From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Received: from lists.gentoo.org (pigeon.gentoo.org [208.92.234.80]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by finch.gentoo.org (Postfix) with ESMTPS id 62B04139694 for ; Sun, 18 Jun 2017 10:12:37 +0000 (UTC) Received: from pigeon.gentoo.org (localhost [127.0.0.1]) by pigeon.gentoo.org (Postfix) with SMTP id CCABEE0C39; Sun, 18 Jun 2017 10:12:34 +0000 (UTC) Received: from zs2.zilox-it.de (ns2.zilox-it.de [84.201.4.37]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by pigeon.gentoo.org (Postfix) with ESMTPS id 7AD5BE0C31 for ; Sun, 18 Jun 2017 10:12:33 +0000 (UTC) Received: from atom.nahe (p200300C033EFD8000280C9FFFE0003EF.dip0.t-ipconnect.de [IPv6:2003:c0:33ef:d800:280:c9ff:fe00:3ef]) by zs2.zilox-it.de (Postfix) with ESMTPSA id C5E3440451 for ; Sun, 18 Jun 2017 12:12:31 +0200 (CEST) Received: from clevo.localnet (clevo.nahe [192.168.100.10]) by atom.nahe (Postfix) with ESMTPSA id C06A3880FE for ; Sun, 18 Jun 2017 12:12:30 +0200 (CEST) From: gentoo@stekahelo.de To: gentoo-user-de@lists.gentoo.org Subject: Re: [gentoo-user-de] IPv6 Routing Probleme Date: Sun, 18 Jun 2017 12:12:30 +0200 Message-ID: <2601377.eh1VLiWm4q@clevo> User-Agent: KMail/4.14.10 (Linux/4.4.65-gentoo; KDE/4.14.22; x86_64; ; ) In-Reply-To: <20170617203018.35ed821a@jupiter.sol.kaishome.de> References: <7137540.lBvlheE4Yx@clevo> <20170617203018.35ed821a@jupiter.sol.kaishome.de> Precedence: bulk List-Post: List-Help: List-Unsubscribe: List-Subscribe: List-Id: Gentoo Linux mail X-BeenThere: gentoo-user-de@lists.gentoo.org Reply-to: gentoo-user-de@lists.gentoo.org MIME-Version: 1.0 Content-Transfer-Encoding: quoted-printable Content-Type: text/plain; charset="iso-8859-1" X-Archives-Salt: 92e6801a-f6cc-4100-bab3-7de0f5cf2820 X-Archives-Hash: 2cde03caeebbfea8e47194fdcf55ebf7 Hallo, ich habe meinen Fehler gefunden: Ich habe einfach vergessen auf R1 das= =20 Gateway f=FCr die auf R2 gerouteten Netze noch festzulegen. Nach dem ich dies nachgeholt habe geht alles. Gr=FC=DFe und noch einen sch=F6nen Sonntag, Stephan Am Samstag, 17. Juni 2017, 20:30:18 schrieb Kai Krakow: > Am Sat, 17 Jun 2017 17:35:38 +0200 >=20 > schrieb gentoo@stekahelo.de: > > Hallo, > >=20 > > ich habe das Gef=FChl, dass ich den Wald vor lauter B=E4ume nicht m= ehr > > sehe und hoffe das mir jemand einen erhellenden Hinweis liefern kan= n. > > Da der Tunnelbroker Sixxs den Dienst eingestellt hat, m=F6chte ich = nun > > IPv6 von der Telekom nutzen. Dies funktioniert aber leider nur > > halbwegs. > >=20 > > Folgend mein Netzwerkaufbau > >=20 > > Internet > > =20 > > ^ > > =20 > > v > > =20 > > ppp100 > > =20 > > Router (R1) > > =20 > > eth0.103 eth0.102 eth0.104 > > =20 > > / | \ > > =20 > > / | \ > > =20 > > / eth1 \ > > =20 > > G=E4ste Gentoo (R2) DMZ > > =20 > > eth0 > > =20 > > Lokales Lan --> Notebook > >=20 > > Auf R1 erhalte ich von der Telekom f=FCrs PPP-Device eine IPv6-Adre= sse. > > Auch erhalte ich per DHCPv6 ein entsprechend geroutetes /56-Netz, > > woraus ich mir ein /60 nehme. >=20 > M=FCsstest du dir nicht f=FCr jedes VLAN ein 60er Subnetz auf dem 56e= r > Subnetz nehmen? Oder geht es nur um das VLAN 102, das mit IPv6 versor= gt > werden soll? >=20 > Ich bin mit IPv6 Subnetz-Routing noch nicht viel unterwegs, aber wenn= >=20 > ich das einigerma=DFen richtig verstanden habe, dann meine Gedanken d= azu: > > Auf R1 sind folgende IPv6 -Adressen und Routen vergeben: > > IPs > > ppp100 : 2003:d0:33bf:275b:36ee:995e:6dd7:1a2b/64 > > eth0.102 : 2003:d0:33f8:5000::1/60 > > eth0.102 : fe80::1/64 >=20 > ppp100 und eth0.102 befinden sich in verschiedenen Netzwerk-Segmenten= > (laut Pr=E4fix). Ich w=FCrde erwarten, dass die 60-Bit-Pr=E4fixe iden= tisch > sind, unterscheiden sich aber bereits bei 33bf vs. 33f8. Au=DFerdem h= at > ppp100 ja bereits ein 64er-Subnetz, kein 56er... >=20 > Deine unteren Netze (laut Schaubild) sollten also alle ein 64er-Pr=E4= fix > "2003:d0:33bf:275b" haben. Dann w=FCrdest du das Pr=E4fix weiter > unterteilen, z.B. indem du ein Nibble (4 Bit) dazu nimmst und somit 1= 6 > weitere Subnetze erh=E4ltst. Das Subnetz "3" w=E4re dann durch ppp0 b= ereits > belegt. Die restlichen k=F6nntest du verteilen: >=20 > eth0.102: 2003:d0:33f8:275b:4000::1/68 > ^ > +-- Subnetzkennung (64+4 =3D 68) > [-----------------] > ^ > +------- Pr=E4fix des Uplinks (64) >=20 > > Routen > > 2003:d0:33bf:275b::/64 dev ppp100 > > 2003:d0:33f8:5000::/60 dev eth0.102 > > default via fe80::100:100:3e9b:f606 dev ppp100 >=20 > Das Routing ergibt sich dann eigentlich von allein, da du Richtung > Uplink in fremde Netze gehst und Richtung Downlink nur in kleinere > Subnetze innerhalb des selben (=FCbergeordneten) Pr=E4fix. >=20 > Auch f=FCr die weiter unten angesiedelten Subnetze ist es dann das > gleiche Bild: =DCbergeordnete Router befinden sich in fremden Subnetz= en. >=20 > IPv6 sollte eigentlich ein wenig zur=FCckbringen, was Subnetze eigent= lich > wirklich bedeuten. Bei IPv4 hat man das inzwischen meist anders > gehandhabt. >=20 > Theoretisch zum Beispiel m=FCsstest du auch mit IPv4 eine Konstellati= on > wie diese aufbauen k=F6nnen: >=20 > ppp0 =3D 192.168.0.1/16 > eth0.102 =3D 192.168.102.1/24 > eth0.103 =3D 192.168.103.1/24 > eth0.104 =3D 192.168.104.1/24 >=20 > Das stellt eigentlich keinen Konflikt dar. Die Interface-Routen f=FCr= die > eth0-Interfaces ist spezifischer und wiegt damit mehr und stellt kein= en > Routing-Konflikt mit 192.168.0.0/16 dar. >=20 > Ich w=FCrde allerdings der =DCbersichtlichkeit halber vermeiden, auf = einem > Downlink "192.168.0.0/24" zu nutzen, so wie oben f=FCr IPv6 ja auch > angedeutet. >=20 > Die Default-Route (wenn kein Pr=E4fix passt) geht dann auf ppp0. >=20 > Bei IPv6 hast du nun statt lokalen 192.168er Adressen eben =F6ffentli= che > Pr=E4fixe - aber das ist nicht wirklich anders. >=20 > Der unterschied ist hier nur das Scoping: Je nach Scope k=F6nnen Pake= te > einen Boundary passieren oder nicht. Es gibt link-local (quasi alles = am > gleichen Switch bzw. Subnetz), site-local (alles unterhalb von ppp0) > sowie global. Die ersten Stellen der IPv6-Adresse unterscheiden das: > 2003 ist z.B. global, fe80 ist link-local. >=20 > Bei IPv6 haben Interfaces deshalb auch immer mehrere Adressen, > mindestens eine pro Scope, jeweils ausgestattet mit einer > G=FCltigkeitsdauer (die such =FCberschneiden, so dass dynamische IP-W= echsel > ohne Verbindungsabbr=FCche m=F6glich sind). >=20 > Deine Default-Routen kannst du jeweils immer auf die fe80-Adresse > setzen, da du die gleich lassen kannst, w=E4hrend das RA dir neue Pub= lic > Prefixes durch deine Subnetze schicken kann. >=20 > Um site-local mit festen IPs zu adressieren, kannst du site scope > Adressen verwenden und so zwischen deinen VLANs kommunizieren (aber > nat=FCrlich auch mit den global scope Adressen, die aber je nach Prov= ider > nicht immer gleich bleiben m=FCssen). >=20 > > Auf R2 sind folgende IPv6-Adresse vergeben: > > eth1 : 2003:d0:33f8:5000:280:c9ff:fe00:3ef/64 > > eth0 : 2003:d0:33f8:500e::1/64 > > eth0 : fe80::1/64 >=20 > ^^^^^^^^^ > Wieder andere Pr=E4fixes. Dies sind potentiell andere Rechner oberhal= b > des Uplinks. >=20 > > Routen > > 2003:d0:33f8:5000::/64 dev eth1 > > 2003:d0:33f8:500e::/64 dev eth0 > > default via fe80::1 dev eth1 >=20 > ^^^^^^^^^ > Wieder nicht dein global scope Subnetz. >=20 > > Auf R2 wird per per dnsmasq das entsprechende IPv6 bekannt gemacht >=20 > > und die Ger=E4te erhalten auch entsprechende IPv6-Adressen: > Du musst nach unten die gr=F6=DFeren Prefixes verteilen, deren von ob= en > geerbtes Prefix aber immer gleich sein muss (also der 64er Teil > identisch, und nach unten ein 68er Subnetz verteilen). >=20 > Leider ist ein 64er-Pr=E4fix vom Provider eigentlich schon zu klein, = um > stateless IP Vergabe zu nutzen, daf=FCr w=E4re ein 48er-Subnetz besse= r, wie > es das von SixXS gab. Denn der stateless Modus erstellt automatisch > eine global scope IP aus dem vorgegebenen Pr=E4fix und nutzt die > 48-Bit-MAC, um sich daraus eine 64-Bit-Host-Adresse zu basteln. > Zusammen mit dem 64-Bit-Pr=E4fix sind das dann schon die 128 Bit. Du > wirst also die Downlink-Subnetze mit DHCPv6 versorgen m=FCssen. >=20 > > z.B. Linux-Notebook > > IPs > > eth0 : 2003:d0:33f8:500e:11fc:60db:35f2:5582/64 > >=20 > > Routen: > > 2003:d0:33f8:500e::/64 dev eth0 > > default via fe80::1 dev eth0 > >=20 > >=20 > > Von R1 und R2 komme ich ohne Probleme per IPv6 ins Internet, > > z.B. per: ping6 heise.de > > Ich kann auch die IPs von R1 und R2 von einem Server im Internet au= s > > erreichen: > > ping6 2003:d0:33bf:275b:36ee:995e:6dd7:1a2b > > ping6 2003:d0:33f8:5000::1 > > und > > ping6 2003:d0:33f8:5000:280:c9ff:fe00:3ef > > sind erfolgreich. >=20 > Ja, nur erreichst du keinen =F6ffentlichen Rechner mit dem Pr=E4fix > 2003:d0:33f8:5000 mehr - das geh=F6rt ja nicht dir. >=20 > > Was jetzt NICHT geht ist, dass ich die Adresse 2003:d0:33f8:500e::1= > > von R1 aus anpingen kann; auch kann ich aus dem lokalen LAN keine > > IPv6-Adresse hinter eth1 (von R2) erreichen. >=20 > So funktioniert das Routing bei IPv6 eigentlich auch nicht. Bzw. dir > fehlen vermutlich Routen. Ich w=FCrde lieber erstmal echte Subnetze > probieren (also gr=F6=DFere Pr=E4fixe je weiter unten im Diagramm). >=20 > > Es sieht so aus als w=FCrde kein Routing auf R2 gemacht werden, abe= r > > in /proc ist es entsprechend aktiviert: > > cat /proc/sys/net/ipv6/conf/{all,eth0,eth1}/forwarding --> 1, 1, 1 > >=20 > > Lasse ich w=E4hrend ich vom Notebook aus eine externe Adresse anpin= ge > > ein tcpdump auf R1 laufen, sehe ich, dass dort versucht wird die > > Adresse des Notebooks per neighbor solicitation zu ermitteln, was > > aber ins leere zu laufen scheint. Ein ip -6 neigh zeigt an: > > 2003:d0:33f8:500e:11fc:60db:35f2:5582 dev eth0.102 FAILED > >=20 > > Firewall-Regeln sind auf R2 keine eingerichtet und auf R1 nur > > rudiment=E4r auf ppp100. > >=20 > > Also irgendwie ist da er Wurm drin und ich w=FCrde mich freuen, wen= n > > mir jemand einen Tipp geben k=F6nnte ;) >=20 > Wie eingangs erw=E4hnt: Nur meine Gedanken dazu... Ich habe das bishe= r > nur in der Theorie gemacht. ;-) >=20 > Feedback und Gedanken dazu sind willkommen.