Sechs, setzen!
25 Router auf IPv6-Tauglichkeit überprüft
Das Internet Protocol Version 6 ist inzwischen essenziell, nicht nur, wenn man im Netz der per DS-Lite angebundenen Schwiegereltern PC-Service leisten will. Doch selbst zehn Jahre nach dem öffentlichen Start in Deutschland scheitern manche Router schon daran, einfach nur Internet per IPv6 bereitzustellen. Wir haben 25 Geräte in vier Szenarien erprobt und schildern, auf welche Details es zu achten gilt.
Wahrscheinlich ist es Ihnen nicht bewusst, weil es meistens einfach funktioniert: IPv6 ist längst Alltag. So sind Googles Server aus deutschen Netzen schon zu einem hohen Prozentsatz über das moderne Protokoll erreichbar (google.de/ipv6). Doch viele aktuelle WLAN-Router setzen IPv6 falsch um. Dann droht eine aufwendige Fehlersuche.
Deshalb haben wir die IPv6-Funktionen preisgünstiger Wi-Fi-6-Router untersucht, die im Sommer 2022 in Deutschland erhältlich waren. 25 Modelle wohlbekannter wie weniger geläufiger Marken von Amazon bis Zyxel fanden ihren Weg auf den Testtisch. Es sind überwiegend Geräte für den Anschluss über ein externes Modem, die man in kleinen Netzen typischerweise als alleinigen Router einsetzt.
Vier Marken fehlen: Bei QNAP bietet nur die QHora-Serie überhaupt IPv6, aber das Testmuster traf zu spät ein. Die Geräte von GL.iNet beherrschen nur NAT6 für Mobilfunk-Verbindungen sowie PPPoE-Passthrough und funktionieren damit nicht im deutschen Festnetz, was der Hersteller seit 2019 weiß [1]. Mikrotik schied schon in der Akquise aus, weil deren Router seit 2013 immer noch nicht sauber mit dynamischen IPv6-Präfixen umgehen. Die Speedports der Deutschen Telekom blieben unberücksichtigt, weil sie unter anderem wegen dem Point-to-Point-Protocol-over-Ethernet (PPPoE) als alleinigem WAN-Protokoll stark auf das DT-Netz zugeschnitten sind.
Den Rest haben wir in vier zunehmend komplexen Szenarien geprüft: einfaches Websurfen (Internet per PPPoE mit VLAN), Routerkaskaden mit Präfixdelegation (DHCPv6-PD), Routerkaskaden mit PPPoE-Passthrough und Betrieb eines aus dem Internet per IPv6 erreichbaren Servers im internen Netz.
Dabei scheiterten erstaunlicherweise alle Kandidaten irgendwann: meist früh an Selbstverständlichkeiten, manchmal erst spät an Spezialitäten, was wir im Folgenden schildern. Denn aus den Patzern der Firmware-Programmierer können Admins kleiner Netze Nützliches lernen.
Grundlagen und Praxis zu IPv6 liefert [2], die wichtigsten Dinge erläutern wir en passant. Weil die Testergebnisse so schlecht ausfielen, haben wir auf eine zusammenfassende Benotung diesmal verzichtet.
Alles variabel
Manche Hersteller führen mehrere Serien auf unterschiedlichen Software-Grundlagen. Deshalb muss beispielsweise Ihr Netgear-Router nicht dieselben Macken haben wie der hier untersuchte, möglicherweise hat er ganz andere. Auch die jeweils aktuelle Version der Router-Firmware spielt eine Rolle.
Unser Blick ist zwangsweise eingeschränkt, denn wir haben nur den Betrieb in den Netzen der Deutschen Telekom und 1&1 ausprobiert. Selbst der Magenta-Riese zeigt kein einheitliches Verhalten, denn er hat Regio-Tarife, die auf eine andere Infrastruktur bauen. Ebenso muss die IPv6-Implementierung der anderen Internetanbieter auch nicht überall gleich sein.
Durch immer neue Provider, etwa bei der jetzt vielerorts eingezogenen Glasfaser, werden die Feldtests für die Hersteller aufwendiger. So hatte selbst Lancom Systems lange Zeit IPv6-Probleme im Netz der Deutschen Glasfaser.
Internet per PPPoE mit VLAN
Schon beim einfachsten Anwendungsfall Websurfen versagte ein Teil der Testmuster, wenn das Internet über die Telefonleitung (DSL) mittels PPPoE ins Haus kommt. Dieses WAN-Protokoll ist bei DSL-Anschlüssen gebräuchlich, weil es anders als DHCP (Dynamic Host Configuration Protocol, auch IP over Ethernet, IPoE) die Zugangskontrolle per Nutzername und Passwort ermöglicht.
Seit 2007 bietet der größte deutsche Provider, die Deutsche Telekom (DT), in seinem DSL-Netz parallel zum Internet auch Live-Fernsehen über Multicast an (MC-IPTV). Die beiden Dienste laufen über Datenpakete, die mit unterschiedlichen VLAN-Tags markiert sind, Internet mit der VLAN-ID 7, Fernsehen mit ID 8. Inzwischen schwimmt das MC-IPTV zwar auch im Internetdatenstrom mit, aber den gibts nach wie vor nur per VLAN 7.
Doch das dafür nötige VLAN-Tagging auf dem WAN-Anschluss (Wide Area Network, Internet) beherrschen auch 2022 längst noch nicht alle Router (siehe Tabelle ab S. 108), obwohl es weltweit einige andere Provider ebenfalls einsetzen.
Solche Geräte kann man trotzdem an Zugängen mit VLAN-Tagging einsetzen, wenn das Modem die VLAN-Marke in den vom Router herausgehenden Verkehr hineinstopft und aus dem hereinkommenden herauszupft. Das tun auf Wunsch beispielsweise die xDSL-Modems von Draytek. Bei anderen Modellen kann man einen konfigurierbaren Switch zwischen Modem und Router schalten, der das erledigt, aber auch zusätzlich Strom kostet.
Manche Hersteller unterstützen zwar VLANs, aber die Einrichtungsassistenten ihrer Router übergehen diese Funktion, darunter beispielsweise die Geräte von Netgear, Wavlink und Xiaomi. Folglich hat man mit jenen Herstellern Probleme, überhaupt eine Internetverbindung herzustellen, ganz unabhängig von IPv6.
Viele Provider erlauben keine dauerhafte Internetverbindung, sondern trennen sie von sich aus nach einer bestimmten Frist, manchmal 24 Stunden, manchmal ein halbes Jahr. Dann muss der Router den Uplink von sich aus automatisch wieder aufbauen, wobei sich das vom Provider zugeteilte IPv6-Adresspräfix ändert. Damit kommen auch nur jene Router klar, die in der Tabellenzeile „PPPoE-Zwangstrennung“ zwei Haken haben.
Sie müssen das alte Präfix invalidieren, damit die Geräte im internen Netz wissen, dass sie sich eine neue IPv6-Adresse setzen müssen. Dafür sollten Router-Advertisement-Pakete ausreichen (Stateless Address Autoconfiguration, SLAAC). Aber manche älteren Betriebssysteme, beispielsweise Windows 8, erwarten zusätzlich einen DHCPv6-Server, der einen per IPv6 erreichbaren DNS-Resolver mitteilt.
Adresszwang
Deshalb enthalten die meisten Router auch einen DHCPv6-Server. Manche zwingen die (W)LAN-Geräte aber auch unnötigerweise per Stateful DHCPv6, sich ihre IPv6-Adresse dort zu holen.
Verbindet der Router sich neu, dann ändert sich das Präfix und damit die IPv6-Adressen des Routers und seiner Hosts. Nun müsste der DHCPv6-Server von sich aus seine Clients neu konfigurieren können, wofür DHCPv6 den optionalen Nachrichtentyp „Reconfigure“ kennt. Dummerweise unterstützen viele Betriebssysteme wie macOS und Ubuntu das nicht.
Um ein Präfix invalidieren zu können, darf der Router daher nicht auf DHCPv6 bestehen, sondern muss „Stateless DHCPv6“ anbieten. Damit weist er dem Host keine Adresse zu, sondern teilt nur Zusatzinformationen mit, etwa Serveradressen, um Domains in IP-Adressen (DNS) aufzulösen und die Zeit zu synchronisieren (NTP). Setzt der Router hier seine eigene global gültige IPv6-Adresse mit dem aktuellen Präfix ein (Global Unicast Address, GUA, siehe auch [3]), also das IPv6-Äquivalent der öffentlichen IPv4-Adresse, dann kann er diese Information ebenfalls nicht invalidieren. In der Folge kennt der Client nach der Zwangstrennung nur einen unerreichbaren DNS-Server.
Dann fährt eine pragmatische Nutzerin den Computer herunter, startet den Router neu und danach den PC. Der planerische Kunde greift zur Brechstange, hängt seinen Router an eine Zeitschaltuhr und startet ihn so jede Nacht neu.
Schlauer ist, auf DHCPv6 zu verzichten, indem der Router den DNS-Server über die RDNSS-Option (Recursive DNS Server) in seinen Router-Advertisements mitteilt. Das geht beispielsweise beim Huawei-Router, indem man „Stateful DHCPv6“ ausschaltet und „SLAAC mit RDNSS“ nutzt.
Verbindungsaussetzer
Netgears RAX40 bewarb nach einer Zwangstrennung sowohl das alte als auch das neue Präfix. Ubuntu arbeitete einfach weiter, weil es zufälligerweise das zweite und damit neue Präfix nutzt. macOS hingegen blieb beim ersten und damit alten Präfix, IPv6 ging kaputt. Ferner fiel uns beim RAX40 auf, dass der Router nach einem Neustart, beispielsweise nach einem Stromausfall oder Firmware-Update, den Provider nicht mehr nach IPv6 fragt.
Amazons eero 6+ versuchte nach der Zwangstrennung, das alte Präfix zu erneuern, selbst nach einem Neustart. Da hilft nicht einmal die Zeitschaltuhr, sondern man muss jedes Mal IPv6 über die Konfiguration aus- und wieder einschalten.
Zyxels Mesh-Router geriet nach der Zwangstrennung komplett durcheinander und versuchte in Dauerschleife erfolglos, die PPPoE-Verbindung wieder aufzubauen. KuWFis AX1800 mochten wir wegen seiner fehlenden Firewall nicht längere Zeit am Internet betreiben. Deshalb ließ sich nicht überprüfen, wie er auf Zwangstrennungen reagiert.
Google Wifi fragte beim Verbinden den Internetanbieter mit der DHCPv6-Option IA_NA nach einer dauerhaften IPv6-Adresse (Non-temporary Address). Dieses Verfahren nutzt aber kein europäischer Provider und ohne IA_NA-Antwort reichte Google Wifi das per DHCPv6 bezogene IPv6-Präfix nicht ins interne Netz weiter.
Apropos Google: Android-Geräte und Chromebooks haben keinen DHCPv6-Client. Solche Hosts können den DNSv6-Server folglich nur aus den Router-Advertisements lernen. Das wissen anscheinend unter anderem Juplink, Tenda und TP-Link nicht. Bei deren Routern muss man den ab Werk aktivierten DHCPv6-Server ausschalten, damit SLAAC mit RDNSS greift. In der Praxis fällt das normalerweise gar nicht auf, denn Domainnamen werden auch über DNSv4 zu IPv6 aufgelöst; das Netz läuft notfalls ohne DNSv6.
Schließlich macht gelegentlich das PPPoE-Passwort Probleme, das man bei vielen Providern im Kundencenter glücklicherweise ändern kann. 1&1 beispielsweise akzeptiert dafür bis zu 40 Zeichen und den vollständigen 7-Bit-ASCII-Zeichensatz. Mit manchen Routern scheiterte dann die Internetverbindung, leider meist ohne klare Ansage der Ursache.
Weil das PPPoE-Passwort beim Verbindungsaufbau im Klartext fließt, konnten wir sieben Geräte identifizieren, die ein langes und komplexes Passwort auf ihrer Konfigurationsseite zwar akzeptierten, dann aber falsch weitergaben (Belkin, D-Link, Google, Linksys, Netgear, Juplink, Synology). Pragmatiker schließen den alten Router vorübergehend wieder an und ändern im Kundencenter das PPPoE-Passwort. Das Testfeld hat uns gelehrt: maximal 15 Zeichen aus dem Vorrat „[a-z][A-Z][0-9]-_@!.“.
Router-Kaskade mit DHCPv6-PD
Mit als Kaskade hintereinander geschalteten Routern kann man das interne Netz in mehrere Zonen aufteilen. Das nützt beispielsweise Wohngemeinschaften, die sich einen Internetanschluss teilen wollen, wobei aber dennoch jeder Bewohner sein eigenes (W)LAN bekommen soll. Dazu muss der vordere, direkt am Internet hängende Router einen Teil seines vom Provider erhaltenen Präfixes weitergeben (DHCPv6-PD, Prefix Delegation) und sein DHCPv6-Server idealerweise DHCPv6-Reconfigure beherrschen. Beides boten im Testfeld allein AVM und Wavlink.
Ferner muss der vordere Router in seiner Firewall die delegierten Präfixe ausnehmen (Tabellenzeile „Firewall lässt delegierte Präfixe durch“). Nur so kann man Hosts in den Netzen der nachgelagerten Router aus dem IPv6-Internet direkt erreichbar machen – was wiederum nur bei AVM nach etwas Wühlen in den Einstellungen klappte.
Fritzboxen schicken zwar nach einem Präfixwechsel ein Reconfigure an alle DHCPv6-Clients, die sich dafür angemeldet haben. Wegen eines Bugs (siehe Kasten „Fritz-Fehlerchen“) funktionierte das im Test aber nur zwischen Fritzboxen. Damit eignete sich kein einziger Prüfling uneingeschränkt als vorderer Router in einer Kaskade.
Ein extra herangeschaffter DrayTek-Router bot zwar alle nötigen Protokollerweiterungen und -abläufe, aber der Präfixwechsel löste ein Reconfigure nicht automatisch aus. Wir mussten es manuell anstoßen. Ähnlich verhält es sich bei Lancom, deren Router dieses Szenario erst seit dem Sommer 2022 mit LCOS 10.70 beherrschen. Hier kann man aber das Reconfigure in einem Skript hinterlegen, das bei jedem Verbindungsaufbau ausgeführt wird. Deshalb diente ein Lancom-Gerät für die folgende Prüfung als vorgelagerter Router.
IPv6 achteraus
Wenn die Prüflinge nicht als vorderer Router in einer Kaskade taugen, tun sie dies vielleicht als hinterer, der eine Zone abteilt. Hier fallen all jene gleich durch, die schon beim einfachen Websurfen über PPPoE versagt haben.
Ein nachgelagerter Router in einer Kaskade baut seinen Internet-Uplink typischerweise per IPoE auf, womit WAN-seitig DHCP und DHCPv6 inklusive DHCPv6-Reconfigure gefordert sind. Damit blieben als hintere Kaskadenrouter genau zwei übrig, AVMs Fritzbox und Ubiquitis AmpliFi.
Kaskade mit PPPoE-Passthrough
Wenn die Kaskade per DHCP/DHCPv6 scheitert, bleibt als Ausweg, dass der hintere Router selbst eine Internetverbindung per PPPoE aufbaut. Dazu muss der vordere Router dieses Protokoll durchlassen (PPPoE-Passthrough).
Solch eine Mehrfach-Einwahl erlaubt aber nicht jeder Provider: Bei 1&1 gehts, bei der Deutschen Telekom nicht. Wieder fallen alle durch, die schon beim Websurfen versagten und wir müssen nur jene Router betrachten, die VLAN-Tagging beherrschen und zwei Häkchen bei „PPPoE-Zwangstrennung“ haben.
Diesmal patzte ausgerechnet jener Kandidat, der neben der Fritzbox bei der Router-Kaskade glänzte: Ubiquitis AmpliFi machte parallel zu PPPoE immer auch IPoE (DHCP), was in der Konfiguration nicht abschaltbar war. So bekamen Hosts im AmpliFi-Netz gleich zwei IPv6-Präfixe und damit zwei IPv6-Internetzugänge, einmal jenen über die PPPoE-Verbindung und außerdem den per DHCPv6 vom vorgelagerten Router bezogenen.
Internet-Server
Manche wollen einen eigenen, aus dem Internet erreichbaren Server im internen Netz betreiben, sei es für die private Cloud, E-Mail oder auch nur den SSH-Zugang für Wartungseingriffe [4]. Dafür muss ein Router mindestens in seiner IPv6-Firewall einstellbare Dienstfreigaben anbieten. Idealerweise betreibt sein Hersteller einen IPv6-fähigen DynDNS-Dienst, der aus dem internen Hostnamen mit der individuellen Domain des Routers einen globalen Namen fürs Freigabeziel zusammenbaut.
Edimax’ BR-6473AX hatte gleich gar keine IPv6-Firewall: Zwar braucht man so keine Freigaben einzurichten, aber seine (W)LAN-Hosts müssen sich selbst gegen Angriffe aus dem IPv6-Internet schützen. KuWFis AX1800 machte als Firewall-Placebo IPv6-NAT. Das schirmte zwar die IPv6-Hosts im (W)LAN ab, aber der Router selbst stand in Richtung Internet komplett offen. Bei D-Link war die IPv6-Firewall ab Werk deaktiviert. Die „Simple Security Firewall“ – der Begriff stammt aus einem IETF-RFC – lässt sich mit einem Klick aktivieren.
Dienstfreigaben brauchen als Ziel eine Interface-ID (IID) des Servers. Die vollständige GUA taugt bei dynamischen Präfixen nicht, weil die Dienstfreigabe nach dem nächsten Wiederverbinden wegen des neuen Präfixes nicht mehr funktionieren würde.
Die IID ist die hintere, 64 Bit lange Hälfte der IPv6-Adressen, das im (W)LAN individuelle Merkmal jedes Hosts. Diesen Teil kombiniert der Router mit dem IPv6-Subnetz (8 Bit bei einem delegierten /56-Präfix, im internen Netz meist 0x00) und dem aktuellen Providerpräfix zur Server-GUA. An diese Adresse soll die Router-Firewall anhand von separat anzugebenden Dienst-Ports ausgewählten Verkehr durchlassen.
Weil der ausgehende Verkehr eines Hosts bei aktiven Privacy Extensions wechselnde IIDs enthält, muss der Router eine Eingabemöglichkeit für eine konstante IID bieten [4]. Er darf nicht die erste gesehene als konstant annehmen. Das alles machte im Test nur AVMs Fritzbox richtig, alle anderen Kandidaten versagten in Sachen IPv6-Dienstfreigaben.
Wer dem Betriebssystem des Servers vertraut, kann ihn bei defekten IPv6-Freigaben auch als Exposed Host komplett freigeben. Das boten im Testfeld nur AVM, D-Link und Synology. Als Notnagel, der höchstens kurzzeitig für Versuche eingeschlagen werden sollte, schaltet man die IPv6-Firewall ganz ab. Diese Option bieten viele Router (siehe Tabelle), aber bei Cudy und Huawei ging dabei immer auch die IPv4-Firewall aus.
IPv6-Extras
Die Tabellenzeile „Netzwerkzonen“ gibt an, ob neben dem Heim- und dem Gastnetz weitere bei IPv4 und IPv6 voneinander getrennte Bereiche im WLAN möglich sind und ob diese auch als verkabeltes LAN bereitstehen.
Normalerweise können Fritzboxen ihr Gastnetz über einen LAN-Port herausleiten, aber nicht das getestete Modell 5530. Linksys' MR7350 schaltete keinen Port um, sondern aktivierte das VLAN 3 auf den Ethernet-LAN-Buchsen für das Gastnetz.
Die Zeile „ULA“ betrifft die dritte, im internen Netz wichtige IPv6-Adressart neben den GUA (2000::/3, also 2000:0000:0000:0000:0000:0000:0000:0000 bis 3fff:...:ffff, mit Ausnahmen, siehe [3]) und den nur auf den Layer 2 (MAC-Schicht) gültigen Link-Local-Adressen (LLA, fe80::/10). Unique Local Addresses (fc00::/7) erlauben, mehrere lokale IPv6-Netze auch ohne ein öffentliches Präfix zu verbinden. Sie sind sozusagen die IPv6-Entsprechung der privaten IPv4-Adressen.
Router mit mehreren internen Schnittstellen, die zum selben Subnetz gehören, müssen Daten zwischen den Interfaces weiterleiten. So sollten IPv6-Pings mit link-lokalen Adressen zwischen WLAN und LAN fließen. Ob das funktioniert, haben wir bei „LLA transparent …“ verzeichnet. Die Ausnahme war Linksys’ MR7350. Bei ihm scheiterte mit PPPoE am Telekom-VDSL nicht nur der IPv6-Ping von LAN zu WLAN, sondern sogar der von LAN zu LAN, und auch IPv6 nach draußen. Mit IPoE hinter einer Fritzbox pingte es hingegen.
Soll im internen Netz ein Werbeblocker wie Pi-hole als DNS-Resolver laufen, macht man ihn den Clients geschickterweise mit seiner ULA bekannt. Denn schon mit dem Browser kommt man IPv6-mäßig nur per wechselnder GUA oder konstanter ULA auf die Konfigurationsseite des Pi-Hole. Dafür muss der Router das Überschreiben des per RDNSS und DHCPv6 angekündigten DNS-Servers mit einer ULA zulassen (Tabellenzeile „DNS-Server vorgebbar“), optional auch separat fürs Gastnetz und den Router selbst.
Fazit
Nach zehn Jahren öffentlichen IPv6-Betriebs in Deutschland patzte selbst der Klassenprimus Fritzbox immer noch bei Details. Am anderen Ende der Skala waren die Router von Edimax und KuWFi aus unserer Sicht wegen der fehlenden IPv6-Firewall schlicht unbrauchbar. Jene, bei denen IPv6 nach der ersten Zwangstrennung nicht mehr funktioniert, scheiden für den unbeaufsichtigten Alltagsbetrieb aus.
Rechnen Sie bei den übrig bleibenden Modellen spätestens dann mit Problemen, wenn Sie das einfachste Szenario Websurfen hinter sich lassen. Das alles ist indes nur eine Momentaufnahme aus dem Herbst 2022. Die Hersteller dürften nach unseren Hinweisen an Verbesserungen arbeiten. Einige haben die Anregungen jedenfalls kooperativ angenommen. (ea@ct.de)
| IPv6-Eigenschaften gängiger WLAN-Router mit Wi-Fi 6 (Teil 1) | ||||||||||||
| Hersteller | Amazon | ASUS | AVM | Belkin | Cudy | D-Link | Dynalink | Edimax | Huawei | Juplink | Keenetic | |
| Modell | eero 6+ | RT-AX53U | Fritzbox 5530 Fiber | RT1800 | X6 | R15 | DL-WRX36 | BR-6473AX | Wifi | AX3 | RX4-1800 | Carrier |
| Hardware-Version | k. A. | 1.0 | k. A. | k. A. | k. A. | Rev. A | k. A. | 1.0 A | AC-1304 | WS7200 | k. A. | KN-1711 |
| Firmware-Version | 6.11.1-46 | 3.0.0.4.386 | 7.29 | 1.1.00 Build 16 | 1.13.6 | 1.06.07 | 1.10.01.222 | 1.0.23 | 14150.43.81 | 11.0.5.5 | 1.1.H | 3.9 Alpha 5 |
| WAN-Funktionen (Internetanschluss) | ||||||||||||
| IPoE / PPPoE / VLAN-Tagging | ✓ / ✓ / ✓ | ✓ / ✓ / ✓ | ✓ / ✓ / ✓ | ✓ / ✓ / ✓ | ✓ / ✓ / ✓ | ✓ / ✓ / ✓ | ✓ / (✓)1 / – | (✓)1 / ✓ / – | ✓ / (✓)1 / nur 2, 7, 10 | ✓ / ✓ / ✓ | ✓ / ✓ / ✓ | ✓ / ✓ / ✓ |
| IPv6-Firewall | ✓ | ✓ | ✓ | ✓ (abschaltbar) | ✓ (abschaltbar mit IPv4) | ✓ (einschaltbar) | ✓ (abschaltbar) | – | ✓ | ✓ (abschaltbar mit IPv4) | ✓ (abschaltbar) | ✓ |
| PPPoE-Zwangstrennung WAN / LAN ok | – / –2 | ✓ / –3 | ✓ / ✓ | ✓ / ✓ | ✓ / –3 | ✓ / –4 | – / –6 | ✓ / –3 | ✓ / –5 | ✓ / ✓5 | ✓ / –3 | ✓ / ✓ |
| PPPoE-Passwort vollständiges 7-Bit-ASCII | ✓ | ✓ | ✓ | – | ✓ | – | – | – | – | ✓ | ✓ (max. 15 Zeichen) | ✓ |
| LAN und WLAN (internes Netz) | ||||||||||||
| Netzwerkzonen / auch im LAN / mit verschiedenen IP-Subnetzen | 2 / – / (✓)6 | 4 / – / – | 2 / – / ✓ | 2 / – / ✓ | 2 / – / (✓)6 | 2 / – / ✓ | 2 / – / – | 2 / – / (✓)6 | 2 / – / ✓ | 2 / – / (✓)6 | 2 / – / – | 7 / ✓ / (✓)6 |
| SLAAC ohne DHCPv6 / Stateless / Stateful | ✓ / – / – | – / ✓ / ✓ | ✓ / ✓ / ✓ | ✓ / – / – | – / – / ✓ | ✓ / ✓ / ✓ | – / ✓ / ✓ | – / – / ✓ | – / ✓ / – | ✓ / – / ✓ | – / ✓ / ✓ | ✓ / – / – |
| RDNSS in SLAAC | ISP-GUAs | Router-GUA | Router-ULA | ISP-GUAs | Router-GUA | ISP-GUAs | ISP-GUAs + Link-Local | Router-GUA | Router-GUA | Link-Local | – | Link-Local |
| ULA | ✓ (immer) | – | ✓ (immer möglich) | ✓ (immer) | – | – | – | – | – | – | – | – |
| DNS-Server vorgebbar / für Gastnetz / für Router selbst | – / – / ✓ | – / – / ✓ | ✓ / – / ✓ | IPv4 / – / – | ✓ / ✓ / ✓ | ✓ / ✓ / ✓ | IPv4 / – / ✓ | – / – / – | – / – / ✓ | – / – / IPv4 | – / – / ✓ | IPv4 / – / IPv4 |
| LLA transparent zwischen LAN und WLAN | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Funktionen für Server und Kaskaden | ||||||||||||
| DynDNS: IPv4 / IPv6 / per URL / für LAN-Hosts | ✓7 / – / – / – | ✓ / – / – / – | ✓ / ✓ / ✓ / ✓ | ✓ / – / – / – | ✓ / – / – / – | ✓ / GUA / – / GUA | ✓ / – / – / – | – / – / – / – | – / – / – / – | ✓ / – / – / – | ✓ / – / – / – | ✓ / – / ✓ / – |
| Exposed Host bei IPv4 / IPv6 | – / – | ✓ / – | ✓ / ✓ | ✓ / – | ✓ / – | ✓ / ✓ | ✓ / ✓ | ✓ / – | – / – | ✓ / – | ✓ / – | ✓ / – |
| Portfreigaben getrennt für IPv4+IPv6 / Portumleitung / IID | ✓ / ✓ / – | ✓ / ✓ / – | ✓ / ✓ / ✓ | ✓ / ✓ / – | IPv4 / ✓ / – | ✓ / ✓ / – | ✓ / ✓ / – | ✓ / – / – | ✓ / ✓ / – | IPv4 / ✓ / – | ✓ / ✓ / – | IPv4 / ✓ / – |
| DHCPv6-PD ins LAN | – | – | ✓ | – | ✓ | – | – | – | – | – | – | – |
| Firewall lässt delegierte Präfixe durch | – | – | ✓ | – | – | – | – | – | – | – | – | – |
| ✓ ja/vorhanden – nein/nicht vorhanden k. A. keine Angabe | ||||||||||||
| 1 IPv6 fehlerhaft 2 kennt keine dynamischen Präfixe 3 DNSv6 ist GUA 4 altes Präfix nicht invalidiert 5 siehe Text 6 nur IPv4, kein IPv6 7 mit Secure+-Abo | ||||||||||||
| IPv6-Eigenschaften gängiger WLAN-Router mit Wi-Fi 6 (Teil 2) | |||||||||||||
| Hersteller | KuWFi | Linksys | Netgear | Strong | Synology | Tenda | TP-Link | Turris | Ubiquiti | Wavlink | Xiaomi | ZTE | Zyxel |
| Modell | AX1800 | MR7350 | RAX40 | Mesh 2100 | RT6600ax | TX9 Pro | AX55 | Mox | AmpliFi Instant Router | WL-WN531AX2 | AX3200 | T3000 | Multy M1 |
| Hardware-Version | DM2-T-MB5EU | 1.0 | 1.0.5 | RN510 | k. A. | k. A. | 1.0 | k. A. | AFi-INS-R | Rev. A | RB01 | k. A. | WSM20 |
| Firmware-Version | 2020-Dec-05 | 1.1.7. 09317 | 1.0.5. 104_1.0.1 | 3.1.0.11 | 1.3.1-9346 | 22.03.02.10 | 1.1.0.64552 | 5.3.11 (HBS) | 3.6.4 RC 1 | 2021-Dec-27 | 1.0.83 | 1.0.0B02 | 1.00(ABZF.4)C0 |
| WAN-Funktionen (Internetanschluss) | |||||||||||||
| IPoE / PPPoE / VLAN-Tagging | ✓ / ✓ / – | ✓ / ✓ / ✓ | ✓ / ✓ / ✓ | ✓ / ✓ / – | ✓ / ✓ / ✓ | ✓ / ✓ / – | ✓ / ✓ / ✓ | ✓ / ✓ / –1 | ✓ / ✓ / ✓ | ✓ / ✓ / ✓ | ✓ / ✓ / ✓ | (✓)2 / (✓)2 / – | ✓ / ✓ / – |
| IPv6-Firewall | – | ✓ (abschaltbar) | ✓ | ✓ (einschaltbar) | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | n. t. | ✓ (abschaltbar) |
| PPPoE-Zwangstrennung WAN / LAN ok | n. t.4 | ✓ / –3 | – / –4 | ✓ / –5 | ✓ / ✓ | ✓ / –5 | ✓ / ✓ | ✓ / –6 | ✓ / ✓ | ✓ / –6 | ✓ / –6 | n. t. | – / –7 |
| PPPoE-Passwort vollständiges 7-Bit-ASCII | – (max. 32 Zeichen) | – | ✓ | – (max. 32 Zeichen) | – (max. 31 Zeichen) | – | ✓ | ✓ | ✓ | – (max. 31 Zeichen) | ✓ | – (max. 30 Zeichen) | ✓ |
| LAN und WLAN (internes Netz) | |||||||||||||
| Netzwerkzonen / auch im LAN / mit verschiedenen IP-Subnetzen | 2 / – / (✓)8 | 2 / ✓ (nur VLAN3) / ✓ | 2 / – / – | 2 / – / – | 5 / ✓ / ✓ | 2 / – / (✓)8 | 2 / – / – | 2 / ✓ / ✓ | 2 / – / – | 2 / – / – | 1 / n. v. / n. v. | 2 / – / – | 2 / – / – |
| SLAAC ohne DHCPv6 / Stateless / Stateful | – / – / ✓ | – / ✓ / – | – / ✓ / ✓ | – / ✓ / ✓ | ✓ / ✓ / ✓ | ✓ / ✓ / ✓ | ✓ / ✓ / ✓ | – / – / ✓ | ✓ / – / – | – / – / ✓ | – / – / ✓ | ✓ / – / – | ✓ / ✓ / ✓ |
| RDNSS in SLAAC | defekt | Router-GUA | ISP-GUAs + Link-Local | ISP-GUAs | Link-Local | Router-GUA (nur wenn DHCPv6 ausgeschaltet ist) | Router-GUA (nur wenn DHCPv6 ausgeschaltet ist) | Router-ULA | Router-ULA | Router-ULA | Link-Local | – | ISP-GUAs |
| ULA | ✓ (immer) | – | – | – | – | – | – | ✓ (immer) | ✓ (immer) | ✓ (immer) | – | – | – |
| DNS-Server vorgebbar / für Gastnetz / für Router selbst | – / – / IPv4 | IPv4 / – / – | – / – / ✓ | ✓ / – / – | ✓ / ✓ / – | IPv4 / – / IPv4 | IPv4 / – / ✓ | – / – / ✓ | – / – / IPv4 | – / – / IPv4 | IPv4 / – / ✓ | – / – / – | IPv4 / – / IPv4 |
| LLA transparent zwischen LAN und WLAN | ✓ | –4 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Funktionen für Server und Kaskaden | |||||||||||||
| DynDNS: IPv4 / IPv6 / per URL / für LAN-Hosts | – / – / – / – | ✓ / – / – / – | ✓ / – / – / – | ✓ / – / ✓ / – | ✓ / ✓ / – / – | ✓ / – / – / – | ✓ / – / – / – | – / – / – / – | – / – / – / – | – / – / – / – | ✓ / – / – / – | ✓ / – / – / – | ✓ / – / – / – |
| Exposed Host bei IPv4 / IPv6 | ✓ / – | ✓ / – | ✓ / – | ✓ / – | ✓ / ✓ | ✓ / – | ✓ / – | – / – | – / – | ✓ / – | ✓ / – | ✓ / n. t. | ✓ / – |
| Portfreigaben getrennt für IPv4+IPv6 / Portumleitung / IID | IPv4 / ✓ / – | ✓ / ✓ / – | IPv4 / ✓ / – | IPv4 / ✓ / – | ✓ / ✓ / – | IPv4 / ✓ / – | IPv4 / ✓ / – | – / – / – | IPv4 / – / – | IPv4 / ✓ / – | IPv4 / ✓ / – | ✓ / ✓ / n. t. | ✓ / ✓ / – |
| DHCPv6-PD ins LAN | – | – | – | – | – | – | – | ✓ | – | ✓ | – | – | – |
| Firewall lässt delegierte Präfixe durch | – | – | – | – | – | – | – | – | – | – | – | – | – |
| ✓ ja/vorhanden – nein/nicht vorhanden k. A. keine Angabe n. t. nicht testbar | |||||||||||||
| 1 über OpenWrt-LuCI-Oberfläche 2 IPv6 fehlerhaft 3 DNSv6 ist GUA 4 siehe Text 5 altes Präfix nicht invalidiert 6 nur Stateful 7 PPPoE-Wiederanwahl in Dauerschleife 8 nur IPv4, kein IPv6 | |||||||||||||