windows10gegner
Goto Top

Cisco IOS neue Firmware IPv6-SIT-Tunnel gestört (dauerhafte TLS-Handshakes mit IPv6-Seiten)

Hallo,
ich betreibe einen Cisco C886va, aktuell mit der FW c800-universalk9-mz.SPA.154-1.T1.bin
Hier funktioniert der Tunnel korrekt.
Sobald ich eine neuere FW boote (c800-universalk9-mz.SPA.156-3.M7.bin c800-universalk9-mz.SPA.157-3.M5.bin c800-universalk9-mz.SPA.158-3.M4.bin)
funktioniert der IPv6-Tunnel nicht mehr richtig. Auf den meisten IPv6-Seiten finden dann dauerhafte TL-Handshakes statt, die dann in einem Timeout enden.
Ich hatte so ein ähnliches Problem schonmal, da lag es an einer falsch Konfigurierten MTU.
Die vom Dialer0-Int hat eine von 1492, der Tunnel hat 1472.
Ich ändere an der Konfiguration nichts, sobald ich mit dem neuen Image boote treten die Fehler auf. Boote ich wieder mit der alten FW ist alles ok.

interface Tunnel0
 description Hurricane Electric IPv6 Tunnel Broker
 no ip address
 ipv6 address 2001:470:xxxx/64
 ipv6 enable
 ipv6 mtu 1472
 ipv6 tcp adjust-mss 1412
 ipv6 traffic-filter ipv6acl in
 ipv6 traffic-filter ipv6acl out
 tunnel source Dialer0
 tunnel mode ipv6ip
 tunnel destination 216.66.80.30
!
interface Vlan1
 description internal_LAN
 ip address 10.0.0.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 ipv6 address 2001:470:xxxx/64
 ipv6 enable
 ipv6 mtu 1472
 ipv6 nd other-config-flag
 ipv6 tcp adjust-mss 1412
 ipv6 dhcp server DHCPv6
!
interface Dialer0
 description DSL-Dialup
 mtu 1492
 ip ddns update hurricane
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip proxy-arp
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no ipv6 redirects
 no ipv6 unreachables
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username xyz password 7 xxx
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
ipv6 access-list ipv6acl
 permit ipv6 any any
!

Ich bin da mit meinem Latein am Ende, ich vermute ein Syntaxproblem in meiner Konfiguration.

LG Win10Gegner

Content-ID: 598827

Url: https://administrator.de/forum/cisco-ios-neue-firmware-ipv6-sit-tunnel-gestoert-dauerhafte-tls-handshakes-mit-ipv6-seiten-598827.html

Ausgedruckt am: 21.12.2024 um 16:12 Uhr

LordGurke
LordGurke 23.08.2020 um 16:33:35 Uhr
Goto Top
Bei Cisco gilt was Firmwares angeht eine eiserne Regel:
Nur updaten wenn damit Bugs oder Sicherheitslücken behoben werden, die einen auch wirklich betreffen.
Wenn dann ein Firmware-Update unumgänglich ist, muss man allerdings so lange Versionen ausprobieren, bis man eine gefunden hat, die die Bugs/Sicherheitslücken behebt und gleichzeitig keine neuen Bugs in den verwendeten Funktionen mitbringt.
Das ist die weithin bekannte legendäre Firmware-Qualitätskontrolle bei Cisco.
Mein bisher pikierendstes Erlebnis war eine Firmware-Version, bei der Cisco die Routing-Engine komplett außer Funktion setzte. Das Dingen hat nichts mehr geroutet, dafür aber rebootet, wenn man die Routingtabelle ansehen wollte.

Was ich damit sagen will;
Wenn du keinen guten Grund für ein Firmware-Update hast, dann lass es lieber bleiben. Ist tragisch, aber das ist das reguläre Nutzungserlebnis mit Cisco IOS.