Seite 1 von 1
Keine Internetverbindung über IPv6
Verfasst: Di 08.09.2020, 01:40
von powwow
Guten Abend,
ich komme gerade leider nicht mehr weiter mit der IPv6 Verbindung meiner Clients. Wir haben einen BlackDwarf via eth0 hinter einer FritzBox und über IPv4 funktioniert die Internetverbindung der Clients an eth1 auch.
Nun wollte ich auch IPv6 an die BlackDwarf Clients über Prefix Delegation verteilen. Leider ohne Erfolg.
FritzBox ist auf "DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen" gestellt und der BlackDwarf auf IPv6 Client mit Prefix Delegation und Router Advertisement. eth0 bekommt jetzt auch eine IPv6 und eth1 hat einen IPv6 Block und verteilt ihn an die Clients.
Soweit so gut. Nur nach den Portfiltern zur weiterleitung funktioniert die Verbindung leider nicht via IPv6. Ein ping6 zum BlackDward funktioniert vom Client nur auf die FritzBox kann ich nicht pingen. Da bekomme ich immer einen Default Drop.
Es scheint an der eth1 Schnittstelle des "internal-network" Objekts zu liegen irgnedwie erkennt er die Clients davon nicht. Wenn ich das "internal-network" Objekt statt über eth1 mit ::/0 definiere kommt zumindest nicht mehr der Default Drop, allerdings kommt der Ping nicht mehr zurück und funktioniert immer noch nicht.
Hat vielleicht jemand eine Idee was ich hier bei der IPv6 Einrichtung vergessen habe?
Vielen Dank und viele Grüße
PS: Wie kann man hier Bilder anhängen?
Re: Keine Internetverbindung über IPv6
Verfasst: Di 08.09.2020, 09:09
von kennethj
Hallo,
Sie müssen im Portfilter neue Netzwerkobjekte mit den IPv6 Adressen anlegen.
Leiderwird in den Netzwerkobjekten wenn man eine Schnittstelle hinterlegt nur die die IPv4 Adressen in Regeln übernommen - die IPv6 Adressen nicht.
Bezüglich der Rückantwort: Hat die Fritzbox eine Rückroute zum Netz hinter der Black Dwarf?
Gruß
Kenneth
Re: Keine Internetverbindung über IPv6
Verfasst: Di 08.09.2020, 09:13
von powwow
Sie müssen im Portfilter neue Netzwerkobjekte mit den IPv6 Adressen anlegen.
Leiderwird in den Netzwerkobjekten wenn man eine Schnittstelle hinterlegt nur die die IPv4 Adressen in Regeln übernommen - die IPv6 Adressen nicht.
Ich habe die entsprechenden v6 Netzwerkobjekte hinzugefügt und den Zonen zugeordnet.
Netzwerkobjekte:
Code: Alles auswählen
id |name |address |zone
---+---------------------+-----------------------------+----
20 |external-interface |0.0.0.0/0 |firewall-external
21 |internet |0.0.0.0/0 |external
22 |internal-interface |eth1 |firewall-internal
23 |internal-network |eth1 |internal
269|internet_v6 |::/0 |external_v6
271|internal-network_v6 |eth1 |internal_v6
293|internal-interface_v6|eth1 |firewall-internal_v6
294|external-interface_v6|0.0.0.0/0 |firewall-external_v6
Bezüglich der Rückantwort: Hat die Fritzbox eine Rückroute zum Netz hinter der Black Dwarf?
Da sagen Sie etwas. Jetzt hoffe ich, dass man das bei der FritzBox konfigurieren kann.
Hier noch meine Konfiguration. Ich dachte es sind alle Interfaces und Zonen zugeordnet um den IPv6 Zugriff auf das Internet parallel zum IPv4 zu ermöglichen. Aber ich muss etwas übersehen haben. Ein Ping von vom schwarzen Zwerg zur FritzBox von eth1 ist möglich. Aber von einem Client am Zwerg kommt dann immer der Default Drop.
Netzwerkkonfiguration:
Code: Alles auswählen
name |type |flags |qos|zones |state
-----+--------+-------------------------------+---+------------------------------------------------------------------------------------------------+-----
eth1 |ETHERNET|IP6ADV | |internal,firewall-internal,internal_v6,firewall-internal_v6 |UP
eth0 |ETHERNET|DHCP,DHCP6,DHCP6_PREFIX,DYNADDR| |external,firewall-external,external_v6,firewall-external_v6,vpn-ipsec,firewall-vpn-ipsec,vpn-ppp|UP
Die eth0 scheint allerdings keine IPv6 zu haben. Router Advertisement darf ich auf dem Interface aber nicht aktivieren oder?
Code: Alles auswählen
eth0 ETHERNET 192.168.178.20/24 dynamic external firewall-external external_v6 firewall-external_v6
eth1 ETHERNET 192.168.0.1/24 2003:XX:XXXX:XXXX::1/64 dynamic internal firewall-internal internal_v6 firewall-internal_v6
Portfilter für den Internetzugriff:
Code: Alles auswählen
pos|group |id|src |dst |service|nat_node |nat_service|flags |timeprofile|qos|applayer|log|route|comment
---+----------+--+-------------------+---------------------+-------+---------------------+-----------+-----------------------+-----------+---+--------+---+-----+-------
1 |default |1 |internal-network |internet |any |external-interface | |ACCEPT,LOG_ALL,HIDENAT | | |ANY | | |
2 |default |2 |internal-network |internal-interface |proxy | | |ACCEPT,LOG_ALL | | |ANY | | |
1 |default_v6|85|internal-network_v6|internet_v6 |any |external-interface_v6| |ACCEPT,LOG_ALL | | |ANY | | |
2 |default_v6|86|internal-network_v6|internal-interface_v6|proxy | | |ACCEPT,LOG_ALL | | |ANY | | |
Default Routen:
Code: Alles auswählen
id|src|dst |router|device|weight
--+---+----------------------------+------+------+------
25| |0.0.0.0/0 |eth0 |eth0 |0 # Default v4
34| |::/0 |eth0 |eth0 |0 # Default v6
32| |fd00::e228:6dff:fe36:4554/64|eth0 |eth0 |0 # v6 Route zur FritzBox
31| |192.168.178.0/24 |eth0 |eth0 |0 # v4 Route zur FritzBox
Re: Keine Internetverbindung über IPv6
Verfasst: Di 08.09.2020, 10:02
von kennethj
Hallo,
als Zonen können Sie auch die "normalen" Zonen verwenden - die Zonen mit dem Zusatz _v6 werden nicht benötigt und können getrost gelöscht werden.
Haben Sie die Möglichkeit auf der UTM das mit einer PPPoE EInwahl zu testen? (mit einem Modem und ohne Fritzbox als Router)
Gruß
Re: Keine Internetverbindung über IPv6
Verfasst: Di 08.09.2020, 11:15
von powwow
als Zonen können Sie auch die "normalen" Zonen verwenden - die Zonen mit dem Zusatz _v6 werden nicht benötigt und können getrost gelöscht werden.
Gut zu wissen aber daran lag es leider nicht. Mein Netzwerkobjekt internal-network_v6 sollte sich aber auch für IPv6 so über die eth1 Schnittstelle definieren lassen oder? Irgendwie scheint die UTM hier nicht zu erkennen, dass die Client IPv6 zum internal-network_v6 Netzwerkobjekt gehört. Definiere ich es über
kommt der Ping zumindest durch die UTM durch. Aber es müsste doch auch über die eth1 Definition gehen oder?
Haben Sie die Möglichkeit auf der UTM das mit einer PPPoE EInwahl zu testen? (mit einem Modem und ohne Fritzbox als Router)
Habe leider gerade kein Modem zur Hand.
Kann ich eine Rückroute zur UTM auch definieren ohne in der UTM einen v6 DHCP Pool zu erstellen? Das v6 Netz welches die UTM von der FritzBox bekommt könnte sich ja ändern. Das darf dann ja nicht als statische Route hinzufügen.
Gruß
Re: Keine Internetverbindung über IPv6
Verfasst: Di 08.09.2020, 12:45
von Mario
Leider geht es aktuell nicht anders. Unter Umstaenden kommen mit der zukuenftigen v12 Netzwerkobjekte, die sich entsprechend fuer das Prefix automatisch anlegen lassen etc.
Theoretisch brauchen Sie bei der Firewall keinen DHCP-Pool fuer IPv6 angelegen. Sobald auf der entsprechenden Schnittstelle das Router Advertisement konfiguriert wird, werden fuer auf der Schnittstelle konfigurierte IPv6-Netze Adressen verteilt. Ich habe z.B. lokale Netze jeweils auf den Schnittstellen und eben die oeffentlichen IPs. Diese werden alle durchgereicht, bzw. die Clients bekommen eine oeffentliche IPv6-Adresse und eine aus dem lokalen IPv6-Netz, ohne den DHCPv6-Server konfiguriert zu haben.
Kleine Warnung vorweg: An die Clients verteilte Leases fuer oeffentliche IPv6-Adressen koennten eine zu lange Laufzeit aufweisen. Falls die Fritzbox neu startet wird der Client ueber die Firewall eine neue oeffentliche IPv6-Adresse erhalten. Diese wird aber unter Umstaenden nur sekundaer hinterlegt, da das alte Lease weiterhin gueltig ist. Die Entwicklung schaut sich das bereits an. Aber in dem Fall hilft nur das zuruecksetzen der Netzwerkverbindung beim Client.
Re: Keine Internetverbindung über IPv6
Verfasst: Di 08.09.2020, 15:10
von kennethj
Hallo
->
Aber es müsste doch auch über die eth1 Definition gehen oder?
Nein das geht leider nicht - bei der eth1 Definition im Netzwerkobjekt weredn nur IPv4 Adressen ausgelsen und in das Regelwerk geschrieben - nicht IPv6.
-> Das v6 Netz welches die UTM von der FritzBox bekommt könnte sich ja ändern. Das darf dann ja nicht als statische Route hinzufügen.
Das ist mit der Punkt. Aktuell wird bei Ihnen nicht sauber funkitionieren.
Die IPv6 Prefix delegation funktioniert am besten wenn man die PPPoE Einwahl direkt an der UTM macht.
Da Sie auch nur vom ISP ein /64 Netz bekommen, können Sie auch nicht zwischen der Fritzbox und dem Netz inter der Firewall routen.
Hier einmal meine IPv6 Konfig:
Code: Alles auswählen
interface address get
0 |DYNAMIC|eth1 |2003:c2:XXXX:XXXX::1/64
node get
205|internal-interface_v6 |2003:c2:xxxx:xxxx::1/64|firewall-external-telekom
207|internal-network_v6 |2003:c2:xxxx:xxxx::/64 |internal
route get
1 | |0.0.0.0/0|wan0 |wan0 |0
4 | |::/0 |wan0 |wan0 |0
Re: Keine Internetverbindung über IPv6
Verfasst: Di 08.09.2020, 15:41
von powwow
Habe jetzt das internal Objekt definiert als:
Damit kann der Client jetzt per ping6 bis zur FritzBox. Die FritzBox ist eingestellt auf "DNS-Server und IPv6-Präfix (IA_PD) zuweisen". Ich habe ein 56er Netz und die UTM stellt ein 64er auf eth1 zur verfügung.
Leider kommt mein ping6 noch nicht bis ins Internet, weder vom Client noch der UTM direkt. Mir scheint die FritzBox leitet da noch etwas nicht korrekt weiter.
Mit der statischen Route in der FritzBox bin ich mir gerade nicht sicher, da ich hier ja das Netz der UTM nicht kenne kann ich ja noch keine Route angeben an dieser stelle oder?
Re: Keine Internetverbindung über IPv6
Verfasst: Di 08.09.2020, 16:26
von Mario
Haben Sie denn eine oeffentliche IPv6-Adresse fuer den Client?
Akzeptiert die Fritzboxes Leases anderer Router? Dies musste explizit aktiviert werden.
Sonst rate ich auch zur Verwendung eines VDSL-Modems, wenn moeglich. Dort ist die Implemenation von IPv6 deutlich einfacher und mit der aktuellen Softwareversion gibt es maximal wegen der Lease-Time ein Problem, was ja noch behoben werden wird.
Re: Keine Internetverbindung über IPv6
Verfasst: Di 08.09.2020, 18:27
von powwow
Haben Sie denn eine oeffentliche IPv6-Adresse fuer den Client?
Ja die UTM Clients haben eine öffentliche IPv6.
Akzeptiert die Fritzboxes Leases anderer Router? Dies musste explizit aktiviert werden
"Auch IPv6-Präfixe zulassen, die andere IPv6-Router im Heimnetz bekanntgeben" Ist aktiviert.
Die Pings ins Internet kann ich im Paketmitschnitt auf der FritzBox sehen allerdings die Antwort kommt nicht mehr zurück. Vielleicht muss man doch eine Statische Route setzen oder es hat was mit der FritzBox Firewall zutun, dass sie IPs aus dem UTM Netz nicht durchlässt?
Die UTM scheint aber richtig zu arbeiten jetzt nachdem ich weiß, dass das interne Netz nicht über die Schnittstelle definiert werden darf. Mal sehen was die FritzBox da noch konfigurieren lässt.
Re: Keine Internetverbindung über IPv6
Verfasst: Mi 09.09.2020, 08:55
von Mario
Vielleicht einfach mal ein Ticket bei uns erstellen, dann schauen wir uns das an.
Re: Keine Internetverbindung über IPv6
Verfasst: Mi 09.09.2020, 09:41
von powwow
Nach einem Update der FritzBox von 7.12 auf die 7.19 beta läuft es jetzt. Da war wohl noch ein Käferchen in der IPv6 Prefix Delegation der FritzBox.
Meine Clients an der UTM bekommen öffentliche IPv6 Adressen aus einem 64er Netz von der FritzBox und die Verbindungen funktionieren. SSL VPN mit IPv6 hat dann auch gleich funktioniert.
Vielen Dank für Ihre Hilfe.
Für nachfolgende Leser noch kurz zusammengefasst:
- IPv4 & IPv6 Client und IPv6 Prefix Delegation auf eth0 zur FritzBox
- Router Advertisement auf eth1 an der die internen Clients der UTM hängen.
- Es müssen zusätzlichen IPv6 Portfilter hinzugefügt werden wobei die Konfiguration des internen v6 Netzwerkobjekts nicht über die Schnittstelle zu machen ist sondern:
- "DNS-Server und IPv6-Präfix (IA_PD) zuweisen" in der FritzBox aktivieren
- "Auch IPv6-Präfixe zulassen, die andere IPv6-Router im Heimnetz bekanntgeben" in der FritzBox aktiveren
- Statische Routen in der FritzBox brauchte ich für mein simples Setup nicht.
- FritzOS 7.12 hat bei mir alles zurück ins UTM Netz verschluckt. Mit 7.19 hat es dann sofort funktioniert.
Re: Keine Internetverbindung über IPv6
Verfasst: Mi 09.09.2020, 09:57
von Mario
Ok, dann ist ja alles in Ordnung.
Re: Keine Internetverbindung über IPv6
Verfasst: Mi 09.09.2020, 12:08
von powwow
Vielleicht noch eine Frage. Ich habe jetzt zusätzlich einen DCHPv6 (fdad:XXXX:XXXX::1/64) Pool für die UTM Clients eingerichtet. Probiere ich jetzt einen Ping6 auf die FritzBox (fd00:XXXX:XXXX::1) kommen die Anfragen aus der fdad:XXXX:XXXX::1/64 Range und nicht von den öffentlichen IPv6 der Clients. Wieso werden die fdad Adressen geroutet und nicht die öffentliche IPv6 der Clients genommen dafür?
Das eigentliche Problem ist. Nachdem dem ich den DHCPv6 Pool auf der UTM eingerichtet habe kommen die Clients zwar noch ins Internet allerdings nicht mehr über IPv6 zur FritzBox. Ein ping6 fd00:XXXX:XXXX::1 sehe ich zwar im UTM Log allerdings kommt keine Antwort von der FritzBox am Client an. Meine Vermutung war jetzt, dass es an der fdad Adresse der Clients liegt und diese eigentlich nicht geroutet werden sollte zur FritzBox?
Re: Keine Internetverbindung über IPv6
Verfasst: Mi 09.09.2020, 12:49
von Mario
Ich bin jetzt nicht 100%ig sicher, aber kann man bei der Fritzbox nicht auch eine Route fuer IPv6 setzen? Die Securepoint weiß, wo beide Netze liegen (die UTM hat ja sicherlich im Internen Netz auch eine eigene fdad::: Adresse)
Die fritzbox hat jedoch keine Ahnung, wie sie das fdad:: erreichen koennte, ohne Route. Und: DHCPv6 sollte nicht noetig sein. Sobald die Firewall eine oeffentliche IPv6-Adresse besitzt und auch auf der internen Schnittstelle eine ULA angleget ist (Das fdad::) wird das Router Advertisement dafuer sorgen, das fuer beide Netze eine IPv6-Adresse an die Clients verteilt wird. Der DHCP ist in dem Fall doppelt gemoppelt.
Theoretisch sollte die Fritzbox zudem bereits ueber die oeffentliche IPv6-Adresse von Intern erreichbar sein. Ueber den Proxy der Firewall koennte sie auch erreichbar gemacht werden.
Re: Keine Internetverbindung über IPv6
Verfasst: Mi 09.09.2020, 13:22
von powwow
Hatte den DHCPv6 aktiviert weil ich gerne einen DNS Server an die Clients übertragen würde. Der DHCPv4 kann leider keine v6 Adressen an die Clients senden.
Über die öffentliche IPv6 ist die FritzBox für die Clients erreichbar allerdings nimmt der Client seine ULA wenn ich auf die ULA der FritzBox pinge. Kann ich in der UTM das nicht verhindern, dass die Client ULA über die UTM hinaus geht?
Re: Keine Internetverbindung über IPv6
Verfasst: Mi 09.09.2020, 14:11
von Mario
Ok, wenn ein DNS-Server verteilt werden soll, macht es natuerlich Sinn. Ich vergebe den IPv6-DNS manuell.
Zu "Zweitens" nein, denke nicht. Hier greifen mehrere Umstaende: Die Firewall haelt sich an die Vorgabe, das ICMP nicht geblockt, sondern weiter gereicht wird. Andere Protokolle brauchen eine explizite Freigabe. Zudem haben Sie bei den Portfilterregeln ja aktuell alles freigegeben. Das wenn Sie die private IP der Fritzbox anpingen, auch die lokale private Adresse des Clients verwendet wird, macht ebenfalls Sinn, da die oeffentliche IPv6-Adresse mit diesen Netzen keine Kommunikation fuehrt.
Re: Keine Internetverbindung über IPv6
Verfasst: Mi 16.09.2020, 13:00
von powwow
Ich habe hier nur noch das Problem, dass auf der UTM eth0 (mein Interface zur FritzBox und konfiguriert als DHCP Client IPv4&IPv6) keine öffentliche IPv6 zu haben scheint. Dadurch kommen Packete aus dem Internet über IPv6 nicht an der UTM an. In der Netzwerkschnittstellen Übersicht sehe ich auf eth0 nur eine IPv4.
Laut FritzBox hat die UTM jedoch eine zugewiesen bekommen.
Muss man an der UTM noch etwas einstellen? Das IPv6 Delegation auf eth1 funktioniert und PINGs an Geräte hinter der UTM funktionieren auch. Nur zur UTM gelange ich leider nicht vom Internet via IPv6.
Re: Keine Internetverbindung über IPv6
Verfasst: Sa 19.09.2020, 22:29
von Mario
Im Normalfall sollte die UTM ueber die entsprechende IP erreichbar sein.
Re: Keine Internetverbindung über IPv6
Verfasst: Mo 21.09.2020, 08:16
von powwow
Ja sie ist über die IPv6 von eth1 jetzt erreichbar. Besteht die Möglichkeit auch eht0 zu erreichen? Diese hat nur leider keine IPv6 am Interface obwohl sie DHCPv6 Client ist.
Code: Alles auswählen
cli> interface address get
id|flags |device|address
--+-------+------+-------
0 |DYNAMIC|eth0 |192.168.22.20/24
4 |ONLINE |eth1 |192.168.0.1/24
0 |DYNAMIC|eth1 |2003:XX:XXXX:XXXX::1/64
83|ONLINE |eth1 |fdXX:XXXX:XXXX::1/64
Leider bin ich jetzt auch in das Problem gelaufen, dass sich die IPv6 der UTM und ihrer Client bei neuem Präfix nicht vor Ablauf ihrer Lease Time aktualisieren. Ist da ein Fix absehbar?
Re: Keine Internetverbindung über IPv6
Verfasst: Mo 21.09.2020, 18:36
von Mario
In einer zukuenftigen Version wird das kommen.
Re: Keine Internetverbindung über IPv6
Verfasst: Mo 08.03.2021, 09:33
von powwow
Mario hat geschrieben:
[...]
Kleine Warnung vorweg: An die Clients verteilte Leases fuer oeffentliche IPv6-Adressen koennten eine zu lange Laufzeit aufweisen. Falls die Fritzbox neu startet wird der Client ueber die Firewall eine neue oeffentliche IPv6-Adresse erhalten. Diese wird aber unter Umstaenden nur sekundaer hinterlegt, da das alte Lease weiterhin gueltig ist. Die Entwicklung schaut sich das bereits an. Aber in dem Fall hilft nur das zuruecksetzen der Netzwerkverbindung beim Client.
Gibt es zur Aktualisierung der delegierten IPv6 schon Neuigkeiten oder eine Lösung? Leider lässt sich IPv6 Prefix Delegation sonst nicht wirklich einsetzten. In der Praxis ist es leider nicht möglich nach einer Trennung der Internetverbindung alle Clients neu zu verbinden damit sich Ihre IPv6 aktualisiert. Kann die UTM die Clients nicht irgendwie über den neuen Prefix informieren?
Re: Keine Internetverbindung über IPv6
Verfasst: Mo 08.03.2021, 10:06
von Mario
Nein, aktuell noch nicht. Das Problem selbst ist bekannt und liegt auch der Entwicklung vor. Ich schlage jedoch vor, sobald die v12 verfuegbar ist, ein privates IPv6-Netz intern zu verwenden und dann per HN IPv6-Clients in das Internet zu bringen. Da in dem Fall ein ULA verwendet wird und das Netz sich nicht aendert, kann man Webfilter/ Proxy und Portfilterregeln besser abdichten und sorgt zudem dafuer, das der Clients mehrere IPv6-Adressen haben kann, jedoch keine Probleme auftreten, da diese IPv6-Adressen immer im gleichen Netz liegen. Der Webfilter z.B. kennt keine Zonen.
Fuer Clients die unbedingt eine oeffentliche IPv6-Adresse benoetigen, waere ein eigenes Netzwerk interessant. So hat man eine klare Trennung.
Re: Keine Internetverbindung über IPv6
Verfasst: Mo 08.03.2021, 10:27
von powwow
Vielen Dank. Das klingt gut, der öffentliche Zugriff auf die Clients ist hier in unserem Fall sowieso nicht gewollt nur eben eine Verbindung über IPv6. Dann werden wir auf die v12 warten:) Gibt es da einen groben Zeitplan?
Re: Keine Internetverbindung über IPv6
Verfasst: Mo 08.03.2021, 10:34
von Mario
Leider nein.