Eigener AFTR auf VServer

Alles, was in kein anderes Forum passt, gehört hier rein.
Antworten
Ferranti
Kabelneuling
Beiträge: 12
Registriert: 22.09.2018, 20:07

Eigener AFTR auf VServer

Beitrag von Ferranti » 22.09.2018, 21:04

Hallo zusammen,

ich wollte mal fragen, ob jemand hier schon erfolgreich einen eigenen AFTR auf einem VServer in Betrieb genommen hat?
https://www.isc.org/downloads/lwds-lite ... tup-guide/

Für meine VServer habe ich eine zweite IPv4 Adresse, die ich bisher über einen OpenVPN-Tunnel genutzt habe.

Grüße
Ferranti

tobsen
Übergabepunkt
Beiträge: 255
Registriert: 22.02.2015, 23:21
Wohnort: NRW 58...

Re: Eigener AFTR auf VServer

Beitrag von tobsen » 22.09.2018, 22:39

Ne, aufgesetzt habe ich sowas noch nicht.
Wozu einen eigenen AFTR-Gateway schaffen? Einfach um es mal gemacht zu haben oder hast du ein konkretes Ziel?

Wenn du deinen eigenen Endpunkt für IP4-IP6 haben willst, dann brauchst du den ganzen DHCP-Kram, der dort in dem Guide beschrieben ist gar nicht. Im Grunde würde dir ein einfacher IPIP6 Endpunkt auf deinem vServer reichen. DHCP, IP6-Präfix, etc erledigt ja alles UM schon für dich auf der Anschlussseite. Bei deinem vServer reicht eine einfache statische IP4 sowie statische IP6 (wobei man oft ein ganzes /64 vom Hoster bekommt). Dann einfach die Pakete, die über den Tunnel reinkommen per IPtables mit masquerade auf das IP4 Interfaces routen.

Viel interessanter fände ich es, wenn man eine Art Load-Balancing machen könnte aus einem Pool von AFTR-Gateways. :hammer:
grundsätzlich wäre es ja möglich mit mehreren virtuellen Interfaces auf der WAN Seite eine Verbindung zu mehreren AFTR aufzubauen. Man müsste nur noch eine Möglichkeit finden, wie man die Auslastung feststellen kann. :kratz: :confused:
Eigenes China-CMTS für TC4400 update und andere spielerein
Aktuell Update-Möglichkeit für TC4400 auf SR701240-180627

UM-Anschluss 2play 100 mit Telefon-Comfort
MikroTik RB2011, MikroTik CSS326-24G-2S+RM, MikroTik DualBand CAPs, FreeNAS Storage mit 6TB

Wechseler
Übergeordneter Verstärkerpunkt
Beiträge: 546
Registriert: 06.02.2018, 03:54

Re: Eigener AFTR auf VServer

Beitrag von Wechseler » 23.09.2018, 17:51

tobsen hat geschrieben:
22.09.2018, 22:39
Wozu einen eigenen AFTR-Gateway schaffen?
AFTR (DS-Lite) kann fast jeder IPv6-fähige Router. Irgendwelche (VPN-)Tunnel erfordern wieder Spezialequipment.
Bild
Hardware: Technicolor TC4400 / Zyxel Speedlink 5501 | Linksys WRT1200AC (OpenWrt 17.04) | Gigaset C430 IP | Cisco SPA112

MartinP_Do
Glasfaserstrecke
Beiträge: 1895
Registriert: 26.01.2016, 11:50
Wohnort: Ruhrgebiet

Re: Eigener AFTR auf VServer

Beitrag von MartinP_Do » 24.09.2018, 06:35

Wechseler hat geschrieben:
23.09.2018, 17:51
tobsen hat geschrieben:
22.09.2018, 22:39
Wozu einen eigenen AFTR-Gateway schaffen?
AFTR (DS-Lite) kann fast jeder IPv6-fähige Router. Irgendwelche (VPN-)Tunnel erfordern wieder Spezialequipment.
Es gibt ja verschiedene Motivationen, einen eigenen AFTR betreiben zu wollen.

1) Man ist mit Durchsatz und Latenz der Unitymedia AFTRs nicht zufrieden.
2) Man will keineIPv4 Adresse aus dem AFTR-Pool haben.
3) Man braucht eine von außen erreichbare IPv4 Adresse.

Ob es jetzt Aufwändiger ist, auf den VServer einen AFTR einzurichten, oder auf der heimischen Hardware die V4V6 Tunnel einzurichten, weiß ich nicht. Weiterhin, ob (3) mit einem eigenen AFTR möglich ist auch nicht ...
FB 6490 von UM (Fw 6.88) * CASA CMTS * 2Play PLUS 100 * DSLite * Telefon Komfort * LevelOne GSW 0807 8-port switch

tobsen
Übergabepunkt
Beiträge: 255
Registriert: 22.02.2015, 23:21
Wohnort: NRW 58...

Re: Eigener AFTR auf VServer

Beitrag von tobsen » 25.09.2018, 15:33

Wechseler hat geschrieben:
23.09.2018, 17:51
AFTR (DS-Lite) kann fast jeder IPv6-fähige Router. Irgendwelche (VPN-)Tunnel erfordern wieder Spezialequipment.
Naja bei Leuten mit vServer und dem Antrieb ein eigenes AFTR-Gateway bauen zu wollen, gehe ich erstmal davon aus, dass die sich Zuhause auch nicht mit einer CB zufrieden geben :winken: :D
MartinP_Do hat geschrieben:
24.09.2018, 06:35
1) Man ist mit Durchsatz und Latenz der Unitymedia AFTRs nicht zufrieden.
Deswegen auch die Idee mit dem Loadbalancing :zwinker: :D
MartinP_Do hat geschrieben:
24.09.2018, 06:35
3) Man braucht eine von außen erreichbare IPv4 Adresse.
Naja die IP4 ist auch beim UM AFTR erreichbar. Allerdings weiss ja der AFTR nicht genau zu welchem Anschluss/zu welcher IP6 du von außen willst.
Selbst bei nur einem Client/einer Route hinterm privaten AFTR weiss ich nicht, ob man das entsprechend konfigurieren kann
MartinP_Do hat geschrieben:
24.09.2018, 06:35
uf der heimischen Hardware die V4V6 Tunnel einzurichten,
.
Wenn der Router zuhause einen IPIP6-Tunnel kann, dann kannst du damit auch ganz normal auf einen beliebigen UM AFTR connecten und darüber dann mit IP4 surfen :hammer:
Eigenes China-CMTS für TC4400 update und andere spielerein
Aktuell Update-Möglichkeit für TC4400 auf SR701240-180627

UM-Anschluss 2play 100 mit Telefon-Comfort
MikroTik RB2011, MikroTik CSS326-24G-2S+RM, MikroTik DualBand CAPs, FreeNAS Storage mit 6TB

MartinP_Do
Glasfaserstrecke
Beiträge: 1895
Registriert: 26.01.2016, 11:50
Wohnort: Ruhrgebiet

Re: Eigener AFTR auf VServer

Beitrag von MartinP_Do » 25.09.2018, 16:16

tobsen hat geschrieben:
25.09.2018, 15:33
Wenn der Router zuhause einen IPIP6-Tunnel kann, dann kannst du damit auch ganz normal auf einen beliebigen UM AFTR connecten und darüber dann mit IP4 surfen :hammer:
Was dann wieder ggfs. AFTR-Überlastungs-Symptome bedeutet, und wild rollierende Ports bei den Internet-Verbindungen...

Irgendwann gab es man einen 'CT-Artikel zum Thema der Erreichbarkeit eines Servers im Heimnetz an einem DSLite Anschluss von einem IPv4 only Smartphone im Mobilnetz.

https://www.heise.de/ct/ausgabe/2018-2- ... 30006.html

Aber bei den meisten Miet-VServern gibt es ja auch Traffic-Begrenzungen. Von da her kann es schon teuer werden, ALLES über den Mietserver umzuleiten ...
FB 6490 von UM (Fw 6.88) * CASA CMTS * 2Play PLUS 100 * DSLite * Telefon Komfort * LevelOne GSW 0807 8-port switch

Ferranti
Kabelneuling
Beiträge: 12
Registriert: 22.09.2018, 20:07

Re: Eigener AFTR auf VServer

Beitrag von Ferranti » 03.10.2018, 14:59

Hallo zusammen,

ich habe jetzt mal auf meinem VServer einen ipip6 Tunnelendpunkt eingerichtet.
mytun: ip/ipv6 remote 2a02:908:1200:xxxx:yyyy local 2a03:4000:7:aaaa:bbbb encaplimit none hoplimit 64 tclass 0x00 flowlabel 0x00000 (flowinfo 0x00000000)

Beim meinem OpenWRT-Router (18.06.1) habe ich als AFTR nun die IPv6 Adresse 2a03:4000:7:aaaa:bbbb angegeben (statt der UM-AFTR IPv6 Adresse).
Mit dem tcpdump sehe ich auf dem OpenWRT-Router auch, dass IPv4 über den ipip6-Tunnel an 2a03:4000:7:aaaa:bbbb nach draußen geht.

Es kommt aber an 2a03:4000:7:aaaa:bbbb (auf dem VServer) nichts an ?!?!
Selbst ein tcpdump auf dem einzigen Interface des VServer (eth0) zeigt keinerlei eingehende IPv6-Pakete. Der Destination Option Header ist deaktiviert (encaplimit none).
Anpingen per IPv6 kann ich den VServer. Bin auch per SSH über IPv6 auf ihm eingeloggt.

Kann es sein, dass UM solche Tunnel nicht durchlässt?
Bin gerade etwas ratlos...

Benutzeravatar
Torsten1973
Glasfaserstrecke
Beiträge: 1368
Registriert: 07.03.2018, 16:48
Wohnort: Gelsenkirchen

Re: Eigener AFTR auf VServer

Beitrag von Torsten1973 » 03.10.2018, 16:33

Wenn ich das richtig verstehe, kann an einem Server HINTER deinem Modem ja auch nix per IPv4 ankommen, da das Modem ja nur per IPv6 angebunden ist. Ergo muss der Traffic per IPv6 ankommen und dann erst in IPv4 umgewandelt werden, anders wirds nicht klappen. Oder hab ich da jetzt nen Denkfehler?
Bild

Ferranti
Kabelneuling
Beiträge: 12
Registriert: 22.09.2018, 20:07

Re: Eigener AFTR auf VServer

Beitrag von Ferranti » 03.10.2018, 18:05

Hallo @Torsten1973,

Mein Router hat eine IPv6 Anbindung. Er befindet sich hinter dem TC4400. Es klappt ja auch alles mit dem Unitymedia-AFTR.
Die Einrichtung auf meinem OpenWRT-Router ist nicht das Problem.

Ich habe jetzt bei meinem VServer-Anbieter angefragt, ob die irgendeine Art von Firewalling für IPv6-Tunnel (konkret IPv4 in IPv6 Tunnel gemäß RFC 2473) betreiben.
Die Pakete gehen an der WAN-Schnittstelle ja raus, so wie beim UM-AFTR auch. Aber beim VServer kommt nichts an.

Ich ahne schreckliches....

robert_s
Übergabepunkt
Beiträge: 426
Registriert: 14.05.2018, 21:24

Re: Eigener AFTR auf VServer

Beitrag von robert_s » 03.10.2018, 20:11

Kannst Du mal den kompletten Header (am liebsten "geparset") eines ausgehenden IPv6-Pakets posten? Interessant wäre, was im "Next Header Type" steht, was das "Hop Limit" ist (oben schriebst Du, auf 64 eingestellt, aber zum Abgleich) und wie groß das gesamte Paket ist.

DOCSIS greift ja recht tief in IP ein und sieht auch vor, IPv6-Pakete nach dem "Next Header Type" zu klassifizieren. Insofern wäre es interessant, mal in das DOCSIS configfile reinzuschauen, welches UM bei Dir provisioniert hat...

tobsen
Übergabepunkt
Beiträge: 255
Registriert: 22.02.2015, 23:21
Wohnort: NRW 58...

Re: Eigener AFTR auf VServer

Beitrag von tobsen » 04.10.2018, 10:07

Ferranti hat geschrieben:
03.10.2018, 18:05
Ich ahne schreckliches....
Wo hast du denn deinen vServer stehen?
Ich kenne das nur so, dass jeder selber für das Firewalling auf seinem Server zuständig ist. Egal ob IP4 oder IP6. Egal ob dediziert oder vServer.

Welches Paket nutzt du für den Endpunkt?
Wo hast du definiert, dass die Pakete über eth0/IP4 wieder raus gehen sollen?
Eigenes China-CMTS für TC4400 update und andere spielerein
Aktuell Update-Möglichkeit für TC4400 auf SR701240-180627

UM-Anschluss 2play 100 mit Telefon-Comfort
MikroTik RB2011, MikroTik CSS326-24G-2S+RM, MikroTik DualBand CAPs, FreeNAS Storage mit 6TB

Ferranti
Kabelneuling
Beiträge: 12
Registriert: 22.09.2018, 20:07

Re: Eigener AFTR auf VServer

Beitrag von Ferranti » 04.10.2018, 12:41

Der vServer steht bei Netcup.

Ich habe auch heute die offizielle Bestätigung von denen bekommen, dass IPv6 Tunneling nach RFC2473 von denen nicht unterbunden wird.
(Hätte mich auch gewundert).

Was habe ich gemacht?
Ich wollte nun erstmal testen, dass ich IPv4-in-IPv6-Pakete von meinem VServer zu hause empfangen kann.
Meine Vermutung war (hat sich ja bestätigt), dass den VServer-Betreiber solche Tunnel nicht interessieren.
Es geht bei den folgenden Befehlen darum, IP-in-IP6 Pakete zu generieren. Genauer

[email protected]:~# ip -6 tunnel add mytun mode ipip6 remote <home_ipv6> local <vserver_ipv6> dev eth0 encaplimit none
[email protected]:~# ip link set dev mytun up
[email protected]:~# ip address add 10.0.3.1 dev mytun
[email protected]:~# route add 10.0.3.2 mytun
[email protected]:~# ip -6 tunnel show mode any
ip6tnl0: ipv6/ipv6 remote :: local :: encaplimit 0 hoplimit 0 tclass 0x00 flowlabel 0x00000 (flowinfo 0x00000000)
mytun: ip/ipv6 remote <home_ipv6> local <vserver_ipv6> dev eth0 encaplimit none hoplimit 64 tclass 0x00 flowlabel 0x00000 (flowinfo 0x00000000)

Auf einer anderen Konsole ping ich nun die IPv4 10.0.3.2 an.

[email protected]:~# tcpdump -i eth0 ip6 and not port 22 and not icmp6 -vvv -n
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:14:38.117832 IP6 (flowlabel 0xc9ba0, hlim 64, next-header IPIP (4) payload length: 84) <vserver_ipv6> > <home_ipv6>: IP (tos 0x0, ttl 64, id 35850, offset 0, flags [DF], proto ICMP (1), length 84)
10.0.3.1 > 10.0.3.2: ICMP echo request, id 14824, seq 42, length 64

@robert_s:
Man sieht also, dass ein IPv6-Paket (eth0) auf die Reise geht, das keine IPv6 Extension Header (EH) hat. Nach dem Main-Header folgt direkt der die Payload vom Typ 4 (IPIP-Tunneling).
Dieses Paket kommt auf meinem WAN-Interface am TC4400 nicht an. :traurig:
Frage zum TC4400: wie komme ich an das Docsis Config-File? Sobald das TC4400 eine Verbindung aufgebaut hat, ist es nicht mehr unter 192.168.100.1 zu erreichen.
Ich habe auch mal kurz ein paar DOCSIS-Texte überflogen und gesehen, dass tatsächlich eingestellt werden KANN, welche Protokolle gefiltert werden soll.

Hat mal jemand ein Beispiel DOCSIS Config-File von UM (DS-Lite), das bei einem TC4400 provisioniert wird? Was steht denn da so drin?
Steht dort evtl. etwas von bestimmten Traffic-Klassen oder Flows drin?
Habe selbst 2play mit Komfortoption.

Wie gesagt, mir geht es momentan darum, die Pakete einfach erstmal nur in einer Richtung senden und empfangen zu können.
Momentan kann ich sagen, dass es in keine Richtung funktioniert. Es werden jeweils keine Pakete empfangen.

Zusätzlich werde ich heute Abend nochmal einen Switch mit Port-Mirroring zwischen TC4400 und dem Router hängen, um dann nochmal mit Wireshark zu schauen, was da so los ist.

UPDATE#1: Beim tcpdump filtere ich meine eigene SSH-Session raus. Zusätzlich noch ICMP6 wegen der zig Neighbor Solicitation Nachrichten. Ich hatte ICMP6 auch mal mit drin, um zu sehen, ob irgendein Host auf der Strecke etwas zu meckern hat. Man sieht aber nichts bzgl. des IPIP6-Tunnels. Die Pakete werden schlicht irgendwo auf dem Weg zu mir verschluckt.

robert_s
Übergabepunkt
Beiträge: 426
Registriert: 14.05.2018, 21:24

Re: Eigener AFTR auf VServer

Beitrag von robert_s » 04.10.2018, 21:16

Ferranti hat geschrieben:
04.10.2018, 12:41
Was habe ich gemacht?
Ich wollte nun erstmal testen, dass ich IPv4-in-IPv6-Pakete von meinem VServer zu hause empfangen kann.
Und Du hast mit tcpdump auf dem vserver auch sichergestellt, dass ein ping6 an exakt dieselbe IPv6-Adresse durchkommt (um z.B. Zahlendreher bei der IPv6-Adresse auszuschliessen, oder dass irgendwo nicht bekannt ist, dass diese Adresse auf der LAN-Seite Deines TC4400 zu suchen ist)...?

Kannst Du es mal mit IPv6-in-IPv6 versuchen? Vielleicht wird ja nur der Next Header Type 4 irgendwo unerwartet/wünscht anders behandelt...

Ferranti
Kabelneuling
Beiträge: 12
Registriert: 22.09.2018, 20:07

Re: Eigener AFTR auf VServer

Beitrag von Ferranti » 05.10.2018, 09:41

Danke erstmal für Deine wertvollen Ideen.
robert_s hat geschrieben:
04.10.2018, 21:16
Und Du hast mit tcpdump auf dem vserver auch sichergestellt, dass ein ping6 an exakt dieselbe IPv6-Adresse durchkommt (um z.B. Zahlendreher bei der IPv6-Adresse auszuschliessen, oder dass irgendwo nicht bekannt ist, dass diese Adresse auf der LAN-Seite Deines TC4400 zu suchen ist)...?
Ja, natürlisch. ;) ICMP6-Pings vom Server sehe ich bei mir zuhause.
Das hatte mich aber nochmal auf die Idee gebracht, nicht nur die IPv6-Adresse (DHCPv6 IA_NA) der WAN-Schnittstelle auf dem VServer als "Remote" zu testen, sondern auch mal eine IPv6-Adresse aus dem delegierten Prefix (DHCPv6 IA_PD). ping6 auf die IPv6-Adresse aus dem delegierten Präfix habe ich natürlich auch getestet. Klappt.

Leider das gleiche Ergebnis: die IPv6-Pakete mit verkapselten IPv[4|6]-Paketen kommen nicht durch.

robert_s hat geschrieben:
04.10.2018, 21:16
Kannst Du es mal mit IPv6-in-IPv6 versuchen? Vielleicht wird ja nur der Next Header Type 4 irgendwo unerwartet/wünscht anders behandelt...
Habe ich auch gerade ausprobiert:

Code: Alles auswählen

09:02:14.053790 IP6 (flowlabel 0xc3d72, hlim 64, next-header IPv6 (41) payload length: 104) <ipv6_vserver> <ipv6_homewan>: IP6 (flowlabel 0xc3d72, hlim 64, next-header ICMPv6 (58) payload length: 64) fd9e:21a7:a92c:2323::1 > fd9e:21a7:a92c:2323::2: [icmp6 sum ok] ICMP6, echo request, seq 1974
Leider kommt auch getunneltes IPv6 (next-header 41) nicht durch. :traurig:
GRE übr IPv6 auch nicht (next header 47, RFC7676).

Wireshark am WAN-Port des Routers (mittels Smart Switch und Port-Mirroring, Ingress und Egress) zeigt die Pakete auch nicht. Ein lokales Problem auf dem OpenWRT-Router mit irgendwelchen Firewall-Geschichten kann ich damit ausschließen.

Aktuell stellt es sich für mich so da, dass vermutlich nur bestimmte Protokolle innerhalb von IPv6 an die Ethernet-Schittstelle des TC4400 transportiert werden: mind. aber ICMP6, UDP, TCP.
Vermutlich auch alles rund um IPsec.

Offenbar bleibt wirklich nur das Tunneling in UDP. :gsicht:

Die Frage für mich ist: ist es eine Firewall-Geschichte bei UM? Oder ist es eine DOCSIS-Einstellung am Modem?
Klar, letztendlich ist das gewünschte Ergebnis für UM das Gleiche.

Wechseler
Übergeordneter Verstärkerpunkt
Beiträge: 546
Registriert: 06.02.2018, 03:54

Re: Eigener AFTR auf VServer

Beitrag von Wechseler » 05.10.2018, 12:54

UM hat ja scheinbar sehr seltsame Vorstellung von "transparentem Internetzugang". An meinem DualStack-VDSL-Anschluß gehen jedenfalls alle IP-Protokolle, die es gibt.
Bild
Hardware: Technicolor TC4400 / Zyxel Speedlink 5501 | Linksys WRT1200AC (OpenWrt 17.04) | Gigaset C430 IP | Cisco SPA112

robert_s
Übergabepunkt
Beiträge: 426
Registriert: 14.05.2018, 21:24

Re: Eigener AFTR auf VServer

Beitrag von robert_s » 05.10.2018, 15:38

Ferranti hat geschrieben:
05.10.2018, 09:41
Wireshark am WAN-Port des Routers (mittels Smart Switch und Port-Mirroring, Ingress und Egress) zeigt die Pakete auch nicht. Ein lokales Problem auf dem OpenWRT-Router mit irgendwelchen Firewall-Geschichten kann ich damit ausschließen.

Aktuell stellt es sich für mich so da, dass vermutlich nur bestimmte Protokolle innerhalb von IPv6 an die Ethernet-Schittstelle des TC4400 transportiert werden: mind. aber ICMP6, UDP, TCP.
Vermutlich auch alles rund um IPsec.
Der nächste Analyseschritt wäre etwas aufwändiger: DVB-C Empfänger für den PC besorgen und damit einen DOCSIS-Kanal nach Paketen für die Daten-MAC-Adresse Deines TC4400 (bzw. vermutlich des Routers dahinter?) durchscannen - man kann zwar nicht sehen, was in den Paketen drin ist, aber DASS welche ankommen.

Wenn Du das hinbekommst, dann möglichst allen Traffic an Deinem Anschluss abschalten und auf Deinem vserver ein Script aufsetzen, welches z.B. 5 Sekunden lang Deinen Anschluss mit IPv6-UDP Paketen "beschiesst", dann 5 Sekunden Pause macht, und wieder von vorne. Dann versuchst Du, ob Du dieses Muster mit dem DVB-C Empfänger sehen kannst. Evtl. musst Du es auf anderen Kanälen versuchen (falls Dein Kabelmodem vorrangig auf einem bedient wird) oder die Anzahl UDP-Pakete/s erhöhen (falls die Daten so über alle Kanäle verteilt werden, dass die Datenmenge pro Kanal sonst im "Grundrauschen" untergeht).

Wenn es Dir gelungen ist, mit dem DVB-C Stick zuverlässig nachzuvollziehen, wann der vserver IPv6-UDP Pakete schickt und wann nicht, versuchst Du es mit IPv6-IPv4 oder IPv6-IPv6 Paketen. Wenn Du den Traffic mit dem DVB-C Stick siehst, am LAN-Port des TC4400 aber nicht (hast Du eigentlich beide probiert?), dann verschluckt offenbar das TC4400 den Traffic.

Ist von dem Traffic dagegen auch nichts mit dem DVB-C Stick zu sehen, dann wird er irgendwo vorher geschluckt - wo, kann dann man nicht sagen. Genauso wenig, ob das TC4400 diese Pakete durchliesse, wenn sie denn überhaupt bei ihm ankämen...

Ferranti
Kabelneuling
Beiträge: 12
Registriert: 22.09.2018, 20:07

Re: Eigener AFTR auf VServer

Beitrag von Ferranti » 05.10.2018, 16:39

robert_s hat geschrieben:
05.10.2018, 15:38
Der nächste Analyseschritt wäre etwas aufwändiger: DVB-C Empfänger für den PC besorgen und damit einen DOCSIS-Kanal nach Paketen für die Daten-MAC-Adresse Deines TC4400 (bzw. vermutlich des Routers dahinter?) durchscannen - man kann zwar nicht sehen, was in den Paketen drin ist, aber DASS welche ankommen.
Puh, das ist mir zu aufwendig.
Da würe ich mir lieber mal so ein TC4400-ConfigFile anschauen.
Komme ich da irgendwie ran? Wie erreiche ich das Modem überhaupt, sobald es provisioniert wurde? SNMP?
Hat da jemand Tipps?

Ich habe jetzt erstmal wieder meinen OpenVPN-basierten Tunnel in Betrieb und route die zweite Public-IPv4-Adresse des VServers auf mein TUN-Interface im OpenWRT-Router.
Die MTU ist zwar deutlich kleiner, aber es läuft halt alles.

Vielleicht könnte ja mal jemand mit vollwertigem Dualstack testen, ob dort IPv4-in-IPv6 ankommt.
Nochmal zur Erinnerung: ich habe zwar zuletzt nur noch die Richtung VServer->Home getestet, zuvor hatte ich aber auch schon die andere Richtung getestet. Dort kamen dann am VServer auch keine Pakete an.
Es wird also nicht nur in eine Richtung geblockt.

Benutzeravatar
Andreas1969
Carrier
Beiträge: 10638
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Eigener AFTR auf VServer

Beitrag von Andreas1969 » 05.10.2018, 18:19

Ferranti hat geschrieben:
05.10.2018, 16:39
Da würe ich mir lieber mal so ein TC4400-ConfigFile anschauen.
Komme ich da irgendwie ran?
Nein, da kommst Du nicht ran :traurig:
Das Config-File ist aber bei allen eigenen Geräten entsprechend dem gebuchten Tarif identisch.
Also, TC4400, Fritzbox usw. haben alle das selbe Configfile.
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

tobsen
Übergabepunkt
Beiträge: 255
Registriert: 22.02.2015, 23:21
Wohnort: NRW 58...

Re: Eigener AFTR auf VServer

Beitrag von tobsen » 06.10.2018, 20:04

Ich habe heute mal das TC4400 in gekapselter Umgebung (China-CMTS/TC4400) mit IPv6 Paketen beschossen... Also es ist in dem Bereich auf jeden Fall erstmal Protokoll-Transparent und verschluckt nichts.

Du hast geschrieben, dass dein vServer bei Netcup steht. Dort habe ich auch einen stehen und habe darüber auch schonmal 6tunnel Geschichten laufen lassen. Anfangs hatte ich einige Probleme bis es endlich lief.
Hast du auf dem Server eine Firewall laufen, die auf IPtables basiert? Bei mir war es so, dass trotz entsprechender Freigaben erst gar keine IP6 Pakete zugelassen und durchgeleitet wurden durch den Tunnel. (Dienste die auf dem Server liefen, waren aber normal über IP6 wie gewohnt erreichbar) Erst als ich die Firewall komplett deaktiviert hatte, konnte ich den IPIP6 Tunnel nutzen. Dadurch dass ich den Tunnel nur zum Testen hatte, bin ich da nicht tiefer auf Erforschung gegangen und konnte es verschmerzen die Firewall komplett zu deaktivieren.
Evtl. liegt da der Hund begraben :confused:
Eigenes China-CMTS für TC4400 update und andere spielerein
Aktuell Update-Möglichkeit für TC4400 auf SR701240-180627

UM-Anschluss 2play 100 mit Telefon-Comfort
MikroTik RB2011, MikroTik CSS326-24G-2S+RM, MikroTik DualBand CAPs, FreeNAS Storage mit 6TB

Ferranti
Kabelneuling
Beiträge: 12
Registriert: 22.09.2018, 20:07

Re: Eigener AFTR auf VServer

Beitrag von Ferranti » 06.10.2018, 21:47

tobsen hat geschrieben:
06.10.2018, 20:04
Ich habe heute mal das TC4400 in gekapselter Umgebung (China-CMTS/TC4400) mit IPv6 Paketen beschossen... Also es ist in dem Bereich auf jeden Fall erstmal Protokoll-Transparent und verschluckt nichts.
Ok, aber kannst Du denn auch ConfigFiles generieren, die entsprechende Filter aktivieren?
Ich hatte sowas in der DOCSIS-Spez. irgendwo gesehen.
Dort war beschrieben, wie man Pakete nach allen möglichen Kriterien filtern lassen kann. So wie bei iptables auch.
Oder steht sowas nicht im Config-File, sondern wird per SNMP nachgeschoben?
tobsen hat geschrieben:
06.10.2018, 20:04
Hast du auf dem Server eine Firewall laufen, die auf IPtables basiert?

Code: Alles auswählen

[email protected]:~# ip6tables -L -t filter -v
Chain INPUT (policy ACCEPT 2019K packets, 355M bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 1429K packets, 1551M bytes)
 pkts bytes target     prot opt in     out     source               destination
[email protected]:~# iptables -L -t filter -v
Chain INPUT (policy ACCEPT 354K packets, 37M bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 1858K packets, 1492M bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 623K packets, 108M bytes)
 pkts bytes target     prot opt in     out     source               destination
[email protected]:~#

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste