Unitymedia Keine Verbindung mit ipv6 ohne Masquerading

[SnecxXx]

Hallo

Ich habe vor kurzem auf Business Max 1000 umgestellt. Dabei habe ich ja dann die Fritz 6591 dabei bekommen. Hinter der Fritz hängt dann eine Sophos UTM. In der Fritz habe ich dann den Bridge Modus aktiviert und in der Sophos mir dann die ipv4 und ipv6 zuweisen lassen.
Das klappt ohne Probleme. Bekommen habe ich

Native over External (WAN): 2a02:908:400:c:5d13:1643:5bf5:8d8a
Subnet: NONE
Delegated Prefix: 2a02:908:4c0:cc9c::/62

Jetzt habe ich auf das LAN Interface 2a02:908:4c0:cc9c::1/64 gebunden. Dann habe ich einen Prefix Advertisements mit Stateless integrated server auf die LAN Schnitstelle eingerichtet.
Wenn ich jetzt das Masquerading mit ipv6 aktiviere, können die Clients mit ipv6 raus alles funktioniert. test-ipv6 zeigt mir dann durch das
Masquerading aber die IPv6 der Sophos. Schalte ich jetzt das ipv6 Masquerading ab indem ich nur noch das ipv4 maskiere, sollte die UTM ja nur noch als Router laufen.

Jetzt bekomme ich auf den Clients aber gar keine Verbindung mehr nach draussen. test-ipv6`zeigt mir auch keine ipv6 Connectivität. Das pingen von den Clients geht auf die Sophos ipv6 2a02:908:4c0:cc9c::1 und auch auf die Sophos WAN ip 2a02:908:400:c:5d13:1643:5bf5:8d8a
Pinge ich jetzt aber z.b. den Google DNS bekomme ich keine Antwort. Das Routing scheint alsonicht zu funktionieren.

Ich habe geschaut ob in der Firewall irgendwas blockiert ist. Zur Sicherheit habe ich noch eine any Regel in beide Richtungen gesetzt die alles erlaubt.

Die Clients bekommen auch die richtige ipv6 aus dem Prefix 2a02:908:4c0:cc9c. Übersehe ich noch etwas? An sich sollten doch die Clients direkt rauskommen und sich auch aus dem Internet anpingen lassen.
Aber es geht eben nicht ohne Masquerading.

Übersehe ich hier noch etwas?

 

[addicted]

Hm, aus welchem Bundesland kommst Du?

Die Sophos hängt sicher am Bridge-Port und bekommt IP/Subnet von UMVF, nicht von der Fritzbox? Vergleich mal, welche Netze die Fritzbox kennt, die sollten sich unterscheiden.

Ich frage das, weil die Fritzbox früher für von ihr selbst delegierte Präfixe keine Firewall-Freigabe hatte, man konnte die also faktisch nicht benutzen.
Ob das aber aktuell noch so wäre, weiß ich leider gar nicht. Aber Nachgucken geht ja schnell.

 

[SnecxXx]

Hallo

Danke für die Antwort. Ich komme aus NRW. Das werde ich mal überprüfen.

 

[SnecxXx]

Hallo

Das stimmt auf jeden Fall. In der Fritzbox habe ich den Prefix 2a02:908:4c3:21c0::/59. Zum testen habe ich diesen mal eben schnell in die Sophos eingegeben. Aber auch diesemal geht es nur, wenn ich das Masquerading einschalte.
Habt Ihr da noch eine Idee?
Was mir aufgefallen ist. Das Interface auf der Sophos steh ja auf dynamisch beziehen. So bekommt ja die Sophos dann die eigene ipv6 und auch den Prefix zugeordnet. Das was mich wundert, als Gateway steht dort die ip fe80::201:5cff:fe71:c846
als Gateway in das ipv6 Internet.
Als Gateway für ipv4 bekommt die Firewall dynmisch 176.199.108.1. Also wird alles was sonst nicht bekannt ist im ipv4 Bereich nach 176.199.108.1 geroutet.
Wenn ich das auf ipv6 übertrage, dann wird alles was unbekannt ist im ipv6 Bereich nach fe80::201:5cff:fe71:c846 geroutet.
Aber im ipv6 Bereich ist so eine Adresse doch eine link local. Diese IP kann gar nicht im Internet liegen.
Versteh ich das falsch? oder hat die Sophos eine falsche ipv6 gateway Addresse?

 

[addicted]

Link-Local kann der NextHop bei UMVF sein. Es bezieht sich auf den Layer2-Link, also die Ethernet-Verbindung. Die geht ja eben genau durch das Modem durch im Bridge-Mode.
Du kannst mal die MAC-Adresse (LAN-seitig) der Fritzbox mit der v6-Adresse des Default-Gateway auf der Sophos vergleichen. Sollte sich signifikant unterscheiden.

Kannst Du die Sophos bitte mal so einstellen, dass sie auch versucht, ein /59 zu erhalten. Mal schauen, ob das einen Unterschied macht.

 

[SnecxXx]

Ich wüßte nicht wie ich die Sophos bringen kann ein /59 anzufordern. Dafür gibt eine keine Option.
Wenn ich mir ansehe welche MAC hinter der Link local steht, wirst Du Recht haben. Das scheint der link local für den Router zu sein. ETH0 ist meine WAN Schnittstelle.

# ip -6 neigh show | grep eth0
fe80::201:5cff:fe71:c846 dev eth0 lladdr 00:01:5c:71:c8:46 router REACHABLE
fe80::de7b:94ff:fe4d:f30 dev eth0 FAILED
2a02:908:400:c::1 dev eth0 lladdr 00:01:5c:71:c8:46 router STALE

Als Router ist auch die IP fe80::201:5cff:fe71:c846 auf demn Interface eth0. Der ping geht auch durch.

ping6 -c 1 fe80::201:5cff:fe71:c846%eth0
PING fe80::201:5cff:fe71:c846(fe80::201:5cff:fe71:c846) from fe80::20c:29ff:fe1c:4ffb eth0: 56 data bytes
64 bytes from fe80::201:5cff:fe71:c846: icmp_seq=1 ttl=64 time=9.47 ms

--- fe80::201:5cff:fe71:c846 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 9.473/9.473/9.473/0.000 ms

Wenn ich auf der Firewall in dem CLI bin und goolge anpinge, dann geht es.

ping6 -c 1 2a00:1450:4001:824::2003
PING 2a00:1450:4001:824::2003(2a00:1450:4001:824::2003) 56 data bytes
64 bytes from 2a00:1450:4001:824::2003: icmp_seq=1 ttl=56 time=15.2 ms

Wenn ich jetzt mich auf einen Client einlogge habe ich diese Config.

# ifconfig
ens160: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.25 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 fe80::20c:29ff:fe57:d585 prefixlen 64 scopeid 0x20<link>
inet6 2a02:908:4c3:21c5:20c:29ff:fe57:d585 prefixlen 64 scopeid 0x0<global>
inet6 2a02:908:4c0:cc9c:20c:29ff:fe57:d585 prefixlen 64 scopeid 0x0<global>

Das lokale gateway ist fe80::20c:29ff:fe1c:4f05

ip -6 route show dev ens160
2a02:908:4c0:cc9c::/64 proto kernel metric 256 expires 2591816sec pref medium
2a02:908:4c3:21c5::/64 proto kernel metric 256 expires 2513902sec pref medium
fe80::/64 proto kernel metric 256 pref medium
default via fe80::20c:29ff:fe1c:4f05 proto ra metric 1024 expires 1616sec hoplimit 64 pref high

Das entspricht auch der LAN Schnistelle eth2 auf der Sophos.

eth2 Link encap:Ethernet HWaddr 00:0C:29:1C:4F:05
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe1c:4f05/64 Scope:Link
inet6 addr: 2a02:908:4c0:cc9c::1/64 Scope:Global

Das es von der Sophos selbst funktioniert und von den Clients nicht mehr, nehme ich jetzt an dass irgendwas bei der Sophos noch nicht stimmt, weil die anscheined nicht weiss wo hin mit den Paketen oder
UM routet das delegierte Netz nicht.

Ich wüsste jetzt nicht mehr oder gibt es da noch was, was ich testen kann?

 

[addicted]

inet6 2a02:908:4c3:21c5:20c:29ff:fe57:d585 prefixlen 64 scopeid 0x0<global>
inet6 2a02:908:4c0:cc9c:20c:29ff:fe57:d585 prefixlen 64 scopeid 0x0<global>

Warum hat Dein Client zwei IPs, eine von der Fritzbox und eine von der Sophos? Ich würde an Deiner Stelle nicht hin und her wechseln während Du testest.

Du kannst ja mal auf dem WAN der Sophos gucken, ob dort die Pakete vom Client überhaupt rausgesendet werden (`tcpdump -nvvi eth0 ip6`).
Zeig auch ruhig mal die komplette Routingtabelle der Sophos und check mal `ip6tables -nvL`.

Das es von der Sophos selbst funktioniert und von den Clients nicht mehr, nehme ich jetzt an dass irgendwas bei der Sophos noch nicht stimmt, weil die anscheined nicht weiss wo hin mit den Paketen

Das kann einen Haufen Gründe haben. Beispielsweise schon, wenn die Sophos einfach kein IP-Forwarding macht, obwohl alles andere stimmt. Check mal `cat /proc/sys/net/ipv6/conf/{default,eth0,eth2,all}/forwarding`.

 

[ttimpe]

Moment mal, IPv6 als Businesskunde? Tatsächlich statisch oder wieder nur mit dynamischen Adressen?

 

[addicted]

Statische Adressen sind optional und kosten Aufpreis. Hatte er nichts von geschrieben, wenn ich mich recht erinnere?

 

[SnecxXx]

Ich konnte bzw. kann wählen entweder dyn, DUAL STACK oder feste IPv4. Ich wollte gerne DUAL STACK haben. Da ich keinen Mail oder Webserver betreibe, ist das egal.

Das das ipv6 forwarding ausgeschaltet ist, war auch mein erster Verdacht. Aber in allen Nodes steht eine 1 bei forwarding.

Die Pakete scheinen anzukommen. Wenn ich den dump startet und die ip filtere, sehe ich zumindest die Pakete.
einmal ICMPv6 auf dem Client

ping6 www.google.de
PING www.google.de(2001:4860:4802:34::75 (2001:4860:4802:34::75)) 56 data bytes
der dump von der Sophos

tcpdump -nvvi eth0 ip6 | grep 2001:4860:4802:34::75
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
13:33:01.483471 IP6 (flowlabel 0x0a08a, hlim 63, next-header ICMPv6 (58) payload length: 64) 2a02:908:4c3:21c5:20c:29ff:fe57:d585 > 2001:4860:4802:34::75: [icmp6 sum ok] ICMP6, echo request, seq 28
13:33:02.507294 IP6 (flowlabel 0x0a08a, hlim 63, next-header ICMPv6 (58) payload length: 64) 2a02:908:4c3:21c5:20c:29ff:fe57:d585 > 2001:4860:4802:34::75: [icmp6 sum ok] ICMP6, echo request, seq 29

einmal ein http request:
wget -6 http://www.google.de
--2020-03-09 13:39:40-- http://www.google.de/
Resolving www.google.de (www.google.de)... 2a00:1450:4001:825::2003
Connecting to www.google.de (www.google.de)|2a00:1450:4001:825::2003|:80...
dump von der Sophos

tcpdump -nvvi eth0 ip6 | grep 2a00:1450:4001:825::2003
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
13:39:23.923468 IP6 (flowlabel 0x5edf1, hlim 63, next-header TCP (6) payload length: 40) 2a02:908:4c3:21c5:20c:29ff:fe57:d585.46584 > 2a00:1450:4001:825::2003.80: Flags [S], cksum 0xbdc6 (correct), seq 1575159521, win 28800, options [mss 1440,sackOK,TS val 992396197 ecr 0,nop,wscale 7], length 0
13:39:24.939135 IP6 (flowlabel 0x76af0, hlim 63, next-header TCP (6) payload length: 40) 2a02:908:4c3:21c5:20c:29ff:fe57:d585.46584 > 2a00:1450:4001:825::2003.80: Flags [S], cksum 0xbcc8 (correct), seq 1575159521, win 28800, options [mss 1440,sackOK,TS val 992396451 ecr 0,nop,wscale 7], length 0
13:39:26.954981 IP6 (flowlabel 0x4d3ec, hlim 63, next-header TCP (6) payload length: 40) 2a02:908:4c3:21c5:20c:29ff:fe57:d585.46584 > 2a00:1450:4001:825::2003.80: Flags [S], cksum 0xbad0 (correct), seq 1575159521, win 28800, options [mss 1440,sackOK,TS val 992396955 ecr 0,nop,wscale 7], length 0
13:39:31.114994 IP6 (flowlabel 0xe941f, hlim 63, next-header TCP (6) payload length: 40) 2a02:908:4c3:21c5:20c:29ff:fe57:d585.46584 > 2a00:1450:4001:

Routingtabelle der Sophos im ipv6

ip -6 route show
2a02:908:400:c:5d13:1643:5bf5:8d8f dev eth0 proto kernel metric 256
2a02:908:4c0:cc9c::/64 dev eth2 proto kernel metric 256
fd32:5a88:8e98:2::/64 dev tun0 proto kernel metric 256
fe80::/64 dev redw0 proto kernel metric 256
fe80::/64 dev redw0.102 proto kernel metric 256
fe80::/64 dev redw0.100 proto kernel metric 256
fe80::/64 dev redw0.101 proto kernel metric 256
fe80::/64 dev eth0 proto kernel metric 256
fe80::/64 dev eth1 proto kernel metric 256
fe80::/64 dev eth3 proto kernel metric 256
fe80::/64 dev wlan1 proto kernel metric 256
fe80::/64 dev wlan0 proto kernel metric 256
fe80::/64 dev eth4 proto kernel metric 256
fe80::/64 dev eth2 proto kernel metric 256
default via fe80::201:5cff:fe71:c846 dev eth0 proto ra metric 1024 expires 1797sec

Iptables der Sophos

ip6tables -nvL
Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 199 1464K ACCEPT all lo * ::/0 ::/0 353K 332M ACCEPT all * * ::/0 !ff00::/8 CONFIRMED match 1 149 CONFIRMED all * * ::/0 ::/0 ctstate RELATED
3938K 284M ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 135 code 0
15501 1070K ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 136 code 0 218K 17M LOCKOUT all * * ::/0 ::/0 218K 17M PSD_MATCH all * * ::/0 ::/0 218K 17M SANITY_CHECKS all * * ::/0 ::/0 218K 17M AUTO_INPUT all * * ::/0 ::/0 2354 191K USR_INPUT all * * ::/0 ::/0 2354 191K LOGDROP all * * ::/0 ::/0 LOGMARK match 60001
Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
5234K 7040M ACCEPT all * * ::/0 !ff00::/8 CONFIRMED match 0 0 RELATED_FWD all * * ::/0 ::/0 ctstate RELATED
25748 2538K PSD_MATCH all * * ::/0 ::/0
25748 2538K SANITY_CHECKS all * * ::/0 ::/0
25748 2538K AUTO_FORWARD all * * ::/0 ::/0
25711 2535K USR_FORWARD all * * ::/0 ::/0 2733 305K LOGDROP all * * ::/0 ::/0 LOGMARK match 60002
Chain OUTPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 LOGDROP tcp * lo !::1/128 ::/0 tcp spts:1024:65535 dpt:4444 LOGMARK match 60005 0 0 LOGDROP tcp * lo !::1/128 ::/0 tcp spts:1:65535 dpt:8888 LOGMARK match 60005 0 0 ACCEPT all * lo ::/0 ::/0 627 171K ACCEPT all * * ::/0 !ff00::/8 CONFIRMED match 314 28400 HA_OUT all * * ::/0 ::/0 0 0 CONFIRMED all * * ::/0 ::/0 ctstate RELATED 97 6984 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 135 code 0 109 7248 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 136 code 0 0 0 CONFIRMED tcp * * ::/0 ::/0 tcp spts:1:65535 dpt:443 owner UID match 815 owner GID match 815 108 14168 SANITY_CHECKS all * * ::/0 ::/0 108 14168 AUTO_OUTPUT all * * ::/0 ::/0 0 0 USR_OUTPUT all * * ::/0 ::/0 0 0 LOGDROP all * * ::/0 ::/0 LOGMARK match 60003
Chain AUTO_FORWARD (1 references) pkts bytes target prot opt in out source destination 0 0 CONFIRMED all tun0 * fd32:5a88:8e98:2::1000/128 2a02:908:4c0:cc9c::/64 0 0 CONFIRMED all * * fd32:5a88:8e98:2::1000/128 ::/0 policy match dir in pol ipsec mode tunnel 0 0 CONFIRMED all * * ::/0 fd32:5a88:8e98:2::1000/128 policy match dir out pol ipsec mode tunnel 0 0 CONFIRMED udp * * ::/0 ::/0 udp spts:1024:65535 multiport dports 33000:34000,44444:55555 0 0 CONFIRMED icmpv6 * * ::/0 ::/0 ipv6-icmptype 1 0 0 CONFIRMED icmpv6 * * ::/0 ::/0 ipv6-icmptype 2 code 0 0 0 CONFIRMED icmpv6 * * ::/0 ::/0 ipv6-icmptype 3 0 0 CONFIRMED icmpv6 * * ::/0 ::/0 ipv6-icmptype 4 0 0 CONFIRMED icmpv6 * * ::/0 ::/0 ipv6-icmptype 128 code 0 0 0 CONFIRMED icmpv6 * * ::/0 ::/0 ipv6-icmptype 129 code 0 0 0 CONFIRMED tcp * * fd32:5a88:8e98:2::/64 2001:ab7::1/128 tcp spts:1:65535 dpt:5060 0 0 CONFIRMED udp * * fd32:5a88:8e98:2::/64 2001:ab7::1/128 udp spts:1:65535 dpt:5060
Chain AUTO_INPUT (1 references) pkts bytes target prot opt in out source destination 0 0 CONFIRMED udp eth2 * ::/0 ::/0 udp spts:1024:65535 multiport dports 415,8472 0 0 CONFIRMED tcp eth2 * ::/0 ::/0 tcp spts:1024:65535 dpt:2712 0 0 CONFIRMED tcp * * ::/0 ::/0 match-set nQw7MINu+1urB2yKOOyIDg src tcp spts:1:65535 dpt:22 0 0 LOGDROP tcp * * ::/0 ::/0 tcp spts:1:65535 dpt:22 LOGMARK match 60004 0 0 CONFIRMED tcp * * ::/0 ::/0 tcp spts:1024:65535 dpt:4444 0 0 LOGDROP tcp * * ::/0 ::/0 tcp spts:1024:65535 dpt:4444 LOGMARK match 60005 0 0 CONFIRMED tcp * * ::/0 ::/0 tcp spts:1:65535 dpt:8888 0 0 CONFIRMED udp eth0 * ::/0 ::/0 udp spt:547 dpt:546 135 20716 CONFIRMED udp * * ::/0 ::/0 multidev in-interfaces wlan1,eth4,eth2,eth3,wlan0,eth2 udp spts:546:547 dpt:547 3 216 CONFIRMED tcp * * 2a02:908:4c0:cc9c::/64 ::/0 tcp spts:53:65535 dpt:53 407 36543 CONFIRMED udp * * 2a02:908:4c0:cc9c::/64 ::/0 udp spts:53:65535 dpt:53 0 0 CONFIRMED udp * * ::/0 ::/0 udp spts:1024:65535 multiport dports 33000:34000,44444:55555 0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 1 0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 2 code 0 0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 4 0 0 ACCEPT icmpv6 * * fe80::/64 ::/0 ipv6-icmptype 130 code 0 0 0 ACCEPT icmpv6 * * fe80::/64 ::/0 ipv6-icmptype 131 code 0 0 0 ACCEPT icmpv6 * * fe80::/64 ::/0 ipv6-icmptype 132 code 0 0 0 ACCEPT icmpv6 * * fe80::/64 ::/0 ipv6-icmptype 143 code 0 0 0 ACCEPT icmpv6 * * ::/128 ::/0 ipv6-icmptype 143 code 0 1293 73752 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 134 code 0 1 56 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 133 code 0 0 0 CONFIRMED icmpv6 * * ::/0 ::/0 ipv6-icmptype 128 code 0 0 0 CONFIRMED icmpv6 * * ::/0 ::/0 ipv6-icmptype 129 code 0 0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 3 0 0 CONFIRMED tcp * * ::/0 ::/0 tcp spts:1:65535 dpt:4443 0 0 CONFIRMED udp * * 2a02:908:4c0:cc9c::/64 ::/0 udp spts:123:65535 dpt:123 0 0 LOGDROP tcp * * ::/0 ::/0 tcp spts:1:65535 multiport dports 25,465,587 0 0 CONFIRMED tcp * * ::/0 2a02:908:400:c:5d13:1643:5bf5:8d8f/128 tcp spts:1:65535 dpt:80 0 0 CONFIRMED tcp * * ::/0 2a02:908:400:c:5d13:1643:5bf5:8d8f/128 tcp spts:1:65535 dpt:443 0 0 CONFIRMED all * * ::/0 ::/0 mark match 0x40000/0x40000
Chain AUTO_OUTPUT (1 references) pkts bytes target prot opt in out source destination 0 0 CONFIRMED tcp * * ::/0 2a02:908:4c1:d381::60/128 tcp spts:1024:65535 dpt:3389 owner UID match 5905 0 0 CONFIRMED esp * * ::/0 ::/0 esp spis:256:4294967295 owner UID match 5905 0 0 NFLOG all * * ::/0 ::/0 owner UID match 5905 LOGMARK match 60022 nflog-prefix "HTML5VPN_DROP: " 0 0 REJECT all * * ::/0 ::/0 owner UID match 5905 reject-with icmp6-port-unreachable 0 0 CONFIRMED udp * eth2 ::/0 ::/0 udp spts:1024:65535 dpt:8472 0 0 CONFIRMED udp * eth0 ::/0 ::/0 udp spt:546 dpt:547 21 3224 CONFIRMED udp * * ::/0 ::/0 multidev out-interfaces wlan1,eth4,eth2,eth3,wlan0,eth2 udp spts:546:547 dpts:546:547 0 0 CONFIRMED tcp * * ::/0 ::/0 tcp spts:53:65535 dpt:53 24 2472 CONFIRMED udp * * ::/0 ::/0 udp spts:53:65535 dpt:53 0 0 CONFIRMED udp * * ::/0 ::/0 udp spt:53 dpts:53:65535 0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 1 0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 2 code 0 0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 4 0 0 ACCEPT icmpv6 * * fe80::/64 ::/0 ipv6-icmptype 130 code 0 0 0 ACCEPT icmpv6 * * fe80::/64 ::/0 ipv6-icmptype 131 code 0 0 0 ACCEPT icmpv6 * * fe80::/64 ::/0 ipv6-icmptype 132 code 0 0 0 ACCEPT icmpv6 * * fe80::/64 ::/0 ipv6-icmptype 143 code 0 0 0 ACCEPT icmpv6 * * ::/128 ::/0 ipv6-icmptype 143 code 0 0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 133 code 0 0 0 CONFIRMED icmpv6 * * ::/0 ::/0 ipv6-icmptype 137 code 0 14 2128 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 134 code 0 0 0 CONFIRMED icmpv6 * * ::/0 ::/0 ipv6-icmptype 3 0 0 CONFIRMED icmpv6 * * ::/0 ::/0 ipv6-icmptype 128 code 0 0 0 CONFIRMED udp * * ::/0 ::/0 udp spts:1024:65535 multiport dports 33000:34000,44444:55555 0 0 CONFIRMED tcp * * ::/0 ::/0 tcp spts:1:65535 multiport dports 25,465,587 0 0 CONFIRMED tcp * * ::/0 ::/0 tcp spts:1:65535 dpt:80
Chain GEOIP_OUT (0 references) pkts bytes target prot opt in out source destination
Chain GEOIP_REJECT (0 references) pkts bytes target prot opt in out source destination 0 0 REJECT tcp * * ::/0 ::/0 reject-with tcp-reset 0 0 REJECT all * * ::/0 ::/0 reject-with icmp6-port-unreachable
Chain HA_OUT (1 references) pkts bytes target prot opt in out source destination
Chain INVALID_PKT (0 references) pkts bytes target prot opt in out source destination 0 0 NFLOG all * * ::/0 ::/0 LOGMARK match 60007 nflog-prefix "INVALID_PKT: " 0 0 DROP all * * ::/0 ::/0
Chain LOCKOUT (1 references) pkts bytes target prot opt in out source destination
Chain LOGACCEPT (0 references) pkts bytes target prot opt in out source destination 0 0 NFLOG all * * ::/0 ::/0 nflog-prefix "ACCEPT: " 0 0 CONFIRMED all * * ::/0 ::/0
Chain LOGDROP (8 references) pkts bytes target prot opt in out source destination 152 8328 DROP all * * ::/0 ::/0 ADDRTYPE match dst-type MULTICAST 4931 488K NFLOG all * * ::/0 ::/0 nflog-prefix "DROP: " 4931 488K DROP all * * ::/0 ::/0
Chain LOGREJECT (0 references) pkts bytes target prot opt in out source destination 0 0 DROP all * * ::/0 ::/0 ADDRTYPE match dst-type MULTICAST 0 0 NFLOG all * * ::/0 ::/0 nflog-prefix "REJECT: " 0 0 REJECT all * * ::/0 ::/0 reject-with icmp6-port-unreachable
Chain PSD_ACTION (1 references) pkts bytes target prot opt in out source destination 0 0 NFLOG all * * ::/0 ::/0 limit: avg 5/sec burst 5 LOGMARK match 60017 nflog-prefix "PORTSCAN: " 0 0 DROP all * * ::/0 ::/0
Chain PSD_MATCH (2 references) pkts bytes target prot opt in out source destination 0 0 PSD_ACTION all eth0 * ::/0 ::/0 -m psd --psd-weight-threshold 21 --psd-delay-threshold 300 --psd-lo-ports-weight 3 --psd-hi-ports-weight 1
Chain RELATED_FWD (1 references) pkts bytes target prot opt in out source destination 0 0 NFLOG all * * ::/0 ::/0 helper match "sip" LOGMARK match 60018 nflog-prefix "SIP Call RTP: " 0 0 CONFIRMED all * * ::/0 ::/0
Chain SANITY_CHECKS (3 references) pkts bytes target prot opt in out source destination
Chain STRICT_TCP_DROP (0 references) pkts bytes target prot opt in out source destination 0 0 DROP all * * ::/0 ::/0
Chain STRICT_TCP_STATE (0 references) pkts bytes target prot opt in out source destination
Chain USR_FORWARD (1 references) pkts bytes target prot opt in out source destination 2 160 CONFIRMED all * * ::/0 ::/0 0 0 CONFIRMED all * * ::/0 2a02:908:4c0:cc9c::/64 0 0 CONFIRMED all * * 2a02:908:4c0:cc9c::/64 ::/0 0 0 DROP tcp * * 2a02:908:4c0:cc9c::/64 ::/0 tcp spts:1:65535 dpt:53 0 0 DROP udp * * 2a02:908:4c0:cc9c::/64 ::/0 udp spts:1:65535 dpt:53 0 0 CONFIRMED all * * 2a02:908:4c1:d381::60/128 ::/0 0 0 CONFIRMED all * * fd32:5a88:8e98:2::/64 ::/0
Chain USR_INPUT (1 references) pkts bytes target prot opt in out source destination 0 0 CONFIRMED all * * 2a02:908:4c1:d381::60/128 2a02:908:4c0:cc9c::1/128 0 0 CONFIRMED tcp * * 2a02:908:4c0:cc9c::/64 2a02:908:4c0:cc9c::1/128 tcp spts:1:65535 dpt:1111
Chain USR_OUTPUT (1 references) pkts bytes target prot opt in out source destination 0 0 CONFIRMED all * * 2a02:908:4c0:cc9c::1/128 ::/0

 

[addicted]

Ich vermute aktuell, es liegt am vermischen der Netze.

Delegated Prefix: 2a02:908:4c0:cc9c::/62

Das ist die Sophos. Aber:

tcpdump -nvvi eth0 ip6 | grep 2001:4860:4802:34::75
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
13:33:01.483471 IP6 (flowlabel 0x0a08a, hlim 63, next-header ICMPv6 (58) payload length: 64) 2a02:908:4c3:21c5:20c:29ff:fe57:d585 > 2001:4860:4802:34::75: [icmp6 sum ok] ICMP6, echo request, seq 28
13:33:02.507294 IP6 (flowlabel 0x0a08a, hlim 63, next-header ICMPv6 (58) payload length: 64) 2a02:908:4c3:21c5:20c:29ff:fe57:d585 > 2001:4860:4802:34::75: [icmp6 sum ok] ICMP6, echo request, seq 29

Die Pakete vom Client kommen mit der anderen Adresse rein, das war imho aus dem Präfix von der Fritzbox?
Das kann so nicht gehen.

Bitte versuch es nochmal auf einem Client, der nicht das 4c3-Präfix hat, sondern nur das 4c0-Präfix.
Falls es nicht sofort geht, wiederhol nochmal den tcpdump.

 

[SnecxXx]

Entschuldigung das ich jetzt erst zum testen kommen. Ich habe jetzt alle PCs und auch Router / Firewall einmal neugestartet damit alle caches gelöscht werden.
Vom Client:

ifconfig ens160
ens160: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.1.25 netmask 255.255.255.0 broadcast 192.168.1.255 inet6 fe80::20c:29ff:fe57:d585 prefixlen 64 scopeid 0x20<link> inet6 2a02:908:4c0:cc9c::25 prefixlen 64 scopeid 0x0<global> ether 00:0c:29:57:d5:85 txqueuelen 1000 (Ethernet) RX packets 4030 bytes 674751 (674.7 KB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 7882 bytes 2889877 (2.8 MB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
root@Lili:/home/xxx# ip -6 route show
2a02:908:4c0:cc9c::/64 dev ens160 proto kernel metric 256 pref medium
fe80::/64 dev ens160 proto kernel metric 256 pref medium
default via 2a02:908:4c0:cc9c::1 dev ens160 metric 1024 pref medium
root@Lili:/home/andy# ping6 www.goolge.de
PING www.goolge.de(fra15s28-in-x03.1e100.net (2a00:1450:4001:80b::2003)) 56 data bytes

Firewall Sophos
Delegated Prefix: 2a02:908:4c0:cc9c::/62

 ip -6 route show
2a02:908:400:c:5d13:1643:5bf5:8d8f dev eth0 proto kernel metric 256
2a02:908:4c0:cc9c::/64 dev eth2 proto kernel metric 256
fd32:5a88:8e98:2::/64 dev tun0 proto kernel metric 256
fe80::/64 dev redw0 proto kernel metric 256
fe80::/64 dev redw0.102 proto kernel metric 256
fe80::/64 dev redw0.100 proto kernel metric 256
fe80::/64 dev redw0.101 proto kernel metric 256
fe80::/64 dev eth2 proto kernel metric 256
fe80::/64 dev eth0 proto kernel metric 256
fe80::/64 dev eth1 proto kernel metric 256
fe80::/64 dev eth3 proto kernel metric 256
fe80::/64 dev wlan1 proto kernel metric 256
fe80::/64 dev wlan0 proto kernel metric 256
fe80::/64 dev eth4 proto kernel metric 256
default via fe80::201:5cff:fe71:c846 dev eth0 proto ra metric 1024 expires 1798sec
audrey:/home/login # tcpdump -nvvi eth0 ip6 | grep 2a00:1450:4001:80b::2003
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
10:44:23.245900 IP6 (flowlabel 0xf9aea, hlim 63, next-header ICMPv6 (58) payload length: 64) 2a02:908:4c0:cc9c::25 > 2a00:1450:4001:80b::2003: [icmp6 sum ok] ICMP6, echo request, seq 10
10:44:24.270086 IP6 (flowlabel 0xf9aea, hlim 63, next-header ICMPv6 (58) payload length: 64) 2a02:908:4c0:cc9c::25 > 2a00:1450:4001:80b::2003: [icmp6 sum ok] ICMP6, echo request, seq 11
10:44:25.293941 IP6 (flowlabel 0xf9aea, hlim 63, next-header ICMPv6 (58) payload length: 64) 2a02:908:4c0:cc9c::25 > 2a00:1450:4001:80b::2003: [icmp6 sum ok] ICMP6, echo request, seq 12

Das will und will nicht. Jetzt wird auch die richtige IPv6 durchgereicht Ein routing ist aber immer noch nicht zu sehen.
Ist das jetzt das Problem von Vodafone oder mach die Sophos Mist?

 

[addicted]

Jau, aus meiner Sicht ist auf der Sophos erstmal alles da. Es sollte grundsätzlich funktionieren.
Teste neben einem Ping auch mal einen HTTP-Request und beobachte den im tcpdump.
Bei der Firewall bin ich aber nicht komplett sicher, gebe ich zu. Das Target "CONFIRMED" verwirrt mich, und es gibt in der Chain AUTO_FORWARD einige ICMPv6-Regeln, bei denen ich die Codes nicht auswendig kenne.

Ich befürchte aber, wenn es jetzt noch nicht geht, kann ich nicht wirklich weiter helfen. Mein nächster Schritt wäre, in der FIREWALL für die FORWARD-Chain die Policy ACCEPT zu setzen und alle Regeln zu flushen. Und danach würde ich es vermutlich sicherheitshalber nochmal mit einem blanken Linux ohne GUI und Management versuchen.