[Fli4l_dev] fli4l-4.0 und ipv6 - Problem mit den Circuits

Stefan Puschek stefan.puschek at t-online.de
Fr Apr 5 15:37:18 CEST 2019 

Hallo Carsten,
...

vorab: es geht :)
>> circuits.txt
>> [...]
> Schaut gut aus.
> 
>> base.txt
>> [...]
>> OPT_IPV6='yes'
>> IPV6_NET_1='{dhcpv6}+::1:0:0:0:1/64' <- ist das so korrekt?
>> IPV6_NET_2='{dhcpv6}+::2:0:0:0:1/64' <- ist das so korrekt?
> Ja.
> 
>> hoffentlich habe ich nix vergessen...
> Ich vermute mal die ip6tables.

wo gibts denn die? habe ich ein Paket vergessen?

>> Was mich irritiert:
>> ppp2-ipv6=2003:ca:c3bf:9dd::2/64
>> br0-ipv6=2003:ca:c3c9:d901::1/64
>> br1-ipv6=2003:ca:c3c9:d902::1/64
>>
>> ich vermute, mein Prefix ist also
>> 2003:00ca:c3bf:9d - das sind 56 Bit
> Ich würde eher sagen 2003:ca:c3c9:d900::/56 ist der Prefix.
> Wo die ppp2-ipv6 herkommt weis ich nicht,
> bei mir gibt's das nicht, ist aber nicht T-com.

Achtung: wegen Neustart neue Adressen:
stan 4.0.0-r55493-testing # ip addr show
...
2: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state 
UP group default qlen 1000
     link/ether 00:0d:b9:1c:1a:2c brd ff:ff:ff:ff:ff:ff
     inet 192.168.6.1/24 brd 192.168.6.255 scope global br0
        valid_lft forever preferred_lft forever
     inet6 2003:ca:c3cb:3a01::1/64 scope global dynamic
        valid_lft 14249sec preferred_lft 1649sec
     inet6 fe80::20d:b9ff:fe1c:1a2c/64 scope link
        valid_lft forever preferred_lft forever
3: br1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state 
UP group default qlen 1000
     link/ether 06:80:48:7b:33:2f brd ff:ff:ff:ff:ff:ff
     inet 192.168.7.1/24 brd 192.168.7.255 scope global br1
        valid_lft forever preferred_lft forever
     inet6 2003:ca:c3cb:3a02::1/64 scope global dynamic
        valid_lft 14249sec preferred_lft 1649sec
     inet6 fe80::480:48ff:fe7b:332f/64 scope link
        valid_lft forever preferred_lft forever
...
10: ppp2: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc 
pfifo_fast state UNKNOWN group default qlen 3
     link/ppp
     inet 91.32.113.219 peer 62.155.244.25/32 scope global ppp2
        valid_lft forever preferred_lft forever
     inet6 2003:ca:c3bf:b3e::2/64 scope global dynamic mngtmpaddr
        valid_lft 14229sec preferred_lft 1629sec
     inet6 fe80::2/10 scope link
        valid_lft forever preferred_lft forever
...
stan 4.0.0-r55493-testing #

> Mach mal `grep -i "ipv6 prefix" /var/log/sys.log`.

bei mir gibts nur messages...

stan 4.0.0-r55493-testing # grep -i "ipv6 prefix" /var/log/messages
Apr  5 15:21:28 stan local2.notice prefixv6-up[1075]: circ3[ppp2]: IPv6 
prefix 2003:ca:c3cb:3a00::/56 has appeared
stan 4.0.0-r55493-testing #

also bekommen meine br0 und br1 schon mal eine valide v6-Adresse...

>> oder muss ich den Fehler in der PF6-Region suchen?
> Sind deine Netze bei PF6_FORWARD und PF6_POSTROUTING eingetragen.

PF6_INPUT_N='4'
PF6_INPUT_1='tmpl:samba DROP NOLOG'
PF6_INPUT_1_COMMENT='no samba traffic allowed'
PF6_INPUT_2='[fe80::0/10] ACCEPT'
PF6_INPUT_3='IPV6_NET_1 ACCEPT'
PF6_INPUT_4='IPV6_NET_2 ACCEPT'


PF6_FORWARD_N='2'  <----  das war der Fehler :)
PF6_FORWARD_1='tmpl:samba DROP'
PF6_FORWARD_2='IPV6_NET_1 IPV6_NET_2 DROP NOLOG'
PF6_FORWARD_3='IPV6_NET_2 IPV6_NET_1 DROP NOLOG'
PF6_FORWARD_4='IPV6_NET_1 ACCEPT'
PF6_FORWARD_5='IPV6_NET_2 ACCEPT'


PF6_POSTROUTING_N='2'
PF6_POSTROUTING_1='IPV6_NET_1 MASQUERADE'
PF6_POSTROUTING_2='IPV6_NET_2 MASQUERADE'

wieso eigentlich MASQUERADE? ich dachte, dass das bei ipv4 das NATTEN 
war - und das gibts doch bei ipv6 nicht mehr? aber es funktioniert 
trotzdem - ein Wunder!!!!!eins elf

> Was sagt `ip6 route`?

stan 4.0.0-r55493-testing # ip6 route
-sh: ip6: not found
stan 4.0.0-r55493-testing # ip route
default via 62.155.244.25 dev ppp2 onlink
62.155.244.25 dev ppp2 proto kernel scope link src 91.32.113.219
192.168.6.0/24 dev br0 proto kernel scope link src 192.168.6.1
192.168.7.0/24 dev br1 proto kernel scope link src 192.168.7.1
stan 4.0.0-r55493-testing #

warum habe ich kein ip6?

Jedenfalls geht jetzt auf dem Mac auch ipv6 und die ipv6-Testseite im 
Internet meldet auch, dass ich jetzt ipv6 habe.

cartman:~ stefan$ ping6 heise.de
PING6(56=40+8+8 bytes) 2003:ca:c3cb:3a01:a1e3:d47d:c8c0:afd3 --> 
2a02:2e0:3fe:1001:302::
16 bytes from 2a02:2e0:3fe:1001:302::, icmp_seq=0 hlim=57 time=16.493 ms
16 bytes from 2a02:2e0:3fe:1001:302::, icmp_seq=1 hlim=57 time=16.204 ms
^C
--- heise.de ping6 statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 16.204/16.349/16.493/0.144 ms
cartman:~ stefan$

Vielen Dank für die Hilfestellung - irgendwann werde ich das vlt. mal in 
ein how-to schreiben, damit andere Leute schneller zum Ziel kommen als 
ich...

Groetjes
Stefan

Mehr Informationen über die Mailingliste Fli4l_dev