harteknut
Anmeldungsdatum: 9. Oktober 2007
Beiträge: 213
|
Hallo zusammen, ich habe vor kurzem meinen Internetzugang auf (echtes) Dual Stack umgestellt, nachdem ich jahrelang nur mit IPv4 unterwegs war.
Der Grund dafür war, dass ich mit reinem IPv4-Zugang keine VPN-Verbindung in Netze aufbauen kann, die nur noch mit IPv6 (oder eben DS lite) angebunden sind.
Jetzt mach ich meine ersten Gehversuche und musste eine Menge neues Zeug lernen und habe wahrscheinlich noch nicht alles verstanden, daher bitte ich Euch um Hilfe. Die am Problem beteiligten Systeme sind: Grundsätzlich funktioniert hier auch alles wie es soll: Ich kann die Geräte im LAN über die FE80-Adresse erreichen,
ins WAN bekommen die Geräte eine passende "lange" Adresse mit global-scope. Jetzt das Problem: "Manchmal" kommt es vor, dass der Laptop keine globale Adresse erhält (sondern nur die FE80-Adresse). In diesem Fall erreiche ich auch im WAN keine IPv6-Netze.
Nach ner Weile ist die dann wieder da, ich habe aber noch keine Ursache dafür festgestellt.
Könnt Ihr mir vielleicht Tipps geben, wie ich die Ursache für dieses Problem ermitteln kann? Freue mich über jeden Tipp!
Gruß
Harteknut
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17657
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Nimm den Wireshark und prüfe, ob die Router Solicitation und das Router Advertisement kommen.
Wird denn ein /64-Netz bekannt gegeben?
Nur damit geht die Zuweisung per EUI64. Bei anderen Größen geht nur manuell oder per DHCPv6.
|
harteknut
(Themenstarter)
Anmeldungsdatum: 9. Oktober 2007
Beiträge: 213
|
Danke, das ging schnell!
Könntest Du mir noch einen Hinweis geben, wie ich mit Wireshark rausbekomme, ob Router Solicitation und Router Advertisement kommen?
Ein /64-Netz scheint es zu geben, zumindest behauptet das die Fritze.
Darf ich aber nochmal ganz doof fragen: Brauche ich gar kein DHCPv6, wenn die Zuweisung per EUI64 tut?
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17657
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Zeige mal ip a , wenn es funktioniert. Dann siehst du, was für ein Netz du da hast.
Mit Wireshark mitschneiden und ggf. filtern nach icmpv6.
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8625
Wohnort: Münster
|
Ein DHCPv6-Server sollte normalerweise nur das Präfix und die DNS-Server verteilen, keine individuellen IPv6-Adressen.
|
harteknut
(Themenstarter)
Anmeldungsdatum: 9. Oktober 2007
Beiträge: 213
|
ip a sagt in etwa: 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22 | 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp2s0f0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
link/ether 8c:8c:a0:55:20:e6 brd ff:ff:ff:ff:ff:ff
3: enp5s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
link/ether 8c:8c:a0:55:20:e5 brd ff:ff:ff:ff:ff:ff
4: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether e0:d4:64:56:78:a4 brd ff:ff:ff:ff:ff:ff
inet 10.8.15.113/24 brd 10.8.15.255 scope global dynamic noprefixroute wlp3s0
valid_lft 863958sec preferred_lft 863958sec
inet6 2a05:8057:4381:e200:8573:fabf:e560:5047/128 scope global dynamic noprefixroute
valid_lft 7157sec preferred_lft 3557sec
inet6 2a05:8057:4381:e200:c73f:de6b:170e:d5c6/64 scope global temporary dynamic
valid_lft 6952sec preferred_lft 3352sec
inet6 2a05:8057:4381:e200:9fc:2a70:f1aa:dde9/64 scope global dynamic mngtmpaddr noprefixroute
valid_lft 6952sec preferred_lft 3352sec
inet6 fe80::8573:fabf:e50a:4750/64 scope link noprefixroute
valid_lft forever preferred_lft forever
|
Das sieht gut aus, oder? Nur das FFFE finde ich nicht...?
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17657
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
harteknut schrieb:
Das sieht gut aus, oder? Nur das FFFE finde ich nicht...?
Das gibt es auch nur bei Adressen, die per EUI64 generiert werden.
Wenn das nicht gemacht wird (ist nicht zwingend) gibt es keine solche Adresse.
|
harteknut
(Themenstarter)
Anmeldungsdatum: 9. Oktober 2007
Beiträge: 213
|
kann ich das denn irgendwo "anschalten"?
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17657
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
harteknut schrieb: kann ich das denn irgendwo "anschalten"?
Wenn du den Network Manager nutzt geht das unter IPv6 ganz unten.
|
harteknut
(Themenstarter)
Anmeldungsdatum: 9. Oktober 2007
Beiträge: 213
|
ah, cool, gefunden! Ich habe das in den "globalen" Einstellungen gesucht, lässt sich aber scheinbar in Einstellungen für die einzelnen Verbindungen setzen. Habe den "Adresserstellungsmodus" jetzt auf "EUI64" gestellt, dann sehe ich in meiner FE80-Adresse auch wie erwartet die 48bit-MAC-Adresse mit eingeschobenem FFFE.
Damit ins WAN weiterhin private Adressen verwendet werden, habe ich "IPv6-Erweiterungen zum Schutz der Privatsphäre" auf "aktivieren (temporäre Adressen bevorzugen" gestellt. ABER:
Wenn ich die Verbindung deaktiviere / aktiviere, sehe ich auch nur diese LinkLocal-Adresse und keine globale IPv6. Habe versucht, diese mit dem Haken "IPv6-Adressierung zur Fertigstellung dieser Verbindung erforderlich" zu erzwingen, dann kommt allerdings keine Verbindung zu Stande.
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17657
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
harteknut schrieb: ah, cool, gefunden! Ich habe das in den "globalen" Einstellungen gesucht, lässt sich aber scheinbar in Einstellungen für die einzelnen Verbindungen setzen.
Habe den "Adresserstellungsmodus" jetzt auf "EUI64" gestellt, dann sehe ich in meiner FE80-Adresse auch wie erwartet die 48bit-MAC-Adresse mit eingeschobenem FFFE.
ABER:
Wenn ich die Verbindung deaktiviere / aktiviere, sehe ich auch nur diese LinkLocal-Adresse und keine globale IPv6. Habe versucht, diese mit dem Haken "IPv6-Adressierung zur Fertigstellung dieser Verbindung erforderlich" zu erzwingen, dann kommt allerdings keine Verbindung zu Stande.
Gut, dann schnapp dir den Wireshark und schneide mit, was da passiert.
|
harteknut
(Themenstarter)
Anmeldungsdatum: 9. Oktober 2007
Beiträge: 213
|
Hab ich gemacht, weiß nur nicht, wie ich das Ergebnis hier posten kann.
Hier das Filter-Resultat nach "icmpv6": | 13 0.319713345 fe80::e2d4:54ff:fe52:79a1 ff02::16 ICMPv6 110 Multicast Listener Report Message v2
112 3.652128706 fe80::e2d4:54ff:fe52:79a1 ff02::2 ICMPv6 62 Router Solicitation
139 12.141888047 fe80::e2d4:54ff:fe52:79a1 ff02::2 ICMPv6 62 Router Solicitation
174 29.627362503 fe80::e2d4:54ff:fe52:79a1 ff02::2 ICMPv6 62 Router Solicitation
|
Dabei ist fe80::e2d4:54ff:fe52:79a1 die WLAN-Schnittstelle des Laptops. Sieht so aus, als wenn keine Antwort kommt, oder?
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17657
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Jup, es muss vom Router ein Router Advertisement kommen.
34409 8.265325714 fe80::ba45:ccc:bbbb:aaaa ff02::1 ICMPv6 150 Router Advertisement from b8:38:61:xx:xx:xx
So sieht das im Wireshark aus.
|
harteknut
(Themenstarter)
Anmeldungsdatum: 9. Oktober 2007
Beiträge: 213
|
OK, wireshark läuft noch, da kommt kein Router Advertisement... ☹ Damit ich das verstehe: Mit der "Router Solicitation" forder ein neuer Teilnehmer ein "Router Advertisement" an, ist das richtig?
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17657
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
harteknut schrieb: Damit ich das verstehe: Mit der "Router Solicitation" forder ein neuer Teilnehmer ein "Router Advertisement" an, ist das richtig?
Ja, aber der Router sendet periodisch diese RAs auch aus.
Es stimmt was an deinem Router nicht. https://www.elektronik-kompendium.de/sites/net/1902271.htm
|