- Beitrag abonnieren
- Beitrag stummschalten
- Beitrag als ungelesen kennzeichnen
- Beitrag als gelesen kennzeichnen
IPv6 Routing Probleme
17.05.2019 18:44
Hallo liebes Telekom-Team,
seit heute habe ich Probleme mit IPv6. Manchmal funktioniert es, manchmal nicht, ohne dass ich die Verbindung abbrechen oder irgendetwas an der Konfiguration ändern würde. Das ganze verhält sich recht eigenartig. Wenn ich zum Beispiel einen Ping auf www.debian.org setze passiert folgendes:
root@home:~# ping www.debian.org PING www.debian.org(senfter.debian.org (2001:41c8:1000:21::21:4)) 56 data bytes From 2003:0:1504:e400::2 (2003:0:1504:e400::2) icmp_seq=59 Destination unreachable: No route From 2003:0:1504:e400::2 (2003:0:1504:e400::2) icmp_seq=60 Destination unreachable: No route From 2003:0:1504:e400::2 (2003:0:1504:e400::2) icmp_seq=61 Destination unreachable: No route
Man beachte die 58 Pakte auf die gar keine Antwort kam. Dann, auf einmal, 200 Pakete später funktioniert es wieder, bevor es dann wieder nicht geht, und so weiter. Recht sporadisch das ganze. Das ist nicht nur bei www.debian.org der Fall sondern passiert auch bei beliebigen anderen Seiten.
Ich habe einen DeutschlandLAN Glasfaseranschluss mit fester IPv4-Adresse und festem IPv6 /56-Prefix. Bin ich der einzige bei dem dieses Problem hat, oder sollte ich mal nach Problemen in meiner eigenen Konfiguration suchen?
Vielen Dank!
Gelöst! Gehe zu Lösung.
18.05.2019 12:25 Zuletzt bearbeitet: 18.05.2019 12:32 durch den Autor
Ich habe die Ursache des Problems gefunden. Meine Firewall-Regeln ließen nach den ersten DHCPv6 Anfragen keine weiteren mehr durch. Das lag daran, dass die Firewall-Regeln erst nach dem erfolgreichen Verbindungsaufbau geladen worden sind. Im Anschluss daran fragt der DHCPv6-Client jedoch alle 15 Minuten nach, ob noch alles so bleibt wie es ist. Wenn die Antworten dann nicht durchkommen, treten diese komischen Fehler auf. Anfgängerfehler 😛 Die beiden folgenden Zeilen haben bei mir dann das Problem dann gelöst.
ip6tables -A INPUT -i ppp0 -s fe80::/10 -p udp --dport 546 --sport 547 -j ACCEPT
ip6tables -A OUTPUT -o ppp0 -p udp --dport 547 --sport 546 -j ACCEPT
Ich danke allen für ihre Hilfe.
17.05.2019 18:47
Hier ein Beispiel mit Facebook:
root@home:~# ping www.facebook.com […] 64 bytes from edge-star-mini6-shv-02-frt3.facebook.com (2a03:2880:f11c:8183:face:b00c:0:25de): icmp_seq=345 ttl=55 time=13.9 ms 64 bytes from edge-star-mini6-shv-02-frt3.facebook.com (2a03:2880:f11c:8183:face:b00c:0:25de): icmp_seq=346 ttl=55 time=14.7 ms 64 bytes from edge-star-mini6-shv-02-frt3.facebook.com (2a03:2880:f11c:8183:face:b00c:0:25de): icmp_seq=347 ttl=55 time=14.0 ms 64 bytes from edge-star-mini6-shv-02-frt3.facebook.com (2a03:2880:f11c:8183:face:b00c:0:25de): icmp_seq=348 ttl=55 time=14.0 ms 64 bytes from edge-star-mini6-shv-02-frt3.facebook.com (2a03:2880:f11c:8183:face:b00c:0:25de): icmp_seq=458 ttl=55 time=14.0 ms 64 bytes from edge-star-mini6-shv-02-frt3.facebook.com (2a03:2880:f11c:8183:face:b00c:0:25de): icmp_seq=459 ttl=55 time=14.1 ms 64 bytes from edge-star-mini6-shv-02-frt3.facebook.com (2a03:2880:f11c:8183:face:b00c:0:25de): icmp_seq=460 ttl=55 time=14.5 ms 64 bytes from edge-star-mini6-shv-02-frt3.facebook.com (2a03:2880:f11c:8183:face:b00c:0:25de): icmp_seq=461 ttl=55 time=14.0 ms 64 bytes from edge-star-mini6-shv-02-frt3.facebook.com (2a03:2880:f11c:8183:face:b00c:0:25de): icmp_seq=462 ttl=55 time=14.6 ms 64 bytes from edge-star-mini6-shv-02-frt3.facebook.com (2a03:2880:f11c:8183:face:b00c:0:25de): icmp_seq=463 ttl=55 time=14.1 ms ^C --- www.facebook.com ping statistics --- 463 packets transmitted, 340 received, 26% packet loss, time 465348ms rtt min/avg/max/mdev = 13.891/14.203/14.790/0.256 ms root@home:~#
Zwischen 348 und 458 geht auf einmal alles verloren.
17.05.2019 18:51
Mein Problem ist übrigens nicht das Pingen selbst. Das Problem ist, dass das Surfen auf diesen Seiten nur genau so sporadisch funktioniert.
17.05.2019 18:55
ist 2003:0:1504:e400::2 dein Linux rechner oder dein Router?
Da 2003:0:1504:e400::2 vermutlich zu deinem Netz gehört musst du den Fehler da suchen.
Denn 2003:0:1504:e400::2 sollte ja alles zum default uptream Gateway schicken und da stellt sich die Frage nach einer Route
Dein Router ist nicht zufällig eine pfSense oder Opnsense?
Dann hätte ich da eine idee, worna es liegen könnte.
17.05.2019 19:02 Zuletzt bearbeitet: 17.05.2019 19:05 durch den Autor
@Stefan: vielen Dank für die schnelle Antwort.
ich weiß nicht so genau, was die Adresse 2003:0:1504:e400::2 ist. Vielleicht ein Telekom-Router irgendwo? Jedenfalls ist sie nicht die Adresse meines Rechners oder Routers. Die fangen alle mit 2003:a: an.
Ich benutze ein Devuan, dass ich mir zusammen konfiguriert habe. Die Verbindung wird mit PPPoE aufgebaut, dann
echo 2 > /proc/sys/net/ipv6/conf/ppp0/accept_ra, und zuguterletzt rufe ich die Prefixes mit dem WIDE DHCP client ab. Ich kann auch noch mehr konfiguration senden wenn das bei der Analyse hilft.
17.05.2019 19:07
17.05.2019 19:14
Wenn es gerade mal nicht funktioniert sieht das so aus:
traceroute to www.debian.org (2001:67c:2564:a119::148:14), 30 hops max, 80 byte packets 1 2003:a:XXXX:XXXX.... (2003:a:XXXX:XXXX...) 0.538 ms 0.404 ms 0.622 ms 2 * * * 3 * * * 4 * * * 5 * * * 6 * * * 7 * * * 8 * * * 9 * * * 10 * * * 11 * * * 12 * * * 13 * * * 14 * * * 15 * * * 16 * * *
Dabei habe ich mal die letzten Stellen der IP "zensiert".
17.05.2019 19:23
Wenn es dann mal funktioniert so:
traceroute to 2001:67c:2564:a119::148:14 (2001:67c:2564:a119::148:14), 30 hops max, 80 byte packets 1 2003:a:XXXX:XXXX (2003:a:XXXXXXXX) 0.485 ms 0.344 ms 0.412 ms 2 2003:0:1504:a409::1 (2003:0:1504:a409::1) 9.603 ms 9.303 ms 9.529 ms 3 2003:0:1504:e400::2 (2003:0:1504:e400::2) 10.029 ms 9.660 ms 9.507 ms 4 2003:0:1308:4000::1 (2003:0:1308:4000::1) 14.645 ms 14.519 ms 14.367 ms 5 2003:0:1308:402f::2 (2003:0:1308:402f::2) 15.132 ms 14.982 ms 14.846 ms 6 2001:668:0:2:ffff:0:5995:8ce5 (2001:668:0:2:ffff:0:5995:8ce5) 27.644 ms 25.136 ms 2001:668:0:2:ffff:0:5995:8fba (2001:668:0:2:ffff:0:5995:8fba) 21.726 ms 7 surfnet-gw.ip6.gtt.net (2001:668:0:3::6000:522) 19.564 ms 19.760 ms 19.629 ms 8 2001:610:f00:4040::42 (2001:610:f00:4040::42) 35.026 ms 34.702 ms 34.583 ms 9 klecker-misc.debian.org (2001:67c:2564:a119::148:14) 27.234 ms 26.734 ms 26.601 ms
17.05.2019 19:24
Und dann manchmal so:
root@home:~# traceroute -6 www.debian.org traceroute to www.debian.org (2001:41c8:1000:21::21:4), 30 hops max, 80 byte packets 1 2003:a:XXXXXX (2003:a:XXXXXXX) 0.582 ms 0.453 ms 0.331 ms 2 2003:0:1504:a409::1 (2003:0:1504:a409::1) 18.154 ms 17.892 ms 17.771 ms 3 2003:0:1504:e400::2 (2003:0:1504:e400::2) 10.337 ms !N 10.016 ms !N 10.322 ms !N
17.05.2019 19:27
@Dr. Arno Nym schrieb:Wenn es dann mal funktioniert so:
traceroute to 2001:67c:2564:a119::148:14 (2001:67c:2564:a119::148:14), 30 hops max, 80 byte packets 1 2003:a:XXXX:XXXX (2003:a:XXXXXXXX) 0.485 ms 0.344 ms 0.412 ms 2 2003:0:1504:a409::1 (2003:0:1504:a409::1) 9.603 ms 9.303 ms 9.529 ms 3 2003:0:1504:e400::2 (2003:0:1504:e400::2) 10.029 ms 9.660 ms 9.507 ms 4 2003:0:1308:4000::1 (2003:0:1308:4000::1) 14.645 ms 14.519 ms 14.367 ms 5 2003:0:1308:402f::2 (2003:0:1308:402f::2) 15.132 ms 14.982 ms 14.846 ms 6 2001:668:0:2:ffff:0:5995:8ce5 (2001:668:0:2:ffff:0:5995:8ce5) 27.644 ms 25.136 ms 2001:668:0:2:ffff:0:5995:8fba (2001:668:0:2:ffff:0:5995:8fba) 21.726 ms 7 surfnet-gw.ip6.gtt.net (2001:668:0:3::6000:522) 19.564 ms 19.760 ms 19.629 ms 8 2001:610:f00:4040::42 (2001:610:f00:4040::42) 35.026 ms 34.702 ms 34.583 ms 9 klecker-misc.debian.org (2001:67c:2564:a119::148:14) 27.234 ms 26.734 ms 26.601 ms
Der dritte Hop ist laut Deinem ersten Beitrag das Problem. Den hast Du nämlich nicht angepingt, der meldet halt nur, dass er das Ziel nicht kennt.
17.05.2019 19:28
der kommt schon über deinen Router nicht hinaus
Ich hatte solche Problem mal, weil mein Router permanent den Upstream Gateway gepingt hat um zu sehen ob alles online ist.
Wenn dieser nicht oder nur gelegentlich geantwortet hat, dann hat der Router das Gateway temporär deaktivert,
ergo keine Route mehr für die Pakete. Wenn das Gateway wieder mal ging, dann ging auch IPv6
Die Lösung bei mir war diese "Online" Funktion zu daktivieren und das Gateway auf "always present" zu setzten
Wie und ob dies bei deinem Router auch die ursahe ist, weiss ich natürlich nicht - macht aber Sinn dies zu prüfen
17.05.2019 19:32
@Micknik: Ja, das macht Sinn. Dann läge das Problem wohl bei der Telekom und nicht bei mir. Sollte ich mal den Support da anrufen?
@Stefan: Bewusst habe ich eine solche Funktion zumindest nicht angeschaltet. Bis heute lief auch alles einwandfrei. Wobei ich IPv6 erst seit ein paar Tagen aktiviert habe.
17.05.2019 19:46
Ich würde erst mal mit einem Standard-Router wie Fritzbox oder Speedport gegenprüfen.
17.05.2019 19:52
Das ist eine gute Idee...ich habe jedoch leider keinen Ich werde mal schauen ob ich mir morgen irgendwo einen borgen kann. Vielleicht hat sich das Problem bis dahin ja von selbst gelöst. Ich werde berichten
17.05.2019 19:58
Oder auch als Geschäftskundengerät eine Digitalisierungsbox Smart oder Premium.
Woher? Ich habe noch ein paar Gebrauchtgeräte für solche Fälle.
18.05.2019 12:25 Zuletzt bearbeitet: 18.05.2019 12:32 durch den Autor
Ich habe die Ursache des Problems gefunden. Meine Firewall-Regeln ließen nach den ersten DHCPv6 Anfragen keine weiteren mehr durch. Das lag daran, dass die Firewall-Regeln erst nach dem erfolgreichen Verbindungsaufbau geladen worden sind. Im Anschluss daran fragt der DHCPv6-Client jedoch alle 15 Minuten nach, ob noch alles so bleibt wie es ist. Wenn die Antworten dann nicht durchkommen, treten diese komischen Fehler auf. Anfgängerfehler 😛 Die beiden folgenden Zeilen haben bei mir dann das Problem dann gelöst.
ip6tables -A INPUT -i ppp0 -s fe80::/10 -p udp --dport 546 --sport 547 -j ACCEPT
ip6tables -A OUTPUT -o ppp0 -p udp --dport 547 --sport 546 -j ACCEPT
Ich danke allen für ihre Hilfe.