Das Teredo Protokoll wurde von Microsoft ins Leben gerufen, und kommt bei Direct Access, sowie der XBox zum Einsatz. Es ist ein Tunnelprotokoll, dass hinter einer Firewall stehende Geräte, direkt aus dem Internet erreichbar macht. Wer Teredo aktiviert, sollte sich möglicher Gefahren bewusst sein!
RFC 6169 mit dem Titel Security Concerns with IP Tunneling beschreibt die Probleme, die durch Tunneladapter, darunter auch Teredo, entstehen können.
Telnet aktivieren
Bei der FritzBox 7170 ist es nicht möglich Teredo per GUI zu aktivieren. Die freundlichen Entwickler von AVM haben aber eine Möglichkeit eingebaut, Telnet auf der FritzBox zu aktivieren. Am einfachsten geht das, indem ein Telefon an der FritzBox ansgeschlossen wird. Mit einem Anruf schaltet die Fritzbox die entsprechende Funktion, #96*7* zum aktivieren, #96*8* zum deaktivieren.
Ist kein Telefon angeschlossen, kann die Wählhilfe auf der GUI verwendet werden.
Es werden zwei Telefonbucheinträge erstellt, einer zum aktivieren, einer zum deaktivieren
Nummer anklicken, und bestätigen. Die Nummer wird unsichtbar gewählt. Damit die FritzBox die Config neu einliest, muss sie anschliessend neu gestartet werden.
Firewall anpassen
per telnet, Port 23 z.B. mit Putty, auf die Fritzbox verbinden. Das Passwort ist das, des Webinterfaces
Verzeichnis wechseln: cd /var/flash/
1
2
3
4
5
6
|
# cat ar7.cfg | grep teredo
filter_teredo = yes;
filter_teredo = yes;
filter_teredo = yes;
|
Die drei outputs zeigen an, wie viele Einträge vorhanden sind
mit nvi ar7.cfg wird das File editiert.
/teredo sucht den String teredo, ein erneuter / springt zum nächsten Eintrag, der unter „dslifaces {„ zu finden ist.
Mit i in den Insert Mode wechseln, den Eintrag filter_teredo = yes; auf filter_teredo = no; ändern. Mit :wq (write/quit) den Editior verlassen. Mit :q! verlässt man den Editor ohne Speichern
1
2
3
4
5
6
|
# cat ar7.cfg | grep teredo
filter_teredo = YES;
filter_teredo = no;
filter_teredo = yes;
|
mit dem Befehl ar7cfgchanged wird die Config neu eingelesen. Die Firewall übernimmt zwar sofort die Einstellungen, und öffnet Teredo Traffic auf UDP Port 3544, allerdings sollte die FritzBox dennoch resetet bzw. neu gestartet werden. Bei meiner FritzBox kam es vor, dass die Einstellung am nächsten Tag weg war.
Nach der Änderung hat das Teredo Tunneling Pseudo-Interface die Möglichkeit mithilfe der eindeutigen IPv6 Adresse durch den geöffnetet Port zu kommunizieren. Im Gegensatz zu den internen privaten IPv4 Adressen, steht die IPv6 Adresse nicht geschützt hinter einem NAT Gerät. Für alle Geräte, die Teredo nicht benötigen sollte die Funktion, wie im folgenden Beispiel mit der Powershell, deaktiviert werden.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
PS C:\WINDOWS\system32> Set-NetTeredoConfiguration -type disabled
PS C:\WINDOWS\system32> Get-NetTeredoConfiguration
Description : Teredo Configuration
Type : Disabled
ServerName : win8.ipv6.microsoft.com.
RefreshIntervalSeconds : 30
ClientPort : 0
ServerVirtualIP : 0.0.0.0
DefaultQualified : False
ServerShunt : False
|
Windows 8.1, Powershell