Discussion:
[gentoo-user-de] IPv6 Routing Probleme
(zu alt für eine Antwort)
g***@stekahelo.de
2017-06-17 15:40:03 UTC
Permalink
Hallo,

ich habe das Gefühl, dass ich den Wald vor lauter Bäume nicht mehr sehe und
hoffe das mir jemand einen erhellenden Hinweis liefern kann.
Da der Tunnelbroker Sixxs den Dienst eingestellt hat, möchte ich nun IPv6 von
der Telekom nutzen. Dies funktioniert aber leider nur halbwegs.

Folgend mein Netzwerkaufbau

Internet
^
|
v
ppp100
Router (R1)
eth0.103 eth0.102 eth0.104
/ | \
/ | \
/ eth1 \
Gäste Gentoo (R2) DMZ
eth0
|
|
Lokales Lan --> Notebook

Auf R1 erhalte ich von der Telekom fürs PPP-Device eine IPv6-Adresse.
Auch erhalte ich per DHCPv6 ein entsprechend geroutetes /56-Netz, woraus ich
mir ein /60 nehme.

Auf R1 sind folgende IPv6 -Adressen und Routen vergeben:
IPs
ppp100 : 2003:d0:33bf:275b:36ee:995e:6dd7:1a2b/64
eth0.102 : 2003:d0:33f8:5000::1/60
eth0.102 : fe80::1/64

Routen
2003:d0:33bf:275b::/64 dev ppp100
2003:d0:33f8:5000::/60 dev eth0.102
default via fe80::100:100:3e9b:f606 dev ppp100


Auf R2 sind folgende IPv6-Adresse vergeben:
eth1 : 2003:d0:33f8:5000:280:c9ff:fe00:3ef/64
eth0 : 2003:d0:33f8:500e::1/64
eth0 : fe80::1/64

Routen
2003:d0:33f8:5000::/64 dev eth1
2003:d0:33f8:500e::/64 dev eth0
default via fe80::1 dev eth1


Auf R2 wird per per dnsmasq das entsprechende IPv6 bekannt gemacht und die
Geräte erhalten auch entsprechende IPv6-Adressen:

z.B. Linux-Notebook
IPs
eth0 : 2003:d0:33f8:500e:11fc:60db:35f2:5582/64

Routen:
2003:d0:33f8:500e::/64 dev eth0
default via fe80::1 dev eth0


Von R1 und R2 komme ich ohne Probleme per IPv6 ins Internet,
z.B. per: ping6 heise.de
Ich kann auch die IPs von R1 und R2 von einem Server im Internet aus
erreichen:
ping6 2003:d0:33bf:275b:36ee:995e:6dd7:1a2b
ping6 2003:d0:33f8:5000::1
und
ping6 2003:d0:33f8:5000:280:c9ff:fe00:3ef
sind erfolgreich.


Was jetzt NICHT geht ist, dass ich die Adresse 2003:d0:33f8:500e::1 von R1 aus
anpingen kann; auch kann ich aus dem lokalen LAN keine IPv6-Adresse hinter
eth1 (von R2) erreichen.
Es sieht so aus als würde kein Routing auf R2 gemacht werden, aber in /proc
ist es entsprechend aktiviert:
cat /proc/sys/net/ipv6/conf/{all,eth0,eth1}/forwarding --> 1, 1, 1

Lasse ich während ich vom Notebook aus eine externe Adresse anpinge ein
tcpdump auf R1 laufen, sehe ich, dass dort versucht wird die Adresse des
Notebooks per neighbor solicitation zu ermitteln, was aber ins leere zu laufen
scheint. Ein ip -6 neigh zeigt an:
2003:d0:33f8:500e:11fc:60db:35f2:5582 dev eth0.102 FAILED

Firewall-Regeln sind auf R2 keine eingerichtet und auf R1 nur rudimentär auf
ppp100.

Also irgendwie ist da er Wurm drin und ich würde mich freuen, wenn mir jemand
einen Tipp geben könnte ;)


Danke und Grüße,
Stephan


PS: Alle IP-Adressen sind rein exemplarisch ;)
Kai Krakow
2017-06-17 18:40:01 UTC
Permalink
Am Sat, 17 Jun 2017 17:35:38 +0200
Post by g***@stekahelo.de
Hallo,
ich habe das Gefühl, dass ich den Wald vor lauter Bäume nicht mehr
sehe und hoffe das mir jemand einen erhellenden Hinweis liefern kann.
Da der Tunnelbroker Sixxs den Dienst eingestellt hat, möchte ich nun
IPv6 von der Telekom nutzen. Dies funktioniert aber leider nur
halbwegs.
Folgend mein Netzwerkaufbau
Internet
^
|
v
ppp100
Router (R1)
eth0.103 eth0.102 eth0.104
/ | \
/ | \
/ eth1 \
Gäste Gentoo (R2) DMZ
eth0
|
|
Lokales Lan --> Notebook
Auf R1 erhalte ich von der Telekom fürs PPP-Device eine IPv6-Adresse.
Auch erhalte ich per DHCPv6 ein entsprechend geroutetes /56-Netz,
woraus ich mir ein /60 nehme.
Müsstest du dir nicht für jedes VLAN ein 60er Subnetz auf dem 56er
Subnetz nehmen? Oder geht es nur um das VLAN 102, das mit IPv6 versorgt
werden soll?

Ich bin mit IPv6 Subnetz-Routing noch nicht viel unterwegs, aber wenn
Post by g***@stekahelo.de
IPs
ppp100 : 2003:d0:33bf:275b:36ee:995e:6dd7:1a2b/64
eth0.102 : 2003:d0:33f8:5000::1/60
eth0.102 : fe80::1/64
ppp100 und eth0.102 befinden sich in verschiedenen Netzwerk-Segmenten
(laut Präfix). Ich würde erwarten, dass die 60-Bit-Präfixe identisch
sind, unterscheiden sich aber bereits bei 33bf vs. 33f8. Außerdem hat
ppp100 ja bereits ein 64er-Subnetz, kein 56er...

Deine unteren Netze (laut Schaubild) sollten also alle ein 64er-Präfix
"2003:d0:33bf:275b" haben. Dann würdest du das Präfix weiter
unterteilen, z.B. indem du ein Nibble (4 Bit) dazu nimmst und somit 16
weitere Subnetze erhältst. Das Subnetz "3" wäre dann durch ppp0 bereits
belegt. Die restlichen könntest du verteilen:

eth0.102: 2003:d0:33f8:275b:4000::1/68
^
+-- Subnetzkennung (64+4 = 68)
[-----------------]
^
+------- Präfix des Uplinks (64)
Post by g***@stekahelo.de
Routen
2003:d0:33bf:275b::/64 dev ppp100
2003:d0:33f8:5000::/60 dev eth0.102
default via fe80::100:100:3e9b:f606 dev ppp100
Das Routing ergibt sich dann eigentlich von allein, da du Richtung
Uplink in fremde Netze gehst und Richtung Downlink nur in kleinere
Subnetze innerhalb des selben (übergeordneten) Präfix.

Auch für die weiter unten angesiedelten Subnetze ist es dann das
gleiche Bild: Übergeordnete Router befinden sich in fremden Subnetzen.

IPv6 sollte eigentlich ein wenig zurückbringen, was Subnetze eigentlich
wirklich bedeuten. Bei IPv4 hat man das inzwischen meist anders
gehandhabt.

Theoretisch zum Beispiel müsstest du auch mit IPv4 eine Konstellation
wie diese aufbauen können:

ppp0 = 192.168.0.1/16
eth0.102 = 192.168.102.1/24
eth0.103 = 192.168.103.1/24
eth0.104 = 192.168.104.1/24

Das stellt eigentlich keinen Konflikt dar. Die Interface-Routen für die
eth0-Interfaces ist spezifischer und wiegt damit mehr und stellt keinen
Routing-Konflikt mit 192.168.0.0/16 dar.

Ich würde allerdings der Übersichtlichkeit halber vermeiden, auf einem
Downlink "192.168.0.0/24" zu nutzen, so wie oben für IPv6 ja auch
angedeutet.

Die Default-Route (wenn kein Präfix passt) geht dann auf ppp0.

Bei IPv6 hast du nun statt lokalen 192.168er Adressen eben öffentliche
Präfixe - aber das ist nicht wirklich anders.

Der unterschied ist hier nur das Scoping: Je nach Scope können Pakete
einen Boundary passieren oder nicht. Es gibt link-local (quasi alles am
gleichen Switch bzw. Subnetz), site-local (alles unterhalb von ppp0)
sowie global. Die ersten Stellen der IPv6-Adresse unterscheiden das:
2003 ist z.B. global, fe80 ist link-local.

Bei IPv6 haben Interfaces deshalb auch immer mehrere Adressen,
mindestens eine pro Scope, jeweils ausgestattet mit einer
Gültigkeitsdauer (die such überschneiden, so dass dynamische IP-Wechsel
ohne Verbindungsabbrüche möglich sind).

Deine Default-Routen kannst du jeweils immer auf die fe80-Adresse
setzen, da du die gleich lassen kannst, während das RA dir neue Public
Prefixes durch deine Subnetze schicken kann.

Um site-local mit festen IPs zu adressieren, kannst du site scope
Adressen verwenden und so zwischen deinen VLANs kommunizieren (aber
natürlich auch mit den global scope Adressen, die aber je nach Provider
nicht immer gleich bleiben müssen).
Post by g***@stekahelo.de
eth1 : 2003:d0:33f8:5000:280:c9ff:fe00:3ef/64
eth0 : 2003:d0:33f8:500e::1/64
eth0 : fe80::1/64
^^^^^^^^^
Wieder andere Präfixes. Dies sind potentiell andere Rechner oberhalb
des Uplinks.
Post by g***@stekahelo.de
Routen
2003:d0:33f8:5000::/64 dev eth1
2003:d0:33f8:500e::/64 dev eth0
default via fe80::1 dev eth1
^^^^^^^^^
Wieder nicht dein global scope Subnetz.
Post by g***@stekahelo.de
Auf R2 wird per per dnsmasq das entsprechende IPv6 bekannt gemacht
Du musst nach unten die größeren Prefixes verteilen, deren von oben
geerbtes Prefix aber immer gleich sein muss (also der 64er Teil
identisch, und nach unten ein 68er Subnetz verteilen).

Leider ist ein 64er-Präfix vom Provider eigentlich schon zu klein, um
stateless IP Vergabe zu nutzen, dafür wäre ein 48er-Subnetz besser, wie
es das von SixXS gab. Denn der stateless Modus erstellt automatisch
eine global scope IP aus dem vorgegebenen Präfix und nutzt die
48-Bit-MAC, um sich daraus eine 64-Bit-Host-Adresse zu basteln.
Zusammen mit dem 64-Bit-Präfix sind das dann schon die 128 Bit. Du
wirst also die Downlink-Subnetze mit DHCPv6 versorgen müssen.
Post by g***@stekahelo.de
z.B. Linux-Notebook
IPs
eth0 : 2003:d0:33f8:500e:11fc:60db:35f2:5582/64
2003:d0:33f8:500e::/64 dev eth0
default via fe80::1 dev eth0
Von R1 und R2 komme ich ohne Probleme per IPv6 ins Internet,
z.B. per: ping6 heise.de
Ich kann auch die IPs von R1 und R2 von einem Server im Internet aus
ping6 2003:d0:33bf:275b:36ee:995e:6dd7:1a2b
ping6 2003:d0:33f8:5000::1
und
ping6 2003:d0:33f8:5000:280:c9ff:fe00:3ef
sind erfolgreich.
Ja, nur erreichst du keinen öffentlichen Rechner mit dem Präfix
2003:d0:33f8:5000 mehr - das gehört ja nicht dir.
Post by g***@stekahelo.de
Was jetzt NICHT geht ist, dass ich die Adresse 2003:d0:33f8:500e::1
von R1 aus anpingen kann; auch kann ich aus dem lokalen LAN keine
IPv6-Adresse hinter eth1 (von R2) erreichen.
So funktioniert das Routing bei IPv6 eigentlich auch nicht. Bzw. dir
fehlen vermutlich Routen. Ich würde lieber erstmal echte Subnetze
probieren (also größere Präfixe je weiter unten im Diagramm).
Post by g***@stekahelo.de
Es sieht so aus als würde kein Routing auf R2 gemacht werden, aber
cat /proc/sys/net/ipv6/conf/{all,eth0,eth1}/forwarding --> 1, 1, 1
Lasse ich während ich vom Notebook aus eine externe Adresse anpinge
ein tcpdump auf R1 laufen, sehe ich, dass dort versucht wird die
Adresse des Notebooks per neighbor solicitation zu ermitteln, was
2003:d0:33f8:500e:11fc:60db:35f2:5582 dev eth0.102 FAILED
Firewall-Regeln sind auf R2 keine eingerichtet und auf R1 nur
rudimentär auf ppp100.
Also irgendwie ist da er Wurm drin und ich würde mich freuen, wenn
mir jemand einen Tipp geben könnte ;)
Wie eingangs erwähnt: Nur meine Gedanken dazu... Ich habe das bisher
nur in der Theorie gemacht. ;-)

Feedback und Gedanken dazu sind willkommen.
--
Regards,
Kai

Replies to list-only preferred.
g***@stekahelo.de
2017-06-18 10:20:01 UTC
Permalink
Hallo,

ich habe meinen Fehler gefunden: Ich habe einfach vergessen auf R1 das
Gateway für die auf R2 gerouteten Netze noch festzulegen.

Nach dem ich dies nachgeholt habe geht alles.

Grüße und noch einen schönen Sonntag,
Stephan
Post by Kai Krakow
Am Sat, 17 Jun 2017 17:35:38 +0200
Post by g***@stekahelo.de
Hallo,
ich habe das Gefühl, dass ich den Wald vor lauter Bäume nicht mehr
sehe und hoffe das mir jemand einen erhellenden Hinweis liefern kann.
Da der Tunnelbroker Sixxs den Dienst eingestellt hat, möchte ich nun
IPv6 von der Telekom nutzen. Dies funktioniert aber leider nur
halbwegs.
Folgend mein Netzwerkaufbau
Internet
^
v
ppp100
Router (R1)
eth0.103 eth0.102 eth0.104
/ | \
/ | \
/ eth1 \
Gäste Gentoo (R2) DMZ
eth0
Lokales Lan --> Notebook
Auf R1 erhalte ich von der Telekom fürs PPP-Device eine IPv6-Adresse.
Auch erhalte ich per DHCPv6 ein entsprechend geroutetes /56-Netz,
woraus ich mir ein /60 nehme.
Müsstest du dir nicht für jedes VLAN ein 60er Subnetz auf dem 56er
Subnetz nehmen? Oder geht es nur um das VLAN 102, das mit IPv6 versorgt
werden soll?
Ich bin mit IPv6 Subnetz-Routing noch nicht viel unterwegs, aber wenn
Post by g***@stekahelo.de
IPs
ppp100 : 2003:d0:33bf:275b:36ee:995e:6dd7:1a2b/64
eth0.102 : 2003:d0:33f8:5000::1/60
eth0.102 : fe80::1/64
ppp100 und eth0.102 befinden sich in verschiedenen Netzwerk-Segmenten
(laut Präfix). Ich würde erwarten, dass die 60-Bit-Präfixe identisch
sind, unterscheiden sich aber bereits bei 33bf vs. 33f8. Außerdem hat
ppp100 ja bereits ein 64er-Subnetz, kein 56er...
Deine unteren Netze (laut Schaubild) sollten also alle ein 64er-Präfix
"2003:d0:33bf:275b" haben. Dann würdest du das Präfix weiter
unterteilen, z.B. indem du ein Nibble (4 Bit) dazu nimmst und somit 16
weitere Subnetze erhältst. Das Subnetz "3" wäre dann durch ppp0 bereits
eth0.102: 2003:d0:33f8:275b:4000::1/68
^
+-- Subnetzkennung (64+4 = 68)
[-----------------]
^
+------- Präfix des Uplinks (64)
Post by g***@stekahelo.de
Routen
2003:d0:33bf:275b::/64 dev ppp100
2003:d0:33f8:5000::/60 dev eth0.102
default via fe80::100:100:3e9b:f606 dev ppp100
Das Routing ergibt sich dann eigentlich von allein, da du Richtung
Uplink in fremde Netze gehst und Richtung Downlink nur in kleinere
Subnetze innerhalb des selben (übergeordneten) Präfix.
Auch für die weiter unten angesiedelten Subnetze ist es dann das
gleiche Bild: Übergeordnete Router befinden sich in fremden Subnetzen.
IPv6 sollte eigentlich ein wenig zurückbringen, was Subnetze eigentlich
wirklich bedeuten. Bei IPv4 hat man das inzwischen meist anders
gehandhabt.
Theoretisch zum Beispiel müsstest du auch mit IPv4 eine Konstellation
ppp0 = 192.168.0.1/16
eth0.102 = 192.168.102.1/24
eth0.103 = 192.168.103.1/24
eth0.104 = 192.168.104.1/24
Das stellt eigentlich keinen Konflikt dar. Die Interface-Routen für die
eth0-Interfaces ist spezifischer und wiegt damit mehr und stellt keinen
Routing-Konflikt mit 192.168.0.0/16 dar.
Ich würde allerdings der Übersichtlichkeit halber vermeiden, auf einem
Downlink "192.168.0.0/24" zu nutzen, so wie oben für IPv6 ja auch
angedeutet.
Die Default-Route (wenn kein Präfix passt) geht dann auf ppp0.
Bei IPv6 hast du nun statt lokalen 192.168er Adressen eben öffentliche
Präfixe - aber das ist nicht wirklich anders.
Der unterschied ist hier nur das Scoping: Je nach Scope können Pakete
einen Boundary passieren oder nicht. Es gibt link-local (quasi alles am
gleichen Switch bzw. Subnetz), site-local (alles unterhalb von ppp0)
2003 ist z.B. global, fe80 ist link-local.
Bei IPv6 haben Interfaces deshalb auch immer mehrere Adressen,
mindestens eine pro Scope, jeweils ausgestattet mit einer
Gültigkeitsdauer (die such überschneiden, so dass dynamische IP-Wechsel
ohne Verbindungsabbrüche möglich sind).
Deine Default-Routen kannst du jeweils immer auf die fe80-Adresse
setzen, da du die gleich lassen kannst, während das RA dir neue Public
Prefixes durch deine Subnetze schicken kann.
Um site-local mit festen IPs zu adressieren, kannst du site scope
Adressen verwenden und so zwischen deinen VLANs kommunizieren (aber
natürlich auch mit den global scope Adressen, die aber je nach Provider
nicht immer gleich bleiben müssen).
Post by g***@stekahelo.de
eth1 : 2003:d0:33f8:5000:280:c9ff:fe00:3ef/64
eth0 : 2003:d0:33f8:500e::1/64
eth0 : fe80::1/64
^^^^^^^^^
Wieder andere Präfixes. Dies sind potentiell andere Rechner oberhalb
des Uplinks.
Post by g***@stekahelo.de
Routen
2003:d0:33f8:5000::/64 dev eth1
2003:d0:33f8:500e::/64 dev eth0
default via fe80::1 dev eth1
^^^^^^^^^
Wieder nicht dein global scope Subnetz.
Post by g***@stekahelo.de
Auf R2 wird per per dnsmasq das entsprechende IPv6 bekannt gemacht
Du musst nach unten die größeren Prefixes verteilen, deren von oben
geerbtes Prefix aber immer gleich sein muss (also der 64er Teil
identisch, und nach unten ein 68er Subnetz verteilen).
Leider ist ein 64er-Präfix vom Provider eigentlich schon zu klein, um
stateless IP Vergabe zu nutzen, dafür wäre ein 48er-Subnetz besser, wie
es das von SixXS gab. Denn der stateless Modus erstellt automatisch
eine global scope IP aus dem vorgegebenen Präfix und nutzt die
48-Bit-MAC, um sich daraus eine 64-Bit-Host-Adresse zu basteln.
Zusammen mit dem 64-Bit-Präfix sind das dann schon die 128 Bit. Du
wirst also die Downlink-Subnetze mit DHCPv6 versorgen müssen.
Post by g***@stekahelo.de
z.B. Linux-Notebook
IPs
eth0 : 2003:d0:33f8:500e:11fc:60db:35f2:5582/64
2003:d0:33f8:500e::/64 dev eth0
default via fe80::1 dev eth0
Von R1 und R2 komme ich ohne Probleme per IPv6 ins Internet,
z.B. per: ping6 heise.de
Ich kann auch die IPs von R1 und R2 von einem Server im Internet aus
ping6 2003:d0:33bf:275b:36ee:995e:6dd7:1a2b
ping6 2003:d0:33f8:5000::1
und
ping6 2003:d0:33f8:5000:280:c9ff:fe00:3ef
sind erfolgreich.
Ja, nur erreichst du keinen öffentlichen Rechner mit dem Präfix
2003:d0:33f8:5000 mehr - das gehört ja nicht dir.
Post by g***@stekahelo.de
Was jetzt NICHT geht ist, dass ich die Adresse 2003:d0:33f8:500e::1
von R1 aus anpingen kann; auch kann ich aus dem lokalen LAN keine
IPv6-Adresse hinter eth1 (von R2) erreichen.
So funktioniert das Routing bei IPv6 eigentlich auch nicht. Bzw. dir
fehlen vermutlich Routen. Ich würde lieber erstmal echte Subnetze
probieren (also größere Präfixe je weiter unten im Diagramm).
Post by g***@stekahelo.de
Es sieht so aus als würde kein Routing auf R2 gemacht werden, aber
cat /proc/sys/net/ipv6/conf/{all,eth0,eth1}/forwarding --> 1, 1, 1
Lasse ich während ich vom Notebook aus eine externe Adresse anpinge
ein tcpdump auf R1 laufen, sehe ich, dass dort versucht wird die
Adresse des Notebooks per neighbor solicitation zu ermitteln, was
2003:d0:33f8:500e:11fc:60db:35f2:5582 dev eth0.102 FAILED
Firewall-Regeln sind auf R2 keine eingerichtet und auf R1 nur
rudimentär auf ppp100.
Also irgendwie ist da er Wurm drin und ich würde mich freuen, wenn
mir jemand einen Tipp geben könnte ;)
Wie eingangs erwähnt: Nur meine Gedanken dazu... Ich habe das bisher
nur in der Theorie gemacht. ;-)
Feedback und Gedanken dazu sind willkommen.
Loading...