Verbindung per DHCP: Keine IPv6

Hallo zusammen,

ich habe einen AON Glasfaseranschluss bei der Stadtwerke Unna.

Wenn ich an meinem ONT die Provider Fritzbox anschließe funktioniert die IPv6 ohne Probleme.

Die Einstellungen in der Fritzbox:

Native IPv4-Anbindung verwenden

DHCPv6 Rapid Commit verwenden

Die automatische IPv6 Präfixlänge ist /60

ipv6-test,com meldet dann:

IPv6: Supported

Type: Native IPv6

SLAAC: No

ICMP: Filtered

Wenn ich das ONT an den WAN Port der UDM Pro anschließe und wie folgt eine Verbindung aufbaue:

VLAN ID: 7

IPv4 Connection: DHCPv4

IPv6 Connection: DHCPv6

Prefix Delegation Size: 60

In meinem Default Netzwerk habe ich folgende Einstellungen:

IPv6 Interface Type: Prefix Delegation

RA: Enabled

RA Prio: High

DHCPv6 Range:Start: ::2

DHCPv6 Range:Stop: ::7d1

DHCPv6/RDNSS DNS Control: Auto

Die IPv4 Verbindung funktioniert ohne Probleme.

ipv6-test,com meldet:

IPv6: Not supported

Kann mir jemand auf die Sprünge helfen?

Danke und Grüße

FiberSwitch

Unter ifconfig sehe ich unter eth9.7 (Sollte der SFP Port, VLAN 7 sein):

eth9.7    Link encap:Ethernet  HWaddr E0:63:DA:xx:xx:xx
          inet addr:100.64.xx.xxx  Bcast:0.0.0.0  Mask:255.255.240.0
          inet6 addr: fe80::e263:daff:fe5a:f032/64 Scope:Link
          inet6 addr: 2a04:xxxx:xxx:1000::1:xxxx/128 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:18558697 errors:0 dropped:95329 overruns:0 frame:0
          TX packets:12963376 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:29563026231 (27.5 GiB)  TX bytes:3814474800 (3.5 GiB)

Die IPv6 die dort steht ist zwar von außerhalb nicht pingbar (obwohl in der Firewall freigebeben) aber wenn ich einen TCPdump auf eth9 laufen lasse kann ich die ankommenden ICMP6 echo requests sehen. Sie kommen also an.

Von der SSH Console kann ich aber z.B. keine IPv6 Adresse pingen/tracen. Ein nslookup funktionert aber:

# nslookup ipv6.google.com
Server:         127.0.0.1
Address:        127.0.0.1:53

Non-authoritative answer:
ipv6.google.com canonical name = ipv6.l.google.com

Non-authoritative answer:
ipv6.google.com canonical name = ipv6.l.google.com
Name:   ipv6.l.google.com
Address: 2a00:1450:4001:812::200e

PING ipv6.google.com (2a00:1450:4001:830::200e): 56 data bytes

--- ipv6.google.com ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss
#



# traceroute -6 ipv6.google.com
traceroute to ipv6.google.com (2a00:1450:4001:812::200e), 30 hops max, 72 byte packets
 1  dynamicIPv6-2a04-xxx--1.isp.ropa.net (2a04:xxx)  3054.329 ms !H  3050.057 ms !H  3071.862 ms !H

Ich kann mittlerweile folgendes reproduzieren:

Wenn ich die UDMP reboote oder die Internetverbindung neuaufbaue funktionert IPv6 auf der UDM Pro:

Ich kann von der UDMP per IPv6 rauspingen, die UDMP ist von außen auch pingbar.

Die Clients haben dann auf ipv6-test,com evenfalls eine IPv6 mit 20/20 Punkten.

Nach einiger Zeit (10-30 Sekunden ca.) fällt IPv6 dann aus. Pings (per SSH direkt von der UDMP) gehen nicht mehr raus und kommen auch nicht mehr rein (sind aber wir oben erwähnt im TCP dump noch zu sehen).

Per "ip addr" und "ifconfig" kann ich keine relevante Änderung feststellen.

Ich habe 5 Netzwerke, aber bei nur einem ist IPv6 aktiviert.

Das Problem scheint aber an der UDMP selber zu liegen... die kommt ja selber nicht per IPv6 raus und ist nicht mehr pingbar nach wenigen Sekunden.

Das verhält sich auch bei einem 64er Prefix identisch.

uboot21

Ich nutze beides.

Ich habe zwei Firewall Regeln hinzufügt um ICMP6 Pings zuzulassen. Das funktioniert auch bis IPv6 stirbt.

@Tuxtom007

Ich bekomme immer eine /60, egal was ich haben möchte. Eine /64 düfte aber nicht funktionieren weil die UDMP jedem VLAN ein /64 Netz zur Verfügung stellt (nicht konfigurierbar).

Aber soweit bin ich noch garnicht weil selbst die /128 von der UDMP ja nach kurzer Zeit nur noch "halb" funtioniert.

Gute Idee, wobei ich bezweifle, dass es diese Sicherheitslücke gibt.

Habe testweise das Threat Management komplett deaktiviert. Leider mit dem gleichen Ergebnis.

Zitat von Tuxtom007

Auf der WAN-Seite ist klar.

Ich meinte die LAN/VLan-Seite bin aber nicht mal mehr sicher, ob mal das einstellen konnte.

Wenn die /60 bekommst und auf LAN /60 einstellst, kannst eben nur ein LAN versorgen mit IPv6, daher muss der Prefix dort größer sein, eben /64 als Default und du kannst mehrer LAN/VLAN einrichten mit IPv6

Die Frage bei dir ist eher ob IPV6 auf der WAN-Seite stabil läuft.

Alles anzeigen

Die VLAN's bekommen wie gesagt automatisch ein /64 Netz, das passt mit meinem größeren /60er Netz vom ISP.

Mein Problem ist ja, dass es auf WAN Seite nicht funtkioniert bzw. die UDMP selber nach kurzer Zeit weder per IPv6 raus noch rein kommt.

Ich habe zusammen mit dem UI Support das Problem gefunden:

Es gibt zwei Router die mir RA's schicken, einer davon verursacht das Problem.

Habe die Infos an meinen Provider geschickt.

Als Zwischenlösung habe ich die IPv6 des invaliden Routers in der Firewall der UDMP für RA's gesperrt.

Seit dem funktioniert alles wie es soll.

Interessant, dass die Fritzbox keine Probleme damit hat.