linuxdoos.
Internet -> permit access -> Port sharing -> Add device
Daar staat bij IPv6 settings de optie
"Open firewall for delegated IPv6 prefixes of this device."
Dit is op een FB7581 06.85 (FRITZ!OS: 06.85-50446 PLUS), ik
weet niet wanneer de optie in de firmware toegevoegd is.
Thnx, maar die optie bestaat helaas niet op de 7360 met 6.30. Ik wil
alleen maar een paar stations kunnen pingen voor wat monitoring. Maar ik
heb het nu opgelost met 6to4 en wat policy routing die dat icmp verkeer
afhandelt zodat ik de originele ipv6 ook nog kan blijven gebruiken.
Ik heb ook nog de optie om via ipv4 NAT met verschillende payload sizes
de verschillende hosts achter een firewall te kunnen pingen (werkt
uitstekend) maar ook hier gooit die FB weer roet in het eten: bij een
exposed host gaan icmp echo requests niet naar de exposed host maar
handelt de FB het zelf af.
Kortom...
Allicht via Marktplaats een moderne FB kopen?

Een 7490 voldoet alicht?

Kan je daar oppikken voor max €100

De 7360 wordt door AVM niet meer ondersteund heb ik zo het vermoeden.

Zeker V1 niet, versie 2 krijgt allicht nog weer een update, maar heb
er zo mijn twijfels over als ik zie hoe oud de laatste update al is.
Richard Lucassen
2018-04-16 06:12:03 UTC
Permalink
On Sun, 15 Apr 2018 22:18:19 +0200
Post by BUSSIE
Post by richard lucassen
Kortom...
Allicht via Marktplaats een moderne FB kopen?
Een 7490 voldoet alicht?
Kan je daar oppikken voor max €100
De 7360 wordt door AVM niet meer ondersteund heb ik zo het vermoeden.
Zeker V1 niet, versie 2 krijgt allicht nog weer een update, maar heb
er zo mijn twijfels over als ik zie hoe oud de laatste update al is.
Wat dacht je van een Vigor 130? Is simpel en doet alles wat ik wil.
Alleen de FB's waar ik het over had zijn niet van mij, anders hadden ze
er nooit gestaan ;-)
--
Richard Lucassen
http://contact.xaq.nl/
BUSSIE
2018-04-16 17:36:16 UTC
Permalink
On Mon, 16 Apr 2018 08:12:03 +0200, Richard Lucassen
Post by Richard Lucassen
On Sun, 15 Apr 2018 22:18:19 +0200
Post by BUSSIE
Post by richard lucassen
Kortom...
Allicht via Marktplaats een moderne FB kopen?
Een 7490 voldoet alicht?
Kan je daar oppikken voor max €100
De 7360 wordt door AVM niet meer ondersteund heb ik zo het vermoeden.
Zeker V1 niet, versie 2 krijgt allicht nog weer een update, maar heb
er zo mijn twijfels over als ik zie hoe oud de laatste update al is.
Wat dacht je van een Vigor 130? Is simpel en doet alles wat ik wil.
Alleen de FB's waar ik het over had zijn niet van mij, anders hadden ze
er nooit gestaan ;-)
Geen idee m.b.t. Vigor.

Heb ik geen ervaring mee.

Gebruik al sinds jaar en dag Fritzboxen en ben daar tevreden over.

Geen problemen met het OS.

Instabiele verbindingen heeft bij mij altijd aan kabels buiten de deur
gelegen.

BUSSIE
2018-04-15 20:21:56 UTC
Permalink
On 15 Apr 2018 11:10:52 GMT, "Miquel van Smoorenburg"
Post by Miquel van Smoorenburg
Post by richard lucassen
Ik zit te etteren met een FB7360 waar ik heb een linuxdoosje achter heb
staan met een paar subnetten aan de achterkant. Dat werkt, maar alleen
van binnen naar buiten, omgekeerd krijg ik een "Administratively
prohibited" als ik van buiten naar binnen wil. Waar kan ik dat
uitzetten zodat ik gewoon toegang krijg?
Het gaat me niet om de link-local naar de FB, dat kun je met forwarding
doen maar om de subnetten achter de linuxdoos.
Internet -> permit access -> Port sharing -> Add device
Daar staat bij IPv6 settings de optie
"Open firewall for delegated IPv6 prefixes of this device."
Dit is op een FB7581 06.85 (FRITZ!OS: 06.85-50446 PLUS), ik
weet niet wanneer de optie in de firmware toegevoegd is.
Mike.
Zit ook in de recenste officiele firmware van de 7490, 6.84.

Is dus redelijk recent toegevoegd.
Loading...