Ich bin mehr oder weniger durch Zufall auf die Seite https://ipv6-test.com/ gestoßen und dann weiterführend, dass IPv6 laut Spezifikationen wohl zwingend ICMPv6 (oder zumindest Ping6) erfordert.

Jetzt bin ich schwer verwirrt, da eigentlich alle von mir getesteten Clients in ihrer Standardkonfiguration das nicht ermöglichen.

Fritz!Box: Lassen mit ihrer aktuellen Firmware keinen Ping6 durch. Die Freigabe muss pro Gerät einzeln erfolgen und kann nicht systemweit gesetzt werden. Mglw. ist die Umsetzung auch nicht mit Privacy Extensions, also temporären IPv6-Adressen kompatible, das teste ich gerade.
Bei anderen Consumerroutern wie den ganzen Providergeräten ist eine Freischaltung von ICMPv6 meist wohl generell nicht möglich.

So weit so unschön, aber es wird noch schlimmer:
Die Windows Defender Firewall lässt ICMPv6 nicht durch. Es muss eine Regel dafür erstellt werden.
Android (10) lässt ICMPv6 nicht durch. Ist ohne Root wohl auch nicht möglich.

Von den ganzen anderen noch stärker abgeriegelten Betriebssystemen "smarter" Geräte ganz zu schweigen.

Wie wichtig ist ICMPv6 für einzelne Clients, die keine Server sind und "nur" Internetdienste nutzen, wirklich?
Wenn es wichtig ist, wieso ermöglicht dann praktisch kein Hersteller die Umsetzung gemäß Spezifikation?

Ich weiß, dass ICMP bei IPv4 und Serversystemen ein Glaubenskrieg ist, seit es IP gibt, aber hier scheint die Bedeutung ja noch deutlich größer zu sein.

Gute Frage.. ich hab an meiner Fritzbox ein IPv6 Netz eingetragen/von der Telekom bezogen und sonst nichts zusätzliches konfiguriert und ich kann IPv6 nutzen. Laut https://de.wikipedia.org/wiki/ICMPv6 muss IPv6 gehen, aber da ist die Frage ob Client -> Server reicht es wäre mir neu, wenn ich mich nach aussen IPv6 mäßig nackig/erreichbar gemacht hätte (was vielfach passiert ist) - aber die Frittzbox hat da imho sichere (aussen -> innen nein, innen -> aussen, ja) default Einstellungen.

Auch ICMPv4 sollte man immer Ende zu Ende aktiv haben (MTU-Path-Discovery) wird aber vielfach (zurecht?") aus Securitygründen nicht/nur in Teilen zugelassen.

So schauts bei mir aus..

So schauts bei mir aus..Bei mir auch. Ist halb so wild, ICMP Pakete werden oft gefiltert, das ist einfach so :smile:

Bei mir ist da ziemlich dicht. Nicht dicht in gutem Sinne nehme ich an :biggrin:.

https://abload.de/img/unbenanntuwkko.jpg (https://abload.de/image.php?img=unbenanntuwkko.jpg)

Das ist mir aber schon seit langem bewußt, weil ich bei ForzaH4 anne Nase lang aus der Lobby geflogen bin. Verwende ne easybox803 oder 803a und irgendwie habe ich die in Zusammenspiel mit diesem verf**n Teredo-Dreck niemals stabile Verbindungen hingekriegt. Alles funktioniert, FH4 nicht. Nicht dauerhaft, ich konnte schon mal ne Runde online fahren. Vielleicht hat das eine auch nichts mit dem anderen zu tun, aber ich habe das irgendwann darauf zurückgeführt.

Nunja. Du hast kein ipv6 aber die sollte nichts mit Forza Problemen zu tun haben..

Bei mir auch. Ist halb so wild, ICMP Pakete werden oft gefiltert, das ist einfach so :smile:

Gefiltert ja, aber bei IPv6 gibt es tatsächlich einige ICMPv6 Message Types, die zwingend benötigt werden. Ansonsten wird einfach keine Verbindung zustande kommen. Wenn du das nicht weißt, dann hast du sehr wahrscheinlich noch nie ein IPv6-Netzwerk von Grund auf aufgebaut. Man kann einige Konzepte aus IPv4 nicht 1:1 auf IPv6 übertragen. ICMPv6 übernimmt z.B. bei IPv6 einige Funktionen, die vorher ARP bei IPv4 bereitgestellt hat. Daher kann man es nicht einfach so vollständig blocken.

Zum Problem: Die Fritzbox wird wahrscheinlich nur einige der absolut notwendigen ICMPv6-Typen durchlassen. Das ist so auch in Ordnung. Es gibt sogar einige Message Types, die man droppen sollte. Siehe RFC 4890, Section 4.3.5: https://tools.ietf.org/html/rfc4890#section-4.3.5

Wenn man eine Firewall für IPv6 konfiguriert, sollte man sich auf jeden Fall das RFC ziemlich gut durchlesen. Es ist nicht besonders kompliziert, aber es sind einfach ein Haufen Regeln, die man da umsetzen muss.

Wenn man einen Router wie eine Fritzbox nutzt, kann man natürlich wenig daran ändern. Wahrscheinlich ist es aber auch in Ordnung, was AVM da macht.

Android war bei IPv6 schon immer etwas speziell. Auch solche Smart-Devices haben oft ganz seltsame IPv6-Stacks. Da kann man leider wenig dran ändern.

Das ist mir aber schon seit langem bewußt, weil ich bei ForzaH4 anne Nase lang aus der Lobby geflogen bin. Verwende ne easybox803 oder 803a und irgendwie habe ich die in Zusammenspiel mit diesem verf**n Teredo-Dreck niemals stabile Verbindungen hingekriegt. Alles funktioniert, FH4 nicht. Nicht dauerhaft, ich konnte schon mal ne Runde online fahren. Vielleicht hat das eine auch nichts mit dem anderen zu tun, aber ich habe das irgendwann darauf zurückgeführt.

Es könnte sein, dass die Easybox tatsächlich Teredo blockt.

Möglich. Habe dazu mal einen Tag investiert, kam aber zu keinem Ergebnis. Irgendwann das Spiel deinstalliert und als es dann weg war, hat es mich auch nicht mehr groß gejuckt, es nicht mehr spielen zu können.

Möglich. Habe dazu mal einen Tag investiert, kam aber zu keinem Ergebnis. Irgendwann das Spiel deinstalliert und als es dann weg war, hat es mich auch nicht mehr groß gejuckt, es nicht mehr spielen zu können.

Ja, da kann man leider nicht viel machen. Teredo zu blocken ist grundsätzlich vollkommen in Ordnung. Problematisch ist das natürlich dann, wenn man kein natives IPv6 hat und der Dienst kein IPv4 anbietet.

Irgendwann werden sich solche Probleme sowieso von selbst erledigen. Jede IPv4-basierte Verbindung kostet die Provider mittlerweile reales Geld, sobald CGNAT mit im Spiel ist. Von daher haben die Provider mittlerweile ein starkes Interesse auf Dauer gut funktionierendes IPv6 anzubieten. Diese älteren Provider-Router hinken da vielleicht noch etwas hinterher.

Gefiltert ja, aber bei IPv6 gibt es tatsächlich einige ICMPv6 Message Types, die zwingend benötigt werden. Ansonsten wird einfach keine Verbindung zustande kommen. Wenn du das nicht weißt, dann hast du sehr wahrscheinlich noch nie ein IPv6-Netzwerk von Grund auf aufgebaut. Man kann einige Konzepte aus IPv4 nicht 1:1 auf IPv6 übertragen. ICMPv6 übernimmt z.B. bei IPv6 einige Funktionen, die vorher ARP bei IPv4 bereitgestellt hat. Daher kann man es nicht einfach so vollständig blockenHabe auch noch nie ein Netzwerk mit IPv6 von Grund auf aufgebaut, da hast du recht :wink:
Aber das keine Verbindung zustande kommen sollte.. wo denn? Wann denn? Welcher Dienst braucht denn zwingend diese ICMP Pakete?
So lange man gescheites Dualstack und natives IPv6 hat ist der Rest doch sowieso egal?

In der Sophos FW kannst du IPv6 Range festlegen (hab vergebene Adressen des DHCP) und entsprechend alle Dienste freischalten, nicht nur spezifisch bestimmte Ports.
Aber warum möchtest du alles forwarded?

Ja

Da funkt so einiges rein. Nattyp hängt ständig auf strikt blabla. 2018 war alles noch in Ordnung, einfach ohne Router Kabel inne Dose, allerdings nur 6000er Leitung (womit ich auch zufrieden war). Für die Hochstufung auf 16k mußte dann die scheiß Kiste her und damit begannen die Probleme, allerdings nur bei Forza.

Vielleicht schaue ich mich mal um, was mir ein Wechsel des Anbieters bringen könnte. Und das nicht mal wegen dem einen Spiel, Teil 5 würde bei mir wahrscheinlich eh nicht mehr auf der Platte landen. Bin halt keine 15 mehr.

Aber das keine Verbindung zustande kommen sollte.. wo denn? Wann denn? Welcher Dienst braucht denn zwingend diese ICMP Pakete?

Jeder? Ich verstehe die Frage nicht so ganz. ICMP kennt keine Dienste, nur Hosts. Es gibt einfach einige ICMPv6 Message Types, die man am Router nicht blocken kann, ohne IPv6 vollständig zu verlieren. Wenn du eine funktionierende IPv6-Verbindung hast, dann lässt dein Router mindestens die wichtigsten ICMPv6 Message Types zu.

Man muss hier natürlich zwischen Firewalls auf Routern und den Endgeräten unterscheiden. Auch das wird übrigens im RFC erklärt.

Ehrlich gesagt hoste ich nichts von zu Hause und weiß auch nicht, wie FritzOS ICMPv6 genau handhabt. Ich habe nur einmal vor vielen Jahren von zu Hause eine Webseite hinter einem Mikrotik-Router (auch) per IPv6 gehostet, aber die Konfiguration habe ich leider nicht mehr.

Generell sollte man aber genau nachgucken, was FritzOS hier freigibt oder freigeben kann und dann einmal vergleichen, was man für den jeweiligen Anwendungszweck freigeben will. Das Problem ist da meistens auch nicht wirklich IPv6, sondern dass IPv6 an manchen Stellen doch stark von IPv4 abweicht und die UIs der Consumer-Router das nicht wirklich wiederspiegeln.

TLDR: Wenn eine Verbindung per IPv6 möglich ist, lässt der Router die relevanten Typen durch, wieso der verlinkte Test Ping6 so betont, ist unklar.

Ist das so grob richtig?

TLDR: Wenn eine Verbindung per IPv6 möglich ist, lässt der Router die relevanten Typen durch, wieso der verlinkte Test Ping6 so betont, ist unklar.

Ist das so grob richtig?

Ja, genau so.