[HowTo] IPv6 inkl. Subnet für das LAN mit SixXS

[GrafHawk]

Hi Marc-Andre,

danke für Deine Hilfe.
Wegen Server-Umbauten in meinem Netz hatte ich bis jetzt keine Zeit.

Jetzt hab ich mich nochmal reingekniet und siehe da, jetzt läuft es.

Der Knackpunkt:
Ich darf bei IPv6 Adresse nicht die IPv6-Adresse eintragen, die ich von SixXS bekommen habe.

Ich krieg von SixXS ein Subnet in der Art:
2axx:19x:53x::/48

Bei IPv6-Adresse kommt das rein: 2axx:19x:53x::1/64
Bei IPv6 Prefix kommt dann das rein: 2axx:19x:53x::/64

So richtig konkret ist das nirgendwo beschrieben.

Hätte mich zum Schluß auch überrascht, wenn es kein Konfigurationsfehler von mir gewesen wäre.

 

[Marc-Andre]

Genau so ist es. Ist aber eigentlich auch logisch. Die IP Adressen des Tunnels sind ja zuerst auch nur für eine einzel Verbindung gedacht. Mit dem request eines Subnetzes wird dieses gesammte Subnet über diesen Tunnel geroutet. WAN seitig via Sixxs haste immer noch deine IP Tunnel IP. An LAN kommt dann eine beliebige IP aus deinem Subnet und via RADVD bekommen an LAN angeschlossene Clients automatisch eine IP, es sei denn man vergibt ihnen selber eine.

Als Gateway kann dann entweder die Verbindungslokale IPv6 Adresse dienen oder die vorgegebene LAN Adresse des Routers. Welche du benutzt ist egal.

Was dir klar sein sollte ist, das Freetz noch keine wirklich gute IPv6 Firewall Konfiguration eingebaut hat. Bedeutet dein gesammtes Sixxs Subnet ist von aussen erreichbar.

MfG Marc-Andre

 

[GrafHawk]

Was dir klar sein sollte ist, das Freetz noch keine wirklich gute IPv6 Firewall Konfiguration eingebaut hat. Bedeutet dein gesammtes Sixxs Subnet ist von aussen erreichbar.

Das ist völlig klar.
Es gibt ja auch die IPv6-Lösung der Labor-Version.
Das geht mit SixXS, 6to4 oder nativ über den Provider (meiner kanns noch nicht).
Auch da fehlt eine Firewall.
Ich denke, da wird man die Entwicklung abwarten müssen.
Ich hab bisher nicht gehört, dass sich da jemand Gedanken macht.
Da muß aber was kommen, sonst kann z.B. jeder meinen Drucker benutzen....

 

[RalfFriedl]

Es gibt inzwischen ein Web-Frontend, das Regeln für iptables setzen kann.

 

[Marc-Andre]

Auch für IPv6 Adressen? Wie heisst das Frontend? Ist es im aktuellen Freetz Trunk enthalten?

MfG Marc-Andre

 

[cando]

nhipt

unterstützt sowohl iptables als auch ip6tables.

Gibt einen eigenen Thread dazu Click

 

[maltic]

Das ist völlig klar.
Da muß aber was kommen, sonst kann z.B. jeder meinen Drucker benutzen....

Bei eingeschalteter W7 Firewall mit Standardeinstellungen eigentlich nicht. Dort ist eingestellt, dass nur vom LOKALEN Subnetz aus auf Resourcen zugegriffen werden kann. Man möge mich berichtigen

 

[GrafHawk]

Bei eingeschalteter W7 Firewall mit Standardeinstellungen eigentlich nicht. Dort ist eingestellt, dass nur vom LOKALEN Subnetz aus auf Resourcen zugegriffen werden kann. Man möge mich berichtigen

Mein Netzwerkdrucker hat keine W7-Firewall.
IPv6 allerdings auch nicht.....

 

[smlgbl]

Hi,
es wäre super, wenn mir jemand weiterhelfen könnte.
Heute habe ich mein Subnet erhalten, folgende Daten:
Subnet IPv6 : 2001:xxx:xxx2::/48
Routed to : 2001:xxx:xx00:xx0::2/64
Your IPv4 : heartbeat

Ich habe eine 7240 mit freetz-Mod und beim radvd folgende Einstellungen drin:
IPv6 Adresse: 2001:xxx:xxx2::1/64
IPv6 Prefix: 2001:xxx:xxx2::/64

Meine Rechner erhalten IP-Adressen aus dem Subnet, können allerdings nicht ohne weiteres aufs IPv6-Netz außerhalb zugreifen, sprich www.kame.net tanzt nicht ;-)

Ich kann auf meinem Linux-Rechner ein weiteres Device einrichten und ihm die Adresse des Tunnelendpunkts ::2/64 zuweisen und eine entsprechende Route hinzufügen. Dann habe ich Zugriff auf kame.net usw. Allerdings nicht ohne das. Ich habe auch schon ein bißchen mit anderen Einträgen beim radvd gespielt ohne das extra-Device, allerdings ohne Erfolg.
Was mache ich falsch? Vielen Dank für eure Hilfe...

 

[Marc-Andre]

Moin!

Kannst du denn im Subnetz den Router Pingen? Sowohl Linklocale als auch gesetzte Adresse?

Wie sehen die Routen im Router aus? Bei mir sieht das nach dem Befehl route -A inet6 so aus: (Nur die relevanten)

Destination                                 Next Hop                                Flags Metric    Ref    Use Iface
2a01:198:200:xxxx::/128                        ::                                      U     0      0        2 lo
2a01:198:200:xxxx::2/128                       ::                                      U     0      13413    2 lo
2a01:198:200:xxxx::/64                         ::                                      U     256    13400    0 sixxs
2a01:198:3xxx:xxxx::/128                       ::                                      U     0      0        2 lo
2a01:198:3xxx:xxxx::1000/128                   ::                                      U     0      9        2 lo
2a01:198:3xxx:xxxx:f01f:7c1:9f44:f21/128   2a01:198:3xxx:xxxx:f01f:7c1:9f44:f21        UC    0      79388    0 lan
2a01:198:3xx:xxxx::/64                         ::                                      U     256    0        0 lan
::/0                                       2a01:198:200:xxxx::1                        UG    1024   18791248 0 sixxs

Von meinen Windows PCs sieht die Route wichtigste dann so aus:

Aktive Routen:
 If Metrik Netzwerkziel             Gateway
 11    266 ::/0                     fe80::215:cff:fede:8d2

fe80::215:cff:fede:8d2 ist die Linklocale Adresse meines Routers.

Von meiner Linuxkiste sieht das so aus:

Kernel IPv6 routing table
Destination                    Next Hop                   Flag Met Ref Use If
::/0                           fe80::215:cff:fede:8d2     UGDAe 1024 0    35 eth0

Auch hier nur auf die Linklokale des Routers. Alle automatisch via RADVD konfiguriert.

Im Tracert sieht das dann so aus:

Routenverfolgung zu www.six.heise.de [2a02:2e0:3fe:100::6] über maximal 30 Abschnitte:

  1    <1 ms    <1 ms    <1 ms  2a01:198:3xxx:xxxx::1000
  2    41 ms    43 ms    42 ms  gw-xxx.dus-01.de.sixxs.net [2a01:198:200:xxxx::1]
  3    42 ms    43 ms    43 ms  sixxs-dus.dus.speedpartner.de [2a01:198:200::1]
  4    46 ms    43 ms    42 ms  speedpartner.r1.dus1.de.opencarrier.eu [2001:7f8:3a:e101::1]
  5    49 ms    47 ms    47 ms  gi1-15.c1.d.de.plusline.net [2001:7f8:8::3012:0:1]
  6    47 ms    49 ms    46 ms  ge1-16.c302.f.de.plusline.net [2a02:2e0:1::45]
  7    45 ms    48 ms    46 ms  te2-4.c102.f.de.plusline.net [2a02:2e0:1::5]
  8    46 ms    48 ms    46 ms  te6-2.c13.f.de.plusline.net [2a02:2e0:1::22]
  9    45 ms    44 ms    49 ms  www.six.heise.de [2a02:2e0:3fe:100::6]

Ablaufverfolgung beendet.

MfG Marc-Andre

 

[smlgbl]

Hey, vielen Dank für die schnelle Antwort. Auf meiner Linux-Kiste habe ich eigentlich die gleiche Routeneinstellung, allerdings kann ich momentan den Router nicht überprüfen da ich Probleme mit Dropbear hatte und ihn deswegen nicht ins Image genommen habe...mit dropbear, auch deaktiviertem hat sich das Image immer wieder neu gestartet, wahrscheinlich hat die initialisierung zu lange gedauert und der Watchdog schlägt zu oder so. Dann muss ich immer ein paar Stunden warten, bis ich wieder Glück habe und die Box startet...
Aber welche Adressen müssen den jetzt beim radvd rein??? Die des Tunnels oder die des Subnetzes? Ich habe das Ganze offensichtlich noch nicht verstanden...

 

[GrafHawk]

Aber welche Adressen müssen den jetzt beim radvd rein??? Die des Tunnels oder die des Subnetzes? Ich habe das Ganze offensichtlich noch nicht verstanden...

Scheint, dass Du es richtig gemacht hast:
Da kommt das Subnetz rein.
Weiter oben (Guckst Du) hatte ich das gleiche Problem.

 

[smlgbl]

OK, dropbear ist wieder drauf...???

route -A inet6
Kernel IPv6 routing table
Destination                                 Next Hop                                Flags Metric Ref    Use Iface
::1/128                                     ::                                      U     0      0        1 lo
2001:xxx:xxx2::/128                         ::                                      U     0      0        2 lo
2001:xxx:xxx2::1/128                        ::                                      U     0      0        1 lo
2001:xxx:xxx2::/64                          ::                                      U     256    0        0 lan
fe80::/128                                  ::                                      U     0      0        2 lo
fe80::/128                                  ::                                      U     0      0        2 lo
fe80::/128                                  ::                                      U     0      0        2 lo
fe80::21a:xxxx:fe06:f8a2/128                ::                                      U     0      0        1 lo
fe80::21c:xxxx:fe06:3f0b/128                ::                                      U     0      0        1 lo
fe80::21c:xxxx:fe06:3f0b/128                ::                                      U     0      0        1 lo
fe80::/64                                   ::                                      U     256    0        0 wifi0
fe80::/64                                   ::                                      U     256    0        0 ath0
fe80::/64                                   ::                                      U     256    0        0 lan
ff00::/8                                    ::                                      U     256    0        0 wifi0
ff00::/8                                    ::                                      U     256    0        0 ath0
ff00::/8                                    ::                                      U     256    0        0 lan

Also, es fehlt offensichtlich eine Route nach draussen...allerdings habe ich auch kein Device namens sixxs? aiccu läuft aber...

 

[Marc-Andre]

Meine AICCU Conf sieht so aus:

/var/mod/root # cat /mod/etc/aiccu.conf
username XXXX-SIXXS
password password
tunnel_id T1xxxx
ipv6_interface sixxs
protocol tic
server tic.sixxs.net
verbose false
daemonize true
automatic true
pidfile /var/run/aiccu.pid

MfG Marc-Andre

 

[smlgbl]

Mhm, meine sieht genauso aus...

 

[Marc-Andre]

Sicher das AICCU läuft?

Wenn keine Route im Router vorhanden ist kann ja auch eigentlich nichts routen. Ein Ping vom Router aus müsste auch ins leere laufen.

/var/mod/root # ping -6 www.six.heise.de
PING www.six.heise.de (2a02:2e0:3fe:100::6): 56 data bytes
64 bytes from 2a02:2e0:3fe:100::6: seq=0 ttl=59 time=47.616 ms
64 bytes from 2a02:2e0:3fe:100::6: seq=1 ttl=59 time=50.867 ms
64 bytes from 2a02:2e0:3fe:100::6: seq=2 ttl=59 time=45.940 ms
64 bytes from 2a02:2e0:3fe:100::6: seq=3 ttl=59 time=47.903 ms
64 bytes from 2a02:2e0:3fe:100::6: seq=4 ttl=59 time=49.638 ms

--- www.six.heise.de ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 45.940/48.392/50.867 ms
/var/mod/root #

MfG Marc-Andre

 

[smlgbl]

Ich habe gerade festgestellt, dass ich kein ping -6 habe...vielleicht fehlen mir auch noch libraries? Habt ihr noch andere reinkompiliert?

zu aiccu:
"ps" sagt:
3210 root 1264 S aiccu start /mod/etc/aiccu.conf

 

[smlgbl]

/var/mod/root # aiccu autotest /mod/etc/aiccu.conf
ip: SIOCADDTUNNEL: No such device
ip: SIOCGIFFLAGS: No such device
ip: SIOCSIFMTU: No such device
ip: SIOCGETTUNNEL: No such device
ip: cannot find device "sixxs"
ip: cannot find device "sixxs"
ip: SIOCGETTUNNEL: No such device
#######
####### AICCU Quick Connectivity Test
#######

Kann meine busybox das nicht? Oder der kernel?

 

[smlgbl]

Ja, scheint am Kernel zu liegen - es gibt kein sit-Modul. Ich muss es per make kernel-menuconfig auswählen, allerdings hat er da grad einen Fehler beim kompilieren. Ich versuchs grade nochmal...aber beim gpio_init() will ich selbst dann doch nichts verändern...

 

[Marc-Andre]

Ich hab es damals nach dieser Anleitung gemacht.

http://freetz.majes.de/speedport/

Lief eigentlich auf anhieb. Allerdings hatte mein Speedport ein Timing Problem, was ich jetzt aber im Griff habe dank ntpd.

MfG Marc-Andre