ubuntuusers.de

Habe heute Vormittag in einer KVM einen UbuntuServer 26.04 installiert. Das netlaufwerk des Clients ist als Macvtab-Device eingerichtet.

Die

root@ubuntu26-04server:~# cat /etc/netplan/00-installer-config.yaml 
# This is the network config written by 'subiquity'
network:
  ethernets:
    enp1s0:
      dhcp4: true
      dhcp6: true
      match:
        macaddress: 52:54:00:f3:c9:5e
      set-name: enp1s0
  version: 2
root@ubuntu26-04server:~# 

ist von mir nicht editiert worden.

Wie man sieht ist dhcp6 konfiguriert.

root@ubuntu26-04server:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute 
       valid_lft forever preferred_lft forever
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:54:00:f3:c9:5e brd ff:ff:ff:ff:ff:ff
    altname enx525400f3c95e
    inet 192.168.0.21/27 metric 100 brd 192.168.0.31 scope global dynamic enp1s0
       valid_lft 6123sec preferred_lft 6123sec
    inet6 2001:aaa:bbbb:cf02::1002/128 scope global dynamic noprefixroute 
       valid_lft 6125sec preferred_lft 3425sec
    inet6 fe80::5054:ff:fef3:c95e/64 scope link proto kernel_ll 
       valid_lft forever preferred_lft forever
root@ubuntu26-04server:~#

Der Server hat auch eine Ipv6-Adresse (2001:aaa:bbbb:cf02::1002) per dhcp6 bezogen.

Somit sieht eigentlich alles richtig aus. Nun kommt aber das merkwürdige:

Weder ein:

root@ubuntu26-04server:~# ping6 google.com
PING google.com (2a00:1450:4001:c21::66) 56 data bytes
^C
--- google.com ping statistics ---
10 packets transmitted, 0 received, 100% packet loss, time 9244ms

root@ubuntu26-04server:~#

noch

root@ubuntu26-04server:~# traceroute google.com
traceroute to google.com (2a00:1450:400a:1000::65), 30 hops max, 80 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * *^C
root@ubuntu26-04server:~#

klappen.

An der Firewall kann es nicht liegen. Ausgehend ist IPv6 nicht eingeschränkt. Ein parallel auf dem selben Host installierter Debian13-Server mit Netzwerkonfiguration über die /etc/network/interfaces kann traceroute google.com und ping6 google.com problemlos auflösen.

Was kann ich tun?

ip -6 r s

Zudem ist die nächste Frage, ob die Adresse passt, also soll er genau diese Adresse bekommen und stimmen da auch wirklich alle Zeichen?

root@ubuntu26-04server:~# ip -6 r s
2001:9e8:6d20:cf02::/64 dev enp1s0 proto ra metric 100 expires 86293sec pref high
fe80::/64 dev enp1s0 proto kernel metric 256 pref medium
default nhid 2546939267 via fe80::5054:ff:fee9:673d dev enp1s0 proto ra metric 100 expires 1693sec pref high
root@ubuntu26-04server:~#

Verstehe die Frage nicht. Der DHCPv6-Server hat die Adresse vergeben. Mir ist erstmal egal welche das ist.

Und nein, aaa.bbbb ist da drin wegen Anonymisierung.

Nachtrag: eine bestimmte IP-Adresse (auch nicht bei IPv4) zuweisen geht eh nicht. weil dieser Netplan-Kram nicht die Mac-Adresse verwendet sondern irgendeine ID, von der ich nicht weiß wie man die heraus findet.

Dann mal ein

ping fe80::5054:ff:fee9:673d%enp1s0

Wenn das nicht geht, gibt es ein Problem mit dem Router.

Der DHCPv6-Server muss eine Adresse aus dem richtigen Bereich vergeben, in deinem Fall 2001:9e8:6d20:cf02::/64. Wie ist deine Konstellation? Was für ein Router ist das und wie bekommt der das Präfix?

root@ubuntu26-04server:~# ping fe80::5054:ff:fee9:673d%enp1s0
PING fe80::5054:ff:fee9:673d%enp1s0 (fe80::5054:ff:fee9:673d%enp1s0) 56 data bytes
64 bytes from fe80::5054:ff:fee9:673d%enp1s0: icmp_seq=1 ttl=64 time=1.11 ms
64 bytes from fe80::5054:ff:fee9:673d%enp1s0: icmp_seq=2 ttl=64 time=1.20 ms
64 bytes from fe80::5054:ff:fee9:673d%enp1s0: icmp_seq=3 ttl=64 time=1.70 ms
64 bytes from fe80::5054:ff:fee9:673d%enp1s0: icmp_seq=4 ttl=64 time=1.68 ms
^C
--- fe80::5054:ff:fee9:673d%enp1s0 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 1.109/1.423/1.702/0.270 ms
root@ubuntu26-04server:~# 

Der Router ist erreichbar. Bleiben die anderen Fragen...

Du meinst vermutlich der Ipv6 Network Prefix (erste 64Bit der Ipv6 Adresse) muss passen und das tut er.

Der host hat

inet6 2001:aaa:bbbb:cf02::1001

Der Client (Zburu26.04Server hat

inet6 2001:aaa:bbbb:cf02::1002

statt aaa:bbbb steht da etwas anderes aber dieses andere ist bei Host und Client identisch und das was der DHCP-Server als V6-Präfix für das Subnetz abgeleitet hat.

Gut, dann die die Frage, was das für ein Router ist. Ist dort ggf. eine Firewall aktiv?

pfsense, mit IPv6-Präfix Delegation und ja, Firewall ist natürlich aktiv, aber sicher nicht die Ursache da ausgehend nix verboten ist.

Dann musst du da jetzt prüfen, ob IPv6-Routing aktiv ist (wenn es das nicht ist wird i.d.R. der Traffic verworfen). Ebenfalls die Firewall prüfen und Logs aktivieren. Auch reject mit ICMP statt drop ist für die Diagnose hilfreich.

Ebenfalls kannst du dort man nen Paketmitschnitt machen und schauen, ob die Pakete vom Rechner überhaupt ankommen.

Zu prüfen wäre auch, ob fe80::5054:ff:fee9:673d der pfsense auf dem Interface zugeteilt ist, das mit deinem Rechner verbunden ist.

Also die Firewall-Rules können vorerst außer Betracht bleiben.

Hier ein Test mit einem anderen Server (Debian13) der sich im selben LAN-Segment wie der Ubutu26.04Server befindet. Daher geht der Traffic dieses Testes nicht über die FW.

root@Debian13VM:~# ping6 2001:aaa:bbbb:cf02::1002
PING 2001:aaa:bbbb:cf02::1002 (2001:aaa:bbbb:cf02::1002) 56 data bytes
From 2001:aaa:bbbb:cf02:5054:ff:fe76:c8a5 icmp_seq=1 Destination unreachable: Address unreachable
From 2001:aaa:bbbb:cf02:5054:ff:fe76:c8a5 icmp_seq=2 Destination unreachable: Address unreachable
From 2001:aaa:bbbb:cf02:5054:ff:fe76:c8a5 icmp_seq=3 Destination unreachable: Address unreachable
^C
--- 2001:aaa:bbbb:cf02::1002 ping statistics ---
6 packets transmitted, 0 received, +3 errors, 100% packet loss, time 5100ms

root@Debian13VM:~#

Wie man unschwer erkennt ist der Ubuntu-Server nicht erreichbar, bzw. antwortet nicht. Erster Verdacht wäre natürlich die ufw.

root@ubuntu26-04server:~# ufw status 
Status: inactive
root@ubuntu26-04server:~#

die ist aber gar nicht aktiv.

Und jetzt das total Verrückte. Während ich das hier nun schreibe, geht es plötzlich. Ich schwöre, ich habe weder auf der pfsense noch an der ufw etwas geändert. lediglich deren Status abgefragt.

root@ubuntu26-04server:~# traceroute google.com
traceroute to google.com (2a00:1450:4001:c13::64), 30 hops max, 80 byte packets
 1  2001:aaa:bbbb:cf02:5054:ff:fee9:673d (2001:9e8:6d20:cf02:5054:ff:fee9:673d)  1.573 ms  1.422 ms  1.256 ms
 2  2001:1438::94:134:198:242 (2001:1438::94:134:198:242)  6.072 ms  6.013 ms  6.222 ms
 3  2001:1438::62:214:64:25 (2001:1438::62:214:64:25)  5.910 ms  6.138 ms  6.302 ms
 4  2001:4860:1:1::3923 (2001:4860:1:1::3923)  8.445 ms  7.884 ms  8.178 ms
 5  2001:4860:1:1::3922 (2001:4860:1:1::3922)  8.116 ms  8.048 ms  7.939 ms
 6  2001:4860:0:1::8127 (2001:4860:0:1::8127)  8.160 ms 2001:4860:0:1::81c9 (2001:4860:0:1::81c9)  8.639 ms  8.551 ms
 7  2001:4860:0:1::81cc (2001:4860:0:1::81cc)  8.362 ms  8.772 ms 2001:4860:0:1::81d0 (2001:4860:0:1::81d0)  9.486 ms
 8  2001:4860::c:4001:ebf (2001:4860::c:4001:ebf)  8.572 ms 2001:4860::c:4001:ec6 (2001:4860::c:4001:ec6)  8.511 ms 2001:4860::c:4002:7869 (2001:4860::c:4002:7869)  17.037 ms
 9  * 2001:4860::c:4004:2cee (2001:4860::c:4004:2cee)  14.592 ms  14.503 ms
10  2001:4860::c:4003:364e (2001:4860::c:4003:364e)  16.314 ms 2001:4860::c:4003:364d (2001:4860::c:4003:364d)  16.162 ms 2001:4860::c:4003:364e (2001:4860::c:4003:364e)  16.054 ms
11  2001:4860::1:0:d0c6 (2001:4860::1:0:d0c6)  16.698 ms 2001:4860:0:1::2a84 (2001:4860:0:1::2a84)  16.566 ms 2001:4860::9:4001:31f1 (2001:4860::9:4001:31f1)  16.162 ms
12  2001:4860:0:1::9b5 (2001:4860:0:1::9b5)  16.044 ms 2001:4860:0:1::2ac3 (2001:4860:0:1::2ac3)  15.132 ms 2001:4860:0:1::7a44 (2001:4860:0:1::7a44)  16.352 ms
13  2001:4860:0:1::7a44 (2001:4860:0:1::7a44)  16.254 ms * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  wt-in-f100.1e100.net (2a00:1450:4001:c13::64)  15.871 ms * *
root@ubuntu26-04server:~# 

NurNochDebianUser schrieb:

... weil dieser Netplan-Kram nicht die Mac-Adresse verwendet sondern irgendeine ID, von der ich nicht weiß wie man die heraus findet.

Du kannst dir Infos zu dieser ID anzeigen lassen, mit z. B.:

ip nexthop get id 2546939267

EDIT:

BTW: Evtl. auch die Ausgabe von:

nft list ruleset

anschauen.

root@ubuntu26-04server:~# nft list ruleset
root@ubuntu26-04server:~#

Da kommt nix. Und

root@ubuntu26-04server:~# ip nexthop get id 2546939267
id 2546939267 via fe80::5054:ff:fee9:673d dev enp1s0 scope link proto ra 
root@ubuntu26-04server:~#

verrät mir auch nicht wie ein dchp-server nun ohne MAC meinem Server eine feste IP zuweisen soll. Das wirft doch nur die Link-Local IPv6 Unicast Adresse aus.

Inzwischen hab ich aber gesehen, das man mittels

dhcp-identifier: mac

in der /etc/netplan/00-installer-config.yaml Netplan dazu zwingen kann, eben doch die MAC zur Anmeldung am DHCP-Server zu verwenden und nicht diese geheimnisvolle ID.

Ich habe weitere Erkenntnisse zum Problem mit der bockigen IPv6-Verbindung

Das Problem, das bei Nutzung eines Macvtab-Devices zwar vom DHCP-Server eine IPv6-Adresse bezogen wird, dennoch ausgehend, wie eingehend zunächst keine IPv6-Verbindungen aufgebaut werden können, ist reproduzierbar nach jedem Systemstart / Reboot vorhanden.

Das Problem kann beendet werden, wenn man von dem Server aus, der auch der DHCPv6-Server ist den Ubuntu Server mit ping6 und dessen IPv6-Adressen (GUA und LLA) anpingt. Danach dann gehen auch Ping6 z.B. zu google.com raus.

Debian13-Server auf dem selben Host wie der Ubuntu26.04-Server ebenfalls mit Macvtab-Device las LAN haben dieses Problem nicht.

Ich habe den Ubuntu26.04-Server nun testweise am LAN statt mit Macvtab-Device nun mit einem Bridge-Device verbunden. Mit Bridge-Device gibt es das beschriebene und reproduzierbare Problem nicht mehr.

Somit ist das Problem zwar wirksam umschifft aber nicht gelöst.

NurNochDebianUser schrieb:

... den Ubuntu Server mit ping6 und dessen IPv6-Adressen (GUA und LLA) anpingt. Danach dann gehen auch Ping6 z.B. zu google.com raus.

Hast Du auf dem Ubuntu-Server:

1

net.ipv6.conf.all.forwarding=1

und

1

ip6tables -t nat -I POSTROUTING 1 -o <output-Interface> -j MASQUERADE  # oder gleichwertig mit nftables

persistent konfiguriert? (output-Interface anpassen und ohne spitze Klammern).

EDIT:

Was Du noch probieren kannst, ist mit einem cronjob (z. B. jede 2. Minute) und mit ndptool (oder mit ndsend) vom Ubuntu-Server unaufgeforderte NAs an alle Geräte im selben physischen Netzwerkabschnitt zu senden oder nur an die globale IPv6-Adresse von deiner v6-Firewall/Router.