Troubleshooting IPv6 und Deutsche Glasfaser

Publiziert am 1. August 2020 von andre

Ich möchte ein paar Tools / Hilfestellungen zu einem speziellem Problem hier mal bereit stellen.

Generell war es bei einem anderen User so, dass die UDMPro von der deutschen Glasfaser einen korrekten Präfix bekommen hat und die IPv6 auch in die dafür vorgesehenen Netzwerke verteilt hat. Allerdings war ein Zugriff auf die Geräte von extern nicht möglich. Die Firewalls waren deaktiviert, was vermuten lässt, dass etwas mit dem internen Routing nicht stimmte. Die Verbindung sollte später über einen externen VServer per 6Tunnel getunnelt werden. Es stand also auch ein externer Server zur Verfügung

Hier ein paar Befehle auf der UDM/UDM Pro, welche über SSH Zugang abgefragt werden können:

IP Addr

oder

ipsec statusall

Beide Befehle geben die in der UDM/UDMPro vergebenen Adressen.

Ein Hinweis noch (für die UDMPRO): Der WAN Port (ETH8) zeigt die Adresse des WAN Port, bekommen von der deutschen Glasfaser. Den eigenen Präfix sieht man an der Schnittstelle BR0, also dem LAN 0

Wenn man weitere Netzwerke für IPv6 frei schaltet erhält man dort weitere Präfix Adressen, speziell für das VLAN.

Will man alle vergebenen Adressen im Netzwerk anschauen, gibt man

ip neighbour
oder
ip -6 neigh
ein. Man sieht eine Auflistung aller vergebenen IP Adressen. Die IPv6, beginnend mit fe8… kann man ignorieren, sie werden nur lokal vergeben, wichtig sind Adressen, welche mit dem gleichem Präfix anfangen wie aus der BR0 oder dem VLAN. Hinter der Adresse wird die MAC Adresse angezeigt, darüber kann man das entsprechende Gerät identifizieren.

Wie kann man nun extern prüfen, als Ausgangspunkt nehmen wir hier den oben erwähnten VServer, der auch den 6Tunnel zur Verfügung stellen soll. Das kann aber jeder andere Rechner sein, der nicht im Netzwerk ist und IPv6 Zugang hat.

traceroute6 [IPv6 des Endgerätes im Netzwerk z.b. Server]
Der Traceroute sollte nun die Routings anzeigen und bis zur oben erwähnten IPv6 des ETH8 (WAN) Port führen, weiter kommt man hiermit nicht.

Wenn man soweit ist, sollte auch der Zugriff auf die Geräte hinter der UDM/UDMPro gelingen. Mit dem Befehl

nmap -6 -sT [IPv6 des Endgerätes im Netzwerk z.b. Server]

kann man einen Portscan durchführen, der einem die offenem Ports auf dem Gerät zeigt. Dies kann auch hilfreich sein später die Firewall entsprechend zu setzen/probieren. Falls das Gerät nicht verfügbar ist, wird das auch als nicht erreichbar angezeigt.

All das setzt natürlich voraus dass man testweise die Firewalls aller System deaktiviert (Nachher unbedingt aktivieren wenn alles läuft!)

Wie oben erwähnt gab es nun Geräte die eine IPv6 bekamen, aber nicht von außen zu erreichen waren. Vieles wurde versucht, es zeichnet sich aber ab das ein Befehl zum Erfolg führte. Auf der UDM/UDMPro eingeben:

ip neigh flush all
Hiermit wird der komplette ARP Cache gelöscht. Dann den Router neu starten.

Wichtig danach: Warten, ruhig mal mehrere Stunden oder sogar Tage.

-> Bitte hier mal eine Rückmeldung geben ob andere Personen dies als die tatsächliche Lösung bestätigen können, gerade wenn das Resultat nicht sofort sichtbar ist kann man das nicht immer nachvollziehen.

Ich habe gesehen das es mehrere Foren Einträge gibt wo immer mal wieder über das Thema gesprochen wird. Bis jetzt hat es bei 2 Personen, gleiches Setup, verbunden über Deutsche Glasfaser, zum Erfolg geführt

Dieser Beitrag wurde unter Weblinks veröffentlicht. Setze ein Lesezeichen auf den Permalink.