Beiträge von arne

Hmmm, auf dem CK läuft nginx. (sieht man in pstree). Da ist eine conf Datei unter /etc/nginx. Normalerweise könnte man da doch eintragen, dass der Web Server auf ipv6 Anfragen reagiert, oder? Das Netz sagt das hier:

listen       [::]:8443 default_server;

Sollte das gehen? Will mir nicht den CK zerschießen, deshalb frage ich vorher lieber

Versuch macht kluch! Der Nginx akzeptiert keinen ipv6 Eintrag. Beim Restart des Servers, gibt es Fehlermeldungen und auch nach dem Rückbau der Anpassung bleibt der NGINX down und läßt sich nicht wieder starten. Nur ein Reboot erweckt ihn wieder zum Leben.

Ist aber schon strange... Ich kann alle Clients über ipv6 laufen lassen, nur die Console will unbedingt, dass ich über ipv4 zugreife...

Wie ist das mit einer UDM? Ist es da analog?

Moin!

ich habe nun noch etwas umgetestet... Werde nur nicht schlau draus.

Wenn ich von einem rpi mittels wget auf die UI zugreife, bekomme ich das hier:

pi@pizero:~ $ wget https://[2003:xx:xxxx:xxxx:xxxx:xxxx:fed3:943d]:8443
--2024-01-27 10:30:09--  https://[2003:xx:xxxx:xxxx:xxxx:xxxx:fed3:943d]:8443/
Connecting to [2003:xx:xxxx:xxxx:xxxx:xxxx::fed3:943d]:8443... connected.
ERROR: The certificate of ‘2003:xx:xxxx:xxxx:xxxx:xxxx::fed3:943d’ is not trusted.
ERROR: The certificate of ‘2003:xx:xxxx:xxxx:xxxx:xxxx::fed3:943d’ doesn't have a known issuer.
The certificate's owner does not match hostname ‘2003:xx:xxxx:xxxx:xxxx:xxxx:fed3:943d’

Das Netzwerk des CK2+ ist so definiert:

root@UCK-G2-Plus:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: sit0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default
link/sit 0.0.0.0 brd 0.0.0.0
3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 74:83:c2:d3:94:3d brd ff:ff:ff:ff:ff:ff
inet 10.10.67.16/16 brd 10.10.255.255 scope global dynamic eth0
valid_lft 50117sec preferred_lft 50117sec
inet6 2003:xx:xxxx:xxxx:xxxx:xxxx::fed3:943d/64 scope global dynamic mngtmpaddr noprefixroute
valid_lft 86017sec preferred_lft 14017sec
inet6 fe80::xxxx:xxxx:fed3:943d/64 scope link
valid_lft forever preferred_lft forever

Stehe auf dem Schlauch...

Und noch ein paar Infos:

LAN Firewalls

--------------------------------------------------------------------------------

IPv6 Firewall "LANv6_IN" [packets from intranet]

Active on (eth0,IN) (eth1,IN) (eth3,IN)

rule packets bytes action description

---- ------- ----- ------ -----------

10000 22205167 12695230815 ACCEPT DEFAULT ACTION

--------------------------------------------------------------------------------

IPv6 Firewall "LANv6_LOCAL" [packets from intranet to gateway]

Active on (eth0,LOCAL) (eth1,LOCAL) (eth3,LOCAL)

rule packets bytes action description

---- ------- ----- ------ -----------

2000 140394 9660348 ACCEPT Querrule 3 all2all

2001 0 0 ACCEPT icmpv6

2002 0 0 ACCEPT ipv6icmp

10000 211797 14621867 ACCEPT DEFAULT ACTION

--------------------------------------------------------------------------------

IPv6 Firewall "LANv6_OUT" [packets forward to intranet]

Active on (eth0,OUT) (eth1,OUT) (eth3,OUT)

rule packets bytes action description

---- ------- ----- ------ -----------

10000 52718168 64887289084 ACCEPT DEFAULT ACTION

--------------------------------------------------------------------------------

Login mit der lokalen ipv6 Adresse geht:

Master@samgateway4Pro:~$ ssh root@fe80::xxxx:xxxx:fed3:943d%eth3
The authenticity of host 'fe80::xxxx:xxxx:fed3:943d%eth3 (fe80::fe80::xxxx:xxxx:fed3:943d%eth3)' can't be established.
ECDSA key fingerprint is 91:xxxxxxxxxxb2:55:55.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'fe80::xxxx:xxxx:fed3:943d%eth3' (ECDSA) to the list of known hosts.
Password: 
Linux UCK-G2-Plus 3.18.44-ui-qcom #1 SMP Thu Jan 4 22:10:12 CST 2024 aarch64

Firmware version: v3.2.10
                .--.__
  ______ __ .--(    ) )-.   __ __                    __
 |      |  (._____.__.___)_|  |  |__ _____ __ __   _|  |_
 |   ---|  ||  _  |  |  |  _  |    <|  -__|  |  | |_    _|
 |______|__||_____|_____|_____|__|__|_____|___  |   |__|
        (c) 2023 Ubiquiti Inc.            |_____|

      Welcome to the CloudKey Plus!

********************************* NOTICE **********************************
* By logging in to, accessing, or using any Ubiquiti product, you are     *
* signifying that you have read our Terms of Service (ToS) and End User   *
* License Agreement (EULA), understand their terms, and agree to be       *
* fully bound to them. The use of CLI (Command Line Interface) can        *
* potentially harm Ubiquiti devices and result in lost access to them and *
* their data. By proceeding, you acknowledge that the use of CLI to       *
* modify device(s) outside of their normal operational scope, or in any   *
* manner inconsistent with the ToS or EULA, will permanently and          *
* irrevocably void any applicable warranty.                               *
***************************************************************************
Last login: Sat Jan 27 11:59:06 2024 from 10.10.1.1
root@UCK-G2-Plus:~# exit
logout
Connection to fe80::xxxx:xxxx:fed3:943d%eth3 closed.

Wertes Forum,

nachdem mir hier im Forum bei meiner ipv6 Umstellung geholfen wurde und es nun seit einigen Monaten ohne nennenswerte Probleme läuft, kommt doch ein Problem(chen) hoch, das ich nicht lösen kann. Ich will das Network UI mittels ipv6 Adresse öffnen. Habe es so versucht: https://[ipadresse-des-CK]:8443 . Die Seite des Browsers bleibt weiß. wenn ich die url auf http ändere, bekomme ich die Meldung mit dem TLS, d.h. hier läuft der Web-Server, aber es wird kein Content "geliefert" oder habe ich einen Denkfehler? Habe es mit der 2003er und der fe80 versucht.

Habe schon am Mac ipv4 ausgeschaltet... LAN und WLAN versucht... Gleiches Subnet, unterschiedliche Subnets... Bin einigermaßen ratlos...

Cheers!

Arne

Hallo Zusammen,

erstmal vielen Dank für die Links die ich bekommen habe um das Thema zu verstehen und das Problem zu lösen!

Der Adamaizing Link hat mir den entscheidenden Tipp gegeben. Mittels show configuration commands und einem grep auf pppoe (| grep pppoe) konnte ich den korrekten Befehl für meinem Umgebung re-engineeren. Zum Ziel führte letztendlich

configure
set interfaces ethernet eth2 vif 7 pppoe 2 dhcpv6-pd prefix-only
commit;save;exit

Die Last ist von 75% auf 20% abgefallen, die Fehler-Meldungen sind Geschichte. Die Konfiguration der LANs ging dann ganz einfach mit den Standard-Einstellungen, allerdings habe ich bei der PrefixID nichts eingetragen.

Nun geht es am die Persistieren der Konfiguration...

Aber eine Frage noch: Wenn ich mittels ip -6 neighbour | grep -v fe80::  die IPs ausgeben lasse, bekommt ich viele Adressen mit dem Status "STALE". Ist das normal?

Hier - für die es interessiert - meine pppoe Konfiguration:

set interfaces ethernet eth2 vif 7 pppoe 2 default-route none
set interfaces ethernet eth2 vif 7 pppoe 2 dhcpv6-pd no-dns
set interfaces ethernet eth2 vif 7 pppoe 2 dhcpv6-pd pd 0 interface eth0
set interfaces ethernet eth2 vif 7 pppoe 2 dhcpv6-pd pd 0 interface eth1
set interfaces ethernet eth2 vif 7 pppoe 2 dhcpv6-pd pd 0 prefix-length 56
set interfaces ethernet eth2 vif 7 pppoe 2 dhcpv6-pd prefix-only
set interfaces ethernet eth2 vif 7 pppoe 2 dhcpv6-pd rapid-commit enable
set interfaces ethernet eth2 vif 7 pppoe 2 firewall in ipv6-name WANv6_IN
set interfaces ethernet eth2 vif 7 pppoe 2 firewall in name WAN_IN
set interfaces ethernet eth2 vif 7 pppoe 2 firewall local ipv6-name WANv6_LOCAL
set interfaces ethernet eth2 vif 7 pppoe 2 firewall local name WAN_LOCAL
set interfaces ethernet eth2 vif 7 pppoe 2 firewall out ipv6-name WANv6_OUT
set interfaces ethernet eth2 vif 7 pppoe 2 firewall out name WAN_OUT
set interfaces ethernet eth2 vif 7 pppoe 2 ipv6 address autoconf
set interfaces ethernet eth2 vif 7 pppoe 2 ipv6 dup-addr-detect-transmits 1
set interfaces ethernet eth2 vif 7 pppoe 2 ipv6 enable
set interfaces ethernet eth2 vif 7 pppoe 2 mtu 1492
set interfaces ethernet eth2 vif 7 pppoe 2 name-server none
set interfaces ethernet eth2 vif 7 pppoe 2 password xxx
set interfaces ethernet eth2 vif 7 pppoe 2 user-id [email='[email protected]'][/email]
set port-forward wan-interface pppoe2
set protocols static interface-route 0.0.0.0/0 next-hop-interface pppoe2 distance 1
set protocols static interface-route6 '::/0' next-hop-interface pppoe2 distance 1
set service dns forwarding except-interface pppoe2
set service nat rule 6001 outbound-interface pppoe2
set service nat rule 6002 outbound-interface pppoe2
set service nat rule 6003 outbound-interface pppoe2
set system offload ipv4 pppoe disable
set vpn ipsec ipsec-interfaces interface pppoe2

Den IPV6 Test im Browser habe ich eben mit 2 Test-Sites probiert. Es wird mir jeweils "ipv6 not supported" angezeigt. Aber das sollte auch i.O. sein, da im Browser (LAN) kein IPV6 konfiguriert ist. Ich hatte aber mit der Konfiguration und der vorherigen LAN Konfiguration die volle Punktzahl erreicht, sprich die beiden Adressen stimmten überein. Hier ein Screenshot, den ich noch hatte:

BTW: Mein VPN lief über die ipv6 Verbindung auch...

Habe hier im Forum das hier gefunden. Kann aber mit JSON nicht viel anfangen. Im UI Forum gibt es einige Beiträge, aber auch keine Lösung, die ich verstehe, geschweige denn umsetzen könnte.

Danke für die Links, gierig!

Moin Daimonion,

danke für den Artikel , den werde ich heute Abend mal durcharbeiten und hoffe, ich verstehe ihn auch!

Die LAN Seite lasse ich auf ipv4 und die läuft auch prima.

Die IPV6 Konfiguration in der GUI werde ich später machen. Die ging eigentlich sauber über die GUI und alle Geräte haben / hatten schon eine v6 Adresse erhalten... Wäre da nicht die Last auf dem Gateway, die von der WAN Konfiguration kommt...

BTW, mein ISP ist die Telekom und die nutzen nur DualStack.

Falls jemand eine Idee für diese Zeile hätte, oder mir erklären könnte, was sie genau mach, wäre das super. Damit wäre ich schon einen Schritt weiter!

set interfaces ethernet eth2 vif 7 pppoe 2 dhcpv6-pd prefix-only

Bezogen auf:

eth2 - u/u WAN
eth2.7 - u/u WAN

pppoe2 87.xxx.xxx.xxx u/u
200:xx:xx:xx:xx:xx:xx:c226/64

Habe eben zum 17 mal das Netzwerk zerschossen und komme mit der Konfiguration des WAN nicht zurecht...

Ich habe die Konfiguration so abgeändert, aber die Last bleibt bestehen und die Internet Verbindung bricht ab:

set interfaces ethernet eth2 vif 7 pppoe 2 dhcpv6-pd prefix-only

Ich bin leider kein Netzwerker und finde keine Dokumentation, bzw. Erklärung, wie das WAN korrekt konfiguriert werden muss...

Da ich den Ausgangszustand nur mit einem Restore des Netzwerks machen konnte, wäre es super zu wissen, wie das WAN mit einem Command wiederhergestellt werden kann. Bin gerade echt am Limit...

Wertes Forum,

ich habe mich eben gerade hier angemeldet, weil ich gesehen habe, dass es hier eine sehr aktive und kompetente Community gibt, die mir hoffentlich helfen kann!

Habe seit einigen Tagen ein Problem mit meiner Konfiguration vom IPV6 und dem USG 4 Pro Gateway. Ich habe alles schon zum Fliegen gebracht, habe mir aber alles wieder zerschossen, nachdem ich versucht habe, einen Fehler zu fixen... Deshalb habe ich nochmal vom Null gestartet und habe - nachdem ich am WAN das ipv6 aktiviert habe - ein Last-Problem (ca. 70% Grundlast von dhcpv6-pd-respo) auf dem Gateway. Zu dem Thema findet man einiges im Internet, allerdings bin ich kein Netzwerker und kann den Fix nicht auf mein Netzwerk übertragen...

Außerdem bekomme ich sekündlich im dhcpv6 log folgende Meldung:

tail -f /var/log/dhcp6c.log
Aug/27/2023 11:16:19: update_ia: status code for NA-0: no addresses
Aug/27/2023 11:16:19: update_ia: status code for NA-0: no addresses

Der Fix den ich gefunden habe, sieht einige CLI Befehle vor, die ich nicht übersetzen kann und an denen ich scheitere, weil ich nicht weiß, was sie bewirken:

configure
set interfaces ethernet eth0 dhcpv6-pd prefix-only
set interfaces ethernet eth0 pppoe 0 dhcpv6-pd prefix-only
commit;save;exit

Was brauche ich: Erstmal die CLI Commands die das Last Problem fixen. Später, wenn alles läuft, möchte ich einen persistenten Fix... Damit habe ich allerdings noch keine Erfahrungen...

Im Anhang findet Ihr meine Netzwerk Topologie! (Draytek Modem 167)

Alle Komponenten sind auf dem neuesten produktiven Release Stand. (Keine Beta oder so im Einsatz)

Hier noch meine Interface Belegung:

show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface    IP Address                        S/L  Description
---------    ----------                        ---  -----------
eth0         192.168.2.2/24                    u/u  LAN
eth1         192.168.3.1/24                    u/u  LAN2
eth2         -                                 u/u  WAN
eth2.7       -                                 u/u  WAN
eth3         10.10.1.1/16                      u/u  LAN3
lo           127.0.0.1/8                       u/u
             ::1/128
pppoe2       87.xxx.xxx.xxx                     u/u
             200:xx:xx:xx:xx:xx:xx:c226/64