Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

Aktueller Hinweis

IPv6 Routing Probleme

Gelöst

Hallo liebes Telekom-Team,

 

seit heute habe ich Probleme mit IPv6. Manchmal funktioniert es, manchmal nicht, ohne dass ich die Verbindung abbrechen oder irgendetwas an der Konfiguration ändern würde. Das ganze verhält sich recht eigenartig. Wenn ich zum Beispiel einen Ping auf www.debian.org setze passiert folgendes:

 

root@home:~# ping www.debian.org
PING www.debian.org(senfter.debian.org (2001:41c8:1000:21::21:4)) 56 data bytes
From 2003:0:1504:e400::2 (2003:0:1504:e400::2) icmp_seq=59 Destination unreachable: No route
From 2003:0:1504:e400::2 (2003:0:1504:e400::2) icmp_seq=60 Destination unreachable: No route
From 2003:0:1504:e400::2 (2003:0:1504:e400::2) icmp_seq=61 Destination unreachable: No route

Man beachte die 58 Pakte auf die gar keine Antwort kam. Dann, auf einmal, 200 Pakete später funktioniert es wieder, bevor es dann wieder nicht geht, und so weiter. Recht sporadisch das ganze. Das ist nicht nur bei www.debian.org der Fall sondern passiert auch bei beliebigen anderen Seiten.

 

Ich habe einen DeutschlandLAN Glasfaseranschluss mit fester IPv4-Adresse und festem IPv6 /56-Prefix. Bin ich der einzige bei dem dieses Problem hat, oder sollte ich mal nach Problemen in meiner eigenen Konfiguration suchen?

 

Vielen Dank!

1 AKZEPTIERTE LÖSUNG
Lösung

Ich habe die Ursache des Problems gefunden. Meine Firewall-Regeln ließen nach den ersten DHCPv6 Anfragen keine weiteren mehr durch. Das lag daran, dass die Firewall-Regeln erst nach dem erfolgreichen Verbindungsaufbau geladen worden sind. Im Anschluss daran fragt der DHCPv6-Client jedoch alle 15 Minuten nach, ob noch alles so bleibt wie es ist. Wenn die Antworten dann nicht durchkommen, treten diese komischen Fehler auf. Anfgängerfehler 😛 Die beiden folgenden Zeilen haben bei mir dann das Problem dann gelöst.

 

ip6tables -A INPUT -i ppp0 -s fe80::/10 -p udp --dport 546 --sport 547 -j ACCEPT
ip6tables -A OUTPUT -o ppp0 -p udp --dport 547 --sport 546 -j ACCEPT

Ich danke allen für ihre Hilfe.

Lösung in ursprünglichem Beitrag anzeigen  

Hier ein Beispiel mit Facebook:

 

root@home:~# ping www.facebook.com
[…]
64 bytes from edge-star-mini6-shv-02-frt3.facebook.com (2a03:2880:f11c:8183:face:b00c:0:25de): icmp_seq=345 ttl=55 time=13.9 ms
64 bytes from edge-star-mini6-shv-02-frt3.facebook.com (2a03:2880:f11c:8183:face:b00c:0:25de): icmp_seq=346 ttl=55 time=14.7 ms
64 bytes from edge-star-mini6-shv-02-frt3.facebook.com (2a03:2880:f11c:8183:face:b00c:0:25de): icmp_seq=347 ttl=55 time=14.0 ms
64 bytes from edge-star-mini6-shv-02-frt3.facebook.com (2a03:2880:f11c:8183:face:b00c:0:25de): icmp_seq=348 ttl=55 time=14.0 ms
64 bytes from edge-star-mini6-shv-02-frt3.facebook.com (2a03:2880:f11c:8183:face:b00c:0:25de): icmp_seq=458 ttl=55 time=14.0 ms
64 bytes from edge-star-mini6-shv-02-frt3.facebook.com (2a03:2880:f11c:8183:face:b00c:0:25de): icmp_seq=459 ttl=55 time=14.1 ms
64 bytes from edge-star-mini6-shv-02-frt3.facebook.com (2a03:2880:f11c:8183:face:b00c:0:25de): icmp_seq=460 ttl=55 time=14.5 ms
64 bytes from edge-star-mini6-shv-02-frt3.facebook.com (2a03:2880:f11c:8183:face:b00c:0:25de): icmp_seq=461 ttl=55 time=14.0 ms
64 bytes from edge-star-mini6-shv-02-frt3.facebook.com (2a03:2880:f11c:8183:face:b00c:0:25de): icmp_seq=462 ttl=55 time=14.6 ms
64 bytes from edge-star-mini6-shv-02-frt3.facebook.com (2a03:2880:f11c:8183:face:b00c:0:25de): icmp_seq=463 ttl=55 time=14.1 ms
^C
--- www.facebook.com ping statistics ---
463 packets transmitted, 340 received, 26% packet loss, time 465348ms
rtt min/avg/max/mdev = 13.891/14.203/14.790/0.256 ms
root@home:~# 

Zwischen 348 und 458 geht auf einmal alles verloren.

Mein Problem ist übrigens nicht das Pingen selbst. Das Problem ist, dass das Surfen auf diesen Seiten nur genau so sporadisch funktioniert.

ist 2003:0:1504:e400::2 dein Linux rechner oder dein Router?

 

Da 2003:0:1504:e400::2 vermutlich zu deinem Netz gehört musst du den Fehler da suchen.

Denn 2003:0:1504:e400::2 sollte ja alles zum default uptream Gateway schicken und da stellt sich die Frage nach einer Route 

 

Dein Router ist nicht zufällig eine pfSense oder Opnsense?

Dann hätte ich da eine idee, worna es liegen könnte.

@Stefan: vielen Dank für die schnelle Antwort.

 

ich weiß nicht so genau, was die Adresse 2003:0:1504:e400::2 ist. Vielleicht ein Telekom-Router irgendwo? Jedenfalls ist sie nicht die Adresse meines Rechners oder Routers. Die fangen alle mit 2003:a: an.

 

Ich benutze ein Devuan, dass ich mir zusammen konfiguriert habe. Die Verbindung wird mit PPPoE aufgebaut, dann

echo 2 > /proc/sys/net/ipv6/conf/ppp0/accept_ra, und zuguterletzt rufe ich die Prefixes mit dem WIDE DHCP client ab. Ich kann auch noch mehr konfiguration senden wenn das bei der Analyse hilft.

stimmt, hätte ich sehen sollen/könne

mach doch mal einen

 

traceroute -6 www.debian.org

Wenn es gerade mal nicht funktioniert sieht das so aus:

traceroute to www.debian.org (2001:67c:2564:a119::148:14), 30 hops max, 80 byte packets
 1  2003:a:XXXX:XXXX.... (2003:a:XXXX:XXXX...)  0.538 ms  0.404 ms  0.622 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *

Dabei habe ich mal die letzten Stellen der IP "zensiert".

Wenn es dann mal funktioniert so:

 

traceroute to 2001:67c:2564:a119::148:14 (2001:67c:2564:a119::148:14), 30 hops max, 80 byte packets
 1  2003:a:XXXX:XXXX (2003:a:XXXXXXXX)  0.485 ms  0.344 ms  0.412 ms
 2  2003:0:1504:a409::1 (2003:0:1504:a409::1)  9.603 ms  9.303 ms  9.529 ms
 3  2003:0:1504:e400::2 (2003:0:1504:e400::2)  10.029 ms  9.660 ms  9.507 ms
 4  2003:0:1308:4000::1 (2003:0:1308:4000::1)  14.645 ms  14.519 ms  14.367 ms
 5  2003:0:1308:402f::2 (2003:0:1308:402f::2)  15.132 ms  14.982 ms  14.846 ms
 6  2001:668:0:2:ffff:0:5995:8ce5 (2001:668:0:2:ffff:0:5995:8ce5)  27.644 ms  25.136 ms 2001:668:0:2:ffff:0:5995:8fba (2001:668:0:2:ffff:0:5995:8fba)  21.726 ms
 7  surfnet-gw.ip6.gtt.net (2001:668:0:3::6000:522)  19.564 ms  19.760 ms  19.629 ms
 8  2001:610:f00:4040::42 (2001:610:f00:4040::42)  35.026 ms  34.702 ms  34.583 ms
 9  klecker-misc.debian.org (2001:67c:2564:a119::148:14)  27.234 ms  26.734 ms  26.601 ms

Und dann manchmal so:

root@home:~# traceroute -6 www.debian.org
traceroute to www.debian.org (2001:41c8:1000:21::21:4), 30 hops max, 80 byte packets
 1  2003:a:XXXXXX (2003:a:XXXXXXX)  0.582 ms  0.453 ms  0.331 ms
 2  2003:0:1504:a409::1 (2003:0:1504:a409::1)  18.154 ms  17.892 ms  17.771 ms
 3  2003:0:1504:e400::2 (2003:0:1504:e400::2)  10.337 ms !N  10.016 ms !N  10.322 ms !N

@Dr. Arno Nym  schrieb:

Wenn es dann mal funktioniert so:

 

traceroute to 2001:67c:2564:a119::148:14 (2001:67c:2564:a119::148:14), 30 hops max, 80 byte packets
 1  2003:a:XXXX:XXXX (2003:a:XXXXXXXX)  0.485 ms  0.344 ms  0.412 ms
 2  2003:0:1504:a409::1 (2003:0:1504:a409::1)  9.603 ms  9.303 ms  9.529 ms
 3  2003:0:1504:e400::2 (2003:0:1504:e400::2)  10.029 ms  9.660 ms  9.507 ms
 4  2003:0:1308:4000::1 (2003:0:1308:4000::1)  14.645 ms  14.519 ms  14.367 ms
 5  2003:0:1308:402f::2 (2003:0:1308:402f::2)  15.132 ms  14.982 ms  14.846 ms
 6  2001:668:0:2:ffff:0:5995:8ce5 (2001:668:0:2:ffff:0:5995:8ce5)  27.644 ms  25.136 ms 2001:668:0:2:ffff:0:5995:8fba (2001:668:0:2:ffff:0:5995:8fba)  21.726 ms
 7  surfnet-gw.ip6.gtt.net (2001:668:0:3::6000:522)  19.564 ms  19.760 ms  19.629 ms
 8  2001:610:f00:4040::42 (2001:610:f00:4040::42)  35.026 ms  34.702 ms  34.583 ms
 9  klecker-misc.debian.org (2001:67c:2564:a119::148:14)  27.234 ms  26.734 ms  26.601 ms

Der dritte Hop ist laut Deinem ersten Beitrag das Problem. Den hast Du nämlich nicht angepingt, der meldet halt nur, dass er das Ziel nicht kennt.

der kommt schon über deinen Router nicht hinaus

 

Ich hatte solche Problem mal, weil mein Router permanent den Upstream Gateway gepingt hat um zu sehen ob alles online ist.

Wenn dieser nicht oder nur gelegentlich geantwortet hat, dann hat der Router das Gateway temporär deaktivert,

ergo keine Route mehr für die Pakete. Wenn das Gateway wieder mal ging, dann ging auch IPv6 

 

Die Lösung bei mir war diese "Online" Funktion zu daktivieren und das Gateway auf "always present" zu setzten

Wie und ob dies bei deinem Router auch die ursahe ist, weiss ich natürlich nicht - macht aber Sinn dies zu prüfen

@Micknik: Ja, das macht Sinn. Dann läge das Problem wohl bei der Telekom und nicht bei mir. Sollte ich mal den Support da anrufen?

@Stefan: Bewusst habe ich eine solche Funktion zumindest nicht angeschaltet. Bis heute lief auch alles einwandfrei. Wobei ich IPv6 erst seit ein paar Tagen aktiviert habe.

@Dr. Arno Nym 

Ich würde erst mal mit einem Standard-Router wie Fritzbox oder Speedport gegenprüfen.

Das ist eine gute Idee...ich habe jedoch leider keinen Traurig Ich werde mal schauen ob ich mir morgen irgendwo einen borgen kann. Vielleicht hat sich das Problem bis dahin ja von selbst gelöst. Ich werde berichten Fröhlich

Oder auch als Geschäftskundengerät eine Digitalisierungsbox Smart oder Premium.

 

Woher? Ich habe noch ein paar Gebrauchtgeräte für solche Fälle.

Lösung

Ich habe die Ursache des Problems gefunden. Meine Firewall-Regeln ließen nach den ersten DHCPv6 Anfragen keine weiteren mehr durch. Das lag daran, dass die Firewall-Regeln erst nach dem erfolgreichen Verbindungsaufbau geladen worden sind. Im Anschluss daran fragt der DHCPv6-Client jedoch alle 15 Minuten nach, ob noch alles so bleibt wie es ist. Wenn die Antworten dann nicht durchkommen, treten diese komischen Fehler auf. Anfgängerfehler 😛 Die beiden folgenden Zeilen haben bei mir dann das Problem dann gelöst.

 

ip6tables -A INPUT  -i ppp0  -s fe80::/10 -p udp --dport 546 --sport 547 -j ACCEPT
ip6tables -A OUTPUT -o ppp0 -p udp --dport 547 --sport 546 -j ACCEPT

Ich danke allen für ihre Hilfe.