Zusätzlicher IPv6 Router hinter Cisco EPC3212G

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
athurdent
erfahrener Kabelkunde
Beiträge: 72
Registriert: 19.09.2011, 19:50

Re: Zusätzlicher IPv6 Router hinter Cisco EPC3212G

Beitrag von athurdent » 04.02.2013, 19:30

Hmm, hast Du mal rebootet? Laut pfSense Forum könnte das helfen. Ansonsten ist es komisch, dass Du auf beiden Interfaces das gleiche Netz hast. Sicher, dass WAN und LAN Interface nicht versehentlich auf der VM zusammengebridget sind und sich "sehen"?
Wenn ich es zeitlich schaffe setze ich mir in den nächsten Tagen auch mal ne Testumgebung auf.

Edit, ich glaube, es ist ein Bug, hier hat jemand das gleiche Problem.
http://forum.pfsense.org/index.php/topic,58483.0.html
Warte mal ein wenig und mach in nächster Zeit ein Update, die Entwickler sind meist recht schnell im Bugfixing.

racoon
Kabelneuling
Beiträge: 47
Registriert: 10.08.2008, 13:57

Re: Zusätzlicher IPv6 Router hinter Cisco EPC3212G

Beitrag von racoon » 04.02.2013, 22:36

Das kommt mir sehr vertraut vor. :smile:

Vielen Dank für die Info. Werde das in den nächsten Tagen mit einer neueren Version nochmals testen.
Das mir sowas immer zeitlich passend passieren muss... diese blöden Bugs. :D

athurdent
erfahrener Kabelkunde
Beiträge: 72
Registriert: 19.09.2011, 19:50

Re: Zusätzlicher IPv6 Router hinter Cisco EPC3212G

Beitrag von athurdent » 05.02.2013, 08:35

Da scheint sich was getan zu haben:
https://github.com/bsdperimeter/pfsense ... 5ca3310bc7
Snapshots scheints gerade nicht zu geben, aber u.U. reicht ein gitsync. Mit dem gitsync bringst Du das PHP, also die Bedienoberfläche auf den neusten Stand:
http://forum.pfsense.org/index.php/topic,47934.0.html

racoon
Kabelneuling
Beiträge: 47
Registriert: 10.08.2008, 13:57

Re: Zusätzlicher IPv6 Router hinter Cisco EPC3212G

Beitrag von racoon » 07.02.2013, 17:42

Mit der aktuellen Version klappt es leider noch immer nicht. :kratz:

athurdent
erfahrener Kabelkunde
Beiträge: 72
Registriert: 19.09.2011, 19:50

Re: Zusätzlicher IPv6 Router hinter Cisco EPC3212G

Beitrag von athurdent » 08.02.2013, 08:30

Ja, hast recht. Mein Test Setup macht das auch falsch, das externe Netz wird fälschlicherweise intern verteilt. Ich habe das ins pfSense forum gepostet, mal sehen ob uns wer helfen kann.

athurdent
erfahrener Kabelkunde
Beiträge: 72
Registriert: 19.09.2011, 19:50

Re: Zusätzlicher IPv6 Router hinter Cisco EPC3212G

Beitrag von athurdent » 08.02.2013, 17:30

Ich weiss jetzt, woran es bei mir gehapert hat. Kann man auf dem Cisco Router von Unitymedia irgendwas einstellen, in Richtung DHCPv6 oder IPv6 Routing/Router Announcements? Falls ja, wäre ein oder mehrere Screenshots der Möglichkeiten hilfreich.

racoon
Kabelneuling
Beiträge: 47
Registriert: 10.08.2008, 13:57

Re: Zusätzlicher IPv6 Router hinter Cisco EPC3212G

Beitrag von racoon » 09.02.2013, 12:07

Das wird ein Problem: IPv6 lässt sich bei dem Gerät nirgendwo einstellen, nur IPv4 kann man dort bezüglich DHCP
und Routing konfigurieren. Vermutlich werden die Seiten seitens Unitymedia deaktiviert, wie auch die Möglichkeit,
das Standardkennwort zu ändern (bei einem Neustart steht es wieder auf "atlanta").

athurdent
erfahrener Kabelkunde
Beiträge: 72
Registriert: 19.09.2011, 19:50

Re: Zusätzlicher IPv6 Router hinter Cisco EPC3212G

Beitrag von athurdent » 09.02.2013, 12:58

Hmm, ansonsten fällt mir nur noch ein, mal zu checken, ob der Unitymedia Router überhaupt das macht, was wir von ihm wollen, also DHCPv6 mit Delegation. Wenn Du willst, kanst Du mir einen Packet Capture vom externen Interface per PM schicken.
Windows Maschine hinter dem pfSense abstellen, damit kein unnötiger Traffic entsteht. pfSense zur Sicherheit einmal neu starten, Diagnostics -> Packet Capture. Externes Interface wählen, Address Family IPv6 only, dann auf Start. Einmal auf das externe Interface gehen, Save und danach Apply drücken, danach den Packet Capture stoppen runterladen und mir schicken. Das sollte dann die nötigen RA und DHCPv6 Daten enthalten.

racoon
Kabelneuling
Beiträge: 47
Registriert: 10.08.2008, 13:57

Re: Zusätzlicher IPv6 Router hinter Cisco EPC3212G

Beitrag von racoon » 09.02.2013, 23:53

Leider lässt das PM System kein Anhang zu. Kann aber das hier von der Capture-Datei anbieten...

Code: Alles auswählen

No.     Time                       Source                Destination           Protocol Length Info
     92 2013-02-09 23:29:11.779431 fe80::2676:7dff:fe4c:b3c9 ff02::1               ICMPv6   174    Router Advertisement from 24:76:7d:4c:b3:c9

Frame 92: 174 bytes on wire (1392 bits), 174 bytes captured (1392 bits)
Ethernet II, Src: CiscoSpv_4c:b3:c9 (24:76:7d:4c:b3:c9), Dst: IPv6mcast_00:00:00:01 (33:33:00:00:00:01)
Internet Protocol Version 6, Src: fe80::2676:7dff:fe4c:b3c9 (fe80::2676:7dff:fe4c:b3c9), Dst: ff02::1 (ff02::1)
Internet Control Message Protocol v6
    Type: Router Advertisement (134)
    Code: 0
    Checksum: 0xf8f4 [correct]
    Cur hop limit: 64
    Flags: 0x40
        0... .... = Managed address configuration: Not set
        .1.. .... = Other configuration: Set
        ..0. .... = Home Agent: Not set
        ...0 0... = Prf (Default Router Preference): Medium (0)
        .... .0.. = Proxy: Not set
        .... ..0. = Reserved: 0
    Router lifetime (s): 1800
    Reachable time (ms): 0
    Retrans timer (ms): 0
    ICMPv6 Option (Source link-layer address : 24:76:7d:4c:b3:c9)
        Type: Source link-layer address (1)
        Length: 1 (8 bytes)
        Link-layer address: CiscoSpv_4c:b3:c9 (24:76:7d:4c:b3:c9)
    ICMPv6 Option (Prefix information : 2a02:908:e920:eb01::/64)
        Type: Prefix information (3)
        Length: 4 (32 bytes)
        Prefix Length: 64
        Flag: 0xc0
            1... .... = On-link flag(L): Set
            .1.. .... = Autonomous address-configuration flag(A): Set
            ..0. .... = Router address flag(R): Not set
            ...0 0000 = Reserved: 0
        Valid Lifetime: 7200
        Preferred Lifetime: 3600
        Reserved
        Prefix: 2a02:908:e920:eb01:: (2a02:908:e920:eb01::)
    ICMPv6 Option (Route Information : Medium 2a02:908:e920:eb00::/56)
        Type: Route Information (24)
        Length: 3 (24 bytes)
        Prefix Length: 56
        Flag: 0x00
            ...0 0... = Route Preference: Medium (0)
            000. .000 = Reserved: 0
        Route Lifetime: 7200
        Prefix: 2a02:908:e920:eb00:: (2a02:908:e920:eb00::)
    ICMPv6 Option (Recursive DNS Server 2a02:908:2:1109::11 2a02:908:2:1108::11)
        Type: Recursive DNS Server (25)
        Length: 5 (40 bytes)
        Reserved
        Lifetime: 1200
        Recursive DNS Servers: 2a02:908:2:1109::11 (2a02:908:2:1109::11)
        Recursive DNS Servers: 2a02:908:2:1108::11 (2a02:908:2:1108::11)

athurdent
erfahrener Kabelkunde
Beiträge: 72
Registriert: 19.09.2011, 19:50

Re: Zusätzlicher IPv6 Router hinter Cisco EPC3212G

Beitrag von athurdent » 10.02.2013, 16:07

Leider ist das nur ein RA (Router Anouncement), aber das Flag

Code: Alles auswählen

Other configuration: Set
deutet auf einen DHCPv6 Server hin. Normalerweise solltest Du dann aber auch solche hier sehen:

Code: Alles auswählen

fe80::20d:b9ff:fe12:7864	ff02::1:2	DHCPv6	130	Solicit XID: 0xa2cf9 CID: xxx
fe80::290:bff:fe19:5676	fe80::20d:b9ff:fe12:7864	DHCPv6	211	Advertise XID: xxx
Zumindest, sobald der DHCPv6 Client einen solchen Request losschickt.
Am Besten noch einmal einen gitsync machen, das pfSense sollte mittlerweile auch in Deinem Fall korrekt funktionieren, allerdings muss ich nach dem Reboot immer einmal auf Save/Apply beim externen Interface drücken. Danach sollte aber der radvd Router Advertisement Daemon laufen und Deine Windows Wokstation sollte ne IP bekommen. Sofern das Unitymedia Modem wirklich auch DHCPv6 mit Prefix Delegation macht und die Prefixlänge stimmt.

racoon
Kabelneuling
Beiträge: 47
Registriert: 10.08.2008, 13:57

Re: Zusätzlicher IPv6 Router hinter Cisco EPC3212G

Beitrag von racoon » 11.02.2013, 12:58

Die WAN-Schnittstelle sendet ein "DHCPv6 130 Solicit XID", aber der Cisco antwortet nicht darauf. :kratz:

athurdent
erfahrener Kabelkunde
Beiträge: 72
Registriert: 19.09.2011, 19:50

Re: Zusätzlicher IPv6 Router hinter Cisco EPC3212G

Beitrag von athurdent » 12.02.2013, 09:29

Das ist doof, dann scheint das nicht implementiert zu sein. In dem Falle bleibt bloss eine Anfrage zum Thema bei der technischen Hotline, oder der Umstieg auf eine Fritzbox. Wobei ich da nicht weiss, ob Unitymedia die volle Funktionalität von normalen Fritzboxen anbietet bzw. dort IA-PD vorhanden ist. Eine 7390 kann es z.B.

racoon
Kabelneuling
Beiträge: 47
Registriert: 10.08.2008, 13:57

Re: Zusätzlicher IPv6 Router hinter Cisco EPC3212G

Beitrag von racoon » 13.02.2013, 13:22

Ich würde ja gerne dort anfragen. Jedoch hatte ich bereits schon 1-2 Tickets eröffnet und wäre froh,
wenn diese Probleme erst einmal bereinigt wären.

An dieser Stelle möchte ich mich bei dir bedanken, dass du weder Kosten noch Mühen gescheut hast,
mir weiter zu helfen.

Jetzt kann man nur hoffe, dass Unitymedia demnächst den Cisco EPC3212G so konfiguriert, dass der
Kunde die Möglichkeit hat, noch einen zusätzlichen Router zu verwenden, um a) mehr Sicherheit zu
haben (Stichwort: Router-Kennwort "atlanta") und b) mehr Konfigurationsmöglichkeiten und
c) nebenbei das eingebaute WLAN zu nutzen. Gut dass ich mir kurz vor der Umstellung doch noch
keinen neuen Router gekauft habe...

Es wäre mal schön, wenn hier mal wirklich einer vom UM-Support was schreiben könnte. Ich denke
mal, dass es noch andere gibt, die diese Option verwenden möchten.

athurdent
erfahrener Kabelkunde
Beiträge: 72
Registriert: 19.09.2011, 19:50

Re: Zusätzlicher IPv6 Router hinter Cisco EPC3212G

Beitrag von athurdent » 14.02.2013, 11:06

Ja, eine Antwort der hier im Forum aktiven UM Mitarbeiter wäre in der Tat toll.
Vielleicht gibt es ja auch eine mir unbekannte IPv6 "Enduser-" Möglichkeit, das ausgegebene /56 Netz zu nutzen. Klar, es könnte auch mit dynamischem oder statischem Routing gearbeitet werden. Aber da müsste man bei jeder Netzänderung ggf. manuell eingreifen und auch auf dem Cisco Gerät konfigurieren können. Normalerweise macht man das halt über IA-PD.
Vielleicht hängt das /56 Netz aber auch damit zusammen, dass bei allen ausgegebenen Geräten halt generell das /56 anliegt und nur manche können auch was damit anfangen (z.B. ne Fritzbox sollte das verbeiten können).

Unter den gegebenen Umständen fällt mir für Dich jetzt nur noch NAT ein, das erfordert aber Handarbeit und ggf. laufen einige Dienste nicht. Supportet wird es auch nirgens so recht, rechnet aktuell ja keiner damit, dass jemand IPv6 NAT benutzt. Ich habe das vor einiger Zeit mal ein halbes Jahr lang mit ner OpenBSD Firewall ausprobiert, z.B. Facebook hat dann ab und zu mal gehakt. Kann natürlich auch ein anderes Problem bei Facebook oder beim IPv6 Routing/Tunneling mit SixXs gewesen sein. So genau habe ich es nie debuggen können. Alles andere ging aber problemlos ;)

Hast Du eigentlich wirklich ein EPC3212G? Ich hab davon bisher nie gehört und wenn mans googelt, findet man nur diesen Thread. Das EPC3212 wird ja von Cisco im Gegensatz zum EPC3208 auch nicht als IPv6-fähig deklariert. Ggf. kannste es ja mal gegen ein 3208 tauschen lassen und das verhält sich besser?

racoon
Kabelneuling
Beiträge: 47
Registriert: 10.08.2008, 13:57

Re: Zusätzlicher IPv6 Router hinter Cisco EPC3212G

Beitrag von racoon » 14.02.2013, 12:52

Bisher habe ich noch nicht direkt auf Gerät geschaut. Jedenfalls wird es als EPC3212G auf der Web-Oberfläche angezeigt.

Ich hatte bereits auch schon über die Idee NAT einzusetzen nachgedacht. Jedoch macht es bei IPv6 keinen so richtigen
Sinn. Jedoch muss es die Möglichkeit geben, Firewall-Regeln aufzustellen - das bietet aber das EPC3212G nicht. Der Zugriff
auf ein oder mehrere Geräte sollte schon von außen gegeben sein, aber nicht auf alle. Wer weiß, welche Sicherheitslücken
in mein SmartTV mit eingebauter Kamera existieren - spätestens dann, wenn das Resultat auf Youtube zu sehen ist. :D

athurdent
erfahrener Kabelkunde
Beiträge: 72
Registriert: 19.09.2011, 19:50

Re: Zusätzlicher IPv6 Router hinter Cisco EPC3212G

Beitrag von athurdent » 14.02.2013, 13:22

Firewallen kannst Du wahrscheinlich trotzdem. Es gibt die Möglichkeit, einfach 2 Interfaces zu einer Bridge zusammenzuschliessen und auf dieser dann zu firewallen. Du hast dann eine transparente Firewall, quasi wie einen Switch, der Pakete filtert.
Ich habs mit IPv6 noch nicht ausprobiert, aber so in etwa sollte das klappen:
http://forum.pfsense.org/index.php?topic=50711.0

racoon
Kabelneuling
Beiträge: 47
Registriert: 10.08.2008, 13:57

Re: Zusätzlicher IPv6 Router hinter Cisco EPC3212G

Beitrag von racoon » 15.02.2013, 15:07

Das wusste ich nicht, dass sowas machbar ist. Es ist definitiv eine Lösung, falls UM uns Kunden nicht entgegen kommen will und die Möglichkeit schafft, dass wir wieder an dem Übergabepunkt was anderes einsetzen können. Danke für den Tipp! :super:

Jetzt müsste es nur einen Router geben, der das auch kann. Ich möchte nicht unbedingt einen PC dafür verwenden. Die Dinger schlucken doch ein bisschen zu viel Strom.

athurdent
erfahrener Kabelkunde
Beiträge: 72
Registriert: 19.09.2011, 19:50

Re: Zusätzlicher IPv6 Router hinter Cisco EPC3212G

Beitrag von athurdent » 15.02.2013, 16:03

Also, ich würde es erstmal mit der VM oder einem PC testen. Wenns gut läuft, nimmste einfach die config.xml und spielst sie auf sowas hier:
http://www.alix-board.de/produkte/alix2d3.html
Mit CF Karte, Gehäuse und Netzteil liegste bei ca 150€. Das Ding kann aber nur bis zu 88 MBit/sec NATten / routen. Für ne 50er Leitung würde es locker ausreichen. Ich benutze die Dinger auch, Stromverbrauch ist glaube ich so um die 5-8 Watt, wenn ich mich recht entsinne. Die CF Karte kann man einfach mit der pfSense NanoBSD Version bespielen.
Alternativ dazu lässt Du Dir einfach von Unitymedia ne Fritzbox kommen, die hat wenigstens eine IPv6 Firewall. Musst hat ausrechnen, was für Dich billiger ist und schauen, wie gern Du bastelst ;)

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste