1
Cisco IOS neue Firmware IPv6-SIT-Tunnel gestört (dauerhafte TLS-Handshakes mit IPv6-Seiten)
Hallo,
ich betreibe einen Cisco C886va, aktuell mit der FW c800-universalk9-mz.SPA.154-1.T1.bin
Hier funktioniert der Tunnel korrekt.
Sobald ich eine neuere FW boote (c800-universalk9-mz.SPA.156-3.M7.bin c800-universalk9-mz.SPA.157-3.M5.bin c800-universalk9-mz.SPA.158-3.M4.bin)
funktioniert der IPv6-Tunnel nicht mehr richtig. Auf den meisten IPv6-Seiten finden dann dauerhafte TL-Handshakes statt, die dann in einem Timeout enden.
Ich hatte so ein ähnliches Problem schonmal, da lag es an einer falsch Konfigurierten MTU.
Die vom Dialer0-Int hat eine von 1492, der Tunnel hat 1472.
Ich ändere an der Konfiguration nichts, sobald ich mit dem neuen Image boote treten die Fehler auf. Boote ich wieder mit der alten FW ist alles ok.
Ich bin da mit meinem Latein am Ende, ich vermute ein Syntaxproblem in meiner Konfiguration.
LG Win10Gegner
ich betreibe einen Cisco C886va, aktuell mit der FW c800-universalk9-mz.SPA.154-1.T1.bin
Hier funktioniert der Tunnel korrekt.
Sobald ich eine neuere FW boote (c800-universalk9-mz.SPA.156-3.M7.bin c800-universalk9-mz.SPA.157-3.M5.bin c800-universalk9-mz.SPA.158-3.M4.bin)
funktioniert der IPv6-Tunnel nicht mehr richtig. Auf den meisten IPv6-Seiten finden dann dauerhafte TL-Handshakes statt, die dann in einem Timeout enden.
Ich hatte so ein ähnliches Problem schonmal, da lag es an einer falsch Konfigurierten MTU.
Die vom Dialer0-Int hat eine von 1492, der Tunnel hat 1472.
Ich ändere an der Konfiguration nichts, sobald ich mit dem neuen Image boote treten die Fehler auf. Boote ich wieder mit der alten FW ist alles ok.
interface Tunnel0
description Hurricane Electric IPv6 Tunnel Broker
no ip address
ipv6 address 2001:470:xxxx/64
ipv6 enable
ipv6 mtu 1472
ipv6 tcp adjust-mss 1412
ipv6 traffic-filter ipv6acl in
ipv6 traffic-filter ipv6acl out
tunnel source Dialer0
tunnel mode ipv6ip
tunnel destination 216.66.80.30!
interface Vlan1
description internal_LAN
ip address 10.0.0.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
ipv6 address 2001:470:xxxx/64
ipv6 enable
ipv6 mtu 1472
ipv6 nd other-config-flag
ipv6 tcp adjust-mss 1412
ipv6 dhcp server DHCPv6
!interface Dialer0
description DSL-Dialup
mtu 1492
ip ddns update hurricane
ip address negotiated
ip access-group 111 in
no ip redirects
no ip proxy-arp
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no ipv6 redirects
no ipv6 unreachables
no keepalive
ppp authentication pap callin
ppp pap sent-username xyz password 7 xxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enableipv6 access-list ipv6acl
permit ipv6 any any
!Ich bin da mit meinem Latein am Ende, ich vermute ein Syntaxproblem in meiner Konfiguration.
LG Win10Gegner
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 598827
Url: https://administrator.de/contentid/598827
Ausgedruckt am: 21.11.2024 um 13:11 Uhr
1 Kommentar
Bei Cisco gilt was Firmwares angeht eine eiserne Regel:
Nur updaten wenn damit Bugs oder Sicherheitslücken behoben werden, die einen auch wirklich betreffen.
Wenn dann ein Firmware-Update unumgänglich ist, muss man allerdings so lange Versionen ausprobieren, bis man eine gefunden hat, die die Bugs/Sicherheitslücken behebt und gleichzeitig keine neuen Bugs in den verwendeten Funktionen mitbringt.
Das ist die weithin bekannte legendäre Firmware-Qualitätskontrolle bei Cisco.
Mein bisher pikierendstes Erlebnis war eine Firmware-Version, bei der Cisco die Routing-Engine komplett außer Funktion setzte. Das Dingen hat nichts mehr geroutet, dafür aber rebootet, wenn man die Routingtabelle ansehen wollte.
Was ich damit sagen will;
Wenn du keinen guten Grund für ein Firmware-Update hast, dann lass es lieber bleiben. Ist tragisch, aber das ist das reguläre Nutzungserlebnis mit Cisco IOS.
Nur updaten wenn damit Bugs oder Sicherheitslücken behoben werden, die einen auch wirklich betreffen.
Wenn dann ein Firmware-Update unumgänglich ist, muss man allerdings so lange Versionen ausprobieren, bis man eine gefunden hat, die die Bugs/Sicherheitslücken behebt und gleichzeitig keine neuen Bugs in den verwendeten Funktionen mitbringt.
Das ist die weithin bekannte legendäre Firmware-Qualitätskontrolle bei Cisco.
Mein bisher pikierendstes Erlebnis war eine Firmware-Version, bei der Cisco die Routing-Engine komplett außer Funktion setzte. Das Dingen hat nichts mehr geroutet, dafür aber rebootet, wenn man die Routingtabelle ansehen wollte.
Was ich damit sagen will;
Wenn du keinen guten Grund für ein Firmware-Update hast, dann lass es lieber bleiben. Ist tragisch, aber das ist das reguläre Nutzungserlebnis mit Cisco IOS.
