[Fli4l_dev] Telekom Dualstak Zugang und IPv6

Roland Franke roland at franke-prem.de
Sa Okt 14 09:39:46 CEST 2017 

Hallo Christoph,

wie schon mal geschrieben. Im internen Netz funktionieren
Namensauflösung und Ping mit IPv6 ohne Probleme.

> - Wie sehen die Routen auf deinem Windows-Client aus? "route print"
> sollte die gewünschte Ausgabe liefern (bitte nur den IPv6-Teil
> posten).
IPv6-Routentabelle
Aktive Routen:
If Metrik Netzwerkziel             Gateway
  7    281 ::/0                     fe80::290:bff:fe2d:5fc2
  1    331 ::1/128                  Auf Verbindung
  7    281 2003:d8:23d8:6301::/64   Auf Verbindung
  7    281 2003:d8:23d8:6301:7574:46e7:b12a:ff03/128
                                    Auf Verbindung
  7    281 2003:d8:23d8:6301:89a3:fb5d:e6af:282c/128
                                    Auf Verbindung
  7    281 fe80::/64                Auf Verbindung
22    281 fe80::/64                Auf Verbindung
  7    281 fe80::7574:46e7:b12a:ff03/128
                                    Auf Verbindung
22    281 fe80::81a6:1406:5e9d:423c/128
                                    Auf Verbindung
  1    331 ff00::/8                 Auf Verbindung
  7    281 ff00::/8                 Auf Verbindung
22    281 ff00::/8                 Auf Verbindung

Ständige Routen:
  Keine

> - Hast du auch Nicht-Windows-Clients (z.B. ein Linux-System) getestet?
> Hat es dieselben Probleme?
Gerade meinen Raspberry angeschmissen. Gleiche Thematik.
Nach Heise kein response bei ping6 www.heise.de
auf den Router bekomme ich eine Antwort.

> - Was zeigt die Ausgabe von "ip6tables -S FORWARD-head" auf dem
> fli4l-Router? Und was ist die Ausgabe von "ip6tables -S FORWARD-middle"
> und "ip6tables -S FORWARD-tail"?
ip6tables -S FORWARD-head
-N FORWARD-head
-A FORWARD-head -m conntrack --ctstate RELATED,ESTABLISHED -m 
comment --comment PF6_FORWARD_ACCEPT_DEF -j ACCEPT
-A FORWARD-head -m conntrack --ctstate INVALID -m comment --comment 
PF6_FORWARD_ACCEPT_DEF -j DROP
-A FORWARD-head -s ::1/128 -m conntrack --ctstate NEW -m comment --comment 
PF6_FORWARD_ACCEPT_DEF -j DROP
-A FORWARD-head -d ::1/128 -m conntrack --ctstate NEW -m comment --comment 
PF6_FORWARD_ACCEPT_DEF -j DROP
-A FORWARD-head -m rt --rt-type 0 -j DROP
-A FORWARD-head -m conntrack --ctstate NEW -m comment --comment 
PF6_FORWARD_ACCEPT_DEF -j PORTFWACCESS

ip6tables -S FORWARD-middle
-N FORWARD-middle
-A FORWARD-middle -p tcp -m tcp --dport 139 -m comment --comment 
"PF6_FORWARD_1=\'tmpl:samba DROP\'" -j DROP
-A FORWARD-middle -p tcp -m tcp --dport 445 -m comment --comment 
"PF6_FORWARD_1=\'tmpl:samba DROP\'" -j DROP
-A FORWARD-middle -p udp -m udp --dport 137:138 -m comment --comment 
"PF6_FORWARD_1=\'tmpl:samba DROP\'" -j DROP
-A FORWARD-middle -s ::1/128 ! -d ::1/128 -m comment --comment 
"PF6_FORWARD_2=\'IPV6_NET_1 ACCEPT\' (PLACEHOLDER:2)" -j ACCEPT

ip6tables -S FORWARD-tail
-N FORWARD-tail
-A FORWARD-tail -j fw-rej

> - Kann man die Echo-Pakete mit tcpdump sehen? Ein
>     tcpdump -vvn -i ppp1 icmp6 and host 2a02:2e0:3fe:1001:302::
>  auf dem fli4l sollte die ICMPv6-Pakete an heise.de in beiden
> Richtungen zeigen. Bei mir sieht das so aus:

Da sehe ich nichts. Allerdings ist die Frage nach dem Interface.
Du hast hier oben ppp1 angegeben (Wäre bei mir der IPv4 Circuit)
Ein ppp2 Interface habe ich (Nach Webinterface) nicht
Ein ip link am router bringt mir:
ip link
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode 
DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state 
UP mode DEFAULT group default qlen 1000
    link/ether 00:90:0b:2d:5f:c2 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state 
UP mode DEFAULT group default qlen 1000
    link/ether 00:90:0b:2d:5f:c3 brd ff:ff:ff:ff:ff:ff
4: ippp0: <POINTOPOINT,NOARP> mtu 1500 qdisc noop state DOWN mode DEFAULT 
group default qlen 30
    link/ppp
5: ippp1: <POINTOPOINT,NOARP> mtu 1500 qdisc noop state DOWN mode DEFAULT 
group default qlen 30
    link/ppp
6: imq0: <NOARP,UP,LOWER_UP> mtu 16000 qdisc htb state UNKNOWN mode DEFAULT 
group default qlen 11000
    link/void
7: imq1: <NOARP,UP,LOWER_UP> mtu 16000 qdisc htb state UNKNOWN mode DEFAULT 
group default qlen 11000
    link/void
8: ppp1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc pfifo_fast 
state UNKNOWN mode DEFAULT group default qlen 3
    link/ppp

Die Circuits im Webinterface werden mit:
   Id       Alias      Type     Interface       Name 
Klassen          Depends       Dialmode       State       Change
circ1      ppp1      ppp       ppp1           DSL-IPv4 
internet-v4                                                  online
circ2      dhcp0    dhcp   {DSL-IPv4}     DHCPv6-PPPoE       internet-v6 
DSL-IPv4                             online

angezeigt.

> ....
>
> - Letzte Frage: Werden Ping-Antworten evtl. von deiner lokalen
> Windows-Firewall blockiert/gefiltert? Soll vorkommen...

Ich habe die auch mal testhalber komplett ausgeschaltet. Kein Unterschied.

Gruß Roland

Mehr Informationen über die Mailingliste Fli4l_dev