Verbindung über IPv6 nicht möglich

Vongwegen · 14. Februar 2024

Hallo zusammen,

Ich bin leider mittlerweile etwas verzweifelt. Ich versuche schon seit längerem eine IPv6 Verbindung einzurichten, schaffe es aber einfach nicht!

Als Produkt habe ich einen VPS 500 G10s

Installiert wurde dieser damals über das Ubuntu Image von Netcup.

Auf dem Server läuft Docker mit Mailcow als E-Mailserver.

Das ganze funktioniert auch schon seit mehr als einem Jahr problemlos, halt nur mit einer IPv4 Adresse.

Im SCP habe ich unter Netzwerk - > IPv6 eine v6 Adresse und DNS Namen konfiguriert, hier als 2a03:4000:xxxx:xxxx::2 und mail.domain.com gekennzeichnet.

Das Problem äußert sich recht einfach:

Code: # ping -6 google.de

PING google.de(fra16s51-in-x03.1e100.net (2a00:1450:4001:811::2003)) 56 data bytes
From mail.scuruba.de (2a03:4000:4d:f5e::2) icmp_seq=1 Destination unreachable: Address unreachable
From mail.scuruba.de (2a03:4000:4d:f5e::2) icmp_seq=2 Destination unreachable: Address unreachable
From mail.scuruba.de (2a03:4000:4d:f5e::2) icmp_seq=3 Destination unreachable: Address unreachable


--- google.de ping statistics ---
4 packets transmitted, 0 received, +3 errors, 100% packet loss, time 3074ms

Oder auch:

Code: # ping -6 -I eth0 google.de

PING google.de(fra15s10-in-x03.1e100.net (2a00:1450:4001:811::2003)) from 2a03:4000:xxxx:xxxx::2 eth0: 56 data bytes
From mail.scuruba.de (2a03:4000:xxxx:xxxx::2) icmp_seq=1 Destination unreachable: Address unreachable
From mail.scuruba.de (2a03:4000:xxxx:xxxx::2) icmp_seq=2 Destination unreachable: Address unreachable
From mail.scuruba.de (2a03:4000:xxxx:xxxx::2) icmp_seq=3 Destination unreachable: Address unreachable

Und auch von außen ist er somit natürlich nicht erreichbar.

Konfiguriert habe ich die Adresse über Netplan, so wie es auch im Image war:

Code: /etc/netplan/50-cloud-init.yaml

network:
    version: 2
    renderer: networkd
    ethernets:
        eth0:
            addresses:
            - 194.36.147.144/22
            - "2a03:4000:4d:f5e::2/64"
            #gateway4: 194.36.144.1
            #gateway6: fe80::1
            routes:
            - to: default
              via: 194.36.144.1
            - to: default
              via: "fe80::1"
              #from: "2a03:4000:4d:f5e::2"
              #on-link: true
              metric: 100
            match:
                macaddress: 7a:18:86:ad:b5:2f

Alles anzeigen

Code: # sudo netplan status

Online state: offline
DNS Addresses: 127.0.0.53 (stub)
DNS Search: .


●  1: lo ethernet UNKNOWN/UP (unmanaged)
MAC Address: 00:00:00:00:00:00
Addresses: 127.0.0.1/8
::1/128
Routes: ::1 metric 256


●  2: eth0 ethernet UP (networkd: eth0)
MAC Address: 7a:18:86:ad:b5:2f (Red Hat, Inc.)
Addresses: 194.xxx.xxx.xxx/22
2a03:4000:xxxx:xxxx::2/64
fe80::7818:86ff:fead:b52f/64 (link)
Routes: default via 194.36.144.1 (static)
194.36.144.0/22 from 194.36.147.144 (link)
fe80::/64 metric 256
default via fe80::1 metric 100 (static)


●  3: br-mailcow bridge UP (unmanaged)
MAC Address: 02:42:35:74:c1:59
Addresses: 172.22.1.1/24
fe80::42:35ff:fe74:c159/64 (link)
Routes: 172.22.1.0/24 from 172.22.1.1 (link)
fe80::/64 metric 256


●  7: veth3bcf565 ethernet UP (unmanaged)
MAC Address: 06:a2:4d:14:d7:39
Addresses: fe80::4a2:4dff:fe14:d739/64 (link)
Routes: fe80::/64 metric 256


● 11: veth71fa4b8 ethernet UP (unmanaged)
MAC Address: ba:f4:92:5d:91:8d
Addresses: fe80::b8f4:92ff:fe5d:918d/64 (link)
Routes: fe80::/64 metric 256


● 15: veth3ad2c97 ethernet UP (unmanaged)
MAC Address: 66:b9:37:2a:d6:2a
Addresses: fe80::64b9:37ff:fe2a:d62a/64 (link)
Routes: fe80::/64 metric 256


● 17: veth55f6a31 ethernet UP (unmanaged)
MAC Address: 76:8a:b9:76:76:d9
Addresses: fe80::748a:b9ff:fe76:76d9/64 (link)
Routes: fe80::/64 metric 256


● 19: veth2948e54 ethernet UP (unmanaged)
MAC Address: 02:23:c7:32:c9:2c
Addresses: fe80::23:c7ff:fe32:c92c/64 (link)
Routes: fe80::/64 metric 256


● 41: vethc9be6e8 ethernet UP (unmanaged)
MAC Address: 32:57:79:fc:0a:da
Addresses: fe80::3057:79ff:fefc:ada/64 (link)
Routes: fe80::/64 metric 256


● 43: veth9cbf9d5 ethernet UP (unmanaged)
MAC Address: ba:bf:6e:11:9b:91
Addresses: fe80::b8bf:6eff:fe11:9b91/64 (link)
Routes: fe80::/64 metric 256


● 45: vetheb88dba ethernet UP (unmanaged)
MAC Address: 46:e1:b1:89:43:b3
Addresses: fe80::44e1:b1ff:fe89:43b3/64 (link)
Routes: fe80::/64 metric 256


● 47: veth96962c7 ethernet UP (unmanaged)
MAC Address: 0e:73:b6:b0:ea:4f
Addresses: fe80::c73:b6ff:feb0:ea4f/64 (link)
Routes: fe80::/64 metric 256


● 49: veth98742eb ethernet UP (unmanaged)
MAC Address: 8a:31:9b:34:bc:38
Addresses: fe80::8831:9bff:fe34:bc38/64 (link)
Routes: fe80::/64 metric 256


● 51: veth5701ce5 ethernet UP (unmanaged)
MAC Address: 96:f0:1b:9b:74:af
Addresses: fe80::94f0:1bff:fe9b:74af/64 (link)
Routes: fe80::/64 metric 256


● 53: veth3fddd4a ethernet UP (unmanaged)
MAC Address: 3a:b3:e8:db:5d:a3
Addresses: fe80::38b3:e8ff:fedb:5da3/64 (link)
Routes: fe80::/64 metric 256


● 55: veth41c02c6 ethernet UP (unmanaged)
MAC Address: 2a:ba:03:d6:b1:66
Addresses: fe80::28ba:3ff:fed6:b166/64 (link)
Routes: fe80::/64 metric 256


● 57: vethbce4e8e ethernet UP (unmanaged)
MAC Address: 5e:db:ae:0a:f0:b6
Addresses: fe80::5cdb:aeff:fe0a:f0b6/64 (link)
Routes: fe80::/64 metric 256


● 59: veth08d9eb1 ethernet UP (unmanaged)
MAC Address: 52:b9:50:32:7a:8b
Addresses: fe80::50b9:50ff:fe32:7a8b/64 (link)
Routes: fe80::/64 metric 256


● 63: veth63a596e ethernet UP (unmanaged)
MAC Address: ea:f5:23:c9:ff:ce
Addresses: fe80::e8f5:23ff:fec9:ffce/64 (link)
Routes: fe80::/64 metric 256


● 65: veth340c807 ethernet UP (unmanaged)
MAC Address: 22:94:fd:ed:a7:9f
Addresses: fe80::2094:fdff:feed:a79f/64 (link)
Routes: fe80::/64 metric 256


● 67: veth98031e8 ethernet UP (unmanaged)
MAC Address: e6:11:83:1f:f4:fa
Addresses: fe80::e411:83ff:fe1f:f4fa/64 (link)
Routes: fe80::/64 metric 256

Alles anzeigen

Code: # ip -6 route show

::1 dev lo proto kernel metric 256 pref medium
fd00:dead:beef:c0::/80 dev docker0 proto kernel metric 256 linkdown pref medium
fd00:dead:beef:c0::/80 dev docker0 metric 1024 linkdown pref medium
fe80::/64 dev eth0 proto kernel metric 256 pref medium
fe80::/64 dev docker0 proto kernel metric 256 linkdown pref medium
fe80::/64 dev br-mailcow proto kernel metric 256 pref medium
fe80::/64 dev veth3bcf565 proto kernel metric 256 pref medium
fe80::/64 dev veth2948e54 proto kernel metric 256 pref medium
fe80::/64 dev veth71fa4b8 proto kernel metric 256 pref medium
fe80::/64 dev veth55f6a31 proto kernel metric 256 pref medium
fe80::/64 dev veth3ad2c97 proto kernel metric 256 pref medium
fe80::/64 dev veth9cbf9d5 proto kernel metric 256 pref medium
fe80::/64 dev vetheb88dba proto kernel metric 256 pref medium
fe80::/64 dev vethc9be6e8 proto kernel metric 256 pref medium
fe80::/64 dev veth96962c7 proto kernel metric 256 pref medium
fe80::/64 dev veth98742eb proto kernel metric 256 pref medium
fe80::/64 dev veth5701ce5 proto kernel metric 256 pref medium
fe80::/64 dev veth3fddd4a proto kernel metric 256 pref medium
fe80::/64 dev veth41c02c6 proto kernel metric 256 pref medium
fe80::/64 dev veth08d9eb1 proto kernel metric 256 pref medium
fe80::/64 dev vethbce4e8e proto kernel metric 256 pref medium
fe80::/64 dev veth63a596e proto kernel metric 256 pref medium
fe80::/64 dev veth340c807 proto kernel metric 256 pref medium
fe80::/64 dev veth98031e8 proto kernel metric 256 pref medium
default via fe80::1 dev eth0 proto static metric 100 pref medium

Alles anzeigen

Ich habe den Server auch schon einige male neu gestartet und auch komplett heruntergefahren und gestartet, wie es wohl Probleme bei manchen schon behoben hat.

Ich hatte auch die Vermutung, dass das Docker-Gateway mit der selben Adresse (fe80::1) ein Problem ist, mein eth0-Gateway ist aber global und das docker0 nur link. Ich hatte es auch so verstanden beim recherchieren, dass das Gateway normal ist und keine Probleme machen sollte. Ich hatte vorsichtshalber aber einmal einen ping mit Gateway (-I eth0) gemacht, was auch nicht funktioniert hatte.

Ich hoffe mir kann hier jemand weiterhelfen.

Grüße

Vongwegen

Vongwegen · 14. Februar 2024

Hier noch ein Befehl, der Post war aber zu lang:

Code: # sudo ip -6 addr show

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 2a03:4000:4d:f5e::2/64 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::7818:86ff:fead:b52f/64 scope link 
       valid_lft forever preferred_lft forever
3: br-mailcow: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP 
    inet6 fe80::42:35ff:fe74:c159/64 scope link 
       valid_lft forever preferred_lft forever
4: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 state DOWN 
    inet6 fd00:dead:beef:c0::1/80 scope global tentative 
       valid_lft forever preferred_lft forever
    inet6 fe80::1/64 scope link tentative 
       valid_lft forever preferred_lft forever
7: veth3bcf565@if6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP 
    inet6 fe80::4a2:4dff:fe14:d739/64 scope link 
       valid_lft forever preferred_lft forever
11: veth71fa4b8@if10: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP 
    inet6 fe80::b8f4:92ff:fe5d:918d/64 scope link 
       valid_lft forever preferred_lft forever
15: veth3ad2c97@if14: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP 
    inet6 fe80::64b9:37ff:fe2a:d62a/64 scope link 
       valid_lft forever preferred_lft forever
17: veth55f6a31@if16: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP 
    inet6 fe80::748a:b9ff:fe76:76d9/64 scope link 
       valid_lft forever preferred_lft forever
19: veth2948e54@if18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP 
    inet6 fe80::23:c7ff:fe32:c92c/64 scope link 
       valid_lft forever preferred_lft forever
41: vethc9be6e8@if40: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP 
    inet6 fe80::3057:79ff:fefc:ada/64 scope link 
       valid_lft forever preferred_lft forever
43: veth9cbf9d5@if42: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP 
    inet6 fe80::b8bf:6eff:fe11:9b91/64 scope link 
       valid_lft forever preferred_lft forever
45: vetheb88dba@if44: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP 
    inet6 fe80::44e1:b1ff:fe89:43b3/64 scope link 
       valid_lft forever preferred_lft forever
47: veth96962c7@if46: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP 
    inet6 fe80::c73:b6ff:feb0:ea4f/64 scope link 
       valid_lft forever preferred_lft forever
49: veth98742eb@if48: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP 
    inet6 fe80::8831:9bff:fe34:bc38/64 scope link 
       valid_lft forever preferred_lft forever
51: veth5701ce5@if50: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP 
    inet6 fe80::94f0:1bff:fe9b:74af/64 scope link 
       valid_lft forever preferred_lft forever
53: veth3fddd4a@if52: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP 
    inet6 fe80::38b3:e8ff:fedb:5da3/64 scope link 
       valid_lft forever preferred_lft forever
55: veth41c02c6@if54: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP 
    inet6 fe80::28ba:3ff:fed6:b166/64 scope link 
       valid_lft forever preferred_lft forever
57: vethbce4e8e@if56: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP 
    inet6 fe80::5cdb:aeff:fe0a:f0b6/64 scope link 
       valid_lft forever preferred_lft forever
59: veth08d9eb1@if58: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP 
    inet6 fe80::50b9:50ff:fe32:7a8b/64 scope link 
       valid_lft forever preferred_lft forever
63: veth63a596e@if62: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP 
    inet6 fe80::e8f5:23ff:fec9:ffce/64 scope link 
       valid_lft forever preferred_lft forever
65: veth340c807@if64: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP 
    inet6 fe80::2094:fdff:feed:a79f/64 scope link 
       valid_lft forever preferred_lft forever
67: veth98031e8@if66: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP 
    inet6 fe80::e411:83ff:fe1f:f4fa/64 scope link 
       valid_lft forever preferred_lft forever

Alles anzeigen

frank_m · 14. Februar 2024

Was passiert mit der Original-IP vom Server? Also mit der Standard-Konfiguration nach der Installation des Images? Was ist mit der Firewall?

Willst du NAT für IPv6 machen? Würde ich nicht empfehlen. Verpasse dem Docker Container besser eine öffentliche IPv6, vorzugsweise aus einem zusätzlichen /64 um der Problematik des geswitchten ersten /64 aus dem Lieferumfang aus dem Weg zu gehen.

Falls doch NAT: hast du die entsprechenden Firewall Regeln eingeführt?

Vongwegen · 15. Februar 2024

Zitat von frank_m

Was passiert mit der Original-IP vom Server? Also mit der Standard-Konfiguration nach der Installation des Images? Was ist mit der Firewall?

Willst du NAT für IPv6 machen? Würde ich nicht empfehlen. Verpasse dem Docker Container besser eine öffentliche IPv6, vorzugsweise aus einem zusätzlichen /64 um der Problematik des geswitchten ersren /64 aus dem Lieferumfang aus dem Weg zu gehen.

Falls doch NAT: hast du die entsprechenden Firewall Regeln eingeführt?

Hallo Frank,

ich weiß gerade nicht was du mit der Original IP meinst... die Einträge in SCP waren leer.

Mit NAT oder nicht hatte ich mich nicht wirklich beschäftigt bis jetzt, da es ja nicht einmal auf dem Server selbst funktioniert. Aber ich kann ihm natürlich Docker noch eine IP zuweisen, hört sich am besten an.

Was ich noch vergessen hatte zu erwähnen: Ich hatte auch den Support schon kontaktiert, dieser war aber wenig hilfreich. Sie wollten nur wissen ob ich das Rettungssystem starten kann und dann noch ob ich eine IPv6 dort konfigurieren kann. Dort hat es funktioniert. Danach war das Thema für sie erledigt.

frank_m · 15. Februar 2024

Zitat von Vongwegen

ich weiß gerade nicht was du mit der Original IP meinst

Der Server hat im Auslieferungszustand eine IPv6 Adresse, die sich aus deinem Prefix und der EUI-64 Interface ID des Servers zusammensetzt. Die ist z.B. auch das Routing Ziel für zusätzliche IPv6 Netze und damit die "Standard-Adresse" in der netcup Welt für diesen Server. Die solltest du auf jeden Fall testen.

Zitat von Vongwegen

Aber ich kann ihm natürlich Docker noch eine IP zuweisen, hört sich am besten an.

Denk an die Verbindungsunterbrechungen aufgrund von NDP, wenn du dem Docker Container eine Adresse aus deinem mitgelieferten /64 zuweist.

Zitat von Vongwegen

Sie wollten nur wissen ob ich das Rettungssystem starten kann und dann noch ob ich eine IPv6 dort konfigurieren kann. Dort hat es funktioniert. Danach war das Thema für sie erledigt.

Ich glaube auch nicht, dass das ein Problem der Infrastruktur ist. Wenn die Adresse und die Routen richtig eingerichtet sind (also passt das Prefix?), dann kommt natürlich als erstes die Firewall ins Spiel, denn die ist im Rescue Image nicht aktiv.

aRaphael · 15. Februar 2024

Zitat von Vongwegen

ich weiß gerade nicht was du mit der Original IP meinst... die Einträge in SCP waren leer.

Zitat von Vongwegen

Installiert wurde dieser damals über das Ubuntu Image von Netcup.

Bei Installation eines netcup-ubuntu-Images ist immer schon eine ipv6 in der Netzwerk-Konfiguration (ab Ubuntu 20 in netplan, vorher in network/interfaces) eingetragen und aktiviert.

(Die rDNS-Einträge Im SCP sind ja für das Funktionieren der ipv6 belanglos)

Vongwegen · 16. Februar 2024

Ich habe mir jetzt einmal einen neuen Server geholt um dort die Konfiguration nachzuvollziehen.
Dementsprechend habe ich jetzt auch die Original IP wiederhergestellt, diese hatte ich wohl überschrieben ....

Trotzdem hatte es erst einmal nicht funktioniert, daher habe ich jetzt mal kurze die FW deaktiviert für einen ping. Schon hast es funktioniert, jedenfalls bis zu einem reboot.

Das hatte ich schon einmal vor einiger Zeit bei der Fehlersuche gemacht, hatte damals aber nichts genutzt. Muss wohl ein klassischer Doppelfehler gewesen sein.
Ich muss mir jetzt noch mal anschauen was bei NFTables nicht stimmt in der Konfiguration. Vielleicht schaffe ich es diese Woche noch, bin zir Zeit etwas eingespannt.

Danke schon mal für eure Tipps, das hat mich schon weitergebracht. Updates dann die Tage

tab · 16. Februar 2024

icmpv6 und das Zusammenspiel mit der Firewall wäre wohl ein sinnvoller Startpunkt. icmpv6 ist eine deutlich komplexere Geschichte als bei v4. Die Blockierung aller icmpv6 verbindungen bleibt halt nicht so straflos wie bei ipv4. Wenn du für einen IPv6 Ping schon die FW aufmachen musst dann hast du wohl noch einiges freizugeben bis es reibungslos funktioniert.

H6G · 16. Februar 2024

Zitat von tab

wohl noch einiges freizugeben bis es reibungslos funktioniert.

Code

#ICMP
ip6tables -N CH-ICMP-IN
ip6tables -N CH-ICMP-FW

ip6tables -A INPUT -p icmpv6 -j CH-ICMP-IN
ip6tables -A INPUT -p icmpv6 -j CH-ICMP-FW
ip6tables -A FORWARD -p icmpv6 -j CH-ICMP-FW
ip6tables -A OUTPUT -p icmpv6 -j CH-ICMP-IN
ip6tables -A OUTPUT -p icmpv6 -j CH-ICMP-FW

#ICMP Neighbor Discovery
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 130 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 131 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 132 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 133 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 134 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 135 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 136 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 141 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 142 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 143 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 148 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 149 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 151 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 152 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 153 -j ACCEPT

ip6tables -A CH-ICMP-FW -m state --state INVALID -j DROP
ip6tables -A CH-ICMP-FW -m state --state ESTABLISHED -j ACCEPT
ip6tables -A CH-ICMP-FW -p icmpv6 --icmpv6-type 1 -m state --state RELATED -j ACCEPT
ip6tables -A CH-ICMP-FW -p icmpv6  --icmpv6-type 2 -m state --state RELATED -j ACCEPT
ip6tables -A CH-ICMP-FW -p icmpv6 --icmpv6-type 3 -m state --state RELATED -j ACCEPT
ip6tables -A CH-ICMP-FW -p icmpv6 --icmpv6-type 4 -m state --state RELATED -j ACCEPT
ip6tables -A CH-ICMP-FW -p icmpv6 --icmpv6-type 128 -m state --state NEW -j ACCEPT

Alles anzeigen

Zwar iptables, sollte aber in nftables übersetzbar sein

Vongwegen · 17. Februar 2024

Bei mir hat jetzt die Zeile ausgereicht:

Code

      ip6 nexthdr icmpv6 icmpv6 type { destination-unreachable, packet-too-big, time-exceeded, echo-request, parameter-problem, echo-reply, nd-router-solicit, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert, ind-neighbor-solicit, ind-neighbor-advert } accept

Somit scheint jetzt alles zu funktionieren. Ping von außen und innen gehen nun.

Zitat von H6G

Code

#ICMP
ip6tables -N CH-ICMP-IN
ip6tables -N CH-ICMP-FW

ip6tables -A INPUT -p icmpv6 -j CH-ICMP-IN
ip6tables -A INPUT -p icmpv6 -j CH-ICMP-FW
ip6tables -A FORWARD -p icmpv6 -j CH-ICMP-FW
ip6tables -A OUTPUT -p icmpv6 -j CH-ICMP-IN
ip6tables -A OUTPUT -p icmpv6 -j CH-ICMP-FW

#ICMP Neighbor Discovery
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 130 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 131 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 132 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 133 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 134 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 135 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 136 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 141 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 142 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 143 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 148 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 149 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 151 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 152 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 153 -j ACCEPT

ip6tables -A CH-ICMP-FW -m state --state INVALID -j DROP
ip6tables -A CH-ICMP-FW -m state --state ESTABLISHED -j ACCEPT
ip6tables -A CH-ICMP-FW -p icmpv6 --icmpv6-type 1 -m state --state RELATED -j ACCEPT
ip6tables -A CH-ICMP-FW -p icmpv6  --icmpv6-type 2 -m state --state RELATED -j ACCEPT
ip6tables -A CH-ICMP-FW -p icmpv6 --icmpv6-type 3 -m state --state RELATED -j ACCEPT
ip6tables -A CH-ICMP-FW -p icmpv6 --icmpv6-type 4 -m state --state RELATED -j ACCEPT
ip6tables -A CH-ICMP-FW -p icmpv6 --icmpv6-type 128 -m state --state NEW -j ACCEPT

Alles anzeigen

Zwar iptables, sollte aber in nftables übersetzbar sein

Die könnte man mit iptables-translate übersetzen lassen und einfügen, danke!

Verbindung über IPv6 nicht möglich

Ähnliche Themen

Das längste Thema

WireGuard

Tags