1

Frage

2

Antwort

3

Lösung

EasyBox 804 sendet falsche Router-Advertisements (RAs)
PfauSechs
Daten-Fan
Daten-Fan

Es ist ja schon mehr als traurig und arm genug, das Vodafone im Jahre 2019 immer noch kein Dual-Stack für DSL beherrscht, während ~30% des Internetverkehrs mittlerweile per IPv6 stattfindet. 

Leider verhindert obendrein ein Implementierungsfehler in der EasyBox 804, dass man sich auf andere Weise (6in4-Tunnel u.ä.) Zugang zu IPv6 verschaffen, und dieses in seinem LAN routen kann:

Die EasyBox sendet nämlich IPv6 Router-Advertisements, schreit also in's LAN hinein "Ich bin der IPv6-Router, alles an IPv6 wird durch mich geroutet", obwohl WAN seitig IPv6 nicht zur Verfügung steht. Dadurch werden legitime, richtige Routen, welche etwa über einen Tunnelendpunkt geroutet und von diesem richtigerweise per RA angekündigt werden,  fälsichlicherweise auf den Endgeräten von den EasyBox-RAs ständig wieder falsch überschrieben. Dieses verhalten ist auch nicht abschaltbar/konfigurierbar. Dieser Fehler wäre durch ein Firmware-Update behebbar, so dass dann nur noch IPv6 RAs gesendet werden, wenn IPv6 auch WAN-seitig zur Verfügung steht.

Das aktuelle Verhalten der Easy-Box stellt einen erheblichen technischen Mangel dar, dadurch Wege, IPv6-Teilnehmer zu erreichen, sabotiert werden.

2 Antworten 2
RobertP
Giga-Genie
Giga-Genie

Die "Kiste" ist mittlerweile auch schon rund vier Jahre alt.

Ich bezweifle, dass da noch ein Firmwareupdate kommt was dieses Problem behebt. 

TroTOUtH
Daten-Fan
Daten-Fan

Ähnliches kann ich von der neuen EasyBox 805 berichten. Meine sendet alle 16 Sekunden (sogar ohne DSL) ein IPv6-Präfix für ULA. Außerdem bewirbt sie sich als DNS-Server (RDNSS). Dadurch versucht so manch angeschlossenes Gerät über DNSv6 vergeblich Web-Adressen aufzulösen. Folglich ist das nicht nur ein Problem für IPv6-Tunnel sondern auch wenn man seine Box als reinen WLAN-Access-Point recyceln will. Und das obwohl Vodafone Deutschland sogar in einem Video behauptet, man könne eine EasyBox 804/5 einfach so als WLAN-Access-Point nutzen. Das betrifft nicht nur jene Geräte direkt an der EasyBox, sondern diese RAs strömen durch das ganze Heimnetz – es betrifft „alle“ IPv6-fähige Geräte. Aber es betrifft dann doch nicht alle Geräte – sondern nur jene, die DNSv6 vor DNSv4 machen und die EasyBox als primären DNS-Server eintragen. Folglich wirkt der Fehler bei vielen Nutzern so, als wäre er rein zufällig. Manchmal „helfen“ auch Neustarts, weil sich dann die Reihenfolge der DNS-Server ändert.

 

Workaround A

EasyBoxen setzen Präfix und das RA selbst auf „mittlere Priorität“ (Medium). Ein Workaround ist daher den eigentlichen IPv6-Router auf „höchste Priorität“ zu setzen (High). In einer AVM FRITZ!Box macht man das unter fritz.box → Heimnetz → Netzwerk → Netzwerkeinstellungen → Weitere Einstellungen → (Taste) IPv6-Adressen.

 

Workaround B

Logge Dich z.B. mit Mozilla Firefox auf die Web-Oberfläche Deiner EasyBox ein → Modus: Experte → Einstellungen → IPv4 → (Heimnetz allein reicht aus) DHCP-Server: Aus → (Taste) Anwenden. Danach:

  1. links im Menü einen Rechts-Klick z.B. auf Firmware-Update → im Kontext-Menü wählst Du „Element untersuchen“
  2. ändere „sub=59“ in „sub=ipv6“ und zum Schluss
  3. einen Normal-Klick auf Firmware-Update.

So müsste sich ein neues Menü mit der Überschrift „IPv6“ öffnen. Hier schaltest Du „ULA aktivieren“ aus und bestätigst es unten durch (Taste) Anwenden. Jetzt musst Du nur noch die EasyBox einmal neu starten.

 

Danach versendet eine EasyBox zwar immer noch RAs. Aber nun steht darin weder ein IPv6-Präfix noch ein DNS-Server. Das Vodafone-Team wäre gut beraten, jenes Video bei YouTube zu entfernen, solange bis Vodafone dieses IPv6-Menü durch ein Firmware-Update freischaltet. In jenem Video wird nämlich nur erklärt, wie die EasyBox 804 in IPv4 nicht mehr als Router fungiert. Aber ohne einen der beiden obigen Workarounds bleibt die EasyBox in IPv6 ein DNS-Server und bringt so viele Geräte im Heimnetz durcheinander.

 

@PfauSechs hast Du Deine EasyBox 804 noch? Kannst Du bestätigen, dass das auch Dein Problem löst? Das Ganze ist nämlich noch komplexer: Hat eine EasyBox 804/5 kein WAN, dann setzt sie richtigerweise ihre RA-Router-Lifetime auf Null. Das entspricht RFC 7084 Anforderung G-4. Dadurch hätte ich erwartet, dass kein Betriebssystem sich überhaupt die RA anschaut. Aber Vieles was ich hier so probiere, schnappt sich dann doch den RDNSS der EasyBox. Das ist irgendein Fehler – entweder eine Ungenauigkeit in der RFC selbst und/oder sogar Implementierungsfehler auf Seiten der Betriebssysteme. Das wohl Einfachste wäre, Vodafone schaltet erstmal dieses IPv6-Menü frei. Vielleicht kann das Vodafone-Team parallel dazu den zuständigen Fachmann im Konzern finden. Dann müsste der schauen, ob das nicht ein weitergehender Fehler ist, der bei allen Beteiligten angesprochen werden muss. Vielleicht müsste Vodafone einen dedizierten Modus „IP-Client“ beim Hersteller fordern; also Router wirklich ganz abschalten. So ginge übrigens auch das Firmware-Update, wenn man seine EasyBox rein als Access-Point nutzt. Das Online-Firmware-Update geht nämlich bei mir auch nicht. Man, man, so Sachen möchte ich wirklich nicht in der telefonischen Produkt-Unterstützung erleben. Selbst nach einer Analyse mittels Wireshark – der Filter lautet übrigens „icmpv6.type == 134“ – wahnsinnig komplex. Naja, wenigstens die obigen beiden Workarounds haben jeder für sich bei mir geholfen.