IPV6 Howto

Forum für allgemeinen Fragen zum Thema IPv6 mit LANCOM Routern

Moderator: Lancom-Systems Moderatoren

averlon
Beiträge: 213
Registriert: 05 Okt 2012, 09:48

Re: IPV6 Howto

Beitrag von averlon »

Hallo @ua,
danke für die Info!

Ich habe jetzt viele Konfigurationen (basierend auf dem KB Artikeln) ausprobiert. Aber der DHCPv6 tut nix. Auch im Trace. Es wird im Trace nur angezeigt welchen Präfix er vom WAN bezieht. Mehr nicht.

Code: Alles auswählen

[DHCPv6-Server] 2023/07/10 09:42:46,693  Devicetime: 2023/07/10 09:42:44,265   Config
Current PD source info:
Source interface   Prefix                   Except   Preferred lifetime   Valid lifetime
-----------------+------------------------+--------+--------------------+---------------
PROVIDER            2003:c4:ef29:e300::/56                     86394 sec        86394 sec
Weder Windows noch Ubuntu ziehen eine IP!

Gut - mein Latein hatte nicht einmal einen Anfang. Aber das macht es auch nicht besser.
Gruß
Karl-Heinz
averlon
Beiträge: 213
Registriert: 05 Okt 2012, 09:48

Re: IPV6 Howto

Beitrag von averlon »

alles was ich bisher versucht habe klappt nicht.
Der DHCPv6 Server tut nix!
Gruß
Karl-Heinz
ua
Beiträge: 745
Registriert: 29 Apr 2005, 12:29

Re: IPV6 Howto

Beitrag von ua »

Hi,

mal "gesnifft"?
Irgendein Gerät, welches RA in's Netz pustet?

LG
... das Netz ist der Computer ...
n* LC und vieles mehr...
averlon
Beiträge: 213
Registriert: 05 Okt 2012, 09:48

Re: IPV6 Howto

Beitrag von averlon »

Hi,
nee - sniffen habe ich bisher noch nie gemacht.

Aber unabhängig davon, sollte der Lancom doch die RA's ins Netz "pusten".

Wenn ich SLAAC einschalte, dann werden auch IP-Adressen mit dem richtigen Präfix generiert. Allerdings nicht die, die ich im DHCP-Pool definiert habe, sondern logischerweise die mit der MAC-Adresse.
Gruß
Karl-Heinz
averlon
Beiträge: 213
Registriert: 05 Okt 2012, 09:48

Re: IPV6 Howto

Beitrag von averlon »

also:

- wenn SLAAC aktiviert ist, dann wird eine IPV6 gebildet (mit der MAC).
- wenn SLAAC nicht aktiviert ist, wird nur die lokale Adresse gebildet fe80.....

im trace tut der DHCP-Server nix.

Mir scheint, dass der DHCP-Request vom Client an den Server irgendwie nicht durchkommt. Das ist wohl ein Multicast - glaube ich.

Kann das irgendwo geblockt sein oder muss das irgendwo erlaubt werden ?

EDIT:
ich sehe im Log solche Einträge:

Code: Alles auswählen

Logfile: /var/log/f42240ro.log Jul 13 08:57:32 f42240ro PACKET_INFO: Dst: ff02::1:2:547, Src: fe80::becf:4fff:fe6d:622e:546 (UDP): packet accepted
546 bzw. 547 ist doch dann der DHCP-Request.
Gruß
Karl-Heinz
averlon
Beiträge: 213
Registriert: 05 Okt 2012, 09:48

Re: IPV6 Howto

Beitrag von averlon »

ich fange mal ganz oben an:

Code: Alles auswählen

cd /Setup/WAN/DSL-Broadband-Peers 
del *
#    Peer              SH-Time  AC-name                                                           Servicename                       WAN-layer  ATM-VPI  ATM-VCI  MAC-Type   user-def.-MAC  DSL-ifc(s)                                                       VLAN-ID  Prio-Mapping  S-VLAN-ID  IPv6            
#    ==================---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "PROVIDER"        {SH-Time}  9999    {AC-name}  ""                                                               {Servicename}  ""                               {WAN-layer}  "PPPOEOV" {ATM-VPI}  1       {ATM-VCI}  32      {MAC-Type}  local     {user-def.-MAC}  000000000000  {DSL-ifc(s)}  "xDSL1"                                                         {VLAN-ID}  0       {Prio-Mapping}  off          {S-VLAN-ID}  0         {IPv6}  "IPV6_PROVIDER"

Code: Alles auswählen

cd /
set /Setup/IPv6/Operating Yes

Code: Alles auswählen

cd /Setup/IPv6/LAN-Interfaces 
del *
#    Interface-Name    Interface-ID        VLAN-ID  Rtg-tag  Autoconf    Accept-RA      Interface-Status  Forwarding  MTU   Firewall  DaD-Attempts  RS-Count    ND-Proxy  Comment                                                         
#    ==================-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "IP6_INTRANET"   {Interface-ID}  LAN-1              {VLAN-ID}  110     {Rtg-tag}  0       {Autoconf}  Yes        {Accept-RA}  Yes           {Interface-Status}  Up               {Forwarding}  Yes        {MTU}  1500 {Firewall}  Yes      {DaD-Attempts}  1            {RS-Count}  3          {ND-Proxy}  Yes      {Comment}  ""
add  "IP6_DMZ"        {Interface-ID}  LAN-2              {VLAN-ID}  108     {Rtg-tag}  0       {Autoconf}  Yes        {Accept-RA}  Yes           {Interface-Status}  Up               {Forwarding}  Yes        {MTU}  1500 {Firewall}  Yes      {DaD-Attempts}  1            {RS-Count}  3          {ND-Proxy}  Yes      {Comment}  ""

Code: Alles auswählen

cd /Setup/IPv6/WAN-Interfaces 
del *
#    Interface-Name    Rtg-tag  Autoconf    Accept-RA      Interface-Status  Forwarding  Firewall  DaD-Attempts  PD-Mode                RS-Count    ND-Proxy  Comment                                                         
#    ==================-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "IPV6_PROVIDER"   {Rtg-tag}  0       {Autoconf}  Yes        {Accept-RA}  Yes           {Interface-Status}  Up               {Forwarding}  Yes        {Firewall}  Yes      {DaD-Attempts}  1            {PD-Mode}  DHCPv6                {RS-Count}  3          {ND-Proxy}  Yes      {Comment}  ""

Code: Alles auswählen

cd /Setup/IPv6/Network/Addresses 
del *
#    Interface-Name    IPv6-Address-Prefixlength                    Address-Type                  Network-Group     Comment                                                         
#    ===============================================================----------------------------------------------------------------------------------------------------------------
add  "IP6_DMZ"         "::2:0:0:0:1/64"                            {Address-Type}  Delegated-Auto-Configuration {Network-Group}  "NG_DMZ"         {Comment}  ""
add  "IP6_INTRANET"    "::1:0:0:0:1/64"                            {Address-Type}  Delegated-Auto-Configuration {Network-Group}  "NG_INTRANET"    {Comment}  ""

Code: Alles auswählen

cd /Setup/IPv6/Router-Advertisement/Interface-Options 
del *
#    Interface-Name    Send-Adverts    Min-RTR-Interval   Max-RTR-Interval   Managed-Flag  Other-Config-Flag  Link-MTU  Reachable-Time  RTR-Time        Crt-Hop-Limit  Default-Lifetime  Default-Router-Mode   Router-Preference
#    ==================---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "IP6_DMZ"        {Send-Adverts}  Yes            {Min-RTR-Interval}  200               {Max-RTR-Interval}  600               {Managed-Flag}  Yes          {Other-Config-Flag}  Yes               {Link-MTU}  1500     {Reachable-Time}  0              {RTR-Time}  0              {Crt-Hop-Limit}  0             {Default-Lifetime}  1800             {Default-Router-Mode}  always               {Router-Preference}  medium
add  "IP6_INTRANET"   {Send-Adverts}  Yes            {Min-RTR-Interval}  200               {Max-RTR-Interval}  600               {Managed-Flag}  Yes          {Other-Config-Flag}  Yes               {Link-MTU}  1500     {Reachable-Time}  0              {RTR-Time}  0              {Crt-Hop-Limit}  0             {Default-Lifetime}  1800             {Default-Router-Mode}  always               {Router-Preference}  medium

Code: Alles auswählen

cd /Setup/IPv6/Router-Advertisement/Prefix-Options 
del *
#    Interface-Name    Prefix                                       Subnet-ID            Adv.-OnLink  Adv.-Autonomous  PD-Source         Adv.-Pref.-Lifetime  Adv.-Valid-Lifetime  DecrementLifetimes       
#    ===============================================================----------------------------------------------------------------------------------------------------------------------------------------
add  "IP6_DMZ"         "::/64"                                     {Subnet-ID}  "2"                 {Adv.-OnLink}  Yes         {Adv.-Autonomous}  No              {PD-Source}  "PROVIDER"        {Adv.-Pref.-Lifetime}  604800              {Adv.-Valid-Lifetime}  2592000             {DecrementLifetimes}  No
add  "IP6_INTRANET"    "::/64"                                     {Subnet-ID}  "1"                 {Adv.-OnLink}  Yes         {Adv.-Autonomous}  No              {PD-Source}  "PROVIDER"        {Adv.-Pref.-Lifetime}  604800              {Adv.-Valid-Lifetime}  2592000             {DecrementLifetimes}  No

Code: Alles auswählen

cd /Setup/IPv6/DHCPv6/Server/Interface-List 
del *
#    Interface-Name-or-Relay                  Operating   Primary-DNS                              Secondary-DNS                            DNS-Search-List   Address-Pool-Name                PD-Pool-Name                     Rapid-Commit  Preference   Renew-Time      Rebind-Time     Unicast-Address                          Reconfigure
#    =========================================-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "IP6_DMZ"                               {Operating}  Yes        {Primary-DNS}  "::"                                    {Secondary-DNS}  ""                                      {DNS-Search-List}  WAN              {Address-Pool-Name}  "IPV6_POOL_DMZ"                 {PD-Pool-Name}  ""                              {Rapid-Commit}  Yes          {Preference}  0           {Renew-Time}  0              {Rebind-Time}  0              {Unicast-Address}  ""                                      {Reconfigure}  Off
add  "IP6_INTRANET"                          {Operating}  Yes        {Primary-DNS}  "::"                                    {Secondary-DNS}  ""                                      {DNS-Search-List}  WAN              {Address-Pool-Name}  "IPV6_POOL_INTRANET"            {PD-Pool-Name}  ""                              {Rapid-Commit}  Yes          {Preference}  0           {Renew-Time}  0              {Rebind-Time}  0              {Unicast-Address}  ""                                      {Reconfigure}  Off

Code: Alles auswählen

cd /Setup/IPv6/DHCPv6/Server/Address-Pools 
del *
#    Address-Pool-Name                Start-Address-Pool                       PD-Source         End-Address-Pool                         Pref.-Lifetime  Valid-Lifetime
#    ============================================================================================-----------------------------------------------------------------------
add  "IPV6_POOL_DMZ"                  "0:0:0:2::2"                             "PROVIDER"        {End-Address-Pool}  "0:0:0:2::9"                            {Pref.-Lifetime}  300            {Valid-Lifetime}  300
add  "IPV6_POOL_INTRANET"             "0:0:0:1::2"                             "PROVIDER"        {End-Address-Pool}  "0:0:0:1::9"                            {Pref.-Lifetime}  300            {Valid-Lifetime}  300

Code: Alles auswählen

cd /Setup/IPv6/DHCPv6/Server/Reservations 
del *
#    Interface-Name-or-Relay                  Address-or-PD-Prefix                         PD-Source         Identifier-Type  Identifier                                                                                                                       Pref.-Lifetime  Valid-Lifetime  Comment                                                        
#    ========================================================================================================-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "IP6_DMZ"                                "0:0:0:2::2"                                 "PROVIDER"        {Identifier-Type}  Mac-Address     {Identifier}  "525400a486c5"                                                                                                                  {Pref.-Lifetime}  3600           {Valid-Lifetime}  86400          {Comment}  ""
add  "IP6_INTRANET"                           "0:0:0:1::2"                                 "PROVIDER"        {Identifier-Type}  Mac-Address     {Identifier}  "806d97368ba2"                                                                                                                  {Pref.-Lifetime}  3600           {Valid-Lifetime}  86400          {Comment}  ""
die FW habe ich mal außen vorgelassen. Aber auch mit deaktivierter FW funktioniert die DHCP-Zuordnung nicht.

Falls noch jemand eine Idee hat wäre ich sehr verbunden!
Gruß
Karl-Heinz
averlon
Beiträge: 213
Registriert: 05 Okt 2012, 09:48

Re: IPV6 Howto

Beitrag von averlon »

bei den vielen Versuchen habe ich wohl meine Konfig verbogen.

Jetzt wird kein Präfix mehr bezogen.

Code: Alles auswählen

Angekündigte Präfixe
keine Präfixe vorhanden
Bezogene Präfixe
keine Präfixe vorhanden
Ich habe auch mehrfach die Verbindung getrennt.

Wer kann meinen Kopf wieder sortieren und mir eine Hilfestellung geben, wie ich das Präfix wieder vom Provider bekomme?
Gruß
Karl-Heinz
averlon
Beiträge: 213
Registriert: 05 Okt 2012, 09:48

Re: IPV6 Howto

Beitrag von averlon »

so - jetzt scheint es zu klappen!!!!! zumindest zu einem großen Teil.

Ich habe einfach alle Einstellungen gelöscht und via ssh aus einer gespeicherten Konfig wieder eingefügt.

Kommentar: eingentlich hätte es damit schon vorher funktionieren müssen, denn ich habe nur copy&paste gemacht !!!!!!!!

Jetzt wird:
a) wieder ein Präfix vom Provider bezogen.
b) den verschiedenen Netzen der angepasste Präfix bereitgestellt
c) eine (1) Reserverierung, die ich konfiguriert hatte, auch an den richtigen Client vergeben

Es gibt auch noch mehr Clients die aus dem definierten Pool eine IPV6 erhalten. Da habe ich noch das Problem, dass ich identifiziern muss/will, welcher Client das ist. Das ist mir noch nicht gelungen.

EDIT:
Einziger Unterschied: Die IPV6-FW war deaktiviert!!! Die hat scheinbar DHCPv6-Requests blockiert.
Vermutlich, weil ich in der vordefinierten Regel "Anyhost" durch "Localnet" ersetzt hatte. Das klappt aber wohl nicht, weil für den DHCPv6-Request wohl die "fe80"-Adresse benutzt wird und die gehört wohl nicht zu "LOCALNET". Muss ich aber noch testen, ob das wirklich so ist.
Gruß
Karl-Heinz
averlon
Beiträge: 213
Registriert: 05 Okt 2012, 09:48

Re: IPV6 Howto

Beitrag von averlon »

warum bekomme ich jetzt diese Meldung im Log:

Code: Alles auswählen

Jul 14 09:27:36 f42240ro PACKET_ALERT: Dst: 2620:2d:4000:1::41:123, Src: 2003:c4:ef06:4c01::8:123 (UDP): intrusion detection
Wenn ich das richtig sehe ist das der Port für NTP.

Die Src ist einer meiner Ubuntu Rechner. Die Dst ist ein NTP-Server im Netz. Müsste also eigentlich Outbound sein.

Aber warum erkennt der Lancom das als IDS?
Gruß
Karl-Heinz
backslash
Moderator
Moderator
Beiträge: 7061
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: IPV6 Howto

Beitrag von backslash »

Hi averlon
Die Src ist einer meiner Ubuntu Rechner. Die Dst ist ein NTP-Server im Netz. Müsste also eigentlich Outbound sein.

Aber warum erkennt der Lancom das als IDS?
Die Meldung hat nicht mit "inound" oder "outbound" aus Anwendersicht zu tun, sondern damit daß die Route zur Quelladresse (2003:c4:ef06:4c01::8) nicht auf das Interface zeigt, über welches das Paket empfangen wurde - und die Firewall irrt sich da i.A. nicht...

Laß dir von der Firewall eine Mail schicken (unter Firewall/QoS -> IDS -> sonstige Maßnahmen das Häkchen bei "E-Mail-Nachricht senden" setzen). Darin steht genau, was die Firewall angemeckert hat.
Ggf. mußt du dazu noch unter Meldungen/Monitoring -> Allgemein -> SMTP-Konto das Konto einrichten

Gruß
Backslash
averlon
Beiträge: 213
Registriert: 05 Okt 2012, 09:48

Re: IPV6 Howto

Beitrag von averlon »

Hallo Backslash,
hilft zumindest mir nicht sehr viel.

Code: Alles auswählen

The packet below

Src: 2003:c4:ef06:4c01::8:123  Dst: 2620:2d:4000:1::41:123 (UDP)

MAC-Header (14 Bytes)

   00 a0 57 54 ec 96 00 01  2e 93 a9 89 86 dd       | ..WT.... ......  

IP-Packet (96 Bytes):

   6b 8d 2a 83 00 38 11 3f  20 03 00 c4 ef 06 4c 01 | k.*..8.?  .....L.
   00 00 00 00 00 00 00 08  26 20 00 2d 40 00 00 01 | ........ & .-@...
   00 00 00 00 00 00 00 41  00 7b 00 7b 00 38 52 65 | .......A .{.{.8Re
   23 02 06 e9 00 00 06 f1  00 00 08 5a c0 35 67 6c | #....... ...Z.5gl
   e8 5c 9f cd c5 e8 72 01  00 00 00 00 00 00 00 00 | .\....r. ........
   00 00 00 00 00 00 00 00  e8 5c a3 19 be e9 7e 6f | ........ .\....~o

matched this filter rule: intruder detection
filter info:              packet received from invalid interface IP6_DMZ

because of this the actions below were performed:
   drop
   send syslog message
   send SNMP trap
   send email to administrator
   close destination port for 5 minutes
   block source address for 5 minutes
Gruß
Karl-Heinz
averlon
Beiträge: 213
Registriert: 05 Okt 2012, 09:48

Re: IPV6 Howto

Beitrag von averlon »

EDIT: hat sich erledigt - geht wieder. So ganz ist mir nicht klar welche Änderung das jetzt bewirkt hat - aber egal - geht halt!

ich habe zwei Netze bei mir:
1 x DMZ
1 x INTRANET

Bei IPV4 hat das einwandfrei funktioniert.

Bei IPV6 geht aus der DMZ kein Paket raus - scheinbar:

Code: Alles auswählen

wget -6 https://www.microsoft.com
--2023-07-15 13:01:49--  https://www.microsoft.com/
Resolving www.microsoft.com (www.microsoft.com)... 2a02:26f0:3400:18b::356e, 2a02:26f0:3400:193::356e
Connecting to www.microsoft.com (www.microsoft.com)|2a02:26f0:3400:18b::356e|:443...
Läuft dann auf einen Timeout.

Aus dem Intranet:

Code: Alles auswählen

wget -6 https://www.microsoft.com
--2023-07-15 14:41:57--  https://www.microsoft.com/
Auflösen des Hostnamens www.microsoft.com (www.microsoft.com) … 2a02:26f0:3400:199::356e, 2a02:26f0:3400:18d::356e, 2a02:26f0:3400:193::356e, ...
Verbindungsaufbau zu www.microsoft.com (www.microsoft.com)|2a02:26f0:3400:199::356e|:443 … verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 403 Forbidden
2023-07-15 14:41:57 FEHLER 403: Forbidden.
Woran könnte das liegen?
Es gibt keine Fehlermeldungen (DENY-ALL) aus der Firewall.
Gruß
Karl-Heinz
Antworten