Probleme mit IPv6 in Windows Server

  • Hallo zusammen
    ich habe mein Problem schon dem Support geschildert, leider scheint es aber ein OS-Problem zu sein, weshalb man mich hierher verwiesen hat.


    Ich habe ein IPv6-Verbindungsproblem bei meinem Windows-Server 2016/2012R2. Ich habe der VirtIO-Schnittstelle eine Adresse aus meinem 64er-Subnet zugewiesen (2a03:4000:xxxx:yyyyy::1000). Die anderen Einstellungen lauten wie folgt:
    Gateway: fe80::1
    DNS1: 2001:4860:4860::8888
    DNS2: 2001:4860:4860::8844


    Leider erhalte ich weder für einen Ping nach draußen zu ipv6.google.com (Zeitüberschreitung), noch von außen zu meinem Server (Online Ping IPv6 - SubnetOnline.com) eine Antwort (Address unreachable). Ich habe schon das Forum durchsucht und herausgefunden, dass es hilfreich ist, die Router Advertisements per

    Code
    netsh int ipv6 set int "Ethernet" routerdiscovery=disabled


    abzuschalten. Dies habe ich auch getan, jedoch ohne Erfolg.


    Anzumerken ist noch, dass ich von Windows aus IMMER den 8844-DNS von Google erfolgreich anpingen kann, auch wenn ipv6.google.com nicht geht, den 8888-DNS
    jedoch nicht (Zeitüberschreitung). Das Gateway (fe80::1) liefert ebenfalls nie eine Antwort auf Ping!


    Ich habe noch folgendes Verhalten feststellen können:
    Wenn ich das Rettungssystem starte, dort eine IPv6-Adresse zuweise und zu ipv6.google.com pinge (erfolgreich), dann wieder Windows starte, funktioniert es unter Windows Server auch für kurze Zeit. Nach etwa 30 Minuten ist aber dann auch schon wieder Schluss.


    Es scheint so, als ob das Linux-Rettungssystem "den Weg ebnet" und Windows diesen Weg anschließend für kurze Zeit nutzen kann.


    Die üblichen Sachen wie Poweroff, starten... habe ich schon ausprobiert, ohne Erfolg.


    Vielleicht kann mir von Euch jemand weiterhelfen.
    Gruß Oli

  • Komisches Verhalten beobachte ich auch, wenn ich meine IPv6 zu 2a03:4000:xxxx:yyyy:37:120:aaa:bbb ändere (Mein IPv6 Präfix mit meiner IPv4-Adresse kombiniert, also einfach eine andere Adresse aus meinem IPv6-Subnetz). Ein Ping zu ipv6.google.com ist damit erfolgreich, jedoch führt ein Ping zu Googles Public DNS (2001:4860:4860::8844 und 8888) zu Timeouts, fe80::1 ebenfalls timeout.
    Es sieht also so aus, als bestünde, abhängig von meiner gewählten IPv6-Adresse, eine Verbindung zu ausgewählten Hosts, sprich (Beispiel):
    Setze ich IP (A) ein, so kann ich Host 1 und 2 pingen, Host 3 und 4 jedoch nicht.
    Setze ich IP (B) ein, so kann ich Host 2 und 3 und 4 pingen, Host 1 jedoch nicht.


    Sehr abstruses Verhalten!


    EDIT:
    Ich fände es sehr hilfreich, wenn der Support, oder jemand anderes, der gerade eine VM zum testen frei hat, Windows Server 2012 oder 2016 Evaluation installieren würde, eine statische IPv6 aus seinem Subnetz setzen und mit dieser Grundeinstellung mehrere Hosts auf Erreichbarkeit prüfen würde. Erreichbarkeit Outbound, wie auch Inbound (Firewallregeln nicht vergessen!).

  • Ich habe eben nochmal Windows Server 2012 R2 Evaluation frisch installiert. Die darauf folgenden Schritte waren wie folgt:
    - NetKVM-Treiber für den VirtIO-Netzwerkadapter installiert, von der bereitgestellten Windows-Treiber CD
    - IPv4 und IPv6 über die GUI statisch zugewiesen, inkl. Gateway und DNS
    - Firewallregeln für ICMPv6 aktiviert, Inbound wie Outbound alles zugelassen.


    - Server heruntergefahren -> Start -> Direkt wieder poweroff -> Start, einfach um sicher zu gehen, dass er wirklich powered off war!


    Die Einstellungen und Resultate könnt ihr in den angehängten Screenshots sehen.


    Gruß Oliver.D


  • Versuch es noch einmal mit dem Microsoft Standard Treiber fürs Netzwerk anstatt dem Red Hat.
    Das war bei mir damals ausschlaggebend für den Erfolg.

    Meinst du damit ich soll den e1000 (Intel Pro...) anstatt den virtio im VCP einstellen?! Das hatte ich auch schon versucht, allerdings noch nicht vor einer Neuinstallation, sondern bisher immer erst nachdem ich gemerkt habe, dass es mit virtio nicht geht!

  • Meinst du damit ich soll den e1000 (Intel Pro...) anstatt den virtio im VCP einstellen?! Das hatte ich auch schon versucht, allerdings noch nicht vor einer Neuinstallation, sondern bisher immer erst nachdem ich gemerkt habe, dass es mit virtio nicht geht!

    Genau das mein ich. e1000, keinen extra Treiber während der Windows Installation fürs Netzwerk laden. Um die anderen extra Treiber kommt man meines Wissens nicht herum.

  • Genau das mein ich. e1000, keinen extra Treiber während der Windows Installation fürs Netzwerk laden. Um die anderen extra Treiber kommt man meines Wissens nicht herum.

    Genau so hab ichs jetzt gemacht. e1000 im VCP eingestellt, Windows Server wieder neu aufgesetzt, Statische IP konfiguriert.
    Resultat siehe Anhang. Diesmal ist fe80::1%12 gar nicht erst erreichbar, ich habe das Gateway diesmal aber auch nicht explizit angegeben! Nachdem ich es angegeben hatte, kam wieder eine Zeitüberschreitung.


  • Hast du in deiner Firewall eventuell IPv6 geblockt?
    Nennt sich Ipv6 Core Networking Service oder so ähnlich.

    Nein, Firewall lässt Verbindungen zu, Outbound alles, wofür es keine Blockierregel gibt, Inbound hab ich ICMPv6 komplett zugelassen.


    Komisch finde ich halt, dass der Ping für ipv6.google.com erfolgreich verläuft, die Pings zu den Google-DNS hingegen nicht. Und das dies auch abhängig von der von mir gewählten IPv6-Adresse ist.
    Für ::2000 gehen ipv6.google.com und der 8888er Google DNS nicht, Inbound klappt ebenfalls nicht. 8844 geht und google.de ebenfalls.
    Für ::1 geht weder Out noch In irgendwas


    Absolut nicht nachvollziehbar!


    Vielen Dank für deine Antworten!

  • Ganz ehrlich, mir gehen aktuell die Ideen aus.


    Nur um sicher zu gehen:
    Fahre den Server mal komplett herunter und starte ihn übers Webinterface neu. Sinn dahinter ist dass KVM den Container noch mal neu initialisiert, was bei einem reinen Restart von Windows nicht passiert.
    Wenn er läuft schieb ne Testseite in den IIS und versuch deinen Server mal so zu erreichen. Wenn du eine Domain hast kannst du auch diverse Webanalyse Tools drauf los lassen.


    Ansonsten bin ich leider Ratlos.

  • Hey,


    ich hatte bei einem frischen Linux server auch das Problem, dass IPv6 gar nicht funktioniert hat.
    Gateway war auch nicht pingbar.


    Bei einem traceroute von außen ist mir dann aufgefallen, das diese vermutlich in einer einer schleife bei einem Netcup Router endet.
    > 12 gw6-decix.ffm.netcup.net (2001:7f8::3:3a4:0:1) 241.617 ms 241.543 ms


    > 239.439 ms


    > 13 gw6-decix.ffm.netcup.net (2001:7f8::3:3a4:0:1) 2253.255 ms !H * *


    Mach doch am besten mal nen traceroute und schau was da raus kommt.


    Ich hatte im Forum dann gestöbert und diesen fall gefunden. ipv6 "ip neigh show" failed
    Hab dem Support ne Mail geschrieben. Ca. 1Stunde später kam die Antwort, dass ich einmal einen Power Off machen soll. Und jetzt tuts bei mir.


    VG
    Martin


  • Ganz ehrlich, mir gehen aktuell die Ideen aus.


    Nur um sicher zu gehen:
    Fahre den Server mal komplett herunter und starte ihn übers Webinterface neu. Sinn dahinter ist dass KVM den Container noch mal neu initialisiert, was bei einem reinen Restart von Windows nicht passiert.
    Wenn er läuft schieb ne Testseite in den IIS und versuch deinen Server mal so zu erreichen. Wenn du eine Domain hast kannst du auch diverse Webanalyse Tools drauf los lassen.


    Ansonsten bin ich leider Ratlos.

    Damit sind wir schon 2 ^^ Neugestartet habe ich den Server nie, immer Heruntergefahren und dann im VCP Start -> Poweroff -> Start um sicher zu gehen.
    Resultat für den Versuch der Website-Erreichbarkeit: web server is unreachable : No route to host



    Tja, was soll ich sagen, hier das Resultat:



    Sieht deinem doch ganz ähnlich. Ich schreibe nochmals dem Support und hoffe, dass dieses Mal nicht wieder deren Standardantwort kommt von wegen "für ihr System sind Sie verantwortlich, wir stellen nur die Infrastruktur bereit".


    Danke für den Hinweis!

  • Ich habe mal gerade noch bei meinem "alten" Server spaßeshalber IPv6 aktiviert und eine Adresse zugewiesen. Es hat noch nicht einmal einen Neustart bzw. Poweroff -> Start benötigt und es hat direkt funktioniert! Nach außen alles pingbar, traceroutes gehen durch. Von außen ebenfalls ohne Paketverluste pingbar und traceroute kommt auch an.


    Es muss also eine Fehlkonfiguration der Netzwerkanbindung meines "neuen" Servers vorliegen.

  • Hier der letzte Beitrag zum Thema.
    Da das Problem leider nicht gelöst werden konnte, habe ich jetzt einen RS 1000 G7 SE geordert. Resultat der IPv6-Konfiguration auf diesem Server: funktioniert alles ohne Probleme, inbound wie outbound.
    Den "Problemserver" RS 1000 Plus G7 habe ich gemäß der Zufriedenheitsgarantie zurückgegeben. Jetzt trauere ich nur ein wenig dem doppelten Speicherplatz nach ;(


    Aber Hauptsache es funktioniert jetzt, wie es soll. Auf dem Plus war wohl irgendwo der Wurm drin.


    Gruß Oli