Thread Info
  • State Suggested Answer
  • +2 person also asked this people also asked this
  • Locked Locked
  • Replies 17 replies
  • Answers 2 answers
  • Subscribers 29 subscribers
  • Views 12392 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DG Anschluß mit 6rd

Duff11

Hallo zusammen,

 

mein DG Anschluß ist von 100 auf 400 umgestellt worden. Leider ist dabei der Router in den Bride-Mode versetzt worden, so dass ich keine Einstellungen mehr auf diesem Gerät vornehmen kann. Ich möchte keine Fritzbox dazwischen hängen, sondern direkt die UTM (sg135).  Allerdings erhalte ich per DHCPv6 keine IPv6 Adresse ;-(

Die Fritzbox scheint 6rd zu nutzen, weshalb ich dort eine IPv6 und ein IPv6-Präfix sehe. Jedoch weiß ich nicht, wie ich dies in der UTM eintragen muss, so dass diese wieder von außen erreichbar ist und ich per VPN darauf zugreifen kann.

 

Vielen Dank!



This thread was automatically locked due to age.
Parents
  • +1

    Kurzversion: Das (6rd) geht mit der Sophos UTM nicht. Wenn nur per CLI und dann nur sehr sehr ingeschränkt.

    Mein Rat, setz einen Mikrotik als Netzabschlussgerät vor die Sophos. hEX3 kostet um 50 € und du hast alle Möglichkeiten die man sich vorstellen kann.

  • 0 in reply to Ben

    Danke für die Antwort!

    Hast du einen link, weiß nämlich nicht genau was du meinst.

    Allerdings sagte man mir, dass im Bridge Mode natives IPv6 gefahren wird. Allerdings erhalte ich per dhcp6 nichts

    Anbei meine Anfrage auf der console

    sg135:/var/sec/chroot-dhcpc/usr/sbin # ./dhclient6 -6 -P -d -v eth6

    Internet Systems Consortium DHCP Client 4.3.5

    Copyright 2004-2016 Internet Systems Consortium.

    All rights reserved.

    For info, please visit

    can't create /var/db/dhclient6.leases: No such file or directory

    execve (/sbin/dhclient-script, ...): No such file or directory

    Listening on Socket/eth6

    Sending on Socket/eth6

    Created duid "\000\001\000\001#\035\031\261\000\032\214K\025\326".

    can't create /var/db/dhclient6.leases: No such file or directory

    PRC: Soliciting for leases (INIT).

    XMT: Forming Solicit, 0 ms elapsed.

    XMT: X-- IA_PD 8c:4b:15:d6

    XMT: | X-- Request renew in +3600

    XMT: | X-- Request rebind in +5400

    XMT: Solicit on eth6, interval 1070ms.

    RCV: Advertise message on eth6 from fe80::ff:fe00:22.

    RCV: X-- IA_PD 8c:4b:15:d6

    RCV: | X-- starts 1535794482

    RCV: | X-- t1 - renew +0

    RCV: | X-- t2 - rebind +0

    RCV: | X-- [Options]

    RCV: | | X-- IAPREFIX 2a00:6020:15e0:4900::/56

    RCV: | | | X-- Preferred lifetime 2250.

    RCV: | | | X-- Max lifetime 3600.

    RCV: X-- Server ID: 00:01:00:01:1d:9c:43:c4:00:50:56:b9:7d:b1

    RCV: Advertisement recorded.

    PRC: Selecting best advertised lease.

    PRC: Considering best lease.

    PRC: X-- Initial candidate 00:01:00:01:1d:9c:43:c4:00:50:56:b9:7d:b1 (s: 10104, p: 0).

    XMT: Forming Request, 0 ms elapsed.

    XMT: X-- IA_PD 8c:4b:15:d6

    XMT: | X-- Requested renew +3600

    XMT: | X-- Requested rebind +5400

    XMT: | | X-- IAPREFIX 2a00:6020:15e0:4900::/56

    XMT: | | | X-- Preferred lifetime +7200

    XMT: | | | X-- Max lifetime +7500

    XMT: V IA_PD appended.

    XMT: Request on eth6, interval 930ms.

    RCV: Reply message on eth6 from fe80::ff:fe00:22.

    RCV: X-- IA_PD 8c:4b:15:d6

    RCV: | X-- starts 1535794483

    RCV: | X-- t1 - renew +0

    RCV: | X-- t2 - rebind +0

    RCV: | X-- [Options]

    RCV: | | X-- IAPREFIX 2a00:6020:15e0:4900::/56

    RCV: | | | X-- Preferred lifetime 2250.

    RCV: | | | X-- Max lifetime 3600.

    RCV: X-- Server ID: 00:01:00:01:1d:9c:43:c4:00:50:56:b9:7d:b1

    PRC: Bound to lease 00:01:00:01:1d:9c:43:c4:00:50:56:b9:7d:b1.

    can't create /var/db/dhclient6.leases: No such file or directory

    execve (/sbin/dhclient-script, ...): No such file or directory

    PRC: Renewal event scheduled in 1800 seconds, to run for 900 seconds.

    PRC: Depreference scheduled in 2250 seconds.

    PRC: Expiration scheduled in 3600 seconds.

  • 0 in reply to Ben

    Der link sieht sehr interessant aus. Ich werde ihn mir genauer anschauen....

    Es ist nur sehr verwunderlich, dass die DG kaum Informationen Preis gibt.

    Angeblich wird nun natives IPv6 gefahren... Nur wie kann man dies prüfen und der DG das Gegenteil beweisen?

  • 0 in reply to Duff11

    Also wenn ich die feste IPv4 in hey umrechne, komme ich nicht auf die vergebene IPv6. Scheint demnach dann doch kein 6rd mehr zu sein.

    Schließe ich eine fritzbox an, so sehe ich eine ipv4 und IPv6. Nur die Gateway Information für IPv6 fehlt mir. Sonst würde ich diese Settings manuell in der utm hinterlegen und so probieren...

  • 0 in reply to Duff11

    Moin,

     

    schicke mir nachher mal per PN deine IPv4 und die IPv6. Ich schaue mir das gerne mal an.

    Wie Ben schon sagte, 6rd auf der Sophos ist recht eingeschränkt, habe ich ja auch in dem Link beschrieben.

     

    Ich kann mir nicht vorstellen, dass die was an deren Infrastruktur geändert haben, wie alt ist denn dein Vertrag? Meiner läuft immer noch per 6rd.

  • 0 in reply to ErikStomp

    Hi und Danke.

    Der Vertrag wurde erst jetzt umgestellt, da man fürs gleiche Geld mehr Down/Upload bekommt (von 100 auf 400).

    Der rattenschwanz dahinter war jedoch nicht bekannt (kein Router mehr, sondern Bridge Mode). Kein Zugriff von außen über die feste IPv6 mehr).

    Gruß

  • 0 in reply to Duff11

    Ich schreibe es kurz einmal hier rein, damit es auch anderen Hilft: Wie Ben schon sagt, es gibt afaik kein natives IPv6 bei der DG. Auch ich habe den Bridge Mode und 6rd.

  • 0 in reply to ErikStomp

    Aber woran erkennt man dies? Die IPv4 als hex werte kann ich so nicht in der IPv6 wiederfinden.

    Eine manuelle Konfiguration müsste doch irgendwie möglich sein, oder muss ich doch noch den Router der DG dazwischen hängen (Genexis wäre dann im reinen Modem betrieb)?

    Würde mir gerne zusätzliche Hardware sparen, wenn’s möglich ist.

    @erikstomp: ich habe dir die Daten übrigens mal per pm zugeschickt.

  • 0 in reply to Duff11

    Das ist korrekt, die Werte der IPv4 sind nicht in der IPv6. Du scheinst tatsächlich einen nativen (DS-Lite) Anschluss zu haben - zumindest auch dem ersten Blick.
    Das scheint tatsächlich neu zu sein, sollte also dann auch auch der Sophos klappen.

     

    Allerdings erhalte ich per DHCPv6 keine IPv6 Adresse.

    Der Teil macht mich stutzig. Eventuell kann die Sophos keine RA bzw. SLAAC verarbeiten? Da muss ich nachher mal recherchieren...

  • 0 in reply to ErikStomp

    Danke, dass könnte natürlich sein. Wobei slaac laut DG deaktiviert sein muss.

    Ggf. kann man noch handisch die entsprechenden Konfigurationsdateien editieren.

  • 0 in reply to Duff11

    Das ist der Teil von der DHCP Anfrage aus deiner PN (da nichts schlimmes drin steht, erlaube ich es mir einmal, das hier zu posten):

     

    XMT: Solicit on eth6, interval 1090ms.

    RCV: Advertise message on eth6 from fe80::ff:fe00:22.

    RCV:  X-- Server ID: 00:03:00:01:e8:ed:f3:2f:20:d7

    message status code UnspecFail.

    PRC: Lease failed to satisfy.

     

    Achte mal auf das Fett gedruckte. Er schickt eine Router Solicitation, empfängt auch einen Router Advertisement, wirft dann aber UnspecFail.

    Soweit recht seltsam, da würde ich gerne mal einen Dump im Wireshark ansehen. Dazu einfach einen tcpdump (mit-vvvw DATEI) in eine Datei schreiben lassen. Es ist aber mittlerweile zu 95% sicher, dass das DS-Lite - und nicht 6rd - ist.

     

    Viel seltsamer ist aber, dass deine DHCP Anfrage hier im Thread viel besser aussieht:

    XMT: Solicit on eth6, interval 1070ms.

    RCV: Advertise message on eth6 from fe80::ff:fe00:22.

    RCV: X-- IA_PD 8c:4b:15:d6

    RCV: | X-- starts 1535794482

    RCV: | X-- t1 - renew +0

    RCV: | X-- t2 - rebind +0

    RCV: | X-- [Options]

    RCV: | | X-- IAPREFIX 2a00:6020:15e0:4900::/56

    RCV: | | | X-- Preferred lifetime 2250.

    RCV: | | | X-- Max lifetime 3600.

    RCV: X-- Server ID: 00:01:00:01:1d:9c:43:c4:00:50:56:b9:7d:b1

    RCV: Advertisement recorded.

     

     Das Fette ist dein Präfix.

     

    Jetzt ist die Frage: Was ist bei den beiden Aufrufen anders gewesen? Hast du was geändert?
    Eine später zu klärende Frage: Da dein Präfix in der FB ein anderer ist, kann man evtl. davon ausgehen, dass der Präfix MAC-basiert ist. Das ist weiter nicht schlimm, ist bei 6rd auch so, blöd wäre nur, wenn die DG proaktiv die Präfixe nach der Lifetime wechselt.

     

    Wir sollten allerdings zuerst klären, was bei den Aufrufen anders war. Gerne kann ich mir das auch in der nächsten Woche mal Remote ansehen, wenn du das möchtest.

     

    Beste Grüße

    Erik

  • 0 in reply to ErikStomp

    Laut wireshark gibt es checksum Fehler bei dhcpv6 und advertise xid...

Reply Children
  • +1 in reply to Duff11

    Ich würde weiterhin einen Mikrotik Router als Netzabschlussgerät empfehlen. Es bringt einfach so viele Vorteile und ist 100% kompatibel mit der Sophos. Man kann das v6 dann einfacher weiter delegieren oder z.B. noch eine weitere Firewall dahinter betreiben. Extrem flexibel. Hätte ich das von Anfang an so gemacht, hätte ich mir viele Stunden Zeit gespart bei der Fehlersuche und Bugfix Requests.

  • 0 in reply to Ben

    Jein. Verstehe einfach nicht, wieso das mit der utm nicht will. Sind doch alles Geräte auf Linux, die mehr oder weniger das gleiche machen...

    Alternativ kann ich noch nen Router von der DG verwenden.

  • 0 in reply to Duff11

    Es scheint nun bestätigt, dass die DG in einigen Gebieten anfängt IPV6 per DHCP ohne Tunnel zu verteilen.

    Bei mir ist das allerdings weiterhin nicht der Fall.

     

    Wieso das auf der Sophos nicht klappt ist eine gute Frage, ich würde mir das mal per TeamViewer ansehen, wenn du magst.

     

    Beste Grüße

    Erik

  • 0 in reply to ErikStomp

    Vielen Dank für das Angebot!

    Allerdings nutze ich mittlerweile den Basic Router der DG, so dass der genexis nun als Modem betrieben wird und nicht mehr im Bridge-Mode.

    Edit:

    Ich habe allerdings noch ein Performance Problem bei größeren Paketen über die IPv6 IPSec Site to Site Verbindung.... anderer Thread