darkness08
Goto Top

6in4 Tunnel zum Server - kein Ping in eine Richtung

Hallo Zusammen,

ich versuche mittels VServer und OPN-Sense einen 6in4-Tunnel aufzubauen. Ziel ist es, einen statischen IPv6-Präfix für das eigene LAN zu nutzen.
Das ganze mittels Tunnelbroker läuft zur Zeit.

Ich habe in OPN-Sense ein GIF-Tunnel hinzugefügt.
Ein Ping von der OPN-Sense(Tunnel-IP) zum Server klappt.

Aber vom Server bekomme ich keinen Ping bzw keinen Reply zum Server.

Ein Packet Capture auf dem Tunneldevice zeigt, dass der Serverping auch bis zur OPN-Sense durchkommt:

OPT6
gif1	16:10:20.731503 IP6 2a01:XXXX:XXXX:8106::1 > 2a01:XXXX:XXXX:8106::2: ICMP6, echo request, seq 13, length 64
OPT6
gif1	16:10:20.731587 IP6 2a01:XXXX:XXXX:8106::2 > 2a01:XXXX:XXXX:8106::1: ICMP6, echo reply, seq 13, length 64
OPT6
gif1	16:10:21.755311 IP6 2a01:XXXX:XXXX:8106::1 > 2a01:XXXX:XXXX:8106::2: ICMP6, echo request, seq 14, length 64
OPT6
gif1	16:10:21.755394 IP6 2a01:XXXX:XXXX:8106::2 > 2a01:XXXX:XXXX:8106::1: ICMP6, echo reply, seq 14, length 64

Eine Route habe ich auch angelegt:

2a01:XXXX:XXXX:8106::/64	OPT6_TUNNELV6 - 2a01:XXXX:XXXX:8106::1


Das 2a01:XXXX:XXXX:8106::/64 - Netz ist ein Extra-Netz. Der Server hat ein anderes für die eigene Verbindung

Und hier noch das Device vom Server:
5: tun-6in4@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1480 qdisc noqueue state UNKNOWN group default qlen 1000
    link/sit 157.XX.XXX.33 peer 91.XX.XXX.247
    inet6 2a01:XXXX:XXXX:8106::1/64 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::9d5a:f721/64 scope link 
       valid_lft forever preferred_lft forever



In der Firewall habe ich für OPT6 und WAN auch ICMP erlaubt. ICh weiß nicht was ich noch machen könnte? Jemand eine Idee?

Content-ID: 1634578013

Url: https://administrator.de/contentid/1634578013

Ausgedruckt am: 05.11.2024 um 02:11 Uhr

aqui
aqui 19.12.2021 um 10:30:30 Uhr
Goto Top
Aber vom Server bekomme ich keinen Ping bzw keinen Reply zum Server.
Möglich das das hier die Ursache ist:
Wie Portforwarding über 2 miteinander verbundenen pfSense realisieren
Du musst sicherstellen das die ICMP Echo Replies auch wieder in den Tunnel zum vServer zurückgehen und nicht lokal ins v6 Internet gehen.
darkness08
Lösung darkness08 29.12.2021 um 14:55:24 Uhr
Goto Top
Kleine Rückmeldung. Mittlerweile läuft alles. Ich habe bei Hetzner einen VServer und kann diesen als "Tunnelserver" nutzen. Nachteil ist, dass ich nur /64-Netze bekomme. Somit wäre für jedeses VLAN ein eigenes Netz zu beantragen (und zu bezahlen).

Alternative wäre ein root-server. Hier kann ich ein 58 Netz zusätzlich bekommen.

Der Ping ist leider auch etwas höher:
--- google.de ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 20.520/20.838/21.109/0.238 ms

Über den Tunnelbroker liegt diese so bei 15ms.


Offen ist auch noch der Punkt dynamische IP. Bisher baue ich den Tunnel manuell auf. Sobald sich meine IP ändert muss der Tunnel neu aufgebaut werden.

Kosten / Monat liegen so bei rund 10 Euro
Ein Business-Anschluss würde mich Rund 20 Euro im Monat mehr kosten.

Bleibt also die Überlegung was besser ist (was nur ich für mich beantworten kann face-smile )

Zumindest funktioniert es jetzt erst mal.
aqui
aqui 29.12.2021 um 15:13:08 Uhr
Goto Top
Für dich selber kannst du ja ein /64er Netz lokal intern weiter zerteilen. Sofern du nur mit statischer Adressierung arbeitest und auf SLAAC verzichten kannst.
149569
149569 29.12.2021 um 15:23:20 Uhr
Goto Top
Zitat von @aqui:

Für dich selber kannst du ja ein /64er Netz lokal intern weiter zerteilen. Sofern du nur mit statischer Adressierung arbeitest und auf SLAAC verzichten kannst.
Jepp, mache ich bei einem Netcup-vServer mit einem 64er Netz auch so, habe das bspw. auf 72er Prefixe aufgeteilt, nur daran denken das man für das jetzige 64er auch die Prefix-Maske hochsetzt.
darkness08
darkness08 29.12.2021 um 20:23:12 Uhr
Goto Top
@aqui
Sofern du nur mit statischer Adressierung arbeitest und auf SLAAC verzichten kannst.

Nutze ich dann DHCPv6 um den Geräten eine Adresse zuzuteilen?


@149569

Wie hast du das mit der dynamischen IPv4 gelöst. Hast du da "zufällig" ein Script face-smile
149569
149569 29.12.2021 aktualisiert um 22:38:40 Uhr
Goto Top
Zitat von @darkness08:

@aqui
Sofern du nur mit statischer Adressierung arbeitest und auf SLAAC verzichten kannst.

Nutze ich dann DHCPv6 um den Geräten eine Adresse zuzuteilen?


@149569

Wie hast du das mit der dynamischen IPv4 gelöst. Hast du da "zufällig" ein Script face-smile

Ich habe nen ganz normales IKEv2 IPSec
via Strongswan zum vServer laufen da spielt die IP die ich hier habe keine Rolle.
darkness08
darkness08 30.12.2021 um 11:58:28 Uhr
Goto Top
Ich hatte anfangs überlegt, so was per Wireguard zu machen. Und dann baust du über den Tunnel nutzt du dann 6in4 oder wie machst du das?

Du Nutzt doch auch den vServer um IPv6 ins lokale Netz zu bekommen?
aqui
aqui 30.12.2021 aktualisiert um 12:04:26 Uhr
Goto Top
Mit Strongswan ist das doch eine einfache Fingerübung das mit Bordmitteln umzusetzen. Warum willst du solche Klimmzüge machen ?
darkness08
darkness08 30.12.2021 um 12:09:41 Uhr
Goto Top
ich kannte Strongswan bis eben gar nicht ;)
149569
149569 30.12.2021 aktualisiert um 16:32:06 Uhr
Goto Top
Zitat von @darkness08:

Ich hatte anfangs überlegt, so was per Wireguard zu machen. Und dann baust du über den Tunnel nutzt du dann 6in4 oder wie machst du das?
Dafür braucht man keinen zusätzlichen Tunnel, die IPv6 VPN Verbindung erhält seinerseits sowohl ein IPv4 als auch ein IPv6 Netz über das man ganz normal routet.
Du Nutzt doch auch den vServer um IPv6 ins lokale Netz zu bekommen?
Nein IPv6 liegt hier zu Hause direkt an, den vServer nutze ich zusätzlich wenn bspw. keine IPv6 vorhanden ist (in vielen Hotspots noch immer die Regel)

Zitat von @darkness08:
ich kannte Strongswan bis eben gar nicht ;)
Brauchst du nur mal ins Backend einer pFSense oder anderen Routern wie bspw. OpenWrt schauen, die nutzen das fast alle als IPSec Basis.
aqui
aqui 30.12.2021 aktualisiert um 19:00:26 Uhr
Goto Top