May 06, 2019

2123

IPv6 Tunnel im Cisco 886

Hallo,
ich will nun IPv6 auch in meinem internen Netz nutzen und habe daher einen Tunnel bei Hurricane Electrics erstellt.
Ist auch schon eingerichtet.
Der Provider bietet kein IPv6 und plant das auch nicht.
Problem ist dass keine Pings ankommen.

cisco886va#ping heise.de r 1
Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 2A02:2E0:3FE:1001:302::, timeout is 2 seconds:
.
Success rate is 0 percent (0/1)
cisco886va#

Jetzt zur Frage: Was ist da Faul?
Irgendwas an der Firewall (Ich will keinen Traffic filtern) oder fehlt noch etwas an der Konfig?
Ich will erstmal nur dem Router die IPv6 geben, die Ausbreitung per Router Advertisement soll später folgen.
LG Marco

cisco886va#wr
Building configuration...
[OK]
cisco886va#sh run
Building configuration...

Current configuration : 10813 bytes
!
! Last configuration change at 17:34:50 CEST Mon May 6 2019 by admin
! NVRAM config last updated at 17:35:45 CEST Mon May 6 2019 by admin
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname cisco886va
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
enable secret 5 $1$Px3i$0SqTG9NAREgyq6yhlnr3x0
!
aaa new-model
!
!
aaa authentication login local_auth local
aaa authentication login clientauth local
aaa authorization network groupauth local 
!

!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
!
!
!


!         
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 10.0.0.190 10.0.0.254
ip dhcp excluded-address 10.0.0.1 10.0.0.105
!
ip dhcp pool lokales-netz
 network 10.0.0.0 255.255.255.0
 bootfile pxelinux.0
 next-server 10.0.0.115 
 default-router 10.0.0.254 
 option 42 ip 130.149.17.8 
 option 67 ascii pxelinux.0
 dns-server 176.103.130.130 
!

!
ip host fritz.box 10.0.0.20
ip host gateway 10.0.0.254

ip host go-setting.com 79.125.105.113
ip host chip.de 79.125.105.113

ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw ssh
ip inspect name myfw isakmp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw telnet
ip inspect name myfw dns
ip inspect name myfw icmp router-traffic
ip inspect name myfw udp router-traffic
ip inspect name myfw tcp router-traffic
ip ddns update method myupdate
 HTTP
  add http://x:y@dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a>
 interval maximum 0 0 0 30
 interval minimum 0 0 0 30
!
ip cef
ipv6 unicast-routing
ipv6 cef
!

!
multilink bundle-name authenticated
!

!
license udi pid C886VA-K9 sn FCZ1831C17A
!
!
!
no spanning-tree vlan 1
Usernamen entfernt
!

!
controller VDSL 0
 firmware filename flash:VA_B_38V_d24m.bin
!

!
interface Loopback0
 no ip address
!
interface Tunnel0
 description Hurricane Electric IPv6 Tunnel Broker
 no ip address
 ipv6 address 2001:470:6E:8::2/64
 ipv6 enable
 tunnel source 185.38.41.239
 tunnel mode ipv6ip
 tunnel destination 216.66.86.122
!
interface ATM0
 description DSL-Port-Config
 no ip address
 no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
 description DSL-Port-Config
 pvc 1/32 
  pppoe-client dial-pool-number 1
 !
!
interface BRI0
 description isdn-Port
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
!
interface Ethernet0
 description Virtual-Ethernet-interface-for-VDSL
 no ip address
 shutdown
!
interface FastEthernet0
 description LAN-zu-Fritzbox
 no ip address
!
interface FastEthernet1
 description LAN-zu-Dachboden
 no ip address
!
interface FastEthernet2
 description LAN-zu-XYZ
 no ip address
!
interface FastEthernet3
 description Dachboden2
 no ip address
!
interface Vlan1
 description internal_LAN
 ip address 10.0.0.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
!
interface Dialer0
 description DSL-Dialup
 ip ddns update hostname example.com
 ip ddns update myupdate
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip proxy-arp
 ip mtu 1492
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no ipv6 redirects
 no ipv6 unreachables
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username 10000000 password 456454564564
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!


ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload

Portweiterleitungen entfernt

!
dialer-list 1 protocol ip permit
ipv6 route ::/0 Tunnel0
!
access-list 23 permit 10.0.0.0 0.0.0.255
access-list 101 permit ip 10.0.0.0 0.0.0.255 any
access-list 101 deny   ip host 10.0.0.100 any
access-list 111 permit tcp any any eq telnet
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq domain any

Firewall-Freigaben entfernt
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit tcp any eq domain any
access-list 111 permit icmp any any unreachable
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any timestamp-reply
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any
!
!
!
control-plane
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
!
banner motd ^CStalin^C
!
line con 0
 no modem enable
line aux 0
 no activation-character
 no exec
 transport preferred none
 transport input all
line vty 0 4
 login authentication local_auth
 transport input telnet ssh
!
scheduler allocate 20000 1000
ntp server 130.149.17.8 minpoll 9 source Dialer0
ntp server 129.6.15.28
ntp server 130.149.17.21 minpoll 10 source Dialer0
onep
!
end

cisco886va# 

Please also mark the comments that contributed to the solution of the article

Content-Key: 448156

Url: https://administrator.de/contentid/448156

Printed on: April 18, 2024 at 23:04 o'clock

16 Comments

Latest comment

Problem ist dass keine Pings ankommen.

Das IOS Kommando heisst auch ping ipv6 xyz !

Cisco886#ping ipv6 www.heise.de
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2A02:2E0:3FE:1001:7777:772E:2:85, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/13/16 ms
Cisco886# 

Beide Befehle funktionieren nicht.

cisco886va#ping ipv6 heise.de
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2A02:2E0:3FE:1001:302::, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
cisco886va#

Was sagt:

sh ipv6 interface brief
sh ipv6 route

Hast du eine offizielle IPv6 IP am WAN und am LAN Interface ?
Was noch viel gravierender ist !

Es fehlt die Firewall Definition am Tunnel Interface !

Damit ist das Interface isoliert und kommt nirgendwo hin ?!

cisco886va#sh ipv6 interface brief
ATM0                   [up/up]
    unassigned
ATM0.1                 [up/up]
    unassigned
BRI0                   [administratively down/down]
    unassigned
BRI0:1                 [administratively down/down]
    unassigned
BRI0:2                 [administratively down/down]
    unassigned
Dialer0                [up/up]
    unassigned
Ethernet0              [administratively down/down]
    unassigned
FastEthernet0          [up/up]
    unassigned
FastEthernet1          [up/up]
    unassigned
FastEthernet2          [up/up]
    unassigned
FastEthernet3          [up/up]
    unassigned
Loopback0              [up/up]
    unassigned
NVI0                   [administratively down/down]
    unassigned
Tunnel0                [up/up]
    FE80::B926:29EF
    2001:470:6E:8::2
Virtual-Access1        [down/down]
    unassigned
Virtual-Access2        [up/up]
    unassigned
Vlan1                  [up/up]
    unassigned
cisco886va#

Was ist eine offizielle IP?

cisco886va#sh ipv6 route
IPv6 Routing Table - default - 4 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
       B - BGP, HA - Home Agent, MR - Mobile Router, R - RIP
       H - NHRP, D - EIGRP, EX - EIGRP external, ND - ND Default
       NDp - ND Prefix, DCE - Destination, NDr - Redirect, O - OSPF Intra
       OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
       ON2 - OSPF NSSA ext 2, ls - LISP site, ld - LISP dyn-EID, a - Application
S   ::/0 [1/0]
     via Tunnel0, directly connected
C   2001:470:6E:8::/64 [0/0]
     via Tunnel0, directly connected
L   2001:470:6E:8::2/128 [0/0]
     via Tunnel0, receive
L   FF00::/8 [0/0]
     via Null0, receive
cisco886va#

Firewall Definition fehlt am Tunnel Interface ! Damit ist alles geblockt.

Also
ip access-group 111 in
ip inspect myfw out
?

Dein Problem ist, dass du auf dem Dialer-Interface die Access-Group 111 eingehend anwendest und diese das Protokoll 41 nicht herein lässt.
Du müsstest IP-Protokoll 41 (IP6IP) von der Tunnel-Gegenstelle von HE (216.66.86.122) eingehend erlauben, sonst schmeißt du schlicht den eingehenden IPv6-Traffic weg.
Bei der Gelegenheit solltest du dich fragen, ob du eine Begründung liefern kannst, warum weltweit per Telnet auf deinen Cisco zugegriffen werden darf

Telnet wird per Port-Weiterleitung auf meinen Not-Server weitergeleitet.
Viel Spaß beim Einloggen.

Ich habe jetzt Folgendes hinzugefügt:
access-list 111 permit ipinip any any

Leider immer noch keine Ping-Antwort.
Fehlt noch etwas?
Wenn ja was?

"ipinip" ist nicht Protokoll 41. sondern das wäre Protokoll 94.
Du kannst da aber normalerweise auch die Protokollnummer 41 direkt eingeben, wenn ich mich nicht irre

Ansonsten heißt das bei Cisco entweder ip6ip oder nur ipv6. Falls es beides dort nicht als "Named Protocol" gibt, musst du tatsächlich einfach 41 verwenden.

Ja, klappt.
access-list 111 permit 41 any any

Möglich das ich was übersehen habe aber die DNS Resolver fehlen in der Konfig für IPv6 ?!
!
dns-server 2003:180:2:3000::53
dns-server 2003:180:2:4000::53
!
Die obigen darfst du allerdings nicht nehmen das sind die der Deutschen Telekom !!
Wenn Dr. Google nicht lügt ist das 2001:470:20::2.

Ping mal eine direkte IPv6 Adresse. Damit umgehst du erstmal mögliche v6 DNS Probleme. Z.B. die von Heise: 2A02:2E0:3FE:1001:7777:772E:2:85

Ist dein Tunnel Interface eigentlich auf "up" ? Was sagt ein show int tunnel 0 ??
Ansonsten findest du hier noch ein paar Tips:
http://www.revolutionwifi.net/revolutionwifi/2013/08/setup-ipv6-tunnel- ...
Achte bei dir auch auf die dort angegebenen MTU Werte wenn du PPPoE hast, da das dann quais 2 Tunnel sind.
YouTube hat auch was:
https://www.youtube.com/watch?v=j7HiEwZ7EC8

Vom Cisco aus kann ich IPv6-Adressen pingen. Einen DNSv6 habe ich eingetragen (allgemein)
ip name-server 2001:470:20::2

Der ist pingbar vom Cisco aus. Der Tunnel läuft.

cisco886va#show int tunnel 0
Tunnel0 is up, line protocol is up 
  Hardware is Tunnel
  Description: Hurricane Electric IPv6 Tunnel Broker
  MTU 17920 bytes, BW 100 Kbit/sec, DLY 50000 usec, 
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel source 185.38.41.239, destination 216.66.86.122
  Tunnel protocol/transport IPv6/IP
  Tunnel TTL 255
  Tunnel transport MTU 1472 bytes
  Tunnel transmit bandwidth 8000 (kbps)
  Tunnel receive bandwidth 8000 (kbps)
  Last input 00:00:22, output 00:00:22, output hang never
  Last clearing of "show interface" counters 16:19:25  
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/0 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     94 packets input, 12568 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles 
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     185 packets output, 22002 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 unknown protocol drops
     0 output buffer failures, 0 output buffers swapped out
cisco886va#

Was ist bei MTU einzutragen?

Siehe bitte in das oben gepostete Beispiel !

Der Tunnel läuft.

OK, dann rennt alles ?? Case closed ?

Kurz gesagt: Die MTU muss klein genug sein, dass die Pakete durch die Leitung passen und auch der eingestellten MTU bei HE entsprechen.
Bei VDSL mit 1492 Bytes würde ich die MTU des Tunnels also auf 1476 Bytes konfigurieren - im Cisco und bei HE.

MTU ist im Tunnel eingerichtet.
Der Tunnel ist vom Cisco aus nutzbar.
Vom Computer aber nicht:

network:
  version: 2
  renderer: networkd
  ethernets:
    enp0s16:
      addresses:
        - 10.0.0.115/24
        - "2001:470:6e:8::3/64"  
      dhcp4: no
      gateway4: 10.0.0.254
      gateway6:  2001:470:6e:8::1
      nameservers:
          addresses: [10.0.0.254,9.9.9.9]

Ping kommt nicht an.
Ich vermute die Firewall blockt die.
Ich habe nichts zusätzlich dort eingerichtet. Das soll auch nicht geschehen. Die FW soll auf IPv6-Ebene alles durchlassen, sowohl rein als auch raus.

Bei VDSL mit 1492 Bytes würde ich die MTU des Tunnels also auf 1476 Bytes konfigurieren - im Cisco und bei HE.

Die MSS hat er ja mit ip tcp adjust-mss 1452 schon entsprechend klein. Die Tunnel MTU müsste auch passen wenn du dir das show Kommando des Tunnel Interfaces oben ansiehst: Tunnel transport MTU 1472 bytes
Das kannst du erstmal so lassen zum Testen. Nacher mal mit größeren Pings checken was noch durchgeht und dann ggf. MTU Finetuning machen...

Für alle IPv6 Interessierten HIER geht es weiter !!

German solved Question Routers, Routing Networks

Hotly discussed

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 Comment

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment