abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

IPv6 Webseiten nicht mehr abrufbar

Contributor
1 von 21

Hallo Zusammen

 

Ich habe Swisscom FTTH Internet welches bei mir direkt auf dem pfSense router terminiert (ohne "Internetbox") und darin IPv6 konfiguriert, wie von @Tuxone beschrieben.

 

Seit ca. einer Woche stellte ich fest, dass einige Seiten, wie z.B. wikipedia.org oder mirror.switch.ch nicht mehr aufrufbar waren, die meisten anderen jedoch ohne Probleme funktionierten.

 

Die hosts der Seiten waren problemloslos ping-bar und auch ein telnet auf z.B: wikipedia.org 80 war noch möchlich, doch nach dem absetzen des HTTP GET kam einfach nichts mehr.

 

Ich suchte dann nach einer Gemeinsamkeit der nicht funktionirenden URLs und stelle fest, dass diese alle IPv6 benutzen.

 

Dann deaktivierte ich IPv6 auf dem pfsense router und siehe da, die Seiten waren wieder alle abrufbar.

 

An pfsense habe ich in den letzten Monaten nichts gemacht, also frage ich mich, ob evtl. swisscom die Einstellungen (6RD Border relay / Prefix) geändert hat? Weiss jemand was darüber?

Editiert
20 Kommentare
Super User
2 von 21

Hast du einen Proxy oder Contentfilter auf der pfSense aktiviert? Gehen andere Protokolle wie z.B. FTP, SMTP oder IMAP? Wie siehts mit HTTPS aus, geht das auf IPv6? Kannst du von der pfSense aus auf Port 80 eines IPv6-Webservers telneten?

Wenn du die Hosts per IPv6 pingen/tracerouten kannst, würde ich davon ausgehen dass auf Seiten von Swisscom mit 6rd alles in Ordnung ist und du keine diesbezüglichen Einstellungen anpassen musst.

Super User
3 von 21

Uff das ist aber ein alter Schinken 🙂

 

Lebt den das 6rd.swisscom.ch Gateway noch gemäss pfsense?

 

Dann wäre noch wichtig zu wissen ob die pings und traceroutes auch tatsächlich über ipv6 funktionierten und nicht nur über ipv4?

(sorry lieber einmal mehr fragen)

 

Falls ja, von welchen Interfaces aus? Von allen oder nur vom WAN Interface aus?

 

Ich hatte beim Business Internet Services auch mal das nur icmp Messages funktionierten, der Traffic aber sonst nicht. Schlussendlich war das CPE Schuld. Das entfällt in diesem Fall aber.

https://www.tuxone.ch
Falls du in deinem Thread eine Antwort von Tux0ne wünschst, so ergänze deinen Text mit @Tux0ne. Damit erhalte ich eine Benachrichtigung.

Contributor
4 von 21

@PowerMac

Es ist kein proxy oder content filter aktiviert, Vebrindungen gehen direkt raus.

 

Zu meiner grossen Verwunderung/Verwirrung funktionieren andere Protokolle sogar...

 

Hier ein Beispiel mit FTP:

 

$ curl -v 'ftp://mirror.switch.ch/'
* About to connect() to mirror.switch.ch port 21 (#0)
*   Trying 2001:620:0:1002::20... connected
* Connected to mirror.switch.ch (2001:620:0:1002::20) port 21 (#0)
< 220-SWITCHmirror welcomes you!
< 220 
> USER anonymous
< 331 Please specify the password.
> PASS ftp@example.com
< 230- Welcome to SWITCHmirror                     ftp://mirror.switch.ch/
< 230- -----------------------                    http://mirror.switch.ch/
< 230-
< 230- SWITCHmirror is located in Zurich, Switzerland and
< 230- operated by SWITCH:                           http://www.switch.ch/
< 230-
< 230- If you have problems downloading and are seeing "Access denied"
< 230- or "Permission denied", please make sure that you started your
< 230- FTP client in a directory to which you have write permission.
< 230-
< 230- Contact address: switchmirror@switch.ch
< 230-
< 230- NOTE: ALL transfers are logged and any misuse will be acted upon.
< 230-
< 230 Login successful.
> PWD
< 257 "/"
* Entry path is '/'
> EPSV
* Connect data stream passively
< 229 Entering Extended Passive Mode (|||58647|).
*   Trying 2001:620:0:1002::20... connected
* Connecting to 2001:620:0:1002::20 (2001:620:0:1002::20) port 58647
> TYPE A
< 200 Switching to ASCII mode.
> LIST
< 150 Here comes the directory listing.
* Maxdownload = -1
lrwxrwxrwx    1 ftp      ftp             8 Jun 26  2013 README -> .message
drwxr-xr-x    3 ftp      ftp             4 May 24  2013 doc
-rw-rw-r--    1 ftp      ftp      111841864 Mar 06 09:54 ls-lR.gz
drwxr-xr-x    2 ftp      ftp            62 Jan 12  2016 mirror
drwxr-xr-x    4 ftp      ftp             4 Jul 24  2014 pool
drwxrwxr-x    3 ftp      ftp             7 Jan 31  2013 pub
drwxrwxr-x   10 ftp      ftp            11 Mar 21  2004 software
lrwxrwxrwx    1 ftp      ftp            13 Jun 26  2013 ubuntu -> mirror/ubuntu
lrwxrwxrwx    1 ftp      ftp            21 Jun 26  2013 ubuntu-cdimage -> mirror/ubuntu-cdimage
* Remembering we are in dir ""
< 226 Directory send OK.
* Connection #0 to host mirror.switch.ch left intact
> QUIT
< 221 Goodbye.
* Closing connection #0

hingegen bei HTTP:

$ curl -v 'http://mirror.switch.ch/'
* About to connect() to mirror.switch.ch port 80 (#0)
*   Trying 2001:620:0:1002::20... connected
* Connected to mirror.switch.ch (2001:620:0:1002::20) port 80 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.21 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2
> Host: mirror.switch.ch
> Accept: */*
> 

Das bleibt dann hier hängen bis zum timeout.

 

ping auf ipv6 geht ebenfalls:

$ ping6 2001:620:0:1002::20
PING 2001:620:0:1002::20(2001:620:0:1002::20) 56 data bytes
64 bytes from 2001:620:0:1002::20: icmp_seq=1 ttl=55 time=6.15 ms

Genau so wie traceroute:

$ traceroute6 2001:620:0:1002::20
traceroute to 2001:620:0:1002::20 (2001:620:0:1002::20), 30 hops max, 80 byte packets
 1  dynamic.wline.6rd.res.cust.swisscom.ch (2a02:120b:2c32:9cd0::1)  0.310 ms  0.248 ms  0.195 ms
 2  ae60-60.ipc-zhb790-m-pe-48.bluewin.ch (2001:4d98:bffd:1d::2)  0.864 ms  0.960 ms  0.868 ms
 3  ae60-60.ipc-zhb790-m-pe-48.bluewin.ch (2001:4d98:bffd:1d::2)  0.735 ms  0.690 ms  0.951 ms
 4  be10-v6.i79zhb-005.bb.ip-plus.bluewin.ch (2001:4d98:bffd:17::3)  2.646 ms ae11-v6.i79zhh-005.bb.ip-plus.bluewin.ch (2001:4d98:bffd:18::3)  0.800 ms  0.914 ms
 5  cix-005-loo191.ip6.ip-plus.net (2001:4d98:a000::28)  5.884 ms geb-005-loo191.ip6.ip-plus.net (2001:4d98:a000::10)  5.321 ms  5.751 ms
 6  * cix-005-loo191.ip6.ip-plus.net (2001:4d98:a000::28)  5.499 ms *
 7  * * *
 8  swiCE1-B3.switch.ch (2001:620:0:c0c8::1)  6.582 ms  6.947 ms  6.585 ms
 9  swiZH1-100GE-0-1-0-1.switch.ch (2001:620:0:c012::2)  6.411 ms  4.974 ms  5.360 ms
10  2001:620:0:ffb1::2 (2001:620:0:ffb1::2)  6.783 ms swiEZ3-100GE-0-1-0-4.switch.ch (2001:620:0:c0dd::1)  5.930 ms 2001:620:0:ffb1::2 (2001:620:0:ffb1::2)  6.102 ms
11  2001:620:0:ffb1::2 (2001:620:0:ffb1::2)  6.385 ms  5.553 ms  5.329 ms
12  * * *
13  * * *
14  * * *

Vom der pfsense direkt funktioniert es hingegen (wie ich erst gerade getestet/rausgefunden habe:

[2.3.2-RELEASE][root@pfsense]/root: curl -v 'http://[2001:620:0:1002::20]'
* Rebuilt URL to: http://[2001:620:0:1002::20]/
*   Trying 2001:620:0:1002::20...
* TCP_NODELAY set
* Connected to 2001:620:0:1002::20 (2001:620:0:1002::20) port 80 (#0)
> GET / HTTP/1.1
> Host: [2001:620:0:1002::20]
> User-Agent: curl/7.50.3
> Accept: */*
> 
< HTTP/1.1 200 OK
< Date: Mon, 06 Mar 2017 15:15:07 GMT
< Server: Apache/2.2.29 (Unix)
< Accept-Ranges: bytes
< Content-Length: 5293
< Content-Type: text/html; charset=ISO-8859-1
< 
<!DOCTYPE html>
<html lang="en">
  <head>
    <title>SWITCHmirror</title>

 

Zusammenfassung:

  • FTP, PING(6) und TRACEROUTE(6) geht mit ipv6 von clients hinter pfsense problemlos
  • Nur HTTP geht nicht von clients hinter pfsense
  • HTTP geht von pfsense aus direkt

 

Somit scheint ipv6 im allgemeinen schon noch zu funktionieren und das Problem scheint mehr am LAN interface zu hängen statt am WAN.

 

Da das Problem sowohol beim Windows-Client wie auch beim Linux-Server (hinter pfsense) auftritt gehe ich nicht davon aus, dass einer der hosts dahinten falsch konfifuriert ist.

 

Dort habe ich IPv6 Configuration Type: Track Interface und IPv6 Prefix ID: 0.

 

Muss vielleicht dort was anderes angegeben werden?

 

@Tux0ne: Ja, das rd6 gateway von swisscom ist up in pfsense. 😉

Editiert
Super User
5 von 21

@guybrush82 schrieb:

 

 

Dort habe ich IPv6 Configuration Type: Track Interface und IPv6 Prefix ID: 0.

 

Muss vielleicht dort was anderes angegeben werden?

 

@Tux0ne: Ja, das rd6 gateway von swisscom ist up in pfsense. 😉



Bei Track Interface bildet das entsprechende Interface ein /64 Netz aus dem Prefix des getrackten Netzes, in dem Fall WAN.

 

Wenn jetzt über Swisscom mit 6RD ein /60 Netz zur Verfügung gestellt wird, kann man daraus also 16 /64 Netze machen.

Im Grundsatz würde es dir also frei stehen etwas aus dem Hex Bereich zu nehmen. Also von 0 bis E.

 

Du kannst ja mal zum testen eine andere ID wählen. Pfsense sagt dir schon was da möglich ist und was nicht.

Zudem mal die Konfig sichern und dein Glück so oder so mal mit dem Update auf 2.3.3 versuchen.

Ich erkenne jetzt die Ursache nicht, aber eventuell behebt man diesen Spuck damit bereits.

https://www.tuxone.ch
Falls du in deinem Thread eine Antwort von Tux0ne wünschst, so ergänze deinen Text mit @Tux0ne. Damit erhalte ich eine Benachrichtigung.

Editiert
Contributor
6 von 21

@Tux0neHabs mal mit dem prefix 1 probiert, jedoch ohne nennenswerte Wirkung. Ich frage mich nun wirklich ob es Sinn macht alle prefixe auszuprobieren...

 

Denke zwar nicht, dass das pfsense update 2.3.3 das Problem behebt (warum auch?!) werde es aber demnächst mal in der Testumgebung updaten und testen. Das Risiko, dass das update mehr kaputt macht (SwisscomTV/IGMP, DHCP,..) schätze ich höher ein, als dass es das ipv6 Problem löst... 😉

 

PS: Deiner Verwunderung nach, "dass es das noch gibt", schätze ich mal, dass du das mittlerweile gar nicht mehr so machst bei dir? 😉

Editiert
Super User
7 von 21

Ja richtig.

Einerseits hatte ich zum Zeitpunkt des Beitrages nur kurz pfsense in Betrieb um die Themen Swisscom TV IPv6 abzuhandeln. Gerade bezüglich IPTV gab es wenig im Netz. Fand ich doof und schloss die Lücke.

Danach habe ich lange eine Linux Firewall eingesetzt.

 

Seit einiger Zeit verwende ich aber wieder nur noch pfsense. Dieses mal aber mit Business Internet Services wo ich ein natives statisches /48 Netz mittels DHCP6 auf WAN habe.

 

So bald der Centro Business keinen Auth Request mehr sendet, werde ich bei Gelegenheit auch die DHCP6-PD Funktion des CB verwenden.

 

6RD kann ich also in diesem Sinne gar nicht anwenden da das Gateway aus dem Business Netz nicht erreichbar ist. (Und es auch keinen Sinn machen würde 🙂 )

https://www.tuxone.ch
Falls du in deinem Thread eine Antwort von Tux0ne wünschst, so ergänze deinen Text mit @Tux0ne. Damit erhalte ich eine Benachrichtigung.

Editiert
Novice
8 von 21

Sali zäme,

 

bei mir ist dasselbe Problem aufgetreten.

 

Sehr eigenartig, dass ab pfSense alles funktioniert, aber vom internen Netz unzuverlässig.

 

Entweder:

haben die pfSense Entwickler Mist (ein-)gebaut in den neueren Versionen, möglicherweise irgend einen Default der nicht mehr tut,

 

Oder:

Irgendwo upstream (vielleicht 6rd-gateway?) ist was krumm gebogen worden.

 

Für letzteres würde sprechen, dass ich vor ein paar Wochen die beschriebenen Symptome zuerst bei www.sbb.ch beobachtete. Danach IPv6 deaktiviert aufgrund Zeitmangels, bei späterer Reaktivierung das Problem neu bei Wikipedia und eben mirror.switch.ch beobachtet, SBB hingegen lief/läuft. Ich denke nicht, dass Otto Normalverbraucher ein Problem mit mirror.switch.ch der Swisscom melden würde 😉

 

Aber eben, das sind Mutmassungen. Vorderhand würde/werde ich mich noch auf pfSense konzentrieren.

 

Kann vielleicht jemand mit einer stinknormalen Swisscom-Box die 6rd-Details (eventuell haben die sich geändert...?) mal hier einkippen?

Highlighted
Super User
9 von 21

IPv6@swisscom

hat sich hier was geändert?

Zumindest bei @guybrush82 entfällt vermutlich ein Update Bug von Seite pfsense.

https://www.tuxone.ch
Falls du in deinem Thread eine Antwort von Tux0ne wünschst, so ergänze deinen Text mit @Tux0ne. Damit erhalte ich eine Benachrichtigung.

Novice
10 von 21

Es bleibt spannend.

 

Habe soeben ein bisschen Traffic geschnüffelt; sowohl wenn alles funktioniert, wie auch im Fehlerfalle, wird erfolgreich eine TCP-Connection SYN/ACK'd, bzw. aufgebaut.

 

mirror.switch.ch ACK'd in beiden Fällen das darauf folgende GET / HTTP/1.1 vom Client, das in ein einzelnes Packet hinein passt.

 

Die Antwort ist gestückelt, was natürlich nichts ungewöhnliches ist. Im Fehlerfalle kommt jedoch einfach nichts mehr nach dem ACK, und soweit ich das sehe, auch gar erst nicht zur Firewall. Muss ich allerdings noch bestätigen, das Sniffen mit 6rd ist etwas fummelig auf der pfSense. Leider bleibt mir heute keine Zeit mehr dazu.

Contributor
11 von 21

Bei mir leider auch noch nix neues und ich bin noch nicht dazu gekommen die neue Version zu testen.

 

Wobei ich nicht glaube, dass es daran liegt, denn mit der bisherigen Version ging es mehrere Monate lang gut.

 

Ich habe auch die Feststellugn von @roeme-- machen können, dass einige ipv6 Seiten gehen, andere nicht. sbb.ch, google.[com|ch] und facebook.com gehen bei mir auch mit ipv6, wikipedia.org oder mirror.switch.ch nicht.

 

Im Firewall log habe ich ab- und zu noch folgende blocks:

LAN     [2a02:120b:2c32:9cd0:9860:821:b45f:3eb8]:61151 (dynamic.wline.6rd.res.cust.swisscom.ch)     [2620:0:862:ed1a::2:b]:443 (upload-lb.esams.wikimedia.org)     TCP:RA 

Allerdings eher "zufällig" und nicht reproduzierbar (wenn ich eine Seite aufrufe).

Im LAN ist ipv6 alles was im LAN NET ist erlaubt.

Wenn ich bei source anstelle von "LAN Net" den wildecard ("*") angebe scheinen die blocks nicht mehr zu kommen, die Seiten sind jedoch trotzdem nicht erreichbar.

 

Und alles nur intern, von pfsense direkt raus geht alles... :smileysurprised:

Editiert
Contributor
12 von 21

Wurde denn das Problem mal behoben? Irgendwie sieht das nach einem ähnlichen Problem aus das ich gerade mit 6rd habe. Das Problem habe ich übrigens auch schon länger. Zwischenzeitlich hatte ich IPv6 einfach deaktiviert da ich keine Zeit hatte dem nachzugehen.

 

Jetzt wollte ich es wieden in Betrieb nehemn und habe Probleme mit den vom 6rd gesendeten Paketen festgestellt. Siehe hier.

 

Für mich sieht das so aus, dass einige Tunnel-Pakete (Protokoll 41) vom 6rd gateway fix an die Public-IP (v4) des Routers geschickt werden. Dadurch kommen die dann nie beim Empfänger an.


Bei mir sin es aber offensichtlich die ACK Pakete die an die falsche Ziel-IP geschickt werden.

Contributor
13 von 21

Wollte auch mal wieder IPv6 auf meiner PfSense aktivieren... aber eben, geht nicht... Hat hier jemand neue Erkenntnisse?

Contributor
14 von 21

Leider nein... Keine Ahnung was swisscom da Umgestellt hat... :smileysad:

Editiert
Contributor
15 von 21

Hab gerade zufällig wieder IPv6 eingeschaltet und siehe da... Es funktioniert wieder! :hugging:

pfsense hatte ich übrigens extra noch nicht updated, d.h. irgendwas muss swisscom gemacht haben, dass es wieder geht... :winking:

Contributor
16 von 21
Mit der alt bekannten 6rd config?
Contributor
17 von 21

Ja, config ist genau gleich.

Contributor
18 von 21

@guybrush82

Habe nun 6RD wieder aktiviert, jedoch schlägt bei mir http://test-ipv6.com/ fehl.

Kannst du mir evt sagen, wie das bei dir aussieht? Gruss Tohil

 

Config auf der PFsense:

6RD Prefix: 2a02:1200::/28

6RD Border relay: 193.5.29.1

Rule: LAN->ANY IPv6:ANY

 

WAN IPv6 Address: 2a02:120c:a8c:7020::

LAN IPv6 Address: 2a02:120c:a8c:7020::1

 

Client:

IPv6-Adresse. . . . . . . . . . . : 2a02:120c:a8c:7020:606f:4a71:fa45:4dce
Temporäre IPv6-Adresse. . . . . . : 2a02:120c:a8c:7020:4d24:277e:5e92:d00f

Contributor
19 von 21

Bei mir ist alles ok, auf der IPv6-Testseite, 10/10 Punkten. :smile:

Hast du auch die Settings im LAN-Interface gemacht, wie in meinem Beitrag beschrieben?

Interfaces -> LAN

IPv6 Configuration TypeTrack Interface
IPv6 InterfaceWAN
IPv6 Prefix ID0
Contributor
20 von 21
Hi

Ja das habe ich ebenfalls gesetzt.

Gruss