Re: Eigene IPv6-Tunnel bauen
Hallo, Leute!
Ich kämpfe immer noch um ein IPv6-Tunnel mit meinem Server zu bauen...
Nun heute habe ich was geschafft, aber verstehe nicht WIE und WARUM plötzlich
ging, und genauso plötzlich auch nicht mehr ging...
Folgendes:
Auf meinem Server habe ich diese Befehle gegeben:
echo 1 /proc/sys/net/ipv6/conf/all/forwarding
ip=$(dig +short lucabert.homelinux.org)
/sbin/ip tunnel add ipv6tun mode sit ttl 255 remote $ip local 84.200.210.163
/sbin/ip link set dev ipv6tun up
/sbin/ip -6 addr add 2001:1608:10:24:1000::1/72 dev ipv6tun
/sbin/ip -6 route add 2001:1608:10:24:1100::/72 dev ipv6tun metric 1
Auf meinem PC:
IPLOCAL=`/sbin/ip addr show dev ppp0 | /bin/grep inet | /usr/bin/awk '{print
$2}'`
/sbin/ip tunnel add ipv6tun mode sit remote 84.200.210.163 local $IPLOCAL ttl
255
/sbin/ip link set ipv6tun up
/sbin/ip -6 addr add 2001:1608:10:24:1000::3/72 dev ipv6tun
/sbin/ip route add ::/0 dev ipv6tun
/sbin/ip -6 addr add 2001:1608:10:24:1100::1/72 dev eth0
Ich habe für diesen Test ein Teil des Netzes benutzt, der mein Server
normalerweise nutzt. lucabert.de hat die IPv6 2001:1608:10:24:1::1, und ich
habe, von dem Netz, ein /72-Subnet benutzt.
Gut, es hat 'ne Weile gedauert, dann plötzlich konnte ich meinem PC von einem
Server, den ich auf Arbeit administrieren, über IPv6 erreichen.
Und plötzlich ging es auch, daß ich von meinem PC die Welt über IPv6
erreichen kann.
Mit plötzlich meine ich: ich habe die oben genannten Befehlen gegeben und
ging nicht. Nach 'ne Weile Hosts hin und her anpingen, aber OHNE jegliche
Änderung der Konfiguration, kam 'ne ICMP-Response zurück...
Wunderbar! Ich habe dann mehrmals probiert die Schnittstelle ipv6tun auf
meinem Server sowohl auf meinem PC herunterzufahren und wieder zu starten,
und immer ging. Toll! Vielleicht habe ich es geschafft!
Gut: nächste Schritt, radvd so anzupassen, daß das neue Netz benutzt wird.
Das habe ich gemacht und wollte sehen, ob der PC meiner Frau auch IPv6-fähig
ist.
Ich kann den PC meiner Frau von meinem PC anpingen, OK. Ich kann von dem PC
meiner Frau meinen PC anpingen, auch OK. Ich versuche meinen Server
(2001:1608:10:24:1000::1, also der Endpoint des Tunnels) von dem PC meiner
Frau anzupingen. GEHT NICHT.
Und dann plötzlich kann ich auch von meinem PC keinen weiteren Host
erreichen, obwohl (jetzt denke ich gleich, daß ich bekloppt bin!) mein PC
bleibt von dem Server auf Arbeit erreichbar.
Also, brauche ich einen Psychologe oder was?
Ich danke euch, wenn ihr mir eine Erklärung für diese komische Verhalten des
Netzes gibt...
Grüße
Luca Bertoncello
(lucab...@lucabert.de)
___
Lug-dd maillist - Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Eigene IPv6-Tunnel bauen
Moin Luca, On Mon, Mar 05, 2012 at 03:50:06PM +0100, Luca Bertoncello wrote: Ich kämpfe immer noch um ein IPv6-Tunnel mit meinem Server zu bauen... Nun heute habe ich was geschafft, aber verstehe nicht WIE und WARUM plötzlich ging, und genauso plötzlich auch nicht mehr ging... […] Ich danke euch, wenn ihr mir eine Erklärung für diese komische Verhalten des Netzes gibt... Kann es sein, dass dein Server dann die Route-Advertisements die er von deinem Server-Provider bekommt an deinen Rechner weitergibt, und der dadurch eine Standard-Route erhält die alles zum Laufen bringt? Ich habe auch in deinen Befehlen nichts gesehen, was ein Standard-Gateway einrichtet, dafür aber Routen, die dein ip add add für das Device eigentlich selbst setzen sollte.. (die on-link-Routen). Hast du mal parallel ein tail -f syslog laufen lassen, bei mir tauchen da z.B. vom ntpd ein paar Zeilen auf, die anzeigen, dass er was neues gefunden hat. Auch wäre es vllt cool, wenn du mal auf jeder Maschine ein ip -6 addr ; ip -6 route laufen lässt, je einmal direkt vor der Ausführung, einmal direkt nach deinen Skripten und einmal sobald es sich zum Funktionieren eingepegelt hat. Gruß, Andre -- Andre Klärner Telefon: 0351/79666546 Fax: 0351/79688547 Mobil: 0172/9838653 Anschrift: Prohliser Allee 43 01239 Dresden Diese E-Mail ist mittels S/MIME signiert worden. Für S/MIME sind die Root-Zertifikate der CAcert.org zu installieren (unter http://www.cacert.org/index.php?id=3 zu finden), damit mein Zertifikat als vertrauenswürdig eingestuft wird. CAcert.org ist eine offene Zertifizierungsstelle für SSL-Zertifikate auf Basis eines Web-Of-Trust. Weitere Details finden Sie auf der Website. Wenn diese E-Mail nicht als authentifiziert angezeigt wird, überprüfen Sie bitte doppelt die Korrektheit dieser Mail. smime.p7s Description: S/MIME cryptographic signature ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Eigene IPv6-Tunnel bauen
Andre Klärner kan...@ak-online.be schrieb:
Moin!
Kann es sein, dass dein Server dann die Route-Advertisements die er von
deinem Server-Provider bekommt an deinen Rechner weitergibt, und der
dadurch eine Standard-Route erhält die alles zum Laufen bringt?
Keine Ahnung! Wie kann ich es prüfen?
Ich habe auch in deinen Befehlen nichts gesehen, was ein Standard-Gateway
einrichtet, dafür aber Routen, die dein ip add add für das Device
eigentlich selbst setzen sollte.. (die on-link-Routen).
Ja, auf meinem Server ist die Standard-Route ein andere, und der Tunnel ist
nur gedacht für meinen PC zu Hause (und dieser meiner Frau).
DORT setze ich die Standard-Route auf der Schnittstelle des Tunnels:
IPLOCAL=`/sbin/ip addr show dev ppp0 | /bin/grep inet | /usr/bin/awk '{print
$2}'`
/sbin/ip tunnel add ipv6tun mode sit remote 84.200.210.163 local $IPLOCAL ttl
255
/sbin/ip link set ipv6tun up
/sbin/ip -6 addr add 2001:1608:10:24:1000::3/72 dev ipv6tun
/sbin/ip route add ::/0 dev ipv6tun === Hier wird die Route gesetzt
/sbin/ip -6 addr add 2001:1608:10:24:1100::1/72 dev eth0
Hast du mal parallel ein tail -f syslog laufen lassen, bei mir tauchen da
z.B. vom ntpd ein paar Zeilen auf, die anzeigen, dass er was neues gefunden
hat.
Wenn ich auf dem Server den Tunnel aufbaue sehe ich nur:
Mar 5 19:31:45 ns kernel: [2113658.461668] ipv6tun: Disabled Privacy
Extensions
Auf dem PC sehe ich:
Mar 5 14:18:43 frodo ntpd[14422]: Listening on interface #18 ipv6tun,
2001:1608:10:24:1000::3#123 Enabled
Auch wäre es vllt cool, wenn du mal auf jeder Maschine ein
ip -6 addr ; ip -6 route laufen lässt, je einmal direkt vor der
Ausführung, einmal direkt nach deinen Skripten und einmal sobald es sich
zum Funktionieren eingepegelt hat.
Auf dem Server:
root@ns:~# ip -6 addr
1: lo: LOOPBACK,UP,LOWER_UP mtu 16436
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: BROADCAST,MULTICAST,UP,LOWER_UP mtu 1500 qlen 1000
inet6 2001:1608:10:24:3::4/64 scope global
valid_lft forever preferred_lft forever
inet6 2001:1608:10:24:3::3/64 scope global
valid_lft forever preferred_lft forever
inet6 2001:1608:10:24:3::2/64 scope global
valid_lft forever preferred_lft forever
inet6 2001:1608:10:24:3::1/64 scope global
valid_lft forever preferred_lft forever
inet6 2001:1608:10:24:2::1/64 scope global
valid_lft forever preferred_lft forever
inet6 2001:1608:10:24:1::1/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::e269:95ff:feb3:e4ec/64 scope link
valid_lft forever preferred_lft forever
42: ipv6tun: POINTOPOINT,NOARP,UP,LOWER_UP mtu 1480
inet6 2001:1608:10:47:1000::1/72 scope global
valid_lft forever preferred_lft forever
inet6 fe80::54c8:d2a3/128 scope link
valid_lft forever preferred_lft forever
root@ns:~# ip -6 route
2001:1608:10:24::/64 dev eth0 proto kernel metric 256 mtu 1500 advmss 1440
hoplimit 4294967295
2001:1608:10:47:1000::/72 via :: dev ipv6tun proto kernel metric 256 mtu
1480 advmss 1420 hoplimit 4294967295
2001:1608:10:47:1100::/72 dev ipv6tun metric 1 mtu 1480 advmss 1420 hoplimit
4294967295
fe80::/64 dev eth0 proto kernel metric 256 mtu 1500 advmss 1440 hoplimit
4294967295
fe80::/64 via :: dev ipv6tun proto kernel metric 256 mtu 1480 advmss 1420
hoplimit 4294967295
default via 2001:1608:10:24::1 dev eth0 metric 1024 mtu 1500 advmss 1440
hoplimit 4294967295
Auf dem PC:
root@frodo:~# ip -6 addr
1: lo: LOOPBACK,UP,LOWER_UP mtu 16436
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: BROADCAST,MULTICAST,UP,LOWER_UP mtu 1500 qlen 1000
inet6 2001:1608:10:24:1100::1/72 scope global
valid_lft forever preferred_lft forever
inet6 fe80::219:66ff:febd:7d55/64 scope link
valid_lft forever preferred_lft forever
3: eth1: BROADCAST,MULTICAST,UP,LOWER_UP mtu 1500 qlen 1000
inet6 fe80::211:6bff:fe31:7ee/64 scope link
valid_lft forever preferred_lft forever
4: vmnet1: BROADCAST,MULTICAST,UP,LOWER_UP mtu 1500 qlen 1000
inet6 fe80::250:56ff:fec0:1/64 scope link
valid_lft forever preferred_lft forever
5: vmnet8: BROADCAST,MULTICAST,UP,LOWER_UP mtu 1500 qlen 1000
inet6 fe80::250:56ff:fec0:8/64 scope link
valid_lft forever preferred_lft forever
45: tap0: BROADCAST,MULTICAST,UP,LOWER_UP mtu 1500 qlen 100
inet6 fe80::2ff:b2ff:fe61:d932/64 scope link
valid_lft forever preferred_lft forever
108: ipv6tun@NONE: POINTOPOINT,NOARP,UP,LOWER_UP mtu 1472
inet6 2001:1608:10:24:1000::2/72 scope global
valid_lft forever preferred_lft forever
inet6 fe80::579d:2e94/128 scope link
valid_lft forever preferred_lft forever
root@frodo:~# ip -6 route
2001:1608:10:24:1100::/72 dev eth0 metric 256 expires 21318479sec mtu 1500
advmss 1440 hoplimit 4294967295
fe80::/64 dev eth0 metric 256 expires 19415437sec mtu 1500 advmss 1440
hoplimit 4294967295
fe80::/64 dev eth1
Re: Eigene IPv6-Tunnel bauen
Moin Luca, kannst du das nochmal diff-like für vorher, direkt danach und 5min später ziehen? Welche Netze sind welche? Kannst du das bitte mal als Netz - Description auflisten? Gruß, Andre -- Andre Klärner Telefon: 0351/79666546 Fax: 0351/79688547 Mobil: 0172/9838653 Anschrift: Prohliser Allee 43 01239 Dresden Diese E-Mail ist mittels S/MIME signiert worden. Für S/MIME sind die Root-Zertifikate der CAcert.org zu installieren (unter http://www.cacert.org/index.php?id=3 zu finden), damit mein Zertifikat als vertrauenswürdig eingestuft wird. CAcert.org ist eine offene Zertifizierungsstelle für SSL-Zertifikate auf Basis eines Web-Of-Trust. Weitere Details finden Sie auf der Website. Wenn diese E-Mail nicht als authentifiziert angezeigt wird, überprüfen Sie bitte doppelt die Korrektheit dieser Mail. smime.p7s Description: S/MIME cryptographic signature ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Eigene IPv6-Tunnel bauen
Moin Luca, On Mon, Mar 05, 2012 at 08:40:06PM +0100, Luca Bertoncello wrote: Andre Klärner kan...@ak-online.be schrieb: kannst du das nochmal diff-like für vorher, direkt danach und 5min später ziehen? Ugh?!? Was für ein diff? Von was? Ich meinte ein ip -6 (addr|route) vor dem Verbindungs-Versuch und danach um herauszubekommen, ob das was du gemacht hast genau diese Wirkung hatte. Und abschließend nochmal wesentlich später, nämlich dann wenn deine Verbindung spontan zu funktionieren beginnt. Kannst du das bitte mal als Netz - Description auflisten? Server: IPv4: 84.200.210.163 IPv6 (für normale Nutzung): 2001:1608:10:24:1::/64 IPv6 (ipv6tun): 2001:1608:10:24:1000::1/72 PC: IPv4: gerade 87.157.46.148 IPv6 (ipv6tun): 2001:1608:10:24:1000::2/72 Geroutetes Netz: 2001:1608:10:24:1100::/72 Theoretisch hätte ich auch ein zweites /64-Subnet auf dem Server, das ich nutzen kann, und zwar: 2001:1608:10:47::1/64. Ich habe auch probiert es zu nutzen, mit derselben Ergebnisse wie das /72-Subnet (also, geht nicht). (Ich lass das für nachher mal im Mail-Thread) Achja: schau mal im Debian-Paket radvd nach. Das enthält das Tool radvdump das dir zeigt, wenn die Maschine ein Route-Advertisement erhält. Vllt bringt dich das weiter. Gruß, Andre -- Andre Klärner Telefon: 0351/79666546 Fax: 0351/79688547 Mobil: 0172/9838653 Anschrift: Prohliser Allee 43 01239 Dresden Diese E-Mail ist mittels S/MIME signiert worden. Für S/MIME sind die Root-Zertifikate der CAcert.org zu installieren (unter http://www.cacert.org/index.php?id=3 zu finden), damit mein Zertifikat als vertrauenswürdig eingestuft wird. CAcert.org ist eine offene Zertifizierungsstelle für SSL-Zertifikate auf Basis eines Web-Of-Trust. Weitere Details finden Sie auf der Website. Wenn diese E-Mail nicht als authentifiziert angezeigt wird, überprüfen Sie bitte doppelt die Korrektheit dieser Mail. smime.p7s Description: S/MIME cryptographic signature ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Eigene IPv6-Tunnel bauen
Andre Klärner kan...@ak-online.be schrieb: Ich meinte ein ip -6 (addr|route) vor dem Verbindungs-Versuch und danach um herauszubekommen, ob das was du gemacht hast genau diese Wirkung hatte. Und abschließend nochmal wesentlich später, nämlich dann wenn deine Verbindung spontan zu funktionieren beginnt. Ich habe wirklich nur die Befehle eingegeben, die ich der Liste geschickt habe, und Adressen und Routen ändern sich nicht spontan. Ich habe auch X-Mal geprüft... Achja: schau mal im Debian-Paket radvd nach. Das enthält das Tool radvdump das dir zeigt, wenn die Maschine ein Route-Advertisement erhält. Vllt bringt dich das weiter. Ich kenne radvd, das nutze ich zu Hause wegen des PCs meiner Frau, aber in dem Fall nutzt mir nicht... Das Problem ist noch vorher, bei dem Routing des Netzes im Tunnel... Grüße Luca Bertoncello (lucab...@lucabert.de) ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Eigene IPv6-Tunnel bauen
Moin Luca, On Fri, Mar 02, 2012 at 08:36:24PM +0100, Luca Bertoncello wrote: Tunnelbroker wird jeden Tag instabiler, und ich bin jetzt auch der Suche nach einer Alternative... Wie wäre es denn mit einer anderen Tunneling-Software/Provider? Ich benutze seit Jahren Sixxs und aiccu und bin damit zufrieden. Gruß, Andre -- Andre Klärner Telefon: 0351/79666546 Fax: 0351/79688547 Mobil: 0172/9838653 Anschrift: Prohliser Allee 43 01239 Dresden Diese E-Mail ist mittels S/MIME signiert worden. Für S/MIME sind die Root-Zertifikate der CAcert.org zu installieren (unter http://www.cacert.org/index.php?id=3 zu finden), damit mein Zertifikat als vertrauenswürdig eingestuft wird. CAcert.org ist eine offene Zertifizierungsstelle für SSL-Zertifikate auf Basis eines Web-Of-Trust. Weitere Details finden Sie auf der Website. Wenn diese E-Mail nicht als authentifiziert angezeigt wird, überprüfen Sie bitte doppelt die Korrektheit dieser Mail. smime.p7s Description: S/MIME cryptographic signature ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Eigene IPv6-Tunnel bauen
Andre Klärner kan...@ak-online.be schrieb: Wie wäre es denn mit einer anderen Tunneling-Software/Provider? Ich benutze seit Jahren Sixxs und aiccu und bin damit zufrieden. Ich habe auch SixxS probiert. WEG DAMIT! Solange man kein Problem hat, alles in Ordnung, aber wenn man eine Frage stellt, sie löschen sogar die Beiträge in dem Forum... Also, von solchen Leute habe ich kein Not... Deswegen will ich was eigenes probiere. Grüße Luca Bertoncello (lucab...@lucabert.de) ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Eigene IPv6-Tunnel bauen
Hi! Jedenfalls, von meinem PC kann ich jede IPv6 meines Servers anpingen, aber sobald ich versuche einen anderen Host (den ich aber von meinem Server problemlos über IPv6 erreichen kann!), geht es nicht... Was sagt denn /proc/sys/net/ipv6/conf/interface/forwarding ? Mit tcpdump sehe ich, daß die Pakete mit der IPv6-Adresse meines PCs rausgeschickt werden, aber kommen nicht zurück... tcpdump auf deinem Server? Auf welchem Interface? Viele Grüße! -- morphium - morph...@jabber.ccc.de - 113332157 http://identi.ca/morphium - http://twitter.com/morphium86 ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Eigene IPv6-Tunnel bauen
morphium morph...@morphium.info schrieb: Was sagt denn /proc/sys/net/ipv6/conf/interface/forwarding ? Normalerweise 0, habe aber auch schon probiert auf 1 zu setzen, für eth0 (wo der gesamte Traffic läuft) und ipv6tun (das Gerät des Tunnels). Ändert sich gar nichts... Mit tcpdump sehe ich, daß die Pakete mit der IPv6-Adresse meines PCs rausgeschickt werden, aber kommen nicht zurück... tcpdump auf deinem Server? Auf welchem Interface? Es sieht so aus, wie wenn das Paket geschickt wird, aber keine Antwort zurückkommt... Ich habe jetzt einen anderen Test probiert, und zwar, auf meinem Server auf eth0 die IPv6 2001:1608:10:47:1::1/80 zu vergeben, dann das Gerät ipv6tun einzurichten, mit der IPv6 2001:1608:10:47:1::2/80. Von einem anderen Server kann ich zwar 2001:1608:10:47:1::1 erreichen, aber schon nicht mehr 2001:1608:10:47:1::2. Ich habe auch probiert dem Gerät ipv6tun die IPv6 2001:1608:10:47:10::1/80 (falls ich unbedingt ein anderes Netz nutzen sollte) zu vergeben und von dem anderen Server zu erreichen. Auch nicht... In dem Fall, mit tcpdump auf eth0 sehe ich GAR KEIN PAKET. Also, ich bin 100% sicher, daß ich was ganz falsches mache, verstehe aber überhaupt nicht WAS... Ich freue mich auf eurer Hilfe! Grüße Luca Bertoncello (lucab...@lucabert.de) ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
