Hallo, Leute!
Kennt sich jemand mit der FritzBox 7390 aus? Auf Arbeit müssen wir das Ding nutzen, denn es verwaltet auch die Telefone, und wir können es nicht mit einem Modem ersetzen.
Ich habe den Schrott dann so eingerichtet, daß es eine Weiterleitung von allen Paketen an den Server schickt (es nennt das "exposed host"). Gut, alle TCP und UDP Pakete werden gut weitergeleitet und wir können wenigstens arbeiten.
Nun wollten wir auch einen IPv6-Tunnel einrichten, und das Ding will einfach nicht...
Da ich einen Server habe, mit einer /48, habe ich versucht mithilfe des Servers den Tunnel zu bauen (denn he.net mir in dem Fall keine Debugmöglichkeit anbietet). Nun, der Tunnel wird gebaut, aber, wenn ich vom dem Server die Gegenstelle anpinge, kommt keine Antwort.
Auf dem Server habe ich dann tcpdump laufen lassen, und sehe folgende Fehler:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 08:57:17.475955 IP XX.YY.ZZ.KK > ns2.lucabert.de: IP6 2a02:2918:1007:4000::2 > 2a02:2918:1007:4000::1: ICMP6, echo request, seq 18, length 64 08:57:17.475997 IP ns2.lucabert.de > XX.YY.ZZ.KK: ICMP ns2.lucabert.de protocol 41 port 0 unreachable, length 132 08:57:18.484089 IP XX.YY.ZZ.KK > ns2.lucabert.de: IP6 2a02:2918:1007:4000::2 > 2a02:2918:1007:4000::1: ICMP6, echo request, seq 19, length 64 08:57:18.484132 IP ns2.lucabert.de > XX.YY.ZZ.KK: ICMP ns2.lucabert.de protocol 41 port 0 unreachable, length 132 08:57:19.492062 IP XX.YY.ZZ.KK > ns2.lucabert.de: IP6 2a02:2918:1007:4000::2 > 2a02:2918:1007:4000::1: ICMP6, echo request, seq 20, length 64 08:57:19.492092 IP ns2.lucabert.de > XX.YY.ZZ.KK: ICMP ns2.lucabert.de protocol 41 port 0 unreachable, length 132 08:57:20.500079 IP XX.YY.ZZ.KK > ns2.lucabert.de: IP6 2a02:2918:1007:4000::2 > 2a02:2918:1007:4000::1: ICMP6, echo request, seq 21, length 64 08:57:20.500110 IP ns2.lucabert.de > XX.YY.ZZ.KK: ICMP ns2.lucabert.de protocol 41 port 0 unreachable, length 132 08:57:21.508218 IP XX.YY.ZZ.KK > ns2.lucabert.de: IP6 2a02:2918:1007:4000::2 > 2a02:2918:1007:4000::1: ICMP6, echo request, seq 22, length 64 08:57:21.508258 IP ns2.lucabert.de > XX.YY.ZZ.KK: ICMP ns2.lucabert.de protocol 41 port 0 unreachable, length 132 08:57:22.515972 IP XX.YY.ZZ.KK > ns2.lucabert.de: IP6 2a02:2918:1007:4000::2 > 2a02:2918:1007:4000::1: ICMP6, echo request, seq 23, length 64 08:57:22.516009 IP ns2.lucabert.de > XX.YY.ZZ.KK: ICMP ns2.lucabert.de protocol 41 port 0 unreachable, length 132
Soll es bedeuten, daß die FritzBox nicht ALLE Pakete weiterleitet? Ich habe auch versucht den Tunnel direkt an der FritzBox einzurichten (in der Weboberfläche gibt es die Möglichkeit IPv6-Tunnel einzurichten), aber funktioniert auch nicht.
Nun, ich kenne mich mit dem Ding überhaupt nicht aus (ich hasse die FritzBox), und komme keinen Schritt weiter. Kann jemand mir ein Tipp geben?
Danke Luca Bertoncello (lucabert@lucabert.de)
Luca Bertoncello lucabert@lucabert.de (So 11 Nov 2012 09:10:17 CET):
Hallo, Leute!
Kennt sich jemand mit der FritzBox 7390 aus?
Nein.
Ich habe den Schrott dann so eingerichtet, daß es eine Weiterleitung von allen Paketen an den Server schickt (es nennt das "exposed host"). Gut, alle TCP und UDP Pakete werden gut weitergeleitet und wir können wenigstens arbeiten.
Nun wollten wir auch einen IPv6-Tunnel einrichten, und das Ding will einfach nicht...
Da ich einen Server habe, mit einer /48, habe ich versucht mithilfe des Servers den Tunnel zu bauen (denn he.net mir in dem Fall keine Debugmöglichkeit anbietet). Nun, der Tunnel wird gebaut, aber, wenn ich vom dem Server die Gegenstelle anpinge, kommt keine Antwort.
Welche Art Tunnel? Es gibt da eine Reihe von Möglichkeiten, IPv6 über Tunnel zu haben.
Auf dem Server habe ich dann tcpdump laufen lassen, und sehe folgende Fehler:
Wer ist der Server? Einmal schreibst Du vom Server in der Firma, dann hat der Server eine /48. Sicher nicht der in der Firma, sondern einer außerhalb? Wo hat der Server eine /48 her? Sicher hat er nur eine oder mehrere Adressen. Du meinst wahrscheinlich, daß Du ein /48 bekommen hast.
Von wem? HE?
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 08:57:17.475955 IP XX.YY.ZZ.KK > ns2.lucabert.de: IP6 2a02:2918:1007:4000::2 > 2a02:2918:1007:4000::1: ICMP6, echo request, seq 18, length 64
Obfuscation ist hier auch fehl am Platz, selbst Namensauflösung erschwert das Verständnis. Tcpdump kennt „-n“.
Soll es bedeuten, daß die FritzBox nicht ALLE Pakete weiterleitet? Ich habe auch versucht den Tunnel direkt an der FritzBox einzurichten (in der Weboberfläche gibt es die Möglichkeit IPv6-Tunnel einzurichten), aber funktioniert auch nicht.
Die Fritz!Boxen machen manchmal komische Dinge, selbst wenn sie nur als Modem geschaltet sind (DNS-Traffic teilweise unterdrücken)
Heiko Schlittermann hs@schlittermann.de schrieb:
Welche Art Tunnel? Es gibt da eine Reihe von Möglichkeiten, IPv6 über Tunnel zu haben.
6in4
Auf dem Server habe ich dann tcpdump laufen lassen, und sehe folgende Fehler:
Wer ist der Server? Einmal schreibst Du vom Server in der Firma, dann hat der Server eine /48. Sicher nicht der in der Firma, sondern einer außerhalb? Wo hat der Server eine /48 her? Sicher hat er nur eine oder mehrere Adressen. Du meinst wahrscheinlich, daß Du ein /48 bekommen hast.
Gut, ich bin sehr müde noch... tcpdump lief auf meinem Server, also der Server, der eine NATIVE IPv6-Anbindung hat, und der Tunnel aufbaut. Der Server funktioniert einwandfrei und ein Tunnel gleicher Art mit derselben Server läuft bei mir zu Hause seit Monaten.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 08:57:17.475955 IP XX.YY.ZZ.KK > ns2.lucabert.de: IP6 2a02:2918:1007:4000::2 > 2a02:2918:1007:4000::1: ICMP6, echo request, seq 18, length 64
Obfuscation ist hier auch fehl am Platz, selbst Namensauflösung erschwert das Verständnis. Tcpdump kennt „-n“.
Also, ns2.lucabert.de ist mein Server, wo eine IPv6-Anbindung gibt, und bietet anderen Rechner die Möglichkeit ins IPv6-Welt zu kommen. XX.YY.ZZ.KK ist der Server im Büro, der IPv6 haben möchtet.
Soll es bedeuten, daß die FritzBox nicht ALLE Pakete weiterleitet? Ich habe auch versucht den Tunnel direkt an der FritzBox einzurichten (in der Weboberfläche gibt es die Möglichkeit IPv6-Tunnel einzurichten), aber funktioniert auch nicht.
Die Fritz!Boxen machen manchmal komische Dinge, selbst wenn sie nur als Modem geschaltet sind (DNS-Traffic teilweise unterdrücken)
Das weiß ich schon, deswegen hasse ich diese Geräte wie die Pest, aber leider müssen wir das Ding noch haben, denn ansonsten können wir die Telefone nicht verwalten.
Grüße Luca Bertoncello (lucabert@lucabert.de)
Luca Bertoncello lucabert@lucabert.de (So 11 Nov 2012 10:50:22 CET):
Heiko Schlittermann hs@schlittermann.de schrieb:
Welche Art Tunnel? Es gibt da eine Reihe von Möglichkeiten, IPv6 über Tunnel zu haben.
6in4
Ok, das ist IP-Protokoll 41, gut vorstellbar, daß die Fritzbox das nichtd wirklich forwarded, sondern wirklich nur UDP und TCP und vielleicht ICMP.
Also, ns2.lucabert.de ist mein Server, wo eine IPv6-Anbindung gibt, und bietet anderen Rechner die Möglichkeit ins IPv6-Welt zu kommen. XX.YY.ZZ.KK ist der Server im Büro, der IPv6 haben möchtet.
Das heißt, es ist die öffentliche IP der Fritz!Box, die dann die Weiterleitung macht?
Kannst Du denn hinter der Fritz!Box sehen, daß Protokoll 41 ankommt?
Vielleicht hilft das: http://www.avm.de/de/Extern/files/ipv6/IPv6_Technical_Note_de.pdf
Ich habe jetzt da nicht weiter reingeguckt, aber das Gefühl, daß da interessante Details drin sein könnten.
Heiko Schlittermann hs@schlittermann.de schrieb:
Ok, das ist IP-Protokoll 41, gut vorstellbar, daß die Fritzbox das nichtd wirklich forwarded, sondern wirklich nur UDP und TCP und vielleicht ICMP.
Ja, natürlich Protokoll 41... Der Fehler von tcpdump sagte klar, daß proto-41 benutzt wurde... Ich habe auch gedacht, daß die FritzBox eventuell das Protokoll nicht weiterleitet, deswegen habe ich auch probiert, den Tunnel von der FritzBox selber bauen zu lassen.
Gleicher Fehler...
Also, ns2.lucabert.de ist mein Server, wo eine IPv6-Anbindung gibt, und bietet anderen Rechner die Möglichkeit ins IPv6-Welt zu kommen. XX.YY.ZZ.KK ist der Server im Büro, der IPv6 haben möchtet.
Das heißt, es ist die öffentliche IP der Fritz!Box, die dann die Weiterleitung macht?
Ja, natürlich! Der Server im Büro hat nur eine interne IP (192.168.178.2). Die FritzBox leitet alle Pakete (laut Dokumentation, aber ich bin selber der Meinung, daß es nicht wirklich so ist) an diese IP weiter.
Kannst Du denn hinter der Fritz!Box sehen, daß Protokoll 41 ankommt?
Mmmm... komisch... ich habe den Test jetzt gemacht, tcpdump auch auf dem Server im Büro laufen zu lassen. Hier was ich sehe, wenn ich von dem Server selbst (also, im Büro), die Gegenstelle (also mein Server ns2.lucabert.de) anpingen will:
11:24:51.103767 IP 192.168.178.2 > 46.19.92.153: IP6 2a02:2918:1007:4000::2 > 2a02:2918:1007:4000::1: ICMP6, echo request, seq 1, length 64 11:24:51.143607 IP 46.19.92.153 > 192.168.178.2: ICMP 46.19.92.153 protocol 41 port 0 unreachable, length 132 11:24:52.111110 IP 192.168.178.2 > 46.19.92.153: IP6 2a02:2918:1007:4000::2 > 2a02:2918:1007:4000::1: ICMP6, echo request, seq 2, length 64 11:24:52.149207 IP 46.19.92.153 > 192.168.178.2: ICMP 46.19.92.153 protocol 41 port 0 unreachable, length 132 11:24:53.119108 IP 192.168.178.2 > 46.19.92.153: IP6 2a02:2918:1007:4000::2 > 2a02:2918:1007:4000::1: ICMP6, echo request, seq 3, length 64 11:24:53.157488 IP 46.19.92.153 > 192.168.178.2: ICMP 46.19.92.153 protocol 41 port 0 unreachable, length 132 11:24:54.127117 IP 192.168.178.2 > 46.19.92.153: IP6 2a02:2918:1007:4000::2 > 2a02:2918:1007:4000::1: ICMP6, echo request, seq 4, length 64 11:24:54.165434 IP 46.19.92.153 > 192.168.178.2: ICMP 46.19.92.153 protocol 41 port 0 unreachable, length 132 11:24:55.135078 IP 192.168.178.2 > 46.19.92.153: IP6 2a02:2918:1007:4000::2 > 2a02:2918:1007:4000::1: ICMP6, echo request, seq 5, length 64 11:24:55.173390 IP 46.19.92.153 > 192.168.178.2: ICMP 46.19.92.153 protocol 41 port 0 unreachable, length 132
Dann würde ich sagen, daß das Problem auf dem Server liegt... Hat jemand eine Ahnung, was ich prüfen kann?
Danke Luca Bertoncello (lucabert@lucabert.de)
Luca Bertoncello lucabert@lucabert.de (So 11 Nov 2012 11:26:42 CET):
Heiko Schlittermann hs@schlittermann.de schrieb:
Ok, das ist IP-Protokoll 41, gut vorstellbar, daß die Fritzbox das nichtd wirklich forwarded, sondern wirklich nur UDP und TCP und vielleicht ICMP.
Ja, natürlich Protokoll 41... Der Fehler von tcpdump sagte klar, daß proto-41 benutzt wurde... Ich habe auch gedacht, daß die FritzBox eventuell das Protokoll nicht weiterleitet, deswegen habe ich auch probiert, den Tunnel von der FritzBox selber bauen zu lassen.
Gleicher Fehler...
Also, ns2.lucabert.de ist mein Server, wo eine IPv6-Anbindung gibt, und bietet anderen Rechner die Möglichkeit ins IPv6-Welt zu kommen. XX.YY.ZZ.KK ist der Server im Büro, der IPv6 haben möchtet.
Das heißt, es ist die öffentliche IP der Fritz!Box, die dann die Weiterleitung macht?
Ja, natürlich! Der Server im Büro hat nur eine interne IP (192.168.178.2). Die FritzBox leitet alle Pakete (laut Dokumentation, aber ich bin selber der Meinung, daß es nicht wirklich so ist) an diese IP weiter.
Kannst Du denn hinter der Fritz!Box sehen, daß Protokoll 41 ankommt?
Mmmm... komisch... ich habe den Test jetzt gemacht, tcpdump auch auf dem Server im Büro laufen zu lassen. Hier was ich sehe, wenn ich von dem Server selbst (also, im Büro), die Gegenstelle (also mein Server ns2.lucabert.de) anpingen will:
11:24:51.103767 IP 192.168.178.2 > 46.19.92.153: IP6 2a02:2918:1007:4000::2 > 2a02:2918:1007:4000::1: ICMP6, echo request, seq 1, length 64 11:24:51.143607 IP 46.19.92.153 > 192.168.178.2: ICMP 46.19.92.153 protocol 41 port 0 unreachable, length 132
Tja, sieht so aus, als würde Dein ns2 das Protokoll nicht mögen.
Dann würde ich sagen, daß das Problem auf dem Server liegt... Hat jemand eine Ahnung, was ich prüfen kann?
Firewall auf ns2? Siehst Du auf ns2 diese „proto 41 unreachable“ messages auch? Wie ist Dein Tunnel auf ns2 aufgesetzt? Auf ns2:
ip tunnel show
Heiko Schlittermann hs@schlittermann.de schrieb:
11:24:51.103767 IP 192.168.178.2 > 46.19.92.153: IP6 2a02:2918:1007:4000::2 > 2a02:2918:1007:4000::1: ICMP6, echo request, seq 1, length 64 11:24:51.143607 IP 46.19.92.153 > 192.168.178.2: ICMP 46.19.92.153 protocol 41 port 0 unreachable, length 132
Tja, sieht so aus, als würde Dein ns2 das Protokoll nicht mögen.
Mmmm... wenn ich denke, daß ich den Server ns2 GENAU für den Zweck eingerichtet habe, um IPv6-Tunnel anzubieten (und nebenbei einen zweiten NameServer zu haben) ist die Ansage schon komisch... Außerdem, wie gesagt, ein Tunnel von meinem PC zu Hause zu den Server ns2 läuft seit Monaten...
Dann würde ich sagen, daß das Problem auf dem Server liegt... Hat jemand eine Ahnung, was ich prüfen kann?
Firewall auf ns2?
Es gibt, natürlich, aber Proto41 ist pauschal erlaubt:
Chain INPUT (policy DROP 59745 packets, 19M bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT icmp -- * * 46.19.92.254 0.0.0.0/0 1975K 1259M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED /* Connection tracking */ 75 10404 ACCEPT 41 -- eth0 * 0.0.0.0/0 0.0.0.0/0 /* Proto-41 erlauben */ 79792 20M DYNIPS all -- * * 0.0.0.0/0 0.0.0.0/0 /* Alle Anfragen in DYNIPS akzeptieren */ 79443 20M DROPIPS all -- * * 0.0.0.0/0 0.0.0.0/0 /* Alle Anfragen in DROPIPS ablehnen */ 52 3120 ACCEPT tcp -- eth0 * 84.200.210.163 0.0.0.0/0 /* Server lucabert.de */ 79375 20M CRACKERIPS all -- * * 0.0.0.0/0 0.0.0.0/0 /* Alle Anfragen in CRACKERIPS ablehnen */ 17155 1162K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 /* Vom localhost alles akzeptieren */ 81 4512 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 multiport dports 53,80,443 2388 159K ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 multiport dports 53 0 0 ACCEPT icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 0 /* PONG erlauben */ 6 328 ACCEPT icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 6/min burst 5 /* PING burst: 5 Mal erlauben, dann nur Einmal alle 10 Sekunden */ 59745 19M LOG !icmp -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `IPv4'
Siehst Du auf ns2 diese „proto 41 unreachable“ messages auch?
Ja!
Wie ist Dein Tunnel auf ns2 aufgesetzt? Auf ns2:
ip tunnel show
root@ns2:~# ip tunnel show sit0: ipv6/ip remote any local any ttl 64 nopmtudisc ipv6tun-1: ipv6/ip remote 93.218.164.82 local 46.19.92.153 ttl 255 ipv6tun-3: ipv6/ip remote 80.153.133.206 local 46.19.92.153 ttl 255
Der erste ist meine IPv4 zu Hause, der zweite ist der Rechner im Büro.
Grüße Luca Bertoncello (lucabert@lucabert.de)
Heiko Schlittermann hs@schlittermann.de schrieb:
Kannst Du denn hinter der Fritz!Box sehen, daß Protokoll 41 ankommt?
OK, ich habe meine letzte E-Mail nochmal gelesen... Ich brauche dringend Urlaub.
Also, hier zur Klarheit: 1) Wenn ich von ns2.lucabert.de den Server im Büro über IPv6 anpinge, kommt im Büro KEIN Paket 2) Wenn ich vom Büro den Server ns2.lucabert.de über IPv6 anpinge, kommen die oben genannten Fehler (protocol 41 port 0 unreachable) mit tcpdump zu sehen im Büro UND auf ns2.lucabert.de 3) Wenn ich den Tunnel von der FritzBox selber bauen lassen, sehe ich auf ns2.lucabert.de immer derselbe Fehler
Sage ich richtig, daß die FritzBox SCHROTT ist, und mit dem Gerät kein IPv6-Tunnel möglich ist, obwohl der Hersteller meint, es sei möglich?
Danke Luca Bertoncello (lucabert@lucabert.de)
Hallo, Leute!
Hallo Leut,
Kennt sich jemand mit der FritzBox 7390 aus?
Auch wenn Heiko hier für alle antwortete: ich, ein bisschen ;-)
Kurze Antwort: AVM erlaubt momentan (noch) kein inbound IPv6.
Du kannst einen Tunnelbroker auf der Box einrichten (hier mit sixx) und deine Clients werden dann auch mit entsprechenden Adreseen versorgt. Outbound geht IPv6 ganz gut, Inbound musst! Du über die Protweiterleitung konfigurieren. Die Jungs von AVM wissen das und haben (noch) keine Besserung in Aussicht gestellt.
btw. Ich aktiviere auf diesen Boxen i.d.R. zuerste telnet um dann tcpdump und openvpn nachzuinstallieren, gerade ersteres könnte Dir beim debugging ja helfen.
Gruß, Ronny
Ronny Seffner ronny@seffner.de schrieb:
Kurze Antwort: AVM erlaubt momentan (noch) kein inbound IPv6.
Also, es bedeutet, daß ich den Tunnel NICHT haben kann, richtig?
Du kannst einen Tunnelbroker auf der Box einrichten (hier mit sixx) und deine Clients werden dann auch mit entsprechenden Adreseen versorgt.
Das habe ich auch probiert, hat aber NICHT funktioniert. Vielleicht wegen der "exposed host"?
Outbound geht IPv6 ganz gut, Inbound musst! Du über die Protweiterleitung konfigurieren. Die Jungs von AVM wissen das und haben (noch) keine Besserung in Aussicht gestellt.
Ich verstehe nicht, was du meinst...
btw. Ich aktiviere auf diesen Boxen i.d.R. zuerste telnet um dann tcpdump und openvpn nachzuinstallieren, gerade ersteres könnte Dir beim debugging ja helfen.
Wie kann ich es aktivieren? Ich habe diese Einstellung nirgendwo gesehen...
Grüße und Danke Luca Bertoncello (lucabert@lucabert.de)
Hallo,
btw. Ich aktiviere auf diesen Boxen i.d.R. zuerste telnet um dann tcpdump und openvpn nachzuinstallieren, gerade ersteres könnte Dir beim debugging ja helfen.
Wie kann ich es aktivieren? Ich habe diese Einstellung nirgendwo gesehen...
Wenn man eine neuere Fritzbox hat, dann kann man an jedem angeschlossenen Telefon mit #96*7* den telnetd anschalten und mit #96*8* ausschalten. Passwort ist das vom Webinterface.
Alles weitere ist etwas Gefrickel (tcpdump binary installieren ...), vielleicht nicht unbedingt geeignet für eine produktive Umgebung, wenn es nur darum geht Pakete mitzuschneiden, denn das geht auch im Webinterface der Fritzbox, unter: http://fritz.box/html/capture.html . Diese Mitschnitte lassen sich dann mit tcpdump, Wireshark, ... betrachten.
Gruß
Gunter
lug-dd@mailman.schlittermann.de
-
Gunter Miegel -
Heiko Schlittermann -
Luca Bertoncello -
Ronny Seffner