Kein IPv6 mit UDM Pro

    Hallo zusammen,

    ich habe einen AON Glasfaseranschluss bei der Stadtwerke Unna.

    Wenn ich an meinem ONT die Provider Fritzbox anschließe funktioniert die IPv6 ohne Probleme.

    Die Einstellungen in der Fritzbox:

    Native IPv4-Anbindung verwenden

    DHCPv6 Rapid Commit verwenden

    Die automatische IPv6 Präfixlänge ist /60

    ipv6-test,com meldet dann:

    IPv6: Supported

    Type: Native IPv6

    SLAAC: No

    ICMP: Filtered

    Wenn ich das ONT an den WAN Port der UDM Pro anschließe (oder alternativ direkt ein SFP Modul nutz und wie folgt eine Verbindung aufbaue:

    VLAN ID: 7

    IPv4 Connection: DHCPv4

    IPv6 Connection: DHCPv6

    Prefix Delegation Size: 60

    In meinem Default Netzwerk habe ich folgende Einstellungen:

    IPv6 Interface Type: Prefix Delegation

    RA: Enabled

    RA Prio: High

    DHCPv6 Range:Start: ::2

    DHCPv6 Range:Stop: ::7d1

    DHCPv6/RDNSS DNS Control: Auto

    Die IPv4 Verbindung funktioniert ohne Probleme.

    ipv6-test,com meldet:

    IPv6: Not supported

    Kann mir jemand auf die Sprünge helfen?

    Ich habe es auch schon mit anderen Prefix längen ausprobiert. Teilweise erhalte ich kurz nach dem Reconnect kurzfirist eine IPv6. Ein ein paar Sekunden/Minuten ist diese dann aber wieder verschwunden.

    Danke und Grüße

    Crazy

    Als erstes wäre die Frage: Was bekommt die UDM vom Provider? Hat sie eine IP? Hat sie ein Prefix? Wenn das sichergestellt ist, dann kannst du dich an die Verteilung im Heimnetz machen. Im Moment zäumst du das Pferd von hinten auf.

    frank_m

    Ich erhalte eine IPv4 im 100er Bereich (CGNAT wenn ich das richtig zuordne).

    Die public IPv4 ist eine 185er und von außen nicht erreichbar (ich habe aber eine dynamische, öffentliche IPv4 dazubestellt die bald eigerichtet werden sollte).

    Zur IPv6 finde ich nichts in der Oberfläche. Per SSH sehe ich eine /128 IPv6. Dazu kann ich mehr posten wenn ich später zuhause bin.

    Falls du da aber ein paar Infos hast wie ich an relevante Daten kommen kann wäre ich dankbar dafür.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Nee, so gut kenne ich die UDMs nicht. Aber ich hätte erwartet, dass es Log Informationen über den Verbindungsaufbau zum Provider gibt, oder man ggf. sogar einen Paketmitschnitt auf dem WAN Interface machen kann, z.B. für Wireshark. Ich meine, mal irgendwo gelesen zu haben, dass das über SSH geht.

    Zitat von CrazyFiber

    Per SSH sehe ich eine /128 IPv6.

    Da wäre wichtig, was das für eine ist und wo die herkommt.

    Unter ifconfig sehe ich unter eth9.7 (Sollte der SFP Port, VLAN 7 sein):

    Code
    eth9.7    Link encap:Ethernet  HWaddr E0:63:DA:xx:xx:xx
          inet addr:100.64.xx.xxx  Bcast:0.0.0.0  Mask:255.255.240.0
          inet6 addr: fe80::e263:daff:fe5a:f032/64 Scope:Link
          inet6 addr: 2a04:xxxx:xxx:1000::1:xxxx/128 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:18558697 errors:0 dropped:95329 overruns:0 frame:0
          TX packets:12963376 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:29563026231 (27.5 GiB)  TX bytes:3814474800 (3.5 GiB)

    Die IPv6 die dort steht ist zwar von außerhalb nicht pingbar (obwohl in der Firewall freigebeben) aber wenn ich einen TCPdump auf eth9 laufen lasse kann ich die ankommenden ICMP6 echo requests sehen. Sie kommen also an.

    Von der SSH Console kann ich aber z.B. keine IPv6 Adresse pingen/tracen. Ein nslookup funktionert aber:

    Zitat von CrazyFiber

    Die IPv6 die dort steht ist zwar von außerhalb nicht pingbar (obwohl in der Firewall freigebeben) aber wenn ich einen TCPdump auf eth9 laufen lasse kann ich die ankommenden ICMP6 echo requests sehen.

    Sie kommen auch auf dem richtigen VLAN an?

    Zitat von CrazyFiber

    Ein nslookup funktionert aber:

    Ein nslookup über IPv4 liefert auch IPv6 Adressen zurück.

    Was ist mit einem Prefix fürs interne Netz? Kannst du das irgendwo sehen? Oder aus dem Paketmitschnitt beim Verbindungsaufbau ermitteln? Welche Routen sind im System aktiv, vor allem für IPv6?

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    frank_m

    Ich denke dein Ansatz erstmal zu schauen ob die UDMP selber mit IPv6 klar kommt war der richtige.

    Ich kann mittlerweile folgendes reproduzieren:

    Wenn ich die UDMP reboote oder die Internetverbindung neuaufbaue funktionert IPv6 auf der UDM Pro:

    Ich kann von der UDMP per IPv6 rauspingen, die UDMP ist von außen auch pingbar.

    Die Clients haben dann auf ipv6-test,com evenfalls eine IPv6 mit 20/20 Punkten.

    Nach einiger Zeit (10-30 Sekunden ca.) fällt IPv6 dann aus. Pings (per SSH direkt von der UDMP) gehen nicht mehr raus und kommen auch nicht mehr rein (sind aber wir oben erwähnt im TCP dump noch zu sehen).

    Per "ip addr" und "ifconfig" kann ich keine relevante Änderung feststellen.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Und die Routen sowie Firewallregeln enthalten auch all die Dinge, die man für einen reibungslosen IPv6 Betrieb braucht?

    Irgendwo müssen die Pakete ja hängen bleiben. Die kannst sie im tcpdump ja sehen. Die Frage ist: Kommt die Anfrage nicht rein oder die Antwort nicht raus? Wenn die Routen passen, dann sind es vermutlich die Firewall Regeln. Neben iptables gibt es ja noch andere Implementierungen (ufw, nftables). Vielleicht macht die UDM auch was eigenes, so wie AVM es macht.

    Bei meinem Mikrotik Router muss ich unter IPv6 / DHCP Client bei "Prefix Hint" ::/56 eingeben sonnst verliert er die IPv6 Adresse auch nach kurzer Zeit ( Deutsche Glasfaser ), vielleicht Fehler irgendwo in der Richtung?

    Ah, das ist ja mal 'ne interessante Information. Wir haben des Öfteren Probleme mit IPv6 bei „nicht Mainstream Routern“ (→ keine Fritz!Box). Aber ich glaube, es hat selten jemand die angefragte Prefixlänge überprüft. Der Hinweis kann noch für viele Fälle wertvoll sein.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Mein Mikrotik Router holt sich sein /56 Prefix ohne Prefix Hint (bzw. mit der Voreinstellung ::/0) und verliert die Adressen trotzdem nicht.

    Bin bei dem Thema leider noch nicht weiter gekommen.

    Bin beim Unifi Support aber mittlereile beim "Tier2" Team angekommen. Mal schauen ob die eine Idee haben.

    Mit den neusten EA Versionen ist der Verhalten leider auch immernoch gleich.

    In den Supportlogs konnte ich mittlerweile auch sehen, dass das zuweisen der /60 IPv6 funktioniert.

    Zitat von CrazyFiber

    Bin beim Unifi Support aber mittlereile beim "Tier2" Team angekommen.

    Ich halte es für zielführender, sich der Sache selber anzunehmen. Ansatzpunkte gibt es ja wahrhaftig genug.

    Zitat von CrazyFiber

    In den Supportlogs konnte ich mittlerweile auch sehen, dass das zuweisen der /60 IPv6 funktioniert.

    Und wo landet die dann? Werden aus dem Prefix den Clients Adressen zugewiesen? Was ist mit den Fragen, die ich weiter oben schon gestellt habe?

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    frank_m

    Aktuell verteilt die UDMP ein /64er Subnetz pro VLAN (lässt sich aktuell auch nicht ändern, passt aber mit meinem /60er Präfix).

    Dle Clients erhalten eine IP aus dem Präfix. Die kann auch nach außen telefonieren solange die UDMP nach außen pingen kann und von außen pingbar ist.

    Zu deinen anderen Fragen kann ich leider nichts produktives beitragen da meine Linux Kenntnisse auch nur begrenzt sind.

    Alle "Schutzmechnismen" die man über die UI abschalten kann habe ich testweise abgeschaltet. Das Verhalten bleibt aber gleich.

    Zitat von CrazyFiber

    Zu deinen anderen Fragen kann ich leider nichts produktives beitragen da meine Linux Kenntnisse auch nur begrenzt sind.

    Es müssen ja vielleicht nicht Linux Kenntnisse sein, aber UDM Kenntnisse wäre schon vorteilhaft.

    Es wird doch Möglichkeiten geben, nicht nur den Traffic von außen zu beobachten, sondern auch den auf den internen Interfaces. Auf dem WAN siehst du IPv6 ankommen. Was passiert im LAN? Du sagst, Adressen werden verteilt. Wenn du Pings absetzt, von innen und von außen, wo fließen die lang? Wo bleiben sie hängen? Das müsste sich doch herausfinden lassen. Das alles dann systematisch mit Routen und Filterregeln abgleichen, dann sollte sich das Problem eingrenzen lassen. Vielleicht macht es auch Sinn, anfänglich auf VLANs im LAN zu verzichten, denn das erhöht die Komplexität natürlich gewaltig und erlaubt so einige Fallstricke, die zuverlässig auch die Internetverbindungen aus den VLANs unterbinden.

    frank_m

    Leider ist die UDMP UI was IPv6 angeht recht spartanisch... man kann noch nicht einmal irgendwo IPv6 IP's sehen.

    Wenn ich wüsste wie ich z.B. die Ping requests über SSH verfolgen könnte hätte ich es gemacht.

    Wenn da einer Input oder eine gute Quelle nennt gerne her damit.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von CrazyFiber

    Wenn ich wüsste wie ich z.B. die Ping requests über SSH verfolgen könnte hätte ich es gemacht.

    Es ist doch möglich, die Pings auf dem externen WAN Interface mit tcpdump aufzuspüren. So gibt es doch bestimmt auch ein internes LAN Interface, auf dem man suchen kann. Im falle von internen VLANs vermutlich sogar mehrere.

    Pings können ja von innen auf einen Server im Internet abgesetzt werden, oder von außen auf deine UDM oder ein Gerät dahinter. In beiden Fällen ist die Frage: Kommt der Request nicht an, oder die Antwort? Das kann man dann durch mehrere tcpdumps nachverfolgen: Welches Paket sieht man noch auf welcher Schnittstelle? Bei einem Ping von innen ins Internet ist es z.B. denkbar, dass der Request die UDM verlässt und die Antwort auf dem WAN Interface auch noch sichtbar ist, aber nicht mehr ins LAN kommt. Dann weiß man, wo man weitersuchen muss.

    Dein Setup mit mehreren internen VLANs macht es da natürlich sehr schwierig, alles korrekt im Auge zu behalten. Wenn ich raten darf: darin liegt das Problem begraben. Man muss schon sehr genau wissen, wie man Routing und Firewall aufsetzen muss, um das für alle Fälle sauber hinzubekommen.

    Ich zitiere mal die Antwort des Supports:

    Interessant, dass die Fritzbox kein Problem damit hat.

    Habe das mal an meinen ISP geschickt, mal schauen ob die damit etwas anfangen können.