Die Fritzbox im IPv6-only Modus

hier am Beispiel der 7583

• ein ISP mit DS-lite oder Dualstack, bei dem die Einwahl im IPv6-only-Modus funktioniert (hier mnet)
  
• der ISP sollte DNS-Resolver via IPv6 anbieten (alternativ kann man andere eintragen)
  
• die Telefonie muss über IPv6 erfolgen, nachprüfbar bei "Telefonie" >> "Eigene Rufnummern" >> "Rufnummern" >> "Neue Rufnummer"  >> "Internettelefonie-Anbieter kontaktieren über" oder wenn es schon eingerichtet ist, dürfen bei "Telefonie" >> "Eigene Rufnummern" >> "Sprachübertragung" nur IPv6-Adressen erscheinen
• für den "Push Service" unter "System" >> "Push Service" >> "Absender" >> "SMTP-Server" muss der angegebene Server über IPv6 erreichbar sein, z.B. bei Hetzner,
  
• für den Zeitserver unter "Heimnetz" >> "Netzwerk" >> "weitere Einstellungen" >> "Zeitsynchronisation" "Zeitserver" müssen Zeitserver über IPv6 erreichbar sein
  
• die eigenen VPN-Partner (Wireguard, IPsec) müssen IPv6 verwenden
• die AVM-eigenen und fremde Dienste (myfritz, Updatesuche, Diagnose/Supportdatenversand, Wetter fürs Fritzfon usw.) unterstützen seit dem Frühjahr 2024 IPv6

Maßnahmen:

• LAN: Deaktivieren des DHCPv4-Servers unter "Heimnetz" >> "Netzwerk" >> "Netzwerkeinstellungen" >> "IPv4 Einstellungen" Haken bei "DHCP-Server aktivieren" entfernen
• WAN: "Internet" >> "Zugangsdaten" >> "IPv6" >> "IPv6-Anbindung">>" Nur IPv6 verwenden"

Das war es im Wesentlichen. Nun wird man aber feststellen, dass wirklich nur noch Webseiten und Dienste erreichbar sind, die IPv6 sprechen.

Um dem zu begegnen gibt es mehrere Möglichkeiten:

• man baut es wieder zurück und nutzt wieder DS-lite oder Dualstack
• man nutzt auf Clientseite dauerhaft VPN
• man nutzt DNS64/NAT64

Ich habe mich testweise für ein externes NAT64-Gateway entschieden.

Das von level66.network. Die Daten stehen auf nat64.xyz.

DNS64 habe ich nicht von dort genommen. Ich verwende intern (einstellbar unter "Heimnetz" >> "Netzwerk" >> "Netzwerkeinstellungen" >> "IPv6-Einstellungen" >>  "DNSv6-Server im Heimnetz" einen eigenen Resolver/Forwarder mit dieser Software: https://gitlab.com/miyurusankalpa/IPv6-dns-server mit folgenden Einstellungen:

{
  "dns_resolver":"fddd:ec8c:894b:0:de39:6fff:fe3c:aa41",
  "self_resolver":"fddd:ec8c:894b:0:dea6:32ff:feb7:f781",
  "self_port":"53",
  "dns64_range":"2001:67c:2960:6464::",
  "aggressive_v6":false,
  "v6_only":true,
  "remove_v4_if_v6_exist":false,
  "dns64":true,
  ...

}

Wobei dns_resolver die Fritzbox ist, self_resolver der Raspi, auf dem die DNS-Software läuft, und dns64_range der Bereich von level66.network ist.

Warum verwende ich diese Software anstelle des bereits vorhandenen DNS64-Resolvers?
Sie erhöht die IPv6-Aubeute bei zahlreichen hinter CDN befindlichen Webseiten und sie filtert A-Records raus.

Ich habe bewusst keine DNS64-Server auf der WAN-Seite der Fritzbox eingetragen.
Es gibt Fritzboxen (6850 5G), die bei vorhandenem DNS64/NAT64 clat aktivieren, allerdings nicht bei der Einstellung "Nur IPv6 verwenden" (das ist auch gut so).

Ergänzung vom 30.12.2024

Das Setup läuft jetzt problemfrei seit zwei Monaten. Daher werde ich es behalten.

Bei der Fritzbox 6850 5G kann dieser Modus auch verwendet werden, allerdings nur in den Netzen von der Telekom (mit wkp(64:ff9b::/96) nat64), O2 (ohne nat64 gateway) und 1&1 (mit wkp(64:ff9b::/96) nat64). Vodafone erlaubt keine "IPv6-only-Einwahl". Nachteilig ist hier allerdings, dass das Wireguard VPN danach nicht rebootfest ist. D.h nach einem Neustart der Fritzbox muss man kurzzeitig manuell eine Dualstackverbindung herstellen. Ich habe das Problem bei AVM gemeldet. Mal sehen wann es repariert wird. "Neu verbinden" und (vom Provider unterbrochene) Verbindungen sind zum Glück davon nicht betroffen.