IPv6 und MTR

Die Frage ist natürlich, ob die Internet WAN Hops auch auf Traceroute antworten. 

Wenn du traceroute von der Firewall selbst losschickst, wie sieht es dort aus? 

Also vorher hing eine UTM direkt an dem WAN Port. Diese wurde vor ca. 2 Wochen durch eine XG getauscht. Bei der UTM haben noch alle Hops geantwortet.

Wenn ich den 2. Hop direkt anpinge von der XG oder einem Gerät dahinter, kommt auch eine Antwort.

SFVH_KV01_SFOS 18.5.1 MR-1-Build326# traceroute6 google.de
traceroute to google.de (2a00:1450:4001:803::2003), 30 hops max, 72 byte packets
 1  *  *  *
 2  *  *  *
 3  *  *  *
 4  *  *  *
 5  *  *  *
 6  fra24s02-in-x03.1e100.net (2a00:1450:4001:803::2003)  6.051 ms  6.032 ms  5.987 ms

Also vorher hing eine UTM direkt an dem WAN Port. Diese wurde vor ca. 2 Wochen durch eine XG getauscht. Bei der UTM haben noch alle Hops geantwortet.

Wenn ich den 2. Hop direkt anpinge von der XG oder einem Gerät dahinter, kommt auch eine Antwort.

SFVH_KV01_SFOS 18.5.1 MR-1-Build326# traceroute6 google.de
traceroute to google.de (2a00:1450:4001:803::2003), 30 hops max, 72 byte packets
 1  *  *  *
 2  *  *  *
 3  *  *  *
 4  *  *  *
 5  *  *  *
 6  fra24s02-in-x03.1e100.net (2a00:1450:4001:803::2003)  6.051 ms  6.032 ms  5.987 ms

Ich würde behaupten, dass ist kein Thema der Firewall, sondern die Hubs beantworten dein traceroute nicht. 

Ist das denn ein Problem? 

Wie bereits geschrieben, mit der Sophos UTM mit den gleichen Einstellungen hat es vorher noch funktioniert.

EIn Problem ist es nicht direkt, aber bei der Ursachenforschung wäre es nicht schlecht zu sehen, wo evtl. Paketverlust auftritt.

Von extern ein mtr auf den Hop 1 (2a07:xxxx:x:10::1) funktioniert es auch. Auch wenn ich ein MTR auf die IP von einem Client mache, antwortet die IP der XG Firewall (2a07:xxxx:x:1::2). Die vom Client zwar nicht, weil es per Firewall Regel nicht erlaubt ist, aber die XG antwortet.

Die IPv6 Verbindung wird über einen IP-Tunnel 6in4 aufgebaut. Auf meinem Server im RZ habe ich 2a07:xxxx:x::/48 geroutet.

Tunnel Interface:
Endpunkt: 2a07:xxxx:x:1::1/64 / "route -A inet6 add 2a07:xxxx:x:10::/60 gw 2a07:xxxx:x:1::2 dev tun1"
XG: 2a07:xxxx:x:1::2/64 (Habe ich per Shell manuell dem Tunnel Interface hinzugefügt)

XG Interface:
LAN: 2a07:xxxx:x:10::1/64 (Hop 1 in meinem ersten Beitrag)
Wifi: 2a07:xxxx:x:11::1/64
etc....

Es wurde manuell eine IPv6 unicast route mit ::/0 und dem Gateway 2a07:xxxx:x:1::1/64 hinzugefügt.

Alle genannten IPv6 Adressen sind von extern per Ping und per MTR erreichbar.

Ok, Ursache gefunden.

Bei dem IP-Tunnel habe ich die TTL nicht angepasst. Stand default auf 0. Nachdem ich die auf 255 gestellt habe, wie beim Endpunkt, sehe ich alle Hosts im MTR.

HOST: MBP-von-Marvin                                                      Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. ASxxxxx  xxxx.local (2a07:xxxx:x:10::1)                               0.0%     2    1.1   1.1   1.0   1.1   0.1
  2. ASxxxxx  xxxx.local (2a07:xxxx:x:1::1)                                0.0%     2    6.3   6.6   6.3   6.9   0.4
  3. ASxxxxx  xxxx (xxx:xxx:3::1)                                          0.0%     2    7.0   6.8   6.7   7.0   0.2
  4. AS???    ipv6.de-cix.fra.de.as15169.google.com (2001:7f8::3b41:0:2)   0.0%     2    7.9   7.7   7.5   7.9   0.3
  5. AS???    ???                                                         100.0     2    0.0   0.0   0.0   0.0   0.0
  6. AS15169  2001:4860:0:1::4935                                          0.0%     2    8.5   8.6   8.5   8.6   0.1
  7. AS15169  fra24s02-in-x03.1e100.net (2a00:1450:4001:803::2003)         0.0%     2    7.7   7.9   7.7   8.2   0.3