ICMPv6 SPH

      Hallo und erstmal vielen Dank für die ganze Arbeit die schon in dieses Projekt gesteckt wurde. Hab letzte Woche problemlos meinen SPH gerooted und kann jetzt endlich vernünftig IPv6 mit meiner Opnsense Firewall nutzen. Nun würde ich gerne einige ICMPv6 Nachrichten (insbesondere ping) zulassen. Habe schon ein paar iptables rules getestet, allerdings hat das nicht so wirklich funktioniert. Btw: Wofür steht in der bootstrap_init.sh eigentlich das "ipt" vor iptables? Kann mir jemand etwas Nachhilfe geben?

      Auf test-ipv6.com/ bekomme ich folgenden Fehler:
      Achtung! IPv6 funktioniert mehr oder weniger - jedoch können keine grossen Pakete übertragen werden. Das führt dazu, dass Webseiten welche via IPv6 erreichbar sind, nicht richtig geladen werden können oder lange Wartezeiten entstehen. Fragen Sie bei Ihrem ISP betreffend MTU-Probleme nach, evtl. bezüglich Ihres Tunnels. Überprüfen Sie Ihre Firewall, um sicherzustellen, dass ICMPv6-Nachrichten (insbesondere "Typ 2" oder "Packet Too Big") zulässig sind. [mehr Infos]
      @danXde wenn das ein alias ist dann würde ja 'ipt iptables' und 'ipt ip6tables' aus der fw.sh und fw6.sh zu 'iptables iptables' und 'iptables ip6tables'. Kannst du das noch genauer erklären?

      Habe ich bereits versucht, irgendwie kam der ping aber nicht durch (nur ipv4). Wie muss ich ip6tables denn jetzt genau aufrufen, mit oder ohne ipt davor? Danke
      Danke @danXde, es lag tatsächlich an /opt/bin/dhcp6update.sh, dort muss folgende Zeile auskommentiert werden:

      Quellcode

      1. ip6tables -A FORWARD_PREFIX ! -s $FULLPREFIX -i br0 -j REJECT --reject-with icmp6-dst-unreachable


      Alle anderen Änderungen für ICMP habe ich in ein Script gepackt:
      cat /opt/bin/icmp.sh

      Shell-Script

      1. #!/bin/sh
      2. # allow ipv4 ping
      3. /opt/bin/iptables -D INPUT_FIREWALL ! -i br0 -p all -j DROP
      4. /opt/bin/iptables -A INPUT_FIREWALL ! -i br0 -p icmp -j ACCEPT
      5. /opt/bin/iptables -A INPUT_FIREWALL -p 41 -j ACCEPT
      6. /opt/bin/iptables -A INPUT_FIREWALL ! -i br0 -p all -j DROP
      7. # allow ipv6 ping
      8. /bin/ip6tables -D FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m icmp6 --icmpv6-type 128 -j DROP
      9. /bin/ip6tables -D FORWARD_FIREWALL -p icmpv6 -j REJECT --reject-with icmp6-addr-unreachable

      Leider bekomme ich auf test-ipv6.com/index.html.de_DE immer noch den Fehler:
      Achtung! IPv6 funktioniert mehr oder weniger - jedoch können keine grossen Pakete übertragen werden. Das führt dazu, dass Webseiten welche via IPv6 erreichbar sind, nicht richtig geladen werden können oder lange Wartezeiten entstehen. Fragen Sie bei Ihrem ISP betreffend MTU-Probleme nach, evtl. bezüglich Ihres Tunnels. Überprüfen Sie Ihre Firewall, um sicherzustellen, dass ICMPv6-Nachrichten (insbesondere "Typ 2" oder "Packet Too Big") zulässig sind.