ICMPv6 SPH

      Hallo und erstmal vielen Dank für die ganze Arbeit die schon in dieses Projekt gesteckt wurde. Hab letzte Woche problemlos meinen SPH gerooted und kann jetzt endlich vernünftig IPv6 mit meiner Opnsense Firewall nutzen. Nun würde ich gerne einige ICMPv6 Nachrichten (insbesondere ping) zulassen. Habe schon ein paar iptables rules getestet, allerdings hat das nicht so wirklich funktioniert. Btw: Wofür steht in der bootstrap_init.sh eigentlich das "ipt" vor iptables? Kann mir jemand etwas Nachhilfe geben?

      Auf test-ipv6.com/ bekomme ich folgenden Fehler:
      Achtung! IPv6 funktioniert mehr oder weniger - jedoch können keine grossen Pakete übertragen werden. Das führt dazu, dass Webseiten welche via IPv6 erreichbar sind, nicht richtig geladen werden können oder lange Wartezeiten entstehen. Fragen Sie bei Ihrem ISP betreffend MTU-Probleme nach, evtl. bezüglich Ihres Tunnels. Überprüfen Sie Ihre Firewall, um sicherzustellen, dass ICMPv6-Nachrichten (insbesondere "Typ 2" oder "Packet Too Big") zulässig sind. [mehr Infos]
      @danXde wenn das ein alias ist dann würde ja 'ipt iptables' und 'ipt ip6tables' aus der fw.sh und fw6.sh zu 'iptables iptables' und 'iptables ip6tables'. Kannst du das noch genauer erklären?

      Habe ich bereits versucht, irgendwie kam der ping aber nicht durch (nur ipv4). Wie muss ich ip6tables denn jetzt genau aufrufen, mit oder ohne ipt davor? Danke
      Danke @danXde, es lag tatsächlich an /opt/bin/dhcp6update.sh, dort muss folgende Zeile auskommentiert werden:

      Quellcode

      1. ip6tables -A FORWARD_PREFIX ! -s $FULLPREFIX -i br0 -j REJECT --reject-with icmp6-dst-unreachable



      cat /opt/bin/icmp6.sh

      Shell-Script

      1. #!/bin/sh
      2. # allow ipv6 ping
      3. /bin/ip6tables -D FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m icmp6 --icmpv6-type 128 -j DROP
      4. /bin/ip6tables -D FORWARD_FIREWALL -p icmpv6 -j REJECT --reject-with icmp6-addr-unreachable

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „root“ ()

      Leider bekomme ich auf test-ipv6.com/index.html.de_DE immer noch den Fehler:
      Achtung! IPv6 funktioniert mehr oder weniger - jedoch können keine grossen Pakete übertragen werden. Das führt dazu, dass Webseiten welche via IPv6 erreichbar sind, nicht richtig geladen werden können oder lange Wartezeiten entstehen. Fragen Sie bei Ihrem ISP betreffend MTU-Probleme nach, evtl. bezüglich Ihres Tunnels. Überprüfen Sie Ihre Firewall, um sicherzustellen, dass ICMPv6-Nachrichten (insbesondere "Typ 2" oder "Packet Too Big") zulässig sind.
      Es liegt anscheinend nicht am Speedport, mit Windows Clients bekomme ich keinen Fehler angezeigt. Bei Android und Linux bleibt der Fehler.

      Edit: Wenn ich bei meinem DHCPv6 Server auf der Opnsense die AdvLinkMTU auf 1280 stelle läufts. Mit 1384 (des öfteren hier im Forum gelesen) nicht.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „root“ ()

      root schrieb:

      Wenn ich bei meinem DHCPv6 Server auf der Opnsense die AdvLinkMTU auf 1280 stelle läufts. Mit 1384 (des öfteren hier im Forum gelesen) nicht

      Das verwundert nicht... die 1384, da ging's um ein anderes (IPv4-)Problem.

      1280 ist allerdings in solchen Fällen immer die sichere Wahl: das ist die Paket-Größe, die jedes IPv6-fähige Device ohne Fragmentierung verarbeiten können muß - also garantiert nie 'Packet to Big' und deshalb kein ICMPv6 nötig...
      (und das wurde hier im Forum auch schon an unendlich vielen Stellen beschrieben :D )

      mfg, emkay
      @root ....der SPH baut 2 GRE-Tunnel zum HAAP auf. ...einer über DSL und einer über LTE. Diese haben unterschiedliche MTU-Sizes. ...Daher kann es vorkommen, wenn die Verbindung auf dem größeren aufgebaut wird, und dann aber die Verbindung auf den anderen Tunnel geschwenkt wird, dann passt das max-Pakete auf einmal nicht mehr über den Tunnel. .... war bei VPN-Verbindungen mit gesetztem "don't fragment"-Bit ständig der Fall, so das die VPN-Verbindung zwar aufgebaut wurde, aber dann keine Daten durch den Tunnel durchgingen. ...in den ersten zwei Jahren war die DSL-MTU 1492 und die LTE kleiner und wurde dann auf 1500 erhöht. So tritt das Problem jetzt selterner auf.

      ICMP für IPv4 kannste im fw.sh einfach durch Aktivierung der beiden Zeilen freischalten.

      Grüße

      danXde