Ich versuche etwas erfolglos meinem kleinen Netzwerk IPv6 mit einer Fritzbox beizubringen. Leider finde ich kein Howto, wo das für mich verständlich beschrieben steht.
der Server hat Zugriff über die Fritzbox auf IPv6:
1 2 3 4 5 | #ping6 google.com PING google.com(fra07s63-in-x200e.1e100.net (2a00:1450:4001:80e::200e)) 56 data bytes 64 bytes from fra07s63-in-x200e.1e100.net (2a00:1450:4001:80e::200e): icmp_seq=1 ttl=119 time=111 ms 64 bytes from fra07s63-in-x200e.1e100.net (2a00:1450:4001:80e::200e): icmp_seq=2 ttl=119 time=80.3 ms 64 bytes from fra07s63-in-x200e.1e100.net (2a00:1450:4001:80e::200e): icmp_seq=3 ttl=119 time=89.1 ms |
und kann auch einen client erreichen.
1 2 3 4 | ping6 fd00::2:35a0:6fb5:b9d6:924 PING fd00::2:35a0:6fb5:b9d6:924(fd00::2:35a0:6fb5:b9d6:924) 56 data bytes 64 bytes from fd00::2:35a0:6fb5:b9d6:924: icmp_seq=1 ttl=64 time=0.873 ms 64 bytes from fd00::2:35a0:6fb5:b9d6:924: icmp_seq=2 ttl=64 time=0.399 ms |
der client kann den Server auch erreichen:
1 2 3 4 5 | ping -6 fd00::2:dea6:32ff:feb3:ff62 Ping wird ausgeführt für fd00::2:dea6:32ff:feb3:ff62 mit 32 Bytes Daten: Antwort von fd00::2:dea6:32ff:feb3:ff62: Zeit<1ms Antwort von fd00::2:dea6:32ff:feb3:ff62: Zeit<1ms |
aber vom Client aus eine beliebige andere Adresse erhalte ich Fehler:
1 2 3 4 5 | ping -6 fd00::dea6:32ff:feb3:ff62 Ping wird ausgeführt für fd00::dea6:32ff:feb3:ff62 mit 32 Bytes Daten: PING: Fehler bei der Übertragung. Allgemeiner Fehler. PING: Fehler bei der Übertragung. Allgemeiner Fehler. |
meine netplan config
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 | network: version: 2 renderer: networkd ethernets: #default lan (vlan1) eth0: addresses: - fd00::dea6:32ff:feb3:ff62/64 - 192.168.178.10/24 routes: - to: 0.0.0.0/0 via: 192.168.178.1 - to: ::/0 via: fd00::2e3a:fdff:fef4:356a nameservers: addresses: [127.0.0.53] vlans: vlan2: id: 2 link: eth0 addresses: - fd00::2:dea6:32ff:feb3:ff62/64 - 192.168.172.10/24 |
und die ip-firewall mit dem forwarding
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 | LAN_NET6=fd00::/56 PAPA_NET6=fd00:0:0:2::/64 # Extranet WAN_IF=eth0 # Intranet LAN_IF=eth0 # Das Regelwerk loeschen $DEBUG && echo "IPv6 Firewall-Rules löschen" ip6tables -F ip6tables -X # Eine Policy definieren $DEBUG && echo "IPv6 Firewall-Policys definieren: alles löschen" #ip6tables -P INPUT DROP #ip6tables -P FORWARD DROP #ip6tables -P OUTPUT DROP # Forwarding für alle verwendeten Schnittstellen im lokalen Netz aktivieren $DEBUG && echo "Forward lokales Netzwerk auf Internet erlauben" ip6tables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT ip6tables -A FORWARD -o $WAN_IF -s $LAN_NET6 -m conntrack --ctstate NEW -j ACCEPT ip6tables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT ip6tables -I FORWARD -i $PAPA_IF -j ACCEPT # Loopback-Kommunikation erlauben $DEBUG && echo "IPv6 Firewall Loopback erlauben" ip6tables -A INPUT -i lo -j ACCEPT ip6tables -A OUTPUT -o lo -j ACCEPT # Stateful Inspection aktivieren $DEBUG && echo "IPv6 SPI (Stateful Packet Inspection) aktivieren" ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT ip6tables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Antispoofing $DEBUG && echo "IPv6 Antispoofing (interne Adresse über Internet)" ip6tables -A INPUT ! -i lo -s ::1/128 -j DROP ip6tables -A INPUT -i $WAN_IF -s FD00::/7 -j DROP ip6tables -A FORWARD -s ::1/128 -j DROP ip6tables -A FORWARD -i $WAN_IF -s FD00::/7 -j DROP # Tunnel-Praefixe blocken $DEBUG && echo "IPv6 Firewall Toredo sperren" ip6tables -A INPUT -s 2002::/16 -j DROP ip6tables -A INPUT -s 2001:0::/32 -j DROP ip6tables -A FORWARD -s 2002::/16 -jDROP ip6tables -A FORWARD -s 2001:0::/32 -j DROP # IPv6 in IPv4 blocken $DEBUG && echo "IPv6 in IPv4 sperren" iptables -A INPUT -p 41 -j DROP iptables -A FORWARD -p 41 -j DROP # DNS-Traffic $DEBUG && echo "IPv6 DNS nur vom lokalen Netz erlauben" ip6tables -A INPUT -i $LAN_IF -s $LAN_NET6 -p udp --dport 53 -j ACCEPT ip6tables -A FORWARD -i $LAN_IF -s $LAN_NET6 -p udp --dport 53 -j ACCEPT ip6tables -A OUTPUT -p udp --dport 53 -j ACCEPT # Web und Mail aus dem LAN $DEBUG && echo "IPv6 HTTP,HTTPS,Mail forward aus dem Internet erlauben" ip6tables -A FORWARD -i $LAN_IF -s $LAN_NET6 -p tcp -m multiport --dport 25,80,443 -j ACCEPT |
Bin für jeden Tipp sehr dankbar.