6in4 Tunnel zum Server - kein Ping in eine Richtung
Hallo Zusammen,
ich versuche mittels VServer und OPN-Sense einen 6in4-Tunnel aufzubauen. Ziel ist es, einen statischen IPv6-Präfix für das eigene LAN zu nutzen.
Das ganze mittels Tunnelbroker läuft zur Zeit.
Ich habe in OPN-Sense ein GIF-Tunnel hinzugefügt.
Ein Ping von der OPN-Sense(Tunnel-IP) zum Server klappt.
Aber vom Server bekomme ich keinen Ping bzw keinen Reply zum Server.
Ein Packet Capture auf dem Tunneldevice zeigt, dass der Serverping auch bis zur OPN-Sense durchkommt:
Eine Route habe ich auch angelegt:
Das 2a01:XXXX:XXXX:8106::/64 - Netz ist ein Extra-Netz. Der Server hat ein anderes für die eigene Verbindung
Und hier noch das Device vom Server:
In der Firewall habe ich für OPT6 und WAN auch ICMP erlaubt. ICh weiß nicht was ich noch machen könnte? Jemand eine Idee?
ich versuche mittels VServer und OPN-Sense einen 6in4-Tunnel aufzubauen. Ziel ist es, einen statischen IPv6-Präfix für das eigene LAN zu nutzen.
Das ganze mittels Tunnelbroker läuft zur Zeit.
Ich habe in OPN-Sense ein GIF-Tunnel hinzugefügt.
Ein Ping von der OPN-Sense(Tunnel-IP) zum Server klappt.
Aber vom Server bekomme ich keinen Ping bzw keinen Reply zum Server.
Ein Packet Capture auf dem Tunneldevice zeigt, dass der Serverping auch bis zur OPN-Sense durchkommt:
OPT6
gif1 16:10:20.731503 IP6 2a01:XXXX:XXXX:8106::1 > 2a01:XXXX:XXXX:8106::2: ICMP6, echo request, seq 13, length 64
OPT6
gif1 16:10:20.731587 IP6 2a01:XXXX:XXXX:8106::2 > 2a01:XXXX:XXXX:8106::1: ICMP6, echo reply, seq 13, length 64
OPT6
gif1 16:10:21.755311 IP6 2a01:XXXX:XXXX:8106::1 > 2a01:XXXX:XXXX:8106::2: ICMP6, echo request, seq 14, length 64
OPT6
gif1 16:10:21.755394 IP6 2a01:XXXX:XXXX:8106::2 > 2a01:XXXX:XXXX:8106::1: ICMP6, echo reply, seq 14, length 64
Eine Route habe ich auch angelegt:
2a01:XXXX:XXXX:8106::/64 OPT6_TUNNELV6 - 2a01:XXXX:XXXX:8106::1
Das 2a01:XXXX:XXXX:8106::/64 - Netz ist ein Extra-Netz. Der Server hat ein anderes für die eigene Verbindung
Und hier noch das Device vom Server:
5: tun-6in4@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1480 qdisc noqueue state UNKNOWN group default qlen 1000
link/sit 157.XX.XXX.33 peer 91.XX.XXX.247
inet6 2a01:XXXX:XXXX:8106::1/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::9d5a:f721/64 scope link
valid_lft forever preferred_lft forever
In der Firewall habe ich für OPT6 und WAN auch ICMP erlaubt. ICh weiß nicht was ich noch machen könnte? Jemand eine Idee?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1634578013
Url: https://administrator.de/contentid/1634578013
Ausgedruckt am: 25.11.2024 um 04:11 Uhr
11 Kommentare
Neuester Kommentar
Aber vom Server bekomme ich keinen Ping bzw keinen Reply zum Server.
Möglich das das hier die Ursache ist:Wie Portforwarding über 2 miteinander verbundenen pfSense realisieren
Du musst sicherstellen das die ICMP Echo Replies auch wieder in den Tunnel zum vServer zurückgehen und nicht lokal ins v6 Internet gehen.
Zitat von @aqui:
Für dich selber kannst du ja ein /64er Netz lokal intern weiter zerteilen. Sofern du nur mit statischer Adressierung arbeitest und auf SLAAC verzichten kannst.
Jepp, mache ich bei einem Netcup-vServer mit einem 64er Netz auch so, habe das bspw. auf 72er Prefixe aufgeteilt, nur daran denken das man für das jetzige 64er auch die Prefix-Maske hochsetzt.Für dich selber kannst du ja ein /64er Netz lokal intern weiter zerteilen. Sofern du nur mit statischer Adressierung arbeitest und auf SLAAC verzichten kannst.
Zitat von @darkness08:
@aqui
Nutze ich dann DHCPv6 um den Geräten eine Adresse zuzuteilen?
@149569
Wie hast du das mit der dynamischen IPv4 gelöst. Hast du da "zufällig" ein Script
@aqui
Sofern du nur mit statischer Adressierung arbeitest und auf SLAAC verzichten kannst.
Nutze ich dann DHCPv6 um den Geräten eine Adresse zuzuteilen?
@149569
Wie hast du das mit der dynamischen IPv4 gelöst. Hast du da "zufällig" ein Script
Ich habe nen ganz normales IKEv2 IPSec
via Strongswan zum vServer laufen da spielt die IP die ich hier habe keine Rolle.
Zitat von @darkness08:
Ich hatte anfangs überlegt, so was per Wireguard zu machen. Und dann baust du über den Tunnel nutzt du dann 6in4 oder wie machst du das?
Dafür braucht man keinen zusätzlichen Tunnel, die IPv6 VPN Verbindung erhält seinerseits sowohl ein IPv4 als auch ein IPv6 Netz über das man ganz normal routet.Ich hatte anfangs überlegt, so was per Wireguard zu machen. Und dann baust du über den Tunnel nutzt du dann 6in4 oder wie machst du das?
Du Nutzt doch auch den vServer um IPv6 ins lokale Netz zu bekommen?
Nein IPv6 liegt hier zu Hause direkt an, den vServer nutze ich zusätzlich wenn bspw. keine IPv6 vorhanden ist (in vielen Hotspots noch immer die Regel)Brauchst du nur mal ins Backend einer pFSense oder anderen Routern wie bspw. OpenWrt schauen, die nutzen das fast alle als IPSec Basis.
Das IPsec Schweizer Armeemesser...
VPN auf Dedicated Server
OpenWrt Client hinter FritzBox für IPsec IKEv2 aufbau in Hauptzentrale (Site-to-Site)
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Ubtuntu 20.10 mit UdmPro L2tp VPN Server verbinden
Hilfe bei Strongswan VPN (ikev1)
usw. usw.
Das Forum ist voll davon... Sollte man als (richtiger) Netzwerk Admin aber schon kennen ?!
VPN auf Dedicated Server
OpenWrt Client hinter FritzBox für IPsec IKEv2 aufbau in Hauptzentrale (Site-to-Site)
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Ubtuntu 20.10 mit UdmPro L2tp VPN Server verbinden
Hilfe bei Strongswan VPN (ikev1)
usw. usw.
Das Forum ist voll davon... Sollte man als (richtiger) Netzwerk Admin aber schon kennen ?!