Hallo,
ich habe hier einen Router mit 2 NIC, die je einen IPv6-Adressbereich beziehen und an Clients dahinter verteilen.
Nun ist es so dass Clients aus dem einen Netz Probleme mit HTTPS haben und die des anderen Netzes nicht. Schaue ich mir das aus Sicht des Webservers an, so sendet dieser in beiden Fällen Antworten Richtung anfragendem Client, schaue ich auf dem Router bleiben für die fehlerhaften Clients diese Antworten aber aus. Für mich schien klar, der Provider filtert da aus nicht nachvollziehbaren Gründen das eine Netz. Wohlgemerkt mit z.B. SMTP habe ich das Problem nicht. Zum Glück heißt der Provider nicht TELEKOM oder so, sondern ist bis zum Router runter ansprechbar. Auch dieser sieht schon die Antworten des Webservers angeblich nicht und auch sein Vorgeschalteter würde nicht filtern. Wir halben mal das komplette IPv6-Netz gewechselt, aber das Bild bleibt gleich das erste Segment kann arbeiten, das zweite wieder nicht. Mein Provider meint, es läge an meinem Router (Debian 9, Kernel 4.19, netfilter) - erklärt das aber nicht genauer. Ich komme beim Provider nun nicht mehr weiter und will der Behauptung meine Technik sei Schuld eine Chance geben.
Ich beziehe mit wide-dhcpv6 über ppp0 einen Adressbereich und ordne ihn auf zwei Interfaces wie folgt zu:
profile default { information-only; request domain-name-servers; request domain-name; script "/etc/wide-dhcpv6/dhcp6c-script"; };
interface ppp0 { send ia-pd 999; };
id-assoc pd 999 { prefix ::/56 infinity; prefix-interface eth0 { sla-len 8; sla-id 0; ifid 1; }; prefix-interface eth1 { sla-len 8; sla-id 16; ifid 1; }; };
Zusätzlich verteile ich die Netzinformation für die dahinterliegenden Clients mit radvd wie folgt:
interface eth0 { AdvSendAdvert on; AdvManagedFlag on; AdvOtherConfigFlag on; AdvDefaultPreference high; AdvLinkMTU 1280;
prefix 2a00:fda0:6:cd00::/64 { AdvOnLink on; AdvAutonomous off; AdvRouterAddr on; };
RDNSS 2a00:fda0:6:cd00::221 2a00:fda0:6:cd00::222 { # }; DNSSL its-local { # }; };
interface eth1 { AdvSendAdvert on; prefix 2a00:fda0:6:cd10::/64 { AdvOnLink on; AdvAutonomous on; AdvRouterAddr on; }; RDNSS 2001:4860:4860::8888 2001:4860:4860::8844 { # }; };
Nennen wir das Netz hinter eth0 LAN und das hinter eth1 LAB. Auf mindestens einen Webserver im WAN mit IPv6 habe ich Zugriff. Daher hier mal die Paketmitschnitte aus Sicht dieses Webservers, wenn eine Anfrage aus dem LAN kommt und eine aus LAB.
Kann denn da einer von Euch orakeln, warum ein Teil der Antworten an LAB irgendwo verloren gehen?
Ich kann auch Dumps von dem zeigen, was mein Router davon noch sieht.
Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ronny@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8