IPv6 Tunnel im Cisco 886
Hallo,
ich will nun IPv6 auch in meinem internen Netz nutzen und habe daher einen Tunnel bei Hurricane Electrics erstellt.
Ist auch schon eingerichtet.
Der Provider bietet kein IPv6 und plant das auch nicht.
Problem ist dass keine Pings ankommen.
Jetzt zur Frage: Was ist da Faul?
Irgendwas an der Firewall (Ich will keinen Traffic filtern) oder fehlt noch etwas an der Konfig?
Ich will erstmal nur dem Router die IPv6 geben, die Ausbreitung per Router Advertisement soll später folgen.
LG Marco
ich will nun IPv6 auch in meinem internen Netz nutzen und habe daher einen Tunnel bei Hurricane Electrics erstellt.
Ist auch schon eingerichtet.
Der Provider bietet kein IPv6 und plant das auch nicht.
Problem ist dass keine Pings ankommen.
cisco886va#ping heise.de r 1
Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 2A02:2E0:3FE:1001:302::, timeout is 2 seconds:
.
Success rate is 0 percent (0/1)
cisco886va#
Irgendwas an der Firewall (Ich will keinen Traffic filtern) oder fehlt noch etwas an der Konfig?
Ich will erstmal nur dem Router die IPv6 geben, die Ausbreitung per Router Advertisement soll später folgen.
LG Marco
cisco886va#wr
Building configuration...
[OK]
cisco886va#sh run
Building configuration...
Current configuration : 10813 bytes
!
! Last configuration change at 17:34:50 CEST Mon May 6 2019 by admin
! NVRAM config last updated at 17:35:45 CEST Mon May 6 2019 by admin
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname cisco886va
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
enable secret 5 $1$Px3i$0SqTG9NAREgyq6yhlnr3x0
!
aaa new-model
!
!
aaa authentication login local_auth local
aaa authentication login clientauth local
aaa authorization network groupauth local
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
!
!
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 10.0.0.190 10.0.0.254
ip dhcp excluded-address 10.0.0.1 10.0.0.105
!
ip dhcp pool lokales-netz
network 10.0.0.0 255.255.255.0
bootfile pxelinux.0
next-server 10.0.0.115
default-router 10.0.0.254
option 42 ip 130.149.17.8
option 67 ascii pxelinux.0
dns-server 176.103.130.130
!
!
ip host fritz.box 10.0.0.20
ip host gateway 10.0.0.254
ip host go-setting.com 79.125.105.113
ip host chip.de 79.125.105.113
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw ssh
ip inspect name myfw isakmp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw telnet
ip inspect name myfw dns
ip inspect name myfw icmp router-traffic
ip inspect name myfw udp router-traffic
ip inspect name myfw tcp router-traffic
ip ddns update method myupdate
HTTP
add http://x:y@dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a>
interval maximum 0 0 0 30
interval minimum 0 0 0 30
!
ip cef
ipv6 unicast-routing
ipv6 cef
!
!
multilink bundle-name authenticated
!
!
license udi pid C886VA-K9 sn FCZ1831C17A
!
!
!
no spanning-tree vlan 1
Usernamen entfernt
!
!
controller VDSL 0
firmware filename flash:VA_B_38V_d24m.bin
!
!
interface Loopback0
no ip address
!
interface Tunnel0
description Hurricane Electric IPv6 Tunnel Broker
no ip address
ipv6 address 2001:470:6E:8::2/64
ipv6 enable
tunnel source 185.38.41.239
tunnel mode ipv6ip
tunnel destination 216.66.86.122
!
interface ATM0
description DSL-Port-Config
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
description DSL-Port-Config
pvc 1/32
pppoe-client dial-pool-number 1
!
!
interface BRI0
description isdn-Port
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface Ethernet0
description Virtual-Ethernet-interface-for-VDSL
no ip address
shutdown
!
interface FastEthernet0
description LAN-zu-Fritzbox
no ip address
!
interface FastEthernet1
description LAN-zu-Dachboden
no ip address
!
interface FastEthernet2
description LAN-zu-XYZ
no ip address
!
interface FastEthernet3
description Dachboden2
no ip address
!
interface Vlan1
description internal_LAN
ip address 10.0.0.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Dialer0
description DSL-Dialup
ip ddns update hostname example.com
ip ddns update myupdate
ip address negotiated
ip access-group 111 in
no ip redirects
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no ipv6 redirects
no ipv6 unreachables
no keepalive
ppp authentication pap callin
ppp pap sent-username 10000000 password 456454564564
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
Portweiterleitungen entfernt
!
dialer-list 1 protocol ip permit
ipv6 route ::/0 Tunnel0
!
access-list 23 permit 10.0.0.0 0.0.0.255
access-list 101 permit ip 10.0.0.0 0.0.0.255 any
access-list 101 deny ip host 10.0.0.100 any
access-list 111 permit tcp any any eq telnet
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq domain any
Firewall-Freigaben entfernt
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit tcp any eq domain any
access-list 111 permit icmp any any unreachable
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any timestamp-reply
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any
!
!
!
control-plane
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
!
banner motd ^CStalin^C
!
line con 0
no modem enable
line aux 0
no activation-character
no exec
transport preferred none
transport input all
line vty 0 4
login authentication local_auth
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp server 130.149.17.8 minpoll 9 source Dialer0
ntp server 129.6.15.28
ntp server 130.149.17.21 minpoll 10 source Dialer0
onep
!
end
cisco886va#
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 448156
Url: https://administrator.de/forum/ipv6-tunnel-im-cisco-886-448156.html
Ausgedruckt am: 21.12.2024 um 16:12 Uhr
16 Kommentare
Neuester Kommentar
Problem ist dass keine Pings ankommen.
Das IOS Kommando heisst auch ping ipv6 xyz ! Cisco886#ping ipv6 www.heise.de
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2A02:2E0:3FE:1001:7777:772E:2:85, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/13/16 ms
Cisco886#
Dein Problem ist, dass du auf dem Dialer-Interface die Access-Group 111 eingehend anwendest und diese das Protokoll 41 nicht herein lässt.
Du müsstest IP-Protokoll 41 (IP6IP) von der Tunnel-Gegenstelle von HE (216.66.86.122) eingehend erlauben, sonst schmeißt du schlicht den eingehenden IPv6-Traffic weg.
Bei der Gelegenheit solltest du dich fragen, ob du eine Begründung liefern kannst, warum weltweit per Telnet auf deinen Cisco zugegriffen werden darf
Du müsstest IP-Protokoll 41 (IP6IP) von der Tunnel-Gegenstelle von HE (216.66.86.122) eingehend erlauben, sonst schmeißt du schlicht den eingehenden IPv6-Traffic weg.
Bei der Gelegenheit solltest du dich fragen, ob du eine Begründung liefern kannst, warum weltweit per Telnet auf deinen Cisco zugegriffen werden darf
"ipinip" ist nicht Protokoll 41. sondern das wäre Protokoll 94.
Du kannst da aber normalerweise auch die Protokollnummer 41 direkt eingeben, wenn ich mich nicht irre
Ansonsten heißt das bei Cisco entweder ip6ip oder nur ipv6. Falls es beides dort nicht als "Named Protocol" gibt, musst du tatsächlich einfach 41 verwenden.
Du kannst da aber normalerweise auch die Protokollnummer 41 direkt eingeben, wenn ich mich nicht irre
Ansonsten heißt das bei Cisco entweder ip6ip oder nur ipv6. Falls es beides dort nicht als "Named Protocol" gibt, musst du tatsächlich einfach 41 verwenden.
Möglich das ich was übersehen habe aber die DNS Resolver fehlen in der Konfig für IPv6 ?!
!
dns-server 2003:180:2:3000::53
dns-server 2003:180:2:4000::53
!
Die obigen darfst du allerdings nicht nehmen das sind die der Deutschen Telekom !!
Wenn Dr. Google nicht lügt ist das 2001:470:20::2.
Ping mal eine direkte IPv6 Adresse. Damit umgehst du erstmal mögliche v6 DNS Probleme. Z.B. die von Heise: 2A02:2E0:3FE:1001:7777:772E:2:85
Ist dein Tunnel Interface eigentlich auf "up" ? Was sagt ein show int tunnel 0 ??
Ansonsten findest du hier noch ein paar Tips:
http://www.revolutionwifi.net/revolutionwifi/2013/08/setup-ipv6-tunnel- ...
Achte bei dir auch auf die dort angegebenen MTU Werte wenn du PPPoE hast, da das dann quais 2 Tunnel sind.
YouTube hat auch was:
https://www.youtube.com/watch?v=j7HiEwZ7EC8
!
dns-server 2003:180:2:3000::53
dns-server 2003:180:2:4000::53
!
Die obigen darfst du allerdings nicht nehmen das sind die der Deutschen Telekom !!
Wenn Dr. Google nicht lügt ist das 2001:470:20::2.
Ping mal eine direkte IPv6 Adresse. Damit umgehst du erstmal mögliche v6 DNS Probleme. Z.B. die von Heise: 2A02:2E0:3FE:1001:7777:772E:2:85
Ist dein Tunnel Interface eigentlich auf "up" ? Was sagt ein show int tunnel 0 ??
Ansonsten findest du hier noch ein paar Tips:
http://www.revolutionwifi.net/revolutionwifi/2013/08/setup-ipv6-tunnel- ...
Achte bei dir auch auf die dort angegebenen MTU Werte wenn du PPPoE hast, da das dann quais 2 Tunnel sind.
YouTube hat auch was:
https://www.youtube.com/watch?v=j7HiEwZ7EC8
Was ist bei MTU einzutragen?
Siehe bitte in das oben gepostete Beispiel !Der Tunnel läuft.
OK, dann rennt alles ?? Case closed ?Bei VDSL mit 1492 Bytes würde ich die MTU des Tunnels also auf 1476 Bytes konfigurieren - im Cisco und bei HE.
Die MSS hat er ja mit ip tcp adjust-mss 1452 schon entsprechend klein. Die Tunnel MTU müsste auch passen wenn du dir das show Kommando des Tunnel Interfaces oben ansiehst: Tunnel transport MTU 1472 bytesDas kannst du erstmal so lassen zum Testen. Nacher mal mit größeren Pings checken was noch durchgeht und dann ggf. MTU Finetuning machen...
Für alle IPv6 Interessierten HIER geht es weiter !!