16
IPv6 Tunnel im Cisco 886
Hallo,
ich will nun IPv6 auch in meinem internen Netz nutzen und habe daher einen Tunnel bei Hurricane Electrics erstellt.
Ist auch schon eingerichtet.
Der Provider bietet kein IPv6 und plant das auch nicht.
Problem ist dass keine Pings ankommen.
Jetzt zur Frage: Was ist da Faul?
Irgendwas an der Firewall (Ich will keinen Traffic filtern) oder fehlt noch etwas an der Konfig?
Ich will erstmal nur dem Router die IPv6 geben, die Ausbreitung per Router Advertisement soll später folgen.
LG Marco
ich will nun IPv6 auch in meinem internen Netz nutzen und habe daher einen Tunnel bei Hurricane Electrics erstellt.
Ist auch schon eingerichtet.
Der Provider bietet kein IPv6 und plant das auch nicht.
Problem ist dass keine Pings ankommen.
cisco886va#ping heise.de r 1
Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 2A02:2E0:3FE:1001:302::, timeout is 2 seconds:
.
Success rate is 0 percent (0/1)
cisco886va#Irgendwas an der Firewall (Ich will keinen Traffic filtern) oder fehlt noch etwas an der Konfig?
Ich will erstmal nur dem Router die IPv6 geben, die Ausbreitung per Router Advertisement soll später folgen.
LG Marco
cisco886va#wr
Building configuration...
[OK]
cisco886va#sh run
Building configuration...
Current configuration : 10813 bytes
!
! Last configuration change at 17:34:50 CEST Mon May 6 2019 by admin
! NVRAM config last updated at 17:35:45 CEST Mon May 6 2019 by admin
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname cisco886va
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
enable secret 5 $1$Px3i$0SqTG9NAREgyq6yhlnr3x0
!
aaa new-model
!
!
aaa authentication login local_auth local
aaa authentication login clientauth local
aaa authorization network groupauth local
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
!
!
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 10.0.0.190 10.0.0.254
ip dhcp excluded-address 10.0.0.1 10.0.0.105
!
ip dhcp pool lokales-netz
network 10.0.0.0 255.255.255.0
bootfile pxelinux.0
next-server 10.0.0.115
default-router 10.0.0.254
option 42 ip 130.149.17.8
option 67 ascii pxelinux.0
dns-server 176.103.130.130
!
!
ip host fritz.box 10.0.0.20
ip host gateway 10.0.0.254
ip host go-setting.com 79.125.105.113
ip host chip.de 79.125.105.113
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw ssh
ip inspect name myfw isakmp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw telnet
ip inspect name myfw dns
ip inspect name myfw icmp router-traffic
ip inspect name myfw udp router-traffic
ip inspect name myfw tcp router-traffic
ip ddns update method myupdate
HTTP
add http://x:y@dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a>
interval maximum 0 0 0 30
interval minimum 0 0 0 30
!
ip cef
ipv6 unicast-routing
ipv6 cef
!
!
multilink bundle-name authenticated
!
!
license udi pid C886VA-K9 sn FCZ1831C17A
!
!
!
no spanning-tree vlan 1
Usernamen entfernt
!
!
controller VDSL 0
firmware filename flash:VA_B_38V_d24m.bin
!
!
interface Loopback0
no ip address
!
interface Tunnel0
description Hurricane Electric IPv6 Tunnel Broker
no ip address
ipv6 address 2001:470:6E:8::2/64
ipv6 enable
tunnel source 185.38.41.239
tunnel mode ipv6ip
tunnel destination 216.66.86.122
!
interface ATM0
description DSL-Port-Config
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
description DSL-Port-Config
pvc 1/32
pppoe-client dial-pool-number 1
!
!
interface BRI0
description isdn-Port
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface Ethernet0
description Virtual-Ethernet-interface-for-VDSL
no ip address
shutdown
!
interface FastEthernet0
description LAN-zu-Fritzbox
no ip address
!
interface FastEthernet1
description LAN-zu-Dachboden
no ip address
!
interface FastEthernet2
description LAN-zu-XYZ
no ip address
!
interface FastEthernet3
description Dachboden2
no ip address
!
interface Vlan1
description internal_LAN
ip address 10.0.0.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Dialer0
description DSL-Dialup
ip ddns update hostname example.com
ip ddns update myupdate
ip address negotiated
ip access-group 111 in
no ip redirects
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no ipv6 redirects
no ipv6 unreachables
no keepalive
ppp authentication pap callin
ppp pap sent-username 10000000 password 456454564564
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
Portweiterleitungen entfernt
!
dialer-list 1 protocol ip permit
ipv6 route ::/0 Tunnel0
!
access-list 23 permit 10.0.0.0 0.0.0.255
access-list 101 permit ip 10.0.0.0 0.0.0.255 any
access-list 101 deny ip host 10.0.0.100 any
access-list 111 permit tcp any any eq telnet
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq domain any
Firewall-Freigaben entfernt
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit tcp any eq domain any
access-list 111 permit icmp any any unreachable
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any timestamp-reply
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any
!
!
!
control-plane
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
!
banner motd ^CStalin^C
!
line con 0
no modem enable
line aux 0
no activation-character
no exec
transport preferred none
transport input all
line vty 0 4
login authentication local_auth
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp server 130.149.17.8 minpoll 9 source Dialer0
ntp server 129.6.15.28
ntp server 130.149.17.21 minpoll 10 source Dialer0
onep
!
end
cisco886va# 
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 448156
Url: https://administrator.de/contentid/448156
Printed on: March 27, 2023 at 02:03 o'clock
16 Comments
Latest comment
Problem ist dass keine Pings ankommen.
Das IOS Kommando heisst auch ping ipv6 xyz ! Cisco886#ping ipv6 www.heise.de
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2A02:2E0:3FE:1001:7777:772E:2:85, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/13/16 ms
Cisco886# 
Beide Befehle funktionieren nicht.
cisco886va#ping ipv6 heise.de
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2A02:2E0:3FE:1001:302::, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
cisco886va#
Was sagt:
Was noch viel gravierender ist !
- sh ipv6 interface brief
- sh ipv6 route
Was noch viel gravierender ist !
- Es fehlt die Firewall Definition am Tunnel Interface !
cisco886va#sh ipv6 interface brief
ATM0 [up/up]
unassigned
ATM0.1 [up/up]
unassigned
BRI0 [administratively down/down]
unassigned
BRI0:1 [administratively down/down]
unassigned
BRI0:2 [administratively down/down]
unassigned
Dialer0 [up/up]
unassigned
Ethernet0 [administratively down/down]
unassigned
FastEthernet0 [up/up]
unassigned
FastEthernet1 [up/up]
unassigned
FastEthernet2 [up/up]
unassigned
FastEthernet3 [up/up]
unassigned
Loopback0 [up/up]
unassigned
NVI0 [administratively down/down]
unassigned
Tunnel0 [up/up]
FE80::B926:29EF
2001:470:6E:8::2
Virtual-Access1 [down/down]
unassigned
Virtual-Access2 [up/up]
unassigned
Vlan1 [up/up]
unassigned
cisco886va#cisco886va#sh ipv6 route
IPv6 Routing Table - default - 4 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
B - BGP, HA - Home Agent, MR - Mobile Router, R - RIP
H - NHRP, D - EIGRP, EX - EIGRP external, ND - ND Default
NDp - ND Prefix, DCE - Destination, NDr - Redirect, O - OSPF Intra
OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
ON2 - OSPF NSSA ext 2, ls - LISP site, ld - LISP dyn-EID, a - Application
S ::/0 [1/0]
via Tunnel0, directly connected
C 2001:470:6E:8::/64 [0/0]
via Tunnel0, directly connected
L 2001:470:6E:8::2/128 [0/0]
via Tunnel0, receive
L FF00::/8 [0/0]
via Null0, receive
cisco886va#
Firewall Definition fehlt am Tunnel Interface ! Damit ist alles geblockt.
Also
ip access-group 111 in
ip inspect myfw out
?
ip access-group 111 in
ip inspect myfw out
?
Dein Problem ist, dass du auf dem Dialer-Interface die Access-Group 111 eingehend anwendest und diese das Protokoll 41 nicht herein lässt.
Du müsstest IP-Protokoll 41 (IP6IP) von der Tunnel-Gegenstelle von HE (216.66.86.122) eingehend erlauben, sonst schmeißt du schlicht den eingehenden IPv6-Traffic weg.
Bei der Gelegenheit solltest du dich fragen, ob du eine Begründung liefern kannst, warum weltweit per Telnet auf deinen Cisco zugegriffen werden darf
Du müsstest IP-Protokoll 41 (IP6IP) von der Tunnel-Gegenstelle von HE (216.66.86.122) eingehend erlauben, sonst schmeißt du schlicht den eingehenden IPv6-Traffic weg.
Bei der Gelegenheit solltest du dich fragen, ob du eine Begründung liefern kannst, warum weltweit per Telnet auf deinen Cisco zugegriffen werden darf
Telnet wird per Port-Weiterleitung auf meinen Not-Server weitergeleitet.
Viel Spaß beim Einloggen.
Ich habe jetzt Folgendes hinzugefügt:
access-list 111 permit ipinip any any
Leider immer noch keine Ping-Antwort.
Fehlt noch etwas?
Wenn ja was?
Viel Spaß beim Einloggen.
Ich habe jetzt Folgendes hinzugefügt:
access-list 111 permit ipinip any any
Leider immer noch keine Ping-Antwort.
Fehlt noch etwas?
Wenn ja was?
"ipinip" ist nicht Protokoll 41. sondern das wäre Protokoll 94.
Du kannst da aber normalerweise auch die Protokollnummer 41 direkt eingeben, wenn ich mich nicht irre
Ansonsten heißt das bei Cisco entweder ip6ip oder nur ipv6. Falls es beides dort nicht als "Named Protocol" gibt, musst du tatsächlich einfach 41 verwenden.
Du kannst da aber normalerweise auch die Protokollnummer 41 direkt eingeben, wenn ich mich nicht irre
Ansonsten heißt das bei Cisco entweder ip6ip oder nur ipv6. Falls es beides dort nicht als "Named Protocol" gibt, musst du tatsächlich einfach 41 verwenden.
Ja, klappt.
access-list 111 permit 41 any any
access-list 111 permit 41 any any
Möglich das ich was übersehen habe aber die DNS Resolver fehlen in der Konfig für IPv6 ?! //
!
dns-server 2003:180:2:3000::53
dns-server 2003:180:2:4000::53
! //
Die obigen darfst du allerdings nicht nehmen das sind die der Deutschen Telekom !!
Wenn Dr. Google nicht lügt ist das 2001:470:20::2.
Ping mal eine direkte IPv6 Adresse. Damit umgehst du erstmal mögliche v6 DNS Probleme. Z.B. die von Heise: 2A02:2E0:3FE:1001:7777:772E:2:85
Ist dein Tunnel Interface eigentlich auf "up" ? Was sagt ein show int tunnel 0 ??
Ansonsten findest du hier noch ein paar Tips:
http://www.revolutionwifi.net/revolutionwifi/2013/08/setup-ipv6-tunnel- ...
Achte bei dir auch auf die dort angegebenen MTU Werte wenn du PPPoE hast, da das dann quais 2 Tunnel sind.
YouTube hat auch was:
https://www.youtube.com/watch?v=j7HiEwZ7EC8
!
dns-server 2003:180:2:3000::53
dns-server 2003:180:2:4000::53
! //
Die obigen darfst du allerdings nicht nehmen das sind die der Deutschen Telekom !!
Wenn Dr. Google nicht lügt ist das 2001:470:20::2.
Ping mal eine direkte IPv6 Adresse. Damit umgehst du erstmal mögliche v6 DNS Probleme. Z.B. die von Heise: 2A02:2E0:3FE:1001:7777:772E:2:85
Ist dein Tunnel Interface eigentlich auf "up" ? Was sagt ein show int tunnel 0 ??
Ansonsten findest du hier noch ein paar Tips:
http://www.revolutionwifi.net/revolutionwifi/2013/08/setup-ipv6-tunnel- ...
Achte bei dir auch auf die dort angegebenen MTU Werte wenn du PPPoE hast, da das dann quais 2 Tunnel sind.
YouTube hat auch was:
https://www.youtube.com/watch?v=j7HiEwZ7EC8
Vom Cisco aus kann ich IPv6-Adressen pingen. Einen DNSv6 habe ich eingetragen (allgemein)
ip name-server 2001:470:20::2
Der ist pingbar vom Cisco aus. Der Tunnel läuft.
Was ist bei MTU einzutragen?
ip name-server 2001:470:20::2
Der ist pingbar vom Cisco aus. Der Tunnel läuft.
cisco886va#show int tunnel 0
Tunnel0 is up, line protocol is up
Hardware is Tunnel
Description: Hurricane Electric IPv6 Tunnel Broker
MTU 17920 bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 185.38.41.239, destination 216.66.86.122
Tunnel protocol/transport IPv6/IP
Tunnel TTL 255
Tunnel transport MTU 1472 bytes
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Last input 00:00:22, output 00:00:22, output hang never
Last clearing of "show interface" counters 16:19:25
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
94 packets input, 12568 bytes, 0 no buffer
Received 0 broadcasts (0 IP multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
185 packets output, 22002 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops
0 output buffer failures, 0 output buffers swapped out
cisco886va#Was ist bei MTU einzutragen?
Siehe bitte in das oben gepostete Beispiel !Der Tunnel läuft.
OK, dann rennt alles ?? Case closed ?
Kurz gesagt: Die MTU muss klein genug sein, dass die Pakete durch die Leitung passen und auch der eingestellten MTU bei HE entsprechen.
Bei VDSL mit 1492 Bytes würde ich die MTU des Tunnels also auf 1476 Bytes konfigurieren - im Cisco und bei HE.
Bei VDSL mit 1492 Bytes würde ich die MTU des Tunnels also auf 1476 Bytes konfigurieren - im Cisco und bei HE.
MTU ist im Tunnel eingerichtet.
Der Tunnel ist vom Cisco aus nutzbar.
Vom Computer aber nicht:
Ping kommt nicht an.
Ich vermute die Firewall blockt die.
Ich habe nichts zusätzlich dort eingerichtet. Das soll auch nicht geschehen. Die FW soll auf IPv6-Ebene alles durchlassen, sowohl rein als auch raus.
Der Tunnel ist vom Cisco aus nutzbar.
Vom Computer aber nicht:
network:
version: 2
renderer: networkd
ethernets:
enp0s16:
addresses:
- 10.0.0.115/24
- "2001:470:6e:8::3/64"
dhcp4: no
gateway4: 10.0.0.254
gateway6: 2001:470:6e:8::1
nameservers:
addresses: [10.0.0.254,9.9.9.9]Ich vermute die Firewall blockt die.
Ich habe nichts zusätzlich dort eingerichtet. Das soll auch nicht geschehen. Die FW soll auf IPv6-Ebene alles durchlassen, sowohl rein als auch raus.
Bei VDSL mit 1492 Bytes würde ich die MTU des Tunnels also auf 1476 Bytes konfigurieren - im Cisco und bei HE.
Die MSS hat er ja mit ip tcp adjust-mss 1452 schon entsprechend klein. Die Tunnel MTU müsste auch passen wenn du dir das show Kommando des Tunnel Interfaces oben ansiehst: Tunnel transport MTU 1472 bytesDas kannst du erstmal so lassen zum Testen. Nacher mal mit größeren Pings checken was noch durchgeht und dann ggf. MTU Finetuning machen...
Für alle IPv6 Interessierten HIER geht es weiter !!
