lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Y05H10 schrieb: "Freigabe für Port 80 auf GG:GG:BB:BB:BB:BB (NAME) hinzugefügt." ←– Eine Global IPv6 die ich vor ein paar Tagen einmal hatte.
Teste mal mit z. B.:
host -t AAAA <NAME> 192.168.178.1
ob deine FritzBox die korrekte IPv6-Namensauflösung für die aktuelle globale IPv6-Adresse machen kann. Meine Erfahrungen sie die, dass die korrekte IPv6-Freigabe (Weiterleitung) erst dann funktioniert, wenn die FritzBox auch die IPv6-Namensauflösung machen kann. Notfalls musst ein manuelles dns-update (mit z. B. nsupdate oder gleichwertig) machen. Bei manchen hilft auch der avahi-daemon (oder gleichwertig). Ich haben solche tools aber deinstalliert.
|
Y05H10
Anmeldungsdatum: 5. Oktober 2016
Beiträge: Zähle...
|
Hi lubux, Alles klar, ich werde das heute Abend einmal austesten und mich unabhängig vom erfolg wieder melden. Danke erstmal ☺ Nachtrag : Der Output ist
die FritzBox hat also zwei verschiedene hinterlegt. Gerade ist mir noch folgendes aufgefallen : Im Ereignis Log steht Freigabe für Ping6 auf 146c:XXXX:LL:LL:LL:LL (NAME) hinzugefügt. Prefix : 2a02:XXX:146c:XXXX
LinkV6 des Gerätes : :LL:LL:LL:LL Scheint ja doch ganz logisch.
Trotzdem krieg ich bei einem v6 Ping die antwort "administratively prohibited" und bei einem Portscan "filtered"
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Y05H10 schrieb: Freigabe für Ping6 auf 146c:XXXX:LL:LL:LL:LL (NAME) hinzugefügt. Prefix : 2a02:XXX:146c:XXXX
LinkV6 des Gerätes : :LL:LL:LL:LL Scheint ja doch ganz logisch.
Hast Du in der FritzBox, die IPv6-Freigabe auch für die Interface-ID gemacht? Y05H10 schrieb: Trotzdem krieg ich bei einem v6 Ping die antwort "administratively prohibited" und bei einem Portscan "filtered"
Dann starte mal auf deinem Linux-PC (den Du per ipv6 pingen willst), vor dem Pingen:
sudo tcpdump -c 50 -vvveni <IPv6-Interface> icmp6
|
Y05H10
Anmeldungsdatum: 5. Oktober 2016
Beiträge: 9
|
Online Ping Tool IPv6 Ping Output:
PING 2a02:908:146c:7960:7ca6:8339:5a99:47a9(2a02:908:146c:7960:7ca6:8339:5a99:47a9) 32 data bytes
From 2a02:908:1400:6:a149:31f7:c80a:7fb9 icmp_seq=0 Destination unreachable: Administratively prohibited
From 2a02:908:1400:6:a149:31f7:c80a:7fb9 icmp_seq=1 Destination unreachable: Administratively prohibited
... keine Reaktion von
sudo tcpdump -c 50 -vvveni enp3s0 icmp6 abgesehen von : {
tcpdump: listening on enp3s0, link-type EN10MB (Ethernet), capture size 262144 bytes
} Danach lokalen ping auf die global ipv6 gemacht (von einem windows host)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16 | 19:46:17.204282 d8:cb:8a:57:c9:16 > 33:33:ff:99:47:a9, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2a02:908:146c:7960:8940:4c85:633c:f9d1 > ff02::1:ff99:47a9: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2a02:908:146c:7960:7ca6:8339:5a99:47a9
source link-address option (1), length 8 (1): d8:cb:8a:57:c9:16
0x0000: d8cb 8a57 c916
19:46:17.204351 94:de:80:28:ce:21 > d8:cb:8a:57:c9:16, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2a02:908:146c:7960:7ca6:8339:5a99:47a9 > 2a02:908:146c:7960:8940:4c85:633c:f9d1: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is 2a02:908:146c:7960:7ca6:8339:5a99:47a9, Flags [solicited, override]
destination link-address option (2), length 8 (1): 94:de:80:28:ce:21
0x0000: 94de 8028 ce21
19:46:17.206505 94:de:80:28:ce:21 > d8:cb:8a:57:c9:16, ethertype IPv6 (0x86dd), length 94: (flowlabel 0x004bb, hlim 255, next-header ICMPv6 (58) payload length: 40) 2a02:908:146c:7960:7ca6:8339:5a99:47a9 > 2a02:908:146c:7960:8940:4c85:633c:f9d1: [icmp6 sum ok] ICMP6, echo reply, seq 1
19:46:18.208563 94:de:80:28:ce:21 > d8:cb:8a:57:c9:16, ethertype IPv6 (0x86dd), length 94: (flowlabel 0x004bb, hlim 255, next-header ICMPv6 (58) payload length: 40) 2a02:908:146c:7960:7ca6:8339:5a99:47a9 > 2a02:908:146c:7960:8940:4c85:633c:f9d1: [icmp6 sum ok] ICMP6, echo reply, seq 2
19:46:21.997076 d8:cb:8a:57:c9:16 > 94:de:80:28:ce:21, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2a02:908:146c:7960:8940:4c85:633c:f9d1 > 2a02:908:146c:7960:af6f:69bd:bf4c:e4ae: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2a02:908:146c:7960:af6f:69bd:bf4c:e4ae
source link-address option (1), length 8 (1): d8:cb:8a:57:c9:16
0x0000: d8cb 8a57 c916
19:46:21.997128 94:de:80:28:ce:21 > d8:cb:8a:57:c9:16, ethertype IPv6 (0x86dd), length 78: (hlim 255, next-header ICMPv6 (58) payload length: 24) 2a02:908:146c:7960:af6f:69bd:bf4c:e4ae > 2a02:908:146c:7960:8940:4c85:633c:f9d1: [icmp6 sum ok] ICMP6, neighbor advertisement, length 24, tgt is 2a02:908:146c:7960:af6f:69bd:bf4c:e4ae, Flags [solicited]
^C
6 packets captured
6 packets received by filter
0 packets dropped by kernel
|
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Y05H10 schrieb: Online Ping Tool IPv6 Ping Output:
PING 2a02:908:146c:7960:7ca6:8339:5a99:47a9(2a02:908:146c:7960:7ca6:8339:5a99:47a9) 32 data bytes
From 2a02:908:1400:6:a149:31f7:c80a:7fb9 icmp_seq=0 Destination unreachable: Administratively prohibited
From 2a02:908:1400:6:a149:31f7:c80a:7fb9 icmp_seq=1 Destination unreachable: Administratively prohibited
... keine Reaktion von
Dann hast Du evtl. die IPv6-Freigabe in der FritzBox nicht richtig konfiguriert.
|
Y05H10
Anmeldungsdatum: 5. Oktober 2016
Beiträge: 9
|
inet6 fe80::9928:c3e3:f3cc:d0c1/64 scope link
ist meine link v6 und der screenshot meine fritz Freigabe. Sehe da keinen Fehler 😀 Ich werd wohl wieder auf 12.04 LTS steigen damit ich das an's laufen kriege :> Aber danke für die Hilfe ☺
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Y05H10 schrieb: ... der screenshot meine fritz Freigabe.
Wo ist der screenshot?
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Y05H10 schrieb: Hier :>
Das ist aber nicht die richtige Interface-ID. Du musst diese aus der Global-IPv6, entnehmen.
|
Y05H10
Anmeldungsdatum: 5. Oktober 2016
Beiträge: 9
|
Das ist aber nicht die richtige Interface-ID. Du musst diese aus der Global-IPv6, entnehmen.
Typisches Layer 8 Problem.
Nachdem ich die letzten 4 Segmente der Global IPv6 in die Freigabe gesetzt habe geht es.
PING6 kein Problem, Portcheck zeigt mir meine laufenden Services. Jetzt steht nur noch die Frage, was ist die IPv6 mit dem scope link?
inet6 fe80::9928:c3e3:f3cc:d0c1/64 scope link
Das ist nämlich die, die von der FritzBox automatisch in der IPv6 Freigabe eingegeben wurde. Kann ich diese irgendwie manipulieren sodas sie immer den letzten 4 Segmenten meiner Global IPv6 entspricht? | und / oder ist das ein falsches Handling im FritzOS?
Momentan würde ja eine neue IPv6 meine Portfreigabe zerstören. Soweit erstmal riesen Dank an lubux. ☺
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Y05H10 schrieb: Jetzt steht nur noch die Frage, was ist die IPv6 mit dem scope link?
Das ist der "Müll" den die FritzBox betr. IPv6 produziert. Y05H10 schrieb: Kann ich diese irgendwie manipulieren sodas sie immer den letzten 4 Segmenten meiner Global IPv6 entspricht?
Ja, das sollte möglich sein. Ich mache das z. B. mit dem dhcpcd:
slaac hwaddr EDIT: Dann musst Du aber für das dns-update (IPv6-Namensauflösung) sorgen. Ich mache das mit nsupdate in einem Script und service-unit + timer-unit (systemd). Wenn Du avahi (oder gleichwertig) auf deinem Rechner hast, funktioniert es evtl. auch "automatisch", d. h. ohne nsupdate.
|