[HowTo] IPv6 inkl. Subnet für das LAN mit SixXS

[taddaeus]

Hi zusammen,

ich möchte das (ältere) Thema gerne nochmals aufwärmen. Derzeit versuche ich auch ein Subnet mit SixxS aufzubauen. Allerdings scheint bereits der Tunnel nicht stabil zu laufen, wenn kein (ständiger) Datenverkehr darüber läuft.

So zeigt die Statistik bei Sixxs ein Packet Loss von 100% und auch ein Traceroute6 auf mein Tunnelinterface gelingt nicht. Wenn ich dann (von der Box) ein Ping auf eine IPv6-Adresse loslasse funktionieren auch die externen Traceroutes auf mein Interface. Nach ca. 7 Minuten Inaktivität ist aber wieder alles vorbei. Derzeit nutze ich als Workaraound ein Cronjob, welcher alle fünf Minuten ein Pinggewitter lostritt.

Kurz Zur Konfiguration: FRITZ!Box Fon WLAN 7050, Firmware-Version 14.04.33freetz-devel-6954M, Aiccu automatisch

Sind Eure Erfahrungen da ähnlich?

Taddaeus

 

[tasuma]

siehe Ticket #316

Time out der AVM firewall is 5 min also alle 5 min laufen lassen (falls das wirklich hilft)

ps: ipv6 is komplett offen nach außen und innen

 

[Marc-Andre]

Moin!

Also ich kann keine Probleme mit dem IPv6 Tunnel bei mir aus machen. Weder Packetloss noch sonstige Probleme. Ist alles wunderbar stabil und kann via den Tunnel bis zu 2,5 MByte/s Downloaden. Das mit dem nach außen alles offen ist natürlich ein Problem. Wann wird es ne vernünftige Firewall GUI geben?

 

[Beetlejuice]

@Taddaeus: Ist Deine Box, auf der Aiccu läuft, selbst Router oder steht die Box noch hinter einem anderen NAT-Router? Falls letzteres zutrifft, änder bei Sixxs den Tunnel-Typ auf AYIYA statt Heartbeat.

 

[taddaeus]

Ja, die FB ist hinter einer anderen FB303, welche DSL/Router ist. Für die Änderung muß ich aber noch ein wenig warten, denn soviele Punkte habe ich gerade nicht. Ich habe heute nochmal auf die aktuelle trunk-version ein update gemacht, aber auch dabei keine Änderung. Da scheinen aber eh noch ein paar Probleme bei mir zu lauern, denn syslog spuckt alle 10 sec die Fehlermeldung "fritz user.warn kernel: Badness in local_bh_enable at kernel/softirq.c:140" aus. Wobei das wohl ein bekanntes Problem zu sein scheint laut http://freetz.org/ticket/49.

 

[Beetlejuice]

Bei mir läuft Aiccu auch hinter einem anderen Router. Ich hatte auch erst einen Heartbeat-Tunnel eingerichtet, weil es so ja auch in quasi jedem Tutorial so vorgeschlagen wird. Die ganzen Tutorials gehen aber wohl alle davon aus, dass Aiccu auf dem Router, also mit einer öffentlichen IPv4-Adresse läuft. In so einem Fall macht Heartbeat ja auch Sinn, da es weniger Overhead produziert. Wenn aber Aiccu hinter einem anderen Router läuft, dann braucht es genau diesen Overhead, um die Verbindung in beide Richtungen aufrecht zu erhalten. Nur das steht halt nicht in den Standard-Tutorials... Ich habs auch erst näch längerer Zeit und letztlich durch Ausprobieren rausgefunden.

 

[ramik]

Finally I was able to configure my FritzBox with IPv6, tunnel & subnet from sixxs, and Windows 7 now gets an IPv6 addess and can navigate to IPv6 sites.

But i want to ask about security:
The sixxs.net tunnel will let ipv6 users come directly to the inside of my fritz bypassing the fritz firewall? or is it still secure?

I didn't add the ip6tables package to my fritz, just replace kernel, ipv6 support, aiccu and radvd. I will install it tonight.

I tried using the IPv6 portscanner (http://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-port-scanner.php) to check for an open port on my windows, but it said it was close, in IPv4 it is open because it is a port for a local server that i use, that is ipv6 enabled, in some way Fritz is doing a firewall for IPv6?

Thanks

 

[Beetlejuice]

I don't know, if there is any kind of IPv6 firewall on a Fritzbox, which already has IPv6 support in the original AVM firmware. On all other Fritzboxes, which get IPv6 support only with Freetz, there is definitely no IPv6 firewall, as long as you don't install one.

In my opinion, you should install and carefully configure ip6tables on your Fritzbox, otherwise everyone (with IPv6) could access many services of your Box (Freetz-Webif, dnsmasq, dropbear...).

Whether you want to use this firewall then also for filtering traffic for your subnet or you want your clients (Windows-Firewall) to do this job, is your decision.

 

[Sterke-Jerke]

Dies ist ein alte threat nur, doch ein frage:.

Ich habe alles fertig. Tunnel (aiccu) lauft, lan if hat richtige IP. Nur....
radvd gibt kein adressen. Wenn ich mit der hand auf mein windows pc, ipv6 an interface magge, und dan auch noch routing, gehts auf diese PC.

Aber keine von mein PC's bekommt uber radvd ein ipv6 adres.
Habe trunk und 1.2 stable versucht von freetz auf mein 7170..

Nog tips?

(Sorry for my bad German)

 

[Xer0]

7050, Freetz 1.2 mit Sixxs und /64er

Was mich stört... prefix::2 (sixxs-interface) hat ftp und ssh Ports offen
lan darf ja, das hat ja auch eine selbst gewählte Adresse
Hier reicht aber zu wissen das es ein Sixxs-Tunnel ist um ranzukommen

wie schotte ich das sixxs-Interface gegen alles außer Pings ab und zwar:
_ohne_ ip6tables? (passt unmöglich noch ins Image da nicht Auslagerbar)