ipv6 propblemchen

M

mark05

Well-Known Member
hi

habe hier einen sixxs tunnel laufen der auch soweit tut.

ein ping6 und ein traceroute6 von traceroute6.net zum
openbsd router / firewall klappt auch soweit.

ich habe radvd laufen und meine linux system / workstations
bekommen auch ihre ip.

von den workstation ausgehend funktioniert ein ping6 und traceroute6.

von traceroute6.net funktioniert nur der traceroute6 beim ping6 ist es seltsam

1 icmp6 packet kommt durch der rest nicht.

tcpdump auf der firewall sagt 1x icmp echo und 1x icmp reply das was
ein block findet nicht statt.

hat jemand eine idee was das sein kann ?

holger
 
hi

ich glaube da gibt es wohl einen bug.

nach dem ich eine aloow regel fuer das lan_if eingefuegt habe
funktioniert es.

der witz ist es gibt keine block regel fuer dieses interface

holger
 
mark05 schrieb:
habe hier einen sixxs tunnel laufen der auch soweit tut.
Zum Vergrößern anklicken....
Wie kommst du denn dazu? Bei mir glauben sie mir nicht, dass meine persönlichen Angaben korrekt sind. Ohne einen Hinweis darauf zu geben was falsch sein soll (das die Angaben alle korrekt sind versteht sich natürlich). Ich wette es hängt irgendwie mit der Telefonnummer zusammen.
 
Kamikaze schrieb:
Wie kommst du denn dazu? Bei mir glauben sie mir nicht, dass meine persönlichen Angaben korrekt sind. Ohne einen Hinweis darauf zu geben was falsch sein soll (das die Angaben alle korrekt sind versteht sich natürlich). Ich wette es hängt irgendwie mit der Telefonnummer zusammen.
Zum Vergrößern anklicken....

Hast du mal Hurricane Electric probiert? Sixxs ist, vor allem, wenn's um Support oder so geht, echt bescheiden. Sie haben zwei Jahre gebraucht, bis sie die Adresse irgendwann mal geändert hatten.

Edit sagt on topic: Hast du denn ipv6 explizit erlaubt oder ein generelles pass in deiner config? ich musste das auch explizit freischalten, aber ich verwende auch block all und hatte nur inet regeln drin ;)
 
SIXXS ist etwas strickt, d.h. man muss sich an die Regeln halten, aber der Support ist nicht schlecht.

Und hier eine generische pf.conf die bei mir seit Monaten problemlos läuft:

Code: 
#      $OpenBSD: pfdev.conf,v 1.13 2013/02/14 17:34:08 root Exp root $

## Macros

mytunnelstart = 2001:dead:beef:fdb8::1
mytunnelendpoint = 2001:dead:beef:fdb8::2

# The internal interface (connected to the local network)
int_if="sis0"

## Options
# scrub incomming packets
match on egress scrub (no-df)

# Set the default policy to return RSTs or ICMPs for blocked traffic
set block-policy drop

# Ignore the loopback interface entirely
set skip on lo0

# ftp-proxy
anchor "ftp-proxy/*"

pass in quick on $int_if inet proto tcp to any port ftp \
divert-to 127.0.0.1 port 8021

## Translation rules

# NAT traffic on the interface in the default egress interface group (to
# which the interface out of which the default route goes is assigned) from the
# local network
match out on egress inet from $int_if:network to any nat-to (egress)

## Filtering rules

# Default deny rule. which all blocked packets logged.
block log all
antispoof log quick for egress

# Pass all traffic to and from the local network, using quick so that later
# rules are not evaluated if a packet match this. Some rulesets would restrict
# local traffic much further
pass quick on $int_if all

# Permit all traffic going out, keep state so that replies are
# automatically passed many rulesets would have many rules here,
# restricting traffic in an out on  the external (egress) interface.
# (keep state is not needed on the newest version of pf)
pass out quick

## ipv6

# keep alive rules
pass out log proto 41 from ($ext_if) to  [PoP IPv4 Endpoint] keep state
pass in log proto 41 from [PoP IPv4 Endpoint] to ($ext_if) keep state

# Allow sixxs regular pings to our inbound interface
# used for tunnel keep alive

pass in log on $sixxs_if inet6 proto { ipv6-icmp } from $mytunnelstart to $mytunnelendpoint

# Allow outgoing ipv6 traffic
# pass tcp, udp, and icmp6 out on the external (Internet) interface.
pass out on $sixxs_if inet6 proto { tcp udp ipv6-icmp}
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben