Hallo, Leute!
Tunnelbroker wird jeden Tag instabiler, und ich bin jetzt auch der Suche nach einer Alternative...
Da ich einen Server habe, der schon eine native IPv6-Anbindung hat, wollte ich probieren selber meinen Tunnel zu bauen...
Hier was ich gemacht habe:
Auf dem Server, wo ich das Netz 2001:1608:10:24::/64 für den normalen Traffic nutze, und ich gerade das Netz 2001:1608:10:47::/64 für diesen Tunnel gekriegt habe:
/sbin/ip tunnel add ipv6tun mode sit ttl 255 remote 87.157.44.171 local 84.200.210.163 /sbin/ip link set dev ipv6tun up /sbin/ip -6 addr add 2001:1608:10:47:1::1/80 dev ipv6tun /sbin/ip -6 route add 2001:1608:10:47:10::/80 dev ipv6tun metric 1
Auf meinem PC:
/sbin/ip tunnel add he-ipv6 mode sit remote 84.200.210.163 local 87.157.44.171 ttl 255 /sbin/ip link set he-ipv6 up /sbin/ip route add ::/0 dev he-ipv6 /sbin/ip -6 addr add 2001:1608:10:47:10::1/80 dev eth0
Warum /80? Naja, es war ein Versuch... Ich habe auch mit /64 probiert, ging aber nicht, dann habe ich gedacht, daß ich vielleicht zwei unterschiedliche Netze benötige...
Jedenfalls, von meinem PC kann ich jede IPv6 meines Servers anpingen, aber sobald ich versuche einen anderen Host (den ich aber von meinem Server problemlos über IPv6 erreichen kann!), geht es nicht...
Mit tcpdump sehe ich, daß die Pakete mit der IPv6-Adresse meines PCs rausgeschickt werden, aber kommen nicht zurück...
Nun, ich habe viele Seiten im Internet gefunden, wo es gesagt wird, daß ich eigentlich genau so machen muss, aber geht nicht...
Was mache ich denn falsches?
Danke Luca Bertoncello (lucabert@lucabert.de)
Hi!
Jedenfalls, von meinem PC kann ich jede IPv6 meines Servers anpingen, aber sobald ich versuche einen anderen Host (den ich aber von meinem Server problemlos über IPv6 erreichen kann!), geht es nicht...
Was sagt denn /proc/sys/net/ipv6/conf/<interface>/forwarding ?
Mit tcpdump sehe ich, daß die Pakete mit der IPv6-Adresse meines PCs rausgeschickt werden, aber kommen nicht zurück...
tcpdump auf deinem Server? Auf welchem Interface?
Viele Grüße!
morphium morphium@morphium.info schrieb:
Was sagt denn /proc/sys/net/ipv6/conf/<interface>/forwarding ?
Normalerweise 0, habe aber auch schon probiert auf 1 zu setzen, für eth0 (wo der gesamte Traffic läuft) und ipv6tun (das Gerät des Tunnels). Ändert sich gar nichts...
Mit tcpdump sehe ich, daß die Pakete mit der IPv6-Adresse meines PCs rausgeschickt werden, aber kommen nicht zurück...
tcpdump auf deinem Server? Auf welchem Interface?
Es sieht so aus, wie wenn das Paket geschickt wird, aber keine Antwort zurückkommt...
Ich habe jetzt einen anderen Test probiert, und zwar, auf meinem Server auf eth0 die IPv6 2001:1608:10:47:1::1/80 zu vergeben, dann das Gerät ipv6tun einzurichten, mit der IPv6 2001:1608:10:47:1::2/80. Von einem anderen Server kann ich zwar 2001:1608:10:47:1::1 erreichen, aber schon nicht mehr 2001:1608:10:47:1::2. Ich habe auch probiert dem Gerät ipv6tun die IPv6 2001:1608:10:47:10::1/80 (falls ich unbedingt ein anderes Netz nutzen sollte) zu vergeben und von dem anderen Server zu erreichen. Auch nicht...
In dem Fall, mit tcpdump auf eth0 sehe ich GAR KEIN PAKET.
Also, ich bin 100% sicher, daß ich was ganz falsches mache, verstehe aber überhaupt nicht WAS...
Ich freue mich auf eurer Hilfe!
Grüße Luca Bertoncello (lucabert@lucabert.de)
Moin Luca,
On Fri, Mar 02, 2012 at 08:36:24PM +0100, Luca Bertoncello wrote:
Tunnelbroker wird jeden Tag instabiler, und ich bin jetzt auch der Suche nach einer Alternative...
Wie wäre es denn mit einer anderen Tunneling-Software/Provider? Ich benutze seit Jahren Sixxs und aiccu und bin damit zufrieden.
Gruß, Andre
Andre Klärner kandre@ak-online.be schrieb:
Wie wäre es denn mit einer anderen Tunneling-Software/Provider? Ich benutze seit Jahren Sixxs und aiccu und bin damit zufrieden.
Ich habe auch SixxS probiert. WEG DAMIT! Solange man kein Problem hat, alles in Ordnung, aber wenn man eine Frage stellt, sie löschen sogar die Beiträge in dem Forum... Also, von solchen Leute habe ich kein Not...
Deswegen will ich was eigenes probiere.
Grüße Luca Bertoncello (lucabert@lucabert.de)
Hallo, Leute!
Ich kämpfe immer noch um ein IPv6-Tunnel mit meinem Server zu bauen...
Nun heute habe ich was geschafft, aber verstehe nicht WIE und WARUM plötzlich ging, und genauso plötzlich auch nicht mehr ging...
Folgendes:
Auf meinem Server habe ich diese Befehle gegeben:
echo 1 > /proc/sys/net/ipv6/conf/all/forwarding ip=$(dig +short lucabert.homelinux.org) /sbin/ip tunnel add ipv6tun mode sit ttl 255 remote $ip local 84.200.210.163 /sbin/ip link set dev ipv6tun up /sbin/ip -6 addr add 2001:1608:10:24:1000::1/72 dev ipv6tun /sbin/ip -6 route add 2001:1608:10:24:1100::/72 dev ipv6tun metric 1
Auf meinem PC: IPLOCAL=`/sbin/ip addr show dev ppp0 | /bin/grep inet | /usr/bin/awk '{print $2}'` /sbin/ip tunnel add ipv6tun mode sit remote 84.200.210.163 local $IPLOCAL ttl 255 /sbin/ip link set ipv6tun up /sbin/ip -6 addr add 2001:1608:10:24:1000::3/72 dev ipv6tun /sbin/ip route add ::/0 dev ipv6tun /sbin/ip -6 addr add 2001:1608:10:24:1100::1/72 dev eth0
Ich habe für diesen Test ein Teil des Netzes benutzt, der mein Server normalerweise nutzt. lucabert.de hat die IPv6 2001:1608:10:24:1::1, und ich habe, von dem Netz, ein /72-Subnet benutzt.
Gut, es hat 'ne Weile gedauert, dann plötzlich konnte ich meinem PC von einem Server, den ich auf Arbeit administrieren, über IPv6 erreichen. Und plötzlich ging es auch, daß ich von meinem PC die Welt über IPv6 erreichen kann. Mit "plötzlich" meine ich: ich habe die oben genannten Befehlen gegeben und ging nicht. Nach 'ne Weile Hosts hin und her anpingen, aber OHNE jegliche Änderung der Konfiguration, kam 'ne ICMP-Response zurück...
Wunderbar! Ich habe dann mehrmals probiert die Schnittstelle ipv6tun auf meinem Server sowohl auf meinem PC herunterzufahren und wieder zu starten, und immer ging. Toll! Vielleicht habe ich es geschafft!
Gut: nächste Schritt, radvd so anzupassen, daß das neue Netz benutzt wird. Das habe ich gemacht und wollte sehen, ob der PC meiner Frau auch IPv6-fähig ist. Ich kann den PC meiner Frau von meinem PC anpingen, OK. Ich kann von dem PC meiner Frau meinen PC anpingen, auch OK. Ich versuche meinen Server (2001:1608:10:24:1000::1, also der Endpoint des Tunnels) von dem PC meiner Frau anzupingen. GEHT NICHT. Und dann plötzlich kann ich auch von meinem PC keinen weiteren Host erreichen, obwohl (jetzt denke ich gleich, daß ich bekloppt bin!) mein PC bleibt von dem Server auf Arbeit erreichbar.
Also, brauche ich einen Psychologe oder was?
Ich danke euch, wenn ihr mir eine Erklärung für diese komische Verhalten des Netzes gibt...
Grüße Luca Bertoncello (lucabert@lucabert.de)
Moin Luca,
On Mon, Mar 05, 2012 at 03:50:06PM +0100, Luca Bertoncello wrote:
Ich kämpfe immer noch um ein IPv6-Tunnel mit meinem Server zu bauen...
Nun heute habe ich was geschafft, aber verstehe nicht WIE und WARUM plötzlich ging, und genauso plötzlich auch nicht mehr ging... […] Ich danke euch, wenn ihr mir eine Erklärung für diese komische Verhalten des Netzes gibt...
Kann es sein, dass dein Server dann die Route-Advertisements die er von deinem Server-Provider bekommt an deinen Rechner weitergibt, und der dadurch eine Standard-Route erhält die alles zum Laufen bringt?
Ich habe auch in deinen Befehlen nichts gesehen, was ein Standard-Gateway einrichtet, dafür aber Routen, die dein "ip add add" für das Device eigentlich selbst setzen sollte.. (die on-link-Routen).
Hast du mal parallel ein "tail -f syslog" laufen lassen, bei mir tauchen da z.B. vom ntpd ein paar Zeilen auf, die anzeigen, dass er was neues gefunden hat.
Auch wäre es vllt cool, wenn du mal auf jeder Maschine ein "ip -6 addr ; ip -6 route" laufen lässt, je einmal direkt vor der Ausführung, einmal direkt nach deinen Skripten und einmal sobald es sich zum Funktionieren eingepegelt hat.
Gruß, Andre
Andre Klärner kandre@ak-online.be schrieb:
Moin!
Kann es sein, dass dein Server dann die Route-Advertisements die er von deinem Server-Provider bekommt an deinen Rechner weitergibt, und der dadurch eine Standard-Route erhält die alles zum Laufen bringt?
Keine Ahnung! Wie kann ich es prüfen?
Ich habe auch in deinen Befehlen nichts gesehen, was ein Standard-Gateway einrichtet, dafür aber Routen, die dein "ip add add" für das Device eigentlich selbst setzen sollte.. (die on-link-Routen).
Ja, auf meinem Server ist die Standard-Route ein andere, und der Tunnel ist nur gedacht für meinen PC zu Hause (und dieser meiner Frau). DORT setze ich die Standard-Route auf der Schnittstelle des Tunnels:
IPLOCAL=`/sbin/ip addr show dev ppp0 | /bin/grep inet | /usr/bin/awk '{print $2}'` /sbin/ip tunnel add ipv6tun mode sit remote 84.200.210.163 local $IPLOCAL ttl 255 /sbin/ip link set ipv6tun up /sbin/ip -6 addr add 2001:1608:10:24:1000::3/72 dev ipv6tun /sbin/ip route add ::/0 dev ipv6tun <=== Hier wird die Route gesetzt /sbin/ip -6 addr add 2001:1608:10:24:1100::1/72 dev eth0
Hast du mal parallel ein "tail -f syslog" laufen lassen, bei mir tauchen da z.B. vom ntpd ein paar Zeilen auf, die anzeigen, dass er was neues gefunden hat.
Wenn ich auf dem Server den Tunnel aufbaue sehe ich nur:
Mar 5 19:31:45 ns kernel: [2113658.461668] ipv6tun: Disabled Privacy Extensions
Auf dem PC sehe ich:
Mar 5 14:18:43 frodo ntpd[14422]: Listening on interface #18 ipv6tun, 2001:1608:10:24:1000::3#123 Enabled
Auch wäre es vllt cool, wenn du mal auf jeder Maschine ein "ip -6 addr ; ip -6 route" laufen lässt, je einmal direkt vor der Ausführung, einmal direkt nach deinen Skripten und einmal sobald es sich zum Funktionieren eingepegelt hat.
Auf dem Server:
root@ns:~# ip -6 addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 1000 inet6 2001:1608:10:24:3::4/64 scope global valid_lft forever preferred_lft forever inet6 2001:1608:10:24:3::3/64 scope global valid_lft forever preferred_lft forever inet6 2001:1608:10:24:3::2/64 scope global valid_lft forever preferred_lft forever inet6 2001:1608:10:24:3::1/64 scope global valid_lft forever preferred_lft forever inet6 2001:1608:10:24:2::1/64 scope global valid_lft forever preferred_lft forever inet6 2001:1608:10:24:1::1/64 scope global valid_lft forever preferred_lft forever inet6 fe80::e269:95ff:feb3:e4ec/64 scope link valid_lft forever preferred_lft forever 42: ipv6tun: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1480 inet6 2001:1608:10:47:1000::1/72 scope global valid_lft forever preferred_lft forever inet6 fe80::54c8:d2a3/128 scope link valid_lft forever preferred_lft forever root@ns:~# ip -6 route 2001:1608:10:24::/64 dev eth0 proto kernel metric 256 mtu 1500 advmss 1440 hoplimit 4294967295 2001:1608:10:47:1000::/72 via :: dev ipv6tun proto kernel metric 256 mtu 1480 advmss 1420 hoplimit 4294967295 2001:1608:10:47:1100::/72 dev ipv6tun metric 1 mtu 1480 advmss 1420 hoplimit 4294967295 fe80::/64 dev eth0 proto kernel metric 256 mtu 1500 advmss 1440 hoplimit 4294967295 fe80::/64 via :: dev ipv6tun proto kernel metric 256 mtu 1480 advmss 1420 hoplimit 4294967295 default via 2001:1608:10:24::1 dev eth0 metric 1024 mtu 1500 advmss 1440 hoplimit 4294967295
Auf dem PC:
root@frodo:~# ip -6 addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 1000 inet6 2001:1608:10:24:1100::1/72 scope global valid_lft forever preferred_lft forever inet6 fe80::219:66ff:febd:7d55/64 scope link valid_lft forever preferred_lft forever 3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 1000 inet6 fe80::211:6bff:fe31:7ee/64 scope link valid_lft forever preferred_lft forever 4: vmnet1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 1000 inet6 fe80::250:56ff:fec0:1/64 scope link valid_lft forever preferred_lft forever 5: vmnet8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 1000 inet6 fe80::250:56ff:fec0:8/64 scope link valid_lft forever preferred_lft forever 45: tap0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 100 inet6 fe80::2ff:b2ff:fe61:d932/64 scope link valid_lft forever preferred_lft forever 108: ipv6tun@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1472 inet6 2001:1608:10:24:1000::2/72 scope global valid_lft forever preferred_lft forever inet6 fe80::579d:2e94/128 scope link valid_lft forever preferred_lft forever root@frodo:~# ip -6 route 2001:1608:10:24:1100::/72 dev eth0 metric 256 expires 21318479sec mtu 1500 advmss 1440 hoplimit 4294967295 fe80::/64 dev eth0 metric 256 expires 19415437sec mtu 1500 advmss 1440 hoplimit 4294967295 fe80::/64 dev eth1 metric 256 expires 19415437sec mtu 1500 advmss 1440 hoplimit 4294967295 fe80::/64 dev vmnet1 metric 256 expires 19415465sec mtu 1500 advmss 1440 hoplimit 4294967295 fe80::/64 dev vmnet8 metric 256 expires 19415466sec mtu 1500 advmss 1440 hoplimit 4294967295 fe80::/64 dev tap0 metric 256 expires 20603035sec mtu 1500 advmss 1440 hoplimit 4294967295 fe80::/64 via :: dev ipv6tun metric 256 expires 21318460sec mtu 1472 advmss 1412 hoplimit 4294967295 ff00::/8 dev eth0 metric 256 expires 19415437sec mtu 1500 advmss 1440 hoplimit 4294967295 ff00::/8 dev eth1 metric 256 expires 19415437sec mtu 1500 advmss 1440 hoplimit 4294967295 ff00::/8 dev vmnet1 metric 256 expires 19415465sec mtu 1500 advmss 1440 hoplimit 4294967295 ff00::/8 dev vmnet8 metric 256 expires 19415466sec mtu 1500 advmss 1440 hoplimit 4294967295 ff00::/8 dev tap0 metric 256 expires 20603035sec mtu 1500 advmss 1440 hoplimit 4294967295 ff00::/8 dev ipv6tun metric 256 expires 21318460sec mtu 1472 advmss 1412 hoplimit 4294967295 default dev ipv6tun metric 1024 expires 21318460sec mtu 1472 advmss 1412 hoplimit 4294967295
Grüße Luca Bertoncello (lucabert@lucabert.de)
Moin Luca,
kannst du das nochmal diff-like für vorher, direkt danach und 5min später ziehen?
Welche Netze sind welche? Kannst du das bitte mal als Netz -> Description auflisten?
Gruß, Andre
Andre Klärner kandre@ak-online.be schrieb:
kannst du das nochmal diff-like für vorher, direkt danach und 5min später ziehen?
Ugh?!? Was für ein diff? Von was?
Welche Netze sind welche? Kannst du das bitte mal als Netz -> Description auflisten?
Also,
Server: IPv4: 84.200.210.163 IPv6 (für "normale" Nutzung): 2001:1608:10:24:1::/64 IPv6 (ipv6tun): 2001:1608:10:24:1000::1/72
PC: IPv4: gerade 87.157.46.148 IPv6 (ipv6tun): 2001:1608:10:24:1000::2/72 Geroutetes Netz: 2001:1608:10:24:1100::/72
Theoretisch hätte ich auch ein zweites /64-Subnet auf dem Server, das ich nutzen kann, und zwar: 2001:1608:10:47::1/64. Ich habe auch probiert es zu nutzen, mit derselben Ergebnisse wie das /72-Subnet (also, geht nicht).
Grüße Luca Bertoncello (lucabert@lucabert.de)
Moin Luca,
On Mon, Mar 05, 2012 at 08:40:06PM +0100, Luca Bertoncello wrote:
Andre Klärner kandre@ak-online.be schrieb:
kannst du das nochmal diff-like für vorher, direkt danach und 5min später ziehen?
Ugh?!? Was für ein diff? Von was?
Ich meinte ein "ip -6 (addr|route)" vor dem Verbindungs-Versuch und danach um herauszubekommen, ob das was du gemacht hast genau diese Wirkung hatte. Und abschließend nochmal wesentlich später, nämlich dann wenn deine Verbindung spontan zu funktionieren beginnt.
Kannst du das bitte mal als Netz -> Description auflisten?
Server: IPv4: 84.200.210.163 IPv6 (für "normale" Nutzung): 2001:1608:10:24:1::/64 IPv6 (ipv6tun): 2001:1608:10:24:1000::1/72
PC: IPv4: gerade 87.157.46.148 IPv6 (ipv6tun): 2001:1608:10:24:1000::2/72 Geroutetes Netz: 2001:1608:10:24:1100::/72
Theoretisch hätte ich auch ein zweites /64-Subnet auf dem Server, das ich nutzen kann, und zwar: 2001:1608:10:47::1/64. Ich habe auch probiert es zu nutzen, mit derselben Ergebnisse wie das /72-Subnet (also, geht nicht).
(Ich lass das für nachher mal im Mail-Thread)
Achja: schau mal im Debian-Paket radvd nach. Das enthält das Tool radvdump das dir zeigt, wenn die Maschine ein Route-Advertisement erhält. Vllt bringt dich das weiter.
Gruß, Andre
Andre Klärner kandre@ak-online.be schrieb:
Ich meinte ein "ip -6 (addr|route)" vor dem Verbindungs-Versuch und danach um herauszubekommen, ob das was du gemacht hast genau diese Wirkung hatte. Und abschließend nochmal wesentlich später, nämlich dann wenn deine Verbindung spontan zu funktionieren beginnt.
Ich habe wirklich nur die Befehle eingegeben, die ich der Liste geschickt habe, und Adressen und Routen ändern sich nicht spontan. Ich habe auch X-Mal geprüft...
Achja: schau mal im Debian-Paket radvd nach. Das enthält das Tool radvdump das dir zeigt, wenn die Maschine ein Route-Advertisement erhält. Vllt bringt dich das weiter.
Ich kenne radvd, das nutze ich zu Hause wegen des PCs meiner Frau, aber in dem Fall nutzt mir nicht... Das Problem ist noch vorher, bei dem Routing des Netzes im Tunnel...
Grüße Luca Bertoncello (lucabert@lucabert.de)
lug-dd@mailman.schlittermann.de
-
Andre Klärner -
Luca Bertoncello -
morphium