Speedport Hybrid v4.5 Komplettlösung Bootstrap funktioniert nicht vollständig

      Speedport Hybrid v4.5 Komplettlösung Bootstrap funktioniert nicht vollständig

      Hallo zusammen,

      Ich habe meinen SPH mittels Shell-Drop mit dem Bootstrap von @danXde versehen. Zuerst mit dem für die Firmware v2, erst später habe ich den Thread für v4.5 entdeckt. Ich dachte nun anhand der Beschreibung[1] ich könne da einfach drüberbügeln. Das hab ich dann auch gemacht, trotzdem habe ich weiterhin einige Fehler:
      • Ich bekomme an das dahinter geschaltete Ubiquiti Unifi Security Gateway (USG) (192.168.2.100) kein IPv6 durchgeleitet
      • Der Port 443 TCP wird auf dem WAN-Interface nicht durchgeleitet, es erscheint eine nette Zertifikatswarnung für den CN "speedport.ip", ich denke mal das dahinter der Webserver des Speedport sitzt und sich verwirrt das WAN-Interface gesucht hat
      • Weitere Portweiterleitungen funktionieren ebenfalls nicht, die Firewall scheint noch aktiv zu sein
      Was auf jeden Fall funktioniert:
      • Telefondienste sind deaktiviert
      Das hat mich dazu veranlasst die gesprächige Schnittstelle etwas abzuhören. Vor dem Mounten des Sticks gab es folgende Fehler (Gerätespezifische Daten durch "*" ersetzt, WLAN-SSID ersetzt; alles was "not exist", "error", "not found", exit code >0, "fail" etc. ist, habe ich rot markiert):
      Spoiler anzeigen

      NAND flash device: name Spansion S34ML02G1, id 0x01da block 128KB size 262144KB
      External switch id = 53125
      Chip ID: BCM*****D0, MIPS: 400MHz, DDR: 400MHz, Bus: 200MHz
      Main Thread: TP0
      Memory Test Passed
      Total Memory: 268435456 bytes (256MB)
      Boot Address: 0xb8000000

      get i2cIntr pin gpio: 35
      sdaGpio: [9] sclGpio: [8] g_device_id: [8]
      Board IP address : 192.168.2.1:ffffff00
      Host IP address : 192.168.2.100
      Gateway IP address :
      Run from flash/host (f/h) : f
      Default host run file name : vmlinux
      Default host flash file name : bcm963xx_fs_kernel
      Boot delay (0-9 seconds) : 1
      Boot image (0=latest, 1=previous) : 0
      Board Id (0-4) : Hybrid
      Number of MAC Addresses (1-32) : 10
      Base MAC Address : 00:11:22:**:**:*6
      PSI Size (1-64) KBytes : 24
      Enable Backup PSI [0|1] : 0
      System Log Size (0-256) KBytes : 0
      Main Thread Number [0|1] : 0

      Boot :e=192.168.2.1:ffffff00 h=192.168.2.100 g= r=f f=vmlinux i=bcm963xx_fs_kernel d=1 p=0
      *** Press any key to stop auto run (3 seconds) ***
      Auto run second count down: 0
      Power down external PHY port.
      Boot from main system!
      SIGN CHK ALWAYLYS.
      get bootflag = 1
      check tag at block 1 crc ok
      Check Image Crc Success
      I have find uImage at block 11
      I have get uImage size at block 56
      Load SD5115 uImage SIZE: 5818492

      tftpd_main trans total 5818492<<<<<<../../../cfe/net/net_tftp.c,980>>>>
      I have find vmlinux.lz at block 56
      I have get vmlinux.lz size at block 72
      Decompression OK!
      Entry at 0x80435c80
      Closing network.
      no Disabling Switch ports.
      Flushing Receive Buffers...
      0 buffers found.
      Closing DMA Channels.
      Starting program at 0x80435c80
      init started: BusyBox vv1.9.1 (2018-06-20 10:09:21 CST)
      starting pid 329, tty '': '/etc/init.d/rcS'
      RCS DONE
      starting pid 331, tty '': '/bin/sh'

      BusyBox vv1.9.1 (2018-06-20 10:09:21 CST) built-in shell (ash)
      Enter 'help' for a list of built-in commands.

      rootdir=/
      table='/etc/devicetable'
      mount config jffs2 success
      mount configback jffs2 success
      mount lte jffs2 success
      Loading drivers and kernel modules...
      Done
      # Start mic now ...
      GlobeMac Init OK

      upgrade uses come into normal defaultcfg
      done sync
      load cfm ok.
      PPPPPPPPPPPPPPP 0
      ##sendmsg return 16, errno 0.
      INSMOD START......
      Disabling lock debugging due to kernel taint
      INSMOD Done

      ++++ xdslCtl_GetVersion 895
      pid 407's current affinity mask: 3
      pid 407's new affinity mask: 1
      ethcmdVportEnable--------SUPPORT_ATP_ETH_BCM_EXT_SWITCH_53125-----
      ARL table flush done
      Success
      Success
      Create rss table again.
      ATP_CMS_Init
      Vdb already exists.
      atp: not support krnl version:[3.4.11-rt19+], default:[2.6.20]
      insmod: can't open '/lib/kernel/net/netfilter/nf_conntrack_gre.ko': No such file or directory
      insmod: can't open '/lib/kernel/net/ipv4/netfilter/nf_nat_gre.ko': No such file or directory
      Do mss tuning... ifc:[ppp256]
      /var/firewall_shell.sh: line 5: iptables: not found
      /var/firewall_shell.sh: line 125: iptables: not found
      /var/firewall_shell.sh: line 126: iptables: not found
      /var/firewall_shell.sh: line 127: iptables: not found
      /var/firewall_shell.sh: line 128: iptables: not found
      /var/firewall_shell.sh: line 164: iptables: not found
      /var/firewall_shell.sh: line 166: iptables: not found

      Success
      Success
      Success

      dms init come in

      RSS Init Ok in cms.
      [wlan_tr181.c Wlan_GetPowerModeFromDB:6565] power mode: 1
      [wlancmsinit.c ATP_WLAN_InitPowerMode:124] Attention: Need Set Max Power to Board.

      WlanNodeGetStatusFromDB, 2783: Get 2.4GHz wlan status :0

      WlanNodeGetStatusFromDB, 2783: Get 5GHz wlan status :0
      get equipmode: 0
      pstWlWps->iWlWpsCtl :0.
      pcStartEndTime :06:00-22:00
      WlanGetStartandEndTime *plStartH:6, *plStartM:0, *plEndH:22 *plEndM:0
      pstWlWps->iWlWpsCtl :0.
      [wlanbcmcms.c WlanSetupAllEx:1196] WlanSetupAllEx idx0, bOnlyAppendCmd:1

      check 2.4G FON status
      2.4G FON status disable
      set 2.4G FON InitFlag 0
      Get mac: 240995EF***2
      Get mac: 240995EF***3
      Get mac: 240995EF***4
      Get mac: 240995EF***5
      WlanSetSsid: SSID=Hier könnte Ihre SSID stehen!!!
      [wlanbcmcms.c WlanSetupAllEx:1602] tp timer start!!!!!!

      [wlanbcmcms.c WlanSetupAllEx:1196] WlanSetupAllEx idx1, bOnlyAppendCmd:1

      check 5G FON status
      5G FON status disable
      set 5G FON InitFlag 0
      WlanSetSsid: SSID=Hier könnte Ihre SSID stehen!!!
      [wlanbcmcms.c WlanDoSetupAllCmd:1063] WlanDoSetupAllCmd

      ATP_WLAN_Init SUCCESS ...

      Open file /var/radvd/radvdlocalbr0.conf faild !FILE[ipv6commoncms.c] LINE[437]
      Bad argument `multiport'
      Try `ip6tables -h' or 'ip6tables --help' for more information.
      Get mac: 240995EF***0
      Get mac: 240995EF***1
      Get mac: 240995EF***2
      Get mac: 240995EF***3

      Open file /var/dhcp/dhcp6s/dhcp6slocalbr0.conf faild !FILE[ipv6commoncms.c] LINE[437]

      Current sntp process is 894!
      1
      open file error: No such file or directory
      open file error: No such file or directory
      open file error: No such file or directory

      1000
      1
      open file error: No such file or directory
      open file error: No such file or directory
      open file error: No such file or directory

      Get mac: 240995EF***3

      ===================bridge filter init===============

      =OpenBcmPwrMngtCfg=1111====

      =OpenBcmPwrMngtCfg=1111====

      =OpenBcmPwrMngtCfg=1111====
      [PCIE] decrease PCIE Frequency
      The latest reboot is due to Hard reboot,write log!
      FILE: dhcpccmsmsgproc.c LINE: 122: Can't find Instance accord with Device.IP.Interface.6!FILE: dnscms.c FUNC: DnscmsFilterWanInfo LINE: 565: ppp256 is not exist..
      FILE: dnscms.c FUNC: DnscmsFilterWanInfo LINE: 565: ppp256 is not exist..
      FILE: dnscms.c FUNC: DnscmsFilterWanInfo LINE: 565: nas_1_32_4.8 is not exist..

      Recvd netlink msg now ...
      devName:nas0
      Warning: set 1280 port forward.
      file miccmsmsgproc.c, line 176 ulRetVal = 0
      msgPtr->acPortName nas0
      Cms netlink msg 173015047 finished.
      Recvd netlink msg now ...
      Info: no nas port !!
      msgPtr->acPortName eth0.2
      Cms netlink msg 173015047 finished.
      Recvd netlink msg now ...
      Cms netlink msg 173015064 finished.
      Recvd netlink msg now ...
      Cms netlink msg 173015064 finished.
      Recvd netlink msg now ...

      pcIpintfName is nullFILE[dhcp6scmsproctr181.c] LINE[609]
      Info: no nas port !!
      msgPtr->acPortName eth0.2
      Cms netlink msg 173015047 finished.
      Recvd netlink msg now ...
      Cms netlink msg 173015045 finished.
      Recvd netlink msg now ...
      Info: no nas port !!
      msgPtr->acPortName eth0.2
      Cms netlink msg 173015047 finished.
      Recvd netlink msg now ...
      Cms netlink msg 173015046 finished.
      GpioI2cCheckRev:: no need to upgrade I2c
      Setting SSID: "Hier könnte Ihre SSID stehen!!!"
      Vdb already exists.
      FILE: serverpacket.c FUNC: DHCPS_GetPacket LINE: 995: sipsock_read: BAD CMSG_HDR

      FILE: serverpacket.c FUNC: DHCPS_GetPacket LINE: 995: sipsock_read: BAD CMSG_HDR


      Setting SSID: "Hier könnte Ihre SSID stehen!!!"
      wlctl: Not up


      Nun ist das Ding von der Telekom und das Englisch von diesem Output zeugt auch nicht von Glanzleistungen, daher halte ich es prinzipiell für möglich, dass diese Fehler "normal", also eher "Features" sind. Es wäre super, wenn mal jemand bei sich schauen könnte, wie es denn bei ihm aussieht.

      Es geht aber leider weiter mit den Fehlern und zwar nach dem mounten des Sticks. (Musste den Log leider anhängen, da der Thread hier im Entwurf 28.000 Zeichen lang war (max. erlaubt 10.000))

      Man sieht sehr schön, wo das bootstrap-init script läuft, mich wundert aber die Anzahl der Fehler, insbesondere, das wo es um die Firewall geht. Ich habe dann mal geschaut, was das init-script macht (/tmp/bslog). Ich musste die Datei leider anhängen.
      /opt/bin/route.sh kann ich nicht finden, unter /opt/bin/ findet sich nur fw*.sh, das macht mich auch etwas stutzig. Die obige Ausgabe ist nur ein echo für das Log nachdem der Startbefehl für das entsprechende script gesendet wurde. Ich kann leider nicht schauen, was der tatsächlich macht.

      Ich hoffe ihr könnt mir da irgendwie weiterhelfen, mehr weiß ich über das Ding leider auch nicht. Vielen Dank euch schonmal :)

      [1]
      Wer viele Änderungen vorgenommen hat, kann auch seinen aus der alten Komplettlösung erzeugten USB-Stick weiterverwenden.
      Dateien
      • nach_mounting.zip

        (37,88 kB, 19 mal heruntergeladen, zuletzt: )
      • bslog.txt

        (685 Byte, 20 mal heruntergeladen, zuletzt: )
      Da ich mittlerweile den Befehl für iptables weiß hier nochmal die aktuellen Regeln:
      Spoiler anzeigen

      Quellcode

      1. bash-4.3# ipt iptables --list-rules
      2. -P INPUT DROP
      3. -P FORWARD ACCEPT
      4. -P OUTPUT ACCEPT
      5. -A INPUT -i lo -j ACCEPT
      6. -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
      7. -A INPUT ! -i in_0 -p udp -m udp --dport 69 -j DROP
      8. -A INPUT -d 172.10.10.10/32 -p udp -m udp --dport 69 -j ACCEPT
      9. -A INPUT -d 255.255.255.255/32 -p 47 -j DROP
      10. -A INPUT -s 169.254.0.0/16 ! -i br0 -j DROP
      11. -A INPUT -s 127.0.0.0/8 ! -i br0 -j DROP
      12. -A INPUT -s 192.168.2.0/24 ! -i br0 -j DROP
      13. -A INPUT -i br0 -p udp -m udp --dport 67 -j ACCEPT
      14. -A INPUT -d 192.168.2.1/32 -i br0 -p icmp -j ACCEPT
      15. -A INPUT -d 192.168.2.1/32 -i br0 -p tcp -m tcp --dport 22 -j ACCEPT
      16. -A INPUT -d 192.168.2.1/32 -i br0 -p tcp -m tcp --dport 23 -j ACCEPT
      17. -A INPUT -d 192.168.2.1/32 -i br0 -p tcp -m tcp --dport 53 -j ACCEPT
      18. -A INPUT -d 192.168.2.1/32 -i br0 -p udp -m udp --dport 53 -j ACCEPT
      19. -A INPUT -d 192.168.2.1/32 -i br0 -p tcp -m tcp --dport 80 -j ACCEPT
      20. -A INPUT -d 192.168.2.1/32 -i br0 -p tcp -m tcp --dport 8080 -j ACCEPT
      21. -A INPUT -i br0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 10/sec --limit-burst 50 -j ACCEPT
      22. -A INPUT -i br0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
      23. -A INPUT ! -i br0 -j DROP
      24. -A FORWARD -d 172.10.10.1/32 -j ACCEPT
      25. -A FORWARD -m mark --mark 0x80000000/0x80000000 -j ACCEPT
      26. -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
      27. -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
      28. -A FORWARD -s 192.168.2.0/24 ! -i br0 -j DROP
      29. -A FORWARD ! -s 192.168.2.0/24 -i br0 -j DROP
      30. -A FORWARD -i br0 -o rmnet0 -j DROP
      31. -A FORWARD -s 192.168.2.0/24 -i br0 -j ACCEPT
      32. -A FORWARD -d 192.168.0.0/16 -i br0 -o ppp256 -j DROP
      33. -A FORWARD -d 172.16.0.0/12 -i br0 -o ppp256 -j DROP
      34. -A FORWARD -d 10.0.0.0/8 -i br0 -o ppp256 -j DROP
      35. -A FORWARD -d 192.168.0.0/16 -i br0 -o gre+ -j DROP
      36. -A FORWARD -d 172.16.0.0/12 -i br0 -o gre+ -j DROP
      37. -A FORWARD -d 10.0.0.0/8 -i br0 -o gre+ -j DROP
      38. -A FORWARD -i nas+ -o ppp+ -j DROP
      39. -A FORWARD -i ppp+ -o nas+ -j DROP
      40. -A FORWARD -d 169.254.0.0/16 -i br0 -j DROP
      41. -A FORWARD -s 169.254.0.0/16 ! -i br0 -j DROP
      42. -A FORWARD -s 127.0.0.0/8 ! -i br0 -j DROP
      43. -A FORWARD -d 192.168.2.100/32 -i gre+ -p udp -m udp --dport 500 -j ACCEPT
      44. -A FORWARD -d 192.168.2.100/32 -i gre+ -p udp -m udp --dport 4500 -j ACCEPT
      45. -A FORWARD -d 192.168.2.100/32 -i ppp256 -p udp -m udp --dport 500 -j ACCEPT
      46. -A FORWARD -d 192.168.2.100/32 -i ppp256 -p udp -m udp --dport 4500 -j ACCEPT
      47. -A FORWARD -d 192.168.2.100/32 -i gre+ -p tcp -m tcp --dport 443 -j ACCEPT
      48. -A FORWARD -d 192.168.2.100/32 -i ppp256 -p tcp -m tcp --dport 443 -j ACCEPT
      49. -A FORWARD -d 192.168.2.100/32 -i gre+ -p tcp -m tcp --dport 80 -j ACCEPT
      50. -A FORWARD -d 192.168.2.100/32 -i ppp256 -p tcp -m tcp --dport 80 -j ACCEPT
      51. -A FORWARD -s 217.10.64.0/20 -d 192.168.2.100/32 -i gre+ -p udp -m multiport --dports 7078:7109 -j ACCEPT
      52. -A FORWARD -s 217.116.112.0/20 -d 192.168.2.100/32 -i gre+ -p udp -m multiport --dports 7078:7109 -j ACCEPT
      53. -A FORWARD -s 212.9.32.0/19 -d 192.168.2.100/32 -i gre+ -p udp -m multiport --dports 7078:7109 -j ACCEPT
      54. -A FORWARD -s 217.10.79.9/32 -d 192.168.2.100/32 -i gre+ -p udp -m udp --dport 5060 -j ACCEPT
      55. -A FORWARD -s 217.10.68.147/32 -d 192.168.2.100/32 -i gre+ -p udp -m udp --dport 5060 -j ACCEPT
      56. -A FORWARD -s 217.10.68.150/32 -d 192.168.2.100/32 -i gre+ -p udp -m udp --dport 5060 -j ACCEPT
      57. -A FORWARD -s 217.10.64.0/20 -d 192.168.2.100/32 -i ppp256 -p udp -m multiport --dports 7078:7109 -j ACCEPT
      58. -A FORWARD -s 217.116.112.0/20 -d 192.168.2.100/32 -i ppp256 -p udp -m multiport --dports 7078:7109 -j ACCEPT
      59. -A FORWARD -s 212.9.32.0/19 -d 192.168.2.100/32 -i ppp256 -p udp -m multiport --dports 7078:7109 -j ACCEPT
      60. -A FORWARD -s 217.10.79.9/32 -d 192.168.2.100/32 -i ppp256 -p udp -m udp --dport 5060 -j ACCEPT
      61. -A FORWARD -s 217.10.68.147/32 -d 192.168.2.100/32 -i ppp256 -p udp -m udp --dport 5060 -j ACCEPT
      62. -A FORWARD -s 217.10.68.150/32 -d 192.168.2.100/32 -i ppp256 -p udp -m udp --dport 5060 -j ACCEPT
      63. -A FORWARD -s 217.0.0.0/19 -d 192.168.2.100/32 -i ppp256 -p udp -m udp --dport 5060 -j ACCEPT
      64. -A FORWARD -s 217.0.128.0/19 -d 192.168.2.100/32 -i ppp256 -p udp -m udp --dport 5060 -j ACCEPT
      65. -A FORWARD -s 217.0.0.0/19 -d 192.168.2.100/32 -i ppp256 -p udp -m multiport --dports 7078:7109 -j ACCEPT
      66. -A FORWARD -j DROP
      67. -A OUTPUT -d 127.0.0.1/32 -o ppp256 -j DROP
      Ich habe es nun geschafft, dass IPv6 durchgereicht wird. Mir wurde irgendwo eine 60er Prefixlänge angezeigt und hier im Forum stand glaube ich auch irgendwo etwas von 48. Dieser Thread hat mir da weitergeholfen. Nun schaue ich mal, ob Portfreigaben über v6 gehen, dann hab ich schon mal eine Sorge los :)

      Edit: nach einem Neustart ging das natürlich nicht mehr. Ich habe jetzt die Originalfirmware geflasht und die ganze Prozedur wiederholt, diesmal von Anfang an mit dem v4.5er bootstrap. Ich hab mich jetzt ganz genau an die Anleitung gehalten aber es funktioniert noch immer nicht. Der Webserver lauscht auf der externen IP, es wird anscheinend gar nichts zur 2.100 durchgeleitet und IPv6 bleibt ein Traum :(

      Ich habe nur folgende Änderungen gemacht:
      • "sed -ie 's/mic/mic \&/' _bootstrap_/install/profile" (damit ich weiterhin die serielle Schnittstelle erreichen kann)
      • "cd /tmp/rmnt/bin" (als das fsroot noch gemountet war)
        • "mv siproxd siproxd.o" (sipproxd wurde nicht gefunden, in der bootstrap_init.sh wird aber "siproxd" gekillt)
        • "mv dhcp6s dhcp6s.o" (dhcpd6s wurde nicht gefunden, in der bootstrap_init.sh wird aber "dhcp6s" gekillt)
      Es gibt noch ein "dhcp6c", der möglicherweise vergessen wurde.


      Nachdem ich ca. eine Stunde gewartet habe funktioniert IPv6 wieder, die Ports scheinen aber weiterhin durch den SPH geblockt zu werden

      Dieser Beitrag wurde bereits 5 mal editiert, zuletzt von „TheTelekomNutzer“ ()

      @TheTelekomNutzer,

      Was ist denn bei mir so anders?
      ...es funzt halt noch nicht rund. :D
      • Der Webserver lauscht nicht auf der externen IP, sondern die 443 ist auf die Fritz.Box von aussen durchgeleitet. Da Du keine Fritz.Box einsetzt, oder es nicht freigeschaltet ist, reagiert das entsprechende nachgelagerte Device oder auch nicht.
      • Die Datei "dhcp6c" muss auf jeden Fall weiter existieren.
      • Im Skript bootstrap_init.sh werden einige einige Prozesse gekillt, allerdings nur zur Sicherheit. Durch das Umbenennen verhinderst Du schon erfolgreich den Start.
      • die fw.sh kannst Du aufrufen und diese setzt das Regelwerk, welches sich danach nicht mehr ändert.
      • für die IPv6 PD greifen mehere Services und Skripte ineinander
      • fw6.sh - die Fehler kommen, wenn sie bereits einmal ausgeführt wurde
      • der dibbler (DHCPv6) ist so konfiguriert, das er /64 Prefixe rausgibt. Wenn Du das größere (/60) brauchst, musst Du in der Datei /opt/etc/dibbler/server.conf der Wert von 64 auf 60 ändern....und dann am besten einmal "boot".
      Grüße

      danXde

      danXde schrieb:

      Der Webserver lauscht nicht auf der externen IP, sondern die 443 ist auf die Fritz.Box von aussen durchgeleitet. Da Du keine Fritz.Box einsetzt, oder es nicht freigeschaltet ist, reagiert das entsprechende nachgelagerte Device oder auch nicht.

      Vielen Dank, ich habe was IPv4 angeht nicht über den Tellerrand geschaut: Ich habe kein Reverse-NAT. Wenn ich von Intern meine externe IP (87.135.***.***) erreichen möchte, dann bekomme ich als Antwort einen 302er redirect auf 192.168.2.1. Da hab ich nicht gedacht. Das gleiche natürlich dann auch per HTTPS, was erklärt, warum alle Clients, die sich intern befinden plötzlich Zertifikatswarnungen aufpoppen lassen, weil die nämlich von innen die externe DynDNS-Adresse erreichen wollen und dann per HTTPS auf den Speedport stoßen.
      Spoiler anzeigen

      Quellcode

      1. GET / HTTP/1.1
      2. Host: 87.135.***.***
      3. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0
      4. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
      5. Accept-Language: de,en-US;q=0.7,en;q=0.3
      6. Accept-Encoding: gzip, deflate
      7. DNT: 1
      8. Connection: keep-alive
      9. Upgrade-Insecure-Requests: 1
      10. HTTP/1.1 302
      11. Content-Type: text/html
      12. Connection: Close
      13. LOCATION: http://192.168.2.1/html/login/index.html
      14. Content-Length: 0


      Ich kenne mich mit iptables echt null aus, wie kann ich dem SPH denn sagen, dass er Clients, die von innen auf das WAN-Interface anfragen wie externe behandelt werden?

      Dass die anderen Fehler jedenfalls normal sind beruhigt mich...
      @TheTelekomNutzer ...der SPH unterstützt kein reverse NAT.

      Folgender Workaround funktioniert mit dem SPH und einer Fritz.Box:
      • Im SPH per DynDNS die öffentliche IP auf einen Namen mappen.
      • Dann im SPH die Fritz.Box auf genau die URL umbenennen.
      Wenn jetzt ein Client hinter der Fritz.Box die URL aufruft, dann bekommt die Fritz.Box vom SPH die LAN-IP - also die WAN-IP der Fritz.Box aufgelöst. Das erkennt die Fritz.Box und macht den Revere-NAT. Somit können die Clients sowohl im Internet, als auch hinter der Fritz.Box mit dem DynDNS-Namen arbeiten.

      Grüße

      danXde

      danXde schrieb:

      @TheTelekomNutzer ...der SPH unterstützt kein reverse NAT.

      Folgender Workaround funktioniert mit dem SPH und einer Fritz.Box [...]


      Ouh das ist schade, ja ich war bisher treuer Unitymediakunde, ebenfalls mit einer "ConnectBox", welche kein Reverse NAT unterstützt hat. Da habe ich das genau so gelöst, hatte eine FB dahinter. Leider hat z.B. OpenVPN for Android auch im weiten Internet weiter versucht die LAN-IP der FB zu erreichen (wenn ich vorher im Lan verbunden war und konnte keine DNS-Anfragen starten weil es sich selbst nicht ins Internet lässt -> durchgehend aktives VPN), wodurch natürlich keine Verbindung zustande kam. Ich werde einen pihole-DNS Server einsetzen, da kann ich das einstellen. Ist schade, aber wenn es nicht anders geht okay.
      So also ich habe mich jetzt mal an IPv6 versucht: Eine Internetverbindung ist grundsätzlich über v6 möglich, allerdings dauert das Beziehen der Adressen manchmal 5 Minuten, das ist irgendwie merkwürdig, aber okay...

      Ich bekomme aber durchgehend (im Sekundentakt) martian-logeinträge auf das hinter den SPH geschaltete USG. Der folgende log wiederholt sich mit diesen zwei IP Adressen ewig:

      Brainfuck-Quellcode

      1. Sep 27 00:52:05 Gateway kernel: IPv4: martian source 192.168.2.1 from 192.168.2.104, on dev eth1
      2. Sep 27 00:52:05 Gateway kernel: ll header: 00000000: ff ff ff ff ff ff b8 be f4 05 4d 35 08 06 ..........M5..
      3. Sep 27 00:52:05 Gateway kernel: IPv4: martian source 192.168.2.1 from 192.168.2.105, on dev eth1
      4. Sep 27 00:52:05 Gateway kernel: ll header: 00000000: ff ff ff ff ff ff b8 be f4 05 5d 4e 08 06 ..........]N..

      Quellcode

      1. ip addr | grep "b8:be:f4:05:4d:35"
      gibt mir nix aus, sowohl auf dem USG, als auf dem SPH. Im SPH ist in der "Übersicht der Geräte im Heimnetzwerk" nur ein Gerät vorhanden, mein USG, welches am Port 1 steckt. Bei dem obigen Headerpaket handelt es sich um einen Header eines ARP-Paketes (letzte 2 Bytes "08 06"). Ich hab keine Ahnung, warum der SPH eine ARP-Anfrage auf nicht-existente IP-Adressen macht (ich vermute mal, er ist es, denn mehr hängt nicht dran und den SPH hab ich nun mal blind geflasht ^^)

      Nachdem ich LTE mal temporär deaktiviert habe (Ohne SIM-Karte gestartet) waren die Meldungen weg... ?(
      Bilder
      • Ethernet_type_II.png

        29,1 kB, 946×167, 27 mal angesehen

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „TheTelekomNutzer“ ()

      Neu

      Oh das hatte ich gar nicht gesehen. Die Martian Packages sind nicht mehr wieder gekommen, was auch immer das war. Allerdings bekomme ich keine IPv6-Adresse zugewiesen, nur eine ULA. Vor ein paar Wochen ging das sporadisch, dann nach ein paar Stunden, dass ich eine GUA bekam. Doch selbst dann haben Portweiterleitungen nicht funktioniert und die GUAs habe ich ständig verloren.

      Das 64er Präfix ist im hintergelagerten Router eingestellt. Wenn ich einen Rechner direkt an den SPH anschließe (LAN2) habe ich schwupps eine v6 und die Firewall ist dafür auch deaktiviert, also so, wie es sein soll. Daher vermute ich, dass es entweder am nachgelagerten USG-Router liegt oder an der Präfixlänge. Was für eine Präfix ruft denn ein Windows-Rechner auf, den ich direkt an LAN2 angeschlossen habe? (dann kann ich das vielleicht auch so einstellen) /128?
      Bilder
      • Screenshot_2019-10-13 Uniquiti.png

        23 kB, 960×639, 9 mal angesehen

      Neu

      @TheTelekomNutzer so richtig weiss ich grad nicht, was bei Dir klemmt. Im Normalfall sollte der Router sich per selbst eine IP per RA aus dem kommunizierten Netz bilden. Dann sollte er sich per IPv6 PD einen Präfix ziehen.

      Die Lösung ist eigentlich so gestrickt, das der LAN-Bereich nicht automatisch kommplett freigegeben ist, sondern hierfür sollen immer die Standard-Telekom Filterregeln für IPv6 noch gelten. Nur für den per IPv6 PD bezogenen /64 wird in der Firewall entsprechend eine Full-Access geschaltet und somit die Verantwortung auf den Nachfolgenden Router übertragen. Zeitgleich wird auch noch ein Routing für den Prefix im SPH zu entsprechendem Router eingerichet.

      Ergo müsste mann mal Step-by-Step prüfen, was davon geht und was nicht.

      Grüße

      danXde