Keine Internetverbindung über IPv6

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
powwow
Beiträge: 18
Registriert: Mo 07.09.2020, 18:12

Keine Internetverbindung über IPv6

Beitrag von powwow »

Guten Abend,

ich komme gerade leider nicht mehr weiter mit der IPv6 Verbindung meiner Clients. Wir haben einen BlackDwarf via eth0 hinter einer FritzBox und über IPv4 funktioniert die Internetverbindung der Clients an eth1 auch.

Nun wollte ich auch IPv6 an die BlackDwarf Clients über Prefix Delegation verteilen. Leider ohne Erfolg.

FritzBox ist auf "DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen" gestellt und der BlackDwarf auf IPv6 Client mit Prefix Delegation und Router Advertisement. eth0 bekommt jetzt auch eine IPv6 und eth1 hat einen IPv6 Block und verteilt ihn an die Clients.

Soweit so gut. Nur nach den Portfiltern zur weiterleitung funktioniert die Verbindung leider nicht via IPv6. Ein ping6 zum BlackDward funktioniert vom Client nur auf die FritzBox kann ich nicht pingen. Da bekomme ich immer einen Default Drop.

Es scheint an der eth1 Schnittstelle des "internal-network" Objekts zu liegen irgnedwie erkennt er die Clients davon nicht. Wenn ich das "internal-network" Objekt statt über eth1 mit ::/0 definiere kommt zumindest nicht mehr der Default Drop, allerdings kommt der Ping nicht mehr zurück und funktioniert immer noch nicht.

Hat vielleicht jemand eine Idee was ich hier bei der IPv6 Einrichtung vergessen habe?

Vielen Dank und viele Grüße

PS: Wie kann man hier Bilder anhängen?

kennethj
Beiträge: 314
Registriert: Di 25.04.2017, 10:17

Beitrag von kennethj »

Hallo,

Sie müssen im Portfilter neue Netzwerkobjekte mit den IPv6 Adressen anlegen.
Leiderwird in den Netzwerkobjekten wenn man eine Schnittstelle hinterlegt nur die die IPv4 Adressen in Regeln übernommen - die IPv6 Adressen nicht.

Bezüglich der Rückantwort: Hat die Fritzbox eine Rückroute zum Netz hinter der Black Dwarf?

Gruß

Kenneth

powwow
Beiträge: 18
Registriert: Mo 07.09.2020, 18:12

Beitrag von powwow »

Sie müssen im Portfilter neue Netzwerkobjekte mit den IPv6 Adressen anlegen.
Leiderwird in den Netzwerkobjekten wenn man eine Schnittstelle hinterlegt nur die die IPv4 Adressen in Regeln übernommen - die IPv6 Adressen nicht.
Ich habe die entsprechenden v6 Netzwerkobjekte hinzugefügt und den Zonen zugeordnet.

Netzwerkobjekte:

Code: Alles auswählen

id |name                 |address                      |zone
---+---------------------+-----------------------------+----
20 |external-interface   |0.0.0.0/0                    |firewall-external
21 |internet             |0.0.0.0/0                    |external
22 |internal-interface   |eth1                         |firewall-internal
23 |internal-network     |eth1                         |internal
269|internet_v6          |::/0                         |external_v6
271|internal-network_v6  |eth1                         |internal_v6
293|internal-interface_v6|eth1                         |firewall-internal_v6
294|external-interface_v6|0.0.0.0/0                    |firewall-external_v6
Bezüglich der Rückantwort: Hat die Fritzbox eine Rückroute zum Netz hinter der Black Dwarf?
Da sagen Sie etwas. Jetzt hoffe ich, dass man das bei der FritzBox konfigurieren kann.

Hier noch meine Konfiguration. Ich dachte es sind alle Interfaces und Zonen zugeordnet um den IPv6 Zugriff auf das Internet parallel zum IPv4 zu ermöglichen. Aber ich muss etwas übersehen haben. Ein Ping von vom schwarzen Zwerg zur FritzBox von eth1 ist möglich. Aber von einem Client am Zwerg kommt dann immer der Default Drop.

Netzwerkkonfiguration:

Code: Alles auswählen

name |type    |flags                          |qos|zones                                                                                           |state
-----+--------+-------------------------------+---+------------------------------------------------------------------------------------------------+-----
eth1 |ETHERNET|IP6ADV                         |   |internal,firewall-internal,internal_v6,firewall-internal_v6                                     |UP  
eth0 |ETHERNET|DHCP,DHCP6,DHCP6_PREFIX,DYNADDR|   |external,firewall-external,external_v6,firewall-external_v6,vpn-ipsec,firewall-vpn-ipsec,vpn-ppp|UP
Die eth0 scheint allerdings keine IPv6 zu haben. Router Advertisement darf ich auf dem Interface aber nicht aktivieren oder?

Code: Alles auswählen

eth0		ETHERNET	192.168.178.20/24 dynamic	                external firewall-external external_v6 firewall-external_v6
eth1		ETHERNET	192.168.0.1/24 2003:XX:XXXX:XXXX::1/64 dynamic	internal firewall-internal internal_v6 firewall-internal_v6

Portfilter für den Internetzugriff:

Code: Alles auswählen

pos|group     |id|src                |dst                  |service|nat_node             |nat_service|flags                  |timeprofile|qos|applayer|log|route|comment
---+----------+--+-------------------+---------------------+-------+---------------------+-----------+-----------------------+-----------+---+--------+---+-----+-------
1  |default   |1 |internal-network   |internet             |any    |external-interface   |           |ACCEPT,LOG_ALL,HIDENAT |           |   |ANY     |   |     |       
2  |default   |2 |internal-network   |internal-interface   |proxy  |                     |           |ACCEPT,LOG_ALL         |           |   |ANY     |   |     |         
1  |default_v6|85|internal-network_v6|internet_v6          |any    |external-interface_v6|           |ACCEPT,LOG_ALL         |           |   |ANY     |   |     |       
2  |default_v6|86|internal-network_v6|internal-interface_v6|proxy  |                     |           |ACCEPT,LOG_ALL         |           |   |ANY     |   |     |      
Default Routen:

Code: Alles auswählen

id|src|dst                         |router|device|weight
--+---+----------------------------+------+------+------
25|   |0.0.0.0/0                   |eth0  |eth0  |0     # Default v4
34|   |::/0                        |eth0  |eth0  |0     # Default v6
32|   |fd00::e228:6dff:fe36:4554/64|eth0  |eth0  |0     # v6 Route zur FritzBox
31|   |192.168.178.0/24            |eth0  |eth0  |0     # v4 Route zur FritzBox

kennethj
Beiträge: 314
Registriert: Di 25.04.2017, 10:17

Beitrag von kennethj »

Hallo,

als Zonen können Sie auch die "normalen" Zonen verwenden - die Zonen mit dem Zusatz _v6 werden nicht benötigt und können getrost gelöscht werden.

Haben Sie die Möglichkeit auf der UTM das mit einer PPPoE EInwahl zu testen? (mit einem Modem und ohne Fritzbox als Router)

Gruß

powwow
Beiträge: 18
Registriert: Mo 07.09.2020, 18:12

Beitrag von powwow »

als Zonen können Sie auch die "normalen" Zonen verwenden - die Zonen mit dem Zusatz _v6 werden nicht benötigt und können getrost gelöscht werden.
Gut zu wissen aber daran lag es leider nicht. Mein Netzwerkobjekt internal-network_v6 sollte sich aber auch für IPv6 so über die eth1 Schnittstelle definieren lassen oder? Irgendwie scheint die UTM hier nicht zu erkennen, dass die Client IPv6 zum internal-network_v6 Netzwerkobjekt gehört. Definiere ich es über

Code: Alles auswählen

internal-network_v6               |::/0                         |internal_v6
kommt der Ping zumindest durch die UTM durch. Aber es müsste doch auch über die eth1 Definition gehen oder?

Haben Sie die Möglichkeit auf der UTM das mit einer PPPoE EInwahl zu testen? (mit einem Modem und ohne Fritzbox als Router)
Habe leider gerade kein Modem zur Hand.

Kann ich eine Rückroute zur UTM auch definieren ohne in der UTM einen v6 DHCP Pool zu erstellen? Das v6 Netz welches die UTM von der FritzBox bekommt könnte sich ja ändern. Das darf dann ja nicht als statische Route hinzufügen.

Gruß

Benutzeravatar
Mario
Securepoint
Beiträge: 273
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Leider geht es aktuell nicht anders. Unter Umstaenden kommen mit der zukuenftigen v12 Netzwerkobjekte, die sich entsprechend fuer das Prefix automatisch anlegen lassen etc.

Theoretisch brauchen Sie bei der Firewall keinen DHCP-Pool fuer IPv6 angelegen. Sobald auf der entsprechenden Schnittstelle das Router Advertisement konfiguriert wird, werden fuer auf der Schnittstelle konfigurierte IPv6-Netze Adressen verteilt. Ich habe z.B. lokale Netze jeweils auf den Schnittstellen und eben die oeffentlichen IPs. Diese werden alle durchgereicht, bzw. die Clients bekommen eine oeffentliche IPv6-Adresse und eine aus dem lokalen IPv6-Netz, ohne den DHCPv6-Server konfiguriert zu haben.

Kleine Warnung vorweg: An die Clients verteilte Leases fuer oeffentliche IPv6-Adressen koennten eine zu lange Laufzeit aufweisen. Falls die Fritzbox neu startet wird der Client ueber die Firewall eine neue oeffentliche IPv6-Adresse erhalten. Diese wird aber unter Umstaenden nur sekundaer hinterlegt, da das alte Lease weiterhin gueltig ist. Die Entwicklung schaut sich das bereits an. Aber in dem Fall hilft nur das zuruecksetzen der Netzwerkverbindung beim Client.
Rise from your grave!

kennethj
Beiträge: 314
Registriert: Di 25.04.2017, 10:17

Beitrag von kennethj »

Hallo

-> Aber es müsste doch auch über die eth1 Definition gehen oder?

Nein das geht leider nicht - bei der eth1 Definition im Netzwerkobjekt weredn nur IPv4 Adressen ausgelsen und in das Regelwerk geschrieben - nicht IPv6.

-> Das v6 Netz welches die UTM von der FritzBox bekommt könnte sich ja ändern. Das darf dann ja nicht als statische Route hinzufügen.

Das ist mit der Punkt. Aktuell wird bei Ihnen nicht sauber funkitionieren.
Die IPv6 Prefix delegation funktioniert am besten wenn man die PPPoE Einwahl direkt an der UTM macht.
Da Sie auch nur vom ISP ein /64 Netz bekommen, können Sie auch nicht zwischen der Fritzbox und dem Netz inter der Firewall routen.

Hier einmal meine IPv6 Konfig:

Code: Alles auswählen

interface address get
0 |DYNAMIC|eth1    |2003:c2:XXXX:XXXX::1/64

node get
205|internal-interface_v6        |2003:c2:xxxx:xxxx::1/64|firewall-external-telekom
207|internal-network_v6          |2003:c2:xxxx:xxxx::/64  |internal

route get
1 |  |0.0.0.0/0|wan0  |wan0  |0
4 |  |::/0    |wan0  |wan0  |0



Da aber leider das mir zugewiesene IPv6 Subnet /64 nicht statisch sondern dynamisch ist, muss ich aktuell Regelmäßig die Netzwerkobjekte anpasse, da die definition via Schnittstelle nicht funktioniert. ( Es wird dann nicht in die ip6tables geschrieben).

Gruß

powwow
Beiträge: 18
Registriert: Mo 07.09.2020, 18:12

Beitrag von powwow »

Habe jetzt das internal Objekt definiert als:

Code: Alles auswählen

internal-network_v6|::/0                         |internal_v6
Damit kann der Client jetzt per ping6 bis zur FritzBox. Die FritzBox ist eingestellt auf "DNS-Server und IPv6-Präfix (IA_PD) zuweisen". Ich habe ein 56er Netz und die UTM stellt ein 64er auf eth1 zur verfügung.
Leider kommt mein ping6 noch nicht bis ins Internet, weder vom Client noch der UTM direkt. Mir scheint die FritzBox leitet da noch etwas nicht korrekt weiter.
Mit der statischen Route in der FritzBox bin ich mir gerade nicht sicher, da ich hier ja das Netz der UTM nicht kenne kann ich ja noch keine Route angeben an dieser stelle oder?
Zuletzt geändert von powwow am Di 08.09.2020, 16:50, insgesamt 1-mal geändert.

Benutzeravatar
Mario
Securepoint
Beiträge: 273
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Haben Sie denn eine oeffentliche IPv6-Adresse fuer den Client?
Akzeptiert die Fritzboxes Leases anderer Router? Dies musste explizit aktiviert werden.

Sonst rate ich auch zur Verwendung eines VDSL-Modems, wenn moeglich. Dort ist die Implemenation von IPv6 deutlich einfacher und mit der aktuellen Softwareversion gibt es maximal wegen der Lease-Time ein Problem, was ja noch behoben werden wird. 
Rise from your grave!

powwow
Beiträge: 18
Registriert: Mo 07.09.2020, 18:12

Beitrag von powwow »

Haben Sie denn eine oeffentliche IPv6-Adresse fuer den Client?
Ja die UTM Clients haben eine öffentliche IPv6. 
Akzeptiert die Fritzboxes Leases anderer Router? Dies musste explizit aktiviert werden
"Auch IPv6-Präfixe zulassen, die andere IPv6-Router im Heimnetz bekanntgeben" Ist aktiviert. 

Die Pings ins Internet kann ich im Paketmitschnitt auf der FritzBox sehen allerdings die Antwort kommt nicht mehr zurück. Vielleicht muss man doch eine Statische Route setzen oder es hat was mit der FritzBox Firewall zutun, dass sie IPs aus dem UTM Netz nicht durchlässt?

Die UTM scheint aber richtig zu arbeiten jetzt nachdem ich weiß, dass das interne Netz nicht über die Schnittstelle definiert werden darf. Mal sehen was die FritzBox da noch konfigurieren lässt.

Benutzeravatar
Mario
Securepoint
Beiträge: 273
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Vielleicht einfach mal ein Ticket bei uns erstellen, dann schauen wir uns das an.
Rise from your grave!

powwow
Beiträge: 18
Registriert: Mo 07.09.2020, 18:12

Beitrag von powwow »

Nach einem Update der FritzBox von 7.12 auf die 7.19 beta läuft es jetzt. Da war wohl noch ein Käferchen in der IPv6 Prefix Delegation der FritzBox.
Meine Clients an der UTM bekommen öffentliche IPv6 Adressen aus einem 64er Netz von der FritzBox und die Verbindungen funktionieren. SSL VPN mit IPv6 hat dann auch gleich funktioniert.
Vielen Dank für Ihre Hilfe.

Für nachfolgende Leser noch kurz zusammengefasst:
- IPv4 & IPv6 Client und IPv6 Prefix Delegation auf eth0 zur FritzBox
- Router Advertisement auf eth1 an der die internen Clients der UTM hängen.
- Es müssen zusätzlichen IPv6 Portfilter hinzugefügt werden wobei die Konfiguration des internen v6 Netzwerkobjekts nicht über die Schnittstelle zu machen ist sondern:

Code: Alles auswählen

internal-network_v6|::/0                         |internal_v6
- "DNS-Server und IPv6-Präfix (IA_PD) zuweisen" in der FritzBox aktivieren
- "Auch IPv6-Präfixe zulassen, die andere IPv6-Router im Heimnetz bekanntgeben" in der FritzBox aktiveren
- Statische Routen in der FritzBox brauchte ich für mein simples Setup nicht.
- FritzOS 7.12 hat bei mir alles zurück ins UTM Netz verschluckt. Mit 7.19 hat es dann sofort funktioniert.

Benutzeravatar
Mario
Securepoint
Beiträge: 273
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Ok, dann ist ja alles in Ordnung.
Rise from your grave!

powwow
Beiträge: 18
Registriert: Mo 07.09.2020, 18:12

Beitrag von powwow »

Vielleicht noch eine Frage. Ich habe jetzt zusätzlich einen DCHPv6 (fdad:XXXX:XXXX::1/64) Pool für die UTM Clients eingerichtet. Probiere ich jetzt einen Ping6 auf die FritzBox (fd00:XXXX:XXXX::1) kommen die Anfragen aus der fdad:XXXX:XXXX::1/64 Range und nicht von den öffentlichen IPv6 der Clients. Wieso werden die fdad Adressen geroutet und nicht die öffentliche IPv6 der Clients genommen dafür?

Das eigentliche Problem ist. Nachdem dem ich den DHCPv6 Pool auf der UTM eingerichtet habe kommen die Clients zwar noch ins Internet allerdings nicht mehr über IPv6 zur FritzBox. Ein ping6 fd00:XXXX:XXXX::1 sehe ich zwar im UTM Log allerdings kommt keine Antwort von der FritzBox am Client an. Meine Vermutung war jetzt, dass es an der fdad Adresse der Clients liegt und diese eigentlich nicht geroutet werden sollte zur FritzBox?

Benutzeravatar
Mario
Securepoint
Beiträge: 273
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Ich bin jetzt nicht 100%ig sicher, aber kann man bei der Fritzbox nicht auch eine Route fuer IPv6 setzen? Die Securepoint weiß, wo beide Netze liegen (die UTM hat ja sicherlich im Internen Netz auch eine eigene fdad::: Adresse)

Die fritzbox hat jedoch keine Ahnung, wie sie das fdad:: erreichen koennte, ohne Route. Und: DHCPv6 sollte nicht noetig sein. Sobald die Firewall eine oeffentliche IPv6-Adresse besitzt und auch auf der internen Schnittstelle eine ULA angleget ist (Das fdad::) wird das Router Advertisement dafuer sorgen, das fuer beide Netze eine IPv6-Adresse an die Clients verteilt wird. Der DHCP ist in dem Fall doppelt gemoppelt.

Theoretisch sollte die Fritzbox zudem bereits ueber die oeffentliche IPv6-Adresse von Intern erreichbar sein. Ueber den Proxy der Firewall koennte sie auch erreichbar gemacht werden.
Rise from your grave!

powwow
Beiträge: 18
Registriert: Mo 07.09.2020, 18:12

Beitrag von powwow »

Hatte den DHCPv6 aktiviert weil ich gerne einen DNS Server an die Clients übertragen würde. Der DHCPv4 kann leider keine v6 Adressen an die Clients senden.
Über die öffentliche IPv6 ist die FritzBox für die Clients erreichbar allerdings nimmt der Client seine ULA wenn ich auf die ULA der FritzBox pinge. Kann ich in der UTM das nicht verhindern, dass die Client ULA über die UTM hinaus geht?

Benutzeravatar
Mario
Securepoint
Beiträge: 273
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Ok, wenn ein DNS-Server verteilt werden soll, macht es natuerlich Sinn. Ich vergebe den IPv6-DNS manuell.

Zu "Zweitens" nein, denke nicht. Hier greifen mehrere Umstaende: Die Firewall haelt sich an die Vorgabe, das ICMP nicht geblockt, sondern weiter gereicht wird. Andere Protokolle brauchen eine explizite Freigabe. Zudem haben Sie bei den Portfilterregeln ja aktuell alles freigegeben. Das wenn Sie die private IP der Fritzbox anpingen, auch die lokale private Adresse des Clients verwendet wird, macht ebenfalls Sinn, da die oeffentliche IPv6-Adresse mit diesen Netzen keine Kommunikation fuehrt.
Rise from your grave!

powwow
Beiträge: 18
Registriert: Mo 07.09.2020, 18:12

Beitrag von powwow »

Ich habe hier nur noch das Problem, dass auf der UTM eth0 (mein Interface zur FritzBox und konfiguriert als DHCP Client IPv4&IPv6) keine öffentliche IPv6 zu haben scheint. Dadurch kommen Packete aus dem Internet über IPv6 nicht an der UTM an. In der Netzwerkschnittstellen Übersicht sehe ich auf eth0 nur eine IPv4.

Laut FritzBox hat die UTM jedoch eine zugewiesen bekommen.
Muss man an der UTM noch etwas einstellen? Das IPv6 Delegation auf eth1 funktioniert und PINGs an Geräte hinter der UTM funktionieren auch. Nur zur UTM gelange ich leider nicht vom Internet via IPv6.

Benutzeravatar
Mario
Securepoint
Beiträge: 273
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Im Normalfall sollte die UTM ueber die entsprechende IP erreichbar sein.
Rise from your grave!

powwow
Beiträge: 18
Registriert: Mo 07.09.2020, 18:12

Beitrag von powwow »

Ja sie ist über die IPv6 von eth1 jetzt erreichbar. Besteht die Möglichkeit auch eht0 zu erreichen? Diese hat nur leider keine IPv6 am Interface obwohl sie DHCPv6 Client ist.

Code: Alles auswählen

cli> interface address get
id|flags  |device|address
--+-------+------+-------
0 |DYNAMIC|eth0  |192.168.22.20/24
4 |ONLINE |eth1  |192.168.0.1/24
0 |DYNAMIC|eth1  |2003:XX:XXXX:XXXX::1/64
83|ONLINE |eth1  |fdXX:XXXX:XXXX::1/64
Leider bin ich jetzt auch in das Problem gelaufen, dass sich die IPv6 der UTM und ihrer Client bei neuem Präfix nicht vor Ablauf ihrer Lease Time aktualisieren. Ist da ein Fix absehbar?

Benutzeravatar
Mario
Securepoint
Beiträge: 273
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

In einer zukuenftigen Version wird das kommen.
Rise from your grave!

Antworten