windows10gegner
Goto Top

IPv6 Tunnel im Cisco 886

Hallo,
ich will nun IPv6 auch in meinem internen Netz nutzen und habe daher einen Tunnel bei Hurricane Electrics erstellt.
Ist auch schon eingerichtet.
Der Provider bietet kein IPv6 und plant das auch nicht.
Problem ist dass keine Pings ankommen.

Jetzt zur Frage: Was ist da Faul?
Irgendwas an der Firewall (Ich will keinen Traffic filtern) oder fehlt noch etwas an der Konfig?
Ich will erstmal nur dem Router die IPv6 geben, die Ausbreitung per Router Advertisement soll später folgen.
LG Marco

Content-Key: 448156

Url: https://administrator.de/contentid/448156

Printed on: March 27, 2023 at 02:03 o'clock

Member: aqui
aqui May 06, 2019 at 16:07:28 (UTC)
Goto Top
Problem ist dass keine Pings ankommen.
Das IOS Kommando heisst auch ping ipv6 xyz !
Member: Windows10Gegner
Windows10Gegner May 06, 2019 at 16:10:32 (UTC)
Goto Top
Beide Befehle funktionieren nicht.
Member: aqui
aqui May 06, 2019 updated at 16:19:17 (UTC)
Goto Top
Was sagt:
  • sh ipv6 interface brief
  • sh ipv6 route
Hast du eine offizielle IPv6 IP am WAN und am LAN Interface ?
Was noch viel gravierender ist !
  • Es fehlt die Firewall Definition am Tunnel Interface !
Damit ist das Interface isoliert und kommt nirgendwo hin ?!
Member: Windows10Gegner
Windows10Gegner May 06, 2019 at 16:17:46 (UTC)
Goto Top
Was ist eine offizielle IP?
Member: aqui
aqui May 06, 2019 updated at 16:20:16 (UTC)
Goto Top
Firewall Definition fehlt am Tunnel Interface ! Damit ist alles geblockt.
Member: Windows10Gegner
Windows10Gegner May 06, 2019 at 16:28:53 (UTC)
Goto Top
Also
ip access-group 111 in
ip inspect myfw out
?
Member: LordGurke
LordGurke May 06, 2019 at 20:10:31 (UTC)
Goto Top
Dein Problem ist, dass du auf dem Dialer-Interface die Access-Group 111 eingehend anwendest und diese das Protokoll 41 nicht herein lässt.
Du müsstest IP-Protokoll 41 (IP6IP) von der Tunnel-Gegenstelle von HE (216.66.86.122) eingehend erlauben, sonst schmeißt du schlicht den eingehenden IPv6-Traffic weg.
Bei der Gelegenheit solltest du dich fragen, ob du eine Begründung liefern kannst, warum weltweit per Telnet auf deinen Cisco zugegriffen werden darf face-wink
Member: Windows10Gegner
Windows10Gegner May 06, 2019 at 20:33:04 (UTC)
Goto Top
Telnet wird per Port-Weiterleitung auf meinen Not-Server weitergeleitet.
Viel Spaß beim Einloggen.

Ich habe jetzt Folgendes hinzugefügt:
access-list 111 permit ipinip any any

Leider immer noch keine Ping-Antwort.
Fehlt noch etwas?
Wenn ja was?
Member: LordGurke
Solution LordGurke May 07, 2019 updated at 00:13:30 (UTC)
Goto Top
"ipinip" ist nicht Protokoll 41. sondern das wäre Protokoll 94.
Du kannst da aber normalerweise auch die Protokollnummer 41 direkt eingeben, wenn ich mich nicht irre face-wink
Ansonsten heißt das bei Cisco entweder ip6ip oder nur ipv6. Falls es beides dort nicht als "Named Protocol" gibt, musst du tatsächlich einfach 41 verwenden.
Member: Windows10Gegner
Windows10Gegner May 07, 2019 at 05:05:19 (UTC)
Goto Top
Ja, klappt.
access-list 111 permit 41 any any
Member: aqui
aqui May 07, 2019 updated at 07:38:15 (UTC)
Goto Top
Möglich das ich was übersehen habe aber die DNS Resolver fehlen in der Konfig für IPv6 ?! //
!
dns-server 2003:180:2:3000::53
dns-server 2003:180:2:4000::53
! //
Die obigen darfst du allerdings nicht nehmen das sind die der Deutschen Telekom !!
Wenn Dr. Google nicht lügt ist das 2001:470:20::2.

Ping mal eine direkte IPv6 Adresse. Damit umgehst du erstmal mögliche v6 DNS Probleme. Z.B. die von Heise: 2A02:2E0:3FE:1001:7777:772E:2:85

Ist dein Tunnel Interface eigentlich auf "up" ? Was sagt ein show int tunnel 0 ??
Ansonsten findest du hier noch ein paar Tips:
http://www.revolutionwifi.net/revolutionwifi/2013/08/setup-ipv6-tunnel- ...
Achte bei dir auch auf die dort angegebenen MTU Werte wenn du PPPoE hast, da das dann quais 2 Tunnel sind.
YouTube hat auch was:
https://www.youtube.com/watch?v=j7HiEwZ7EC8
Member: Windows10Gegner
Windows10Gegner May 07, 2019 at 07:43:54 (UTC)
Goto Top
Vom Cisco aus kann ich IPv6-Adressen pingen. Einen DNSv6 habe ich eingetragen (allgemein)
ip name-server 2001:470:20::2


Der ist pingbar vom Cisco aus. Der Tunnel läuft.
Was ist bei MTU einzutragen?
Member: aqui
aqui May 07, 2019 at 07:45:45 (UTC)
Goto Top
Was ist bei MTU einzutragen?
Siehe bitte in das oben gepostete Beispiel !
Der Tunnel läuft.
OK, dann rennt alles ?? Case closed ?
Member: LordGurke
LordGurke May 07, 2019 at 07:49:55 (UTC)
Goto Top
Kurz gesagt: Die MTU muss klein genug sein, dass die Pakete durch die Leitung passen und auch der eingestellten MTU bei HE entsprechen.
Bei VDSL mit 1492 Bytes würde ich die MTU des Tunnels also auf 1476 Bytes konfigurieren - im Cisco und bei HE.
Member: Windows10Gegner
Windows10Gegner May 07, 2019 at 09:49:54 (UTC)
Goto Top
MTU ist im Tunnel eingerichtet.
Der Tunnel ist vom Cisco aus nutzbar.
Vom Computer aber nicht:
Ping kommt nicht an.
Ich vermute die Firewall blockt die.
Ich habe nichts zusätzlich dort eingerichtet. Das soll auch nicht geschehen. Die FW soll auf IPv6-Ebene alles durchlassen, sowohl rein als auch raus.
Member: aqui
aqui May 07, 2019 updated at 16:48:27 (UTC)
Goto Top
Bei VDSL mit 1492 Bytes würde ich die MTU des Tunnels also auf 1476 Bytes konfigurieren - im Cisco und bei HE.
Die MSS hat er ja mit ip tcp adjust-mss 1452 schon entsprechend klein. Die Tunnel MTU müsste auch passen wenn du dir das show Kommando des Tunnel Interfaces oben ansiehst: Tunnel transport MTU 1472 bytes
Das kannst du erstmal so lassen zum Testen. Nacher mal mit größeren Pings checken was noch durchgeht und dann ggf. MTU Finetuning machen...

Für alle IPv6 Interessierten HIER geht es weiter !!