1
Krudes Problem mit Cisco-Router, L2TP und IPv6
Moin,
ich versuche mit einem Cisco-Router (IOS XE) einen L2TP-Tunnel aufzubauen und IPv4/IPv6 per Dualstack auf dem L2TP-Tunnel zu verwenden.
Die Verbindung zum L2TP-Server wird per IPv4 aufgebaut und funktioniert soweit auch, dass das IPv4-Routing erwartungsgemäß funktioniert.
IPv6 funktioniert aber leider so gar nicht. Das Symptom ist, dass die Pakete durch den Tunnel zum Cisco kommen und dieser sie auch zum Ziel routet. Das klappt schonmal.
Aber alle ausgehenden IPv6-Pakete vom Cisco durch den Tunnel hinaus werden zwar per L2TP an die Gegenstelle gesendet, können dort aber nicht verarbeitet werden.
Das liegt meiner Meinung nach daran, dass der Cisco die Pakete falsch in PPP einkapselt:
Cisco schreibt in den PPP-Header, dass es sich um IPv4 handelt, schickt dann aber IPv6.
Meiner Meinung nach ist das haarsträubender Unsinn. Der Meinung ist offenbar auch die Gegenstelle (kein Cisco), die sich ja wie erwähnt weigert, das wieder auszupacken.
Die relevante Konfiguration dazu sieht auf Cisco-Seite so aus:
Ist das jetzt ein Bug im Cisco IOS XE (darauf tippe ich gerade), oder ist das ein Fehler in der Konfiguration?
Wie gesagt: Das Routing an sich funktioniert - der Cisco routet die Pakete wie erwartet, es scheitert halt an der PPP-Kapselung.
Da der Router nicht bei mir steht sind noch keine Versuche hinsichtlich Firmware-Upgrade/Downgrade unternommen worden.
Und bevor ich jetzt mit meiner "Ihr seid alle zu doof für IPv6"-These an Cisco herantrete, würde ich mir gerne eine Zweitmeinung einholen
Viele Grüße aus dem Tal
Max
ich versuche mit einem Cisco-Router (IOS XE) einen L2TP-Tunnel aufzubauen und IPv4/IPv6 per Dualstack auf dem L2TP-Tunnel zu verwenden.
Die Verbindung zum L2TP-Server wird per IPv4 aufgebaut und funktioniert soweit auch, dass das IPv4-Routing erwartungsgemäß funktioniert.
IPv6 funktioniert aber leider so gar nicht. Das Symptom ist, dass die Pakete durch den Tunnel zum Cisco kommen und dieser sie auch zum Ziel routet. Das klappt schonmal.
Aber alle ausgehenden IPv6-Pakete vom Cisco durch den Tunnel hinaus werden zwar per L2TP an die Gegenstelle gesendet, können dort aber nicht verarbeitet werden.
Das liegt meiner Meinung nach daran, dass der Cisco die Pakete falsch in PPP einkapselt:
Cisco schreibt in den PPP-Header, dass es sich um IPv4 handelt, schickt dann aber IPv6.
Meiner Meinung nach ist das haarsträubender Unsinn. Der Meinung ist offenbar auch die Gegenstelle (kein Cisco), die sich ja wie erwähnt weigert, das wieder auszupacken.
Die relevante Konfiguration dazu sieht auf Cisco-Seite so aus:
ipv6 unicast-routing
l2tp-class L2TPVPN
hidden
pseudowire-class L2TPVPN-PW
encapsulation l2tpv2
protocol l2tpv2 L2TPVPN
ip local interface Vlan5
ip pmtu
interface Virtual-PPP1
ip address negotiated
ip mtu 1460
ip tcp adjust-mss 1420
no cdp enable
ipv6 enable
ipv6 mtu 1460
ipv6 virtual-reassembly in
ppp chap hostname xx.xx.xx.xx
ppp chap password 0 <password>
pseudowire xx.xx.xx.xx 11 encapsulation l2tpv2 pw-class L2TPVPN-PW
ip virtual-reassembly
!
!
ipv6 route ::/0 Virtual-PPP1Ist das jetzt ein Bug im Cisco IOS XE (darauf tippe ich gerade), oder ist das ein Fehler in der Konfiguration?
Wie gesagt: Das Routing an sich funktioniert - der Cisco routet die Pakete wie erwartet, es scheitert halt an der PPP-Kapselung.
Da der Router nicht bei mir steht sind noch keine Versuche hinsichtlich Firmware-Upgrade/Downgrade unternommen worden.
Und bevor ich jetzt mit meiner "Ihr seid alle zu doof für IPv6"-These an Cisco herantrete, würde ich mir gerne eine Zweitmeinung einholen
Viele Grüße aus dem Tal
Max
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 456457
Url: https://administrator.de/contentid/456457
Printed on: April 20, 2024 at 05:04 o'clock
1 Comment
Ich habe es auf IOS XE (Denali) leider nicht als L2TP laufen sondern plain IPsec im Transport Mode (kein Tunnel !). Dort drüber dann einen GRE Tunnel und nur die GRE Tunnel mit Dual Stack laufen.
Das klappt fehlerfrei.
Ich musste allerdings 2 Denali Images ausprobieren damit es stabil lief. Die Tunnel transportieren noch PIM Multicast und das funktionierte bei den ersten Image Versionen nicht richtig. Erst das dritte Image. Ist ein 15....muss ich nachsehen....
War aber rein nur ein MC Fehler. Die Tunnel und die v6 Adressierung liefen rock solid. Wie gesagt...leider kein L2TP nützt dir also vermutlich eher wenig.
Bei PPPoE macht er es auch richtig mit Dual Stack. Aber auch wieder nicht L2TP wenigstens aber ne PPP Encapsulierung....
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Vielleicht hilfts als OT Info ?!
<edit> Cisco Tutorial um laufende L2TP VPN Konfig ergänzt ! </edit>
Das klappt fehlerfrei.
Ich musste allerdings 2 Denali Images ausprobieren damit es stabil lief. Die Tunnel transportieren noch PIM Multicast und das funktionierte bei den ersten Image Versionen nicht richtig. Erst das dritte Image. Ist ein 15....muss ich nachsehen....
War aber rein nur ein MC Fehler. Die Tunnel und die v6 Adressierung liefen rock solid. Wie gesagt...leider kein L2TP nützt dir also vermutlich eher wenig.
Bei PPPoE macht er es auch richtig mit Dual Stack. Aber auch wieder nicht L2TP wenigstens aber ne PPP Encapsulierung....
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Vielleicht hilfts als OT Info ?!
<edit> Cisco Tutorial um laufende L2TP VPN Konfig ergänzt ! </edit>
