Zum Inhalt der Seite gehen

friendica (DFRN) - Link zum Originalbeitrag

#IPv6 und #Netcup

Mir fliegt ziemlich exakt alle 20 Minuten das v6 weg bei Netcup, ein flush auf die Input-Chain plus neuladen des Regelsatzes hilft dann (für 20 Minuten). Ich habe RA in Verdacht.

Wenn ich sämtliches v6 in der Input-Chain gestatte, gibt es keine Ausfälle.
Wenn ich nur diese gestatte:

  • destination unreachable (1)
  • echo request (128)
  • neighbor advertisement (136)
  • neighbor solicitation (135)
  • packet too big (2)
  • parameter problem (4)
  • redirect (137)
  • router advertisement (134)
  • router solicitation (133)

dann knallt es wieder nach 20 Minuten. Was könnte mir fe len? Oder ist es unbedenklich, einfach alles anzunehmen?

#ipv6 #netcup

teilten dies erneut

Als Antwort auf Rainer "friendica" Sokoll

Andrea Borgia
diaspora - Link zum Originalbeitrag
Andrea Borgia
Bei mir (OpenWRT) sind für IPv6 diese standard Regel da:
config rule
        option dest_port '546'
        option family 'ipv6'   
        option name 'Allow-DHCPv6'
        option proto 'udp'
        option src 'wan'  
        option target 'ACCEPT'
config rule                    
        list icmp_type '130/0' 
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option name 'Allow-MLD'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        option src 'wan'
        option target 'ACCEPT'
config rule                      
        list icmp_type 'bad-header'
        list icmp_type 'destination-unreachable'
        list icmp_type 'echo-reply'             
        list icmp_type 'echo-request'           
        list icmp_type 'neighbour-advertisement'
        list icmp_type 'neighbour-solicitation' 
        list icmp_type 'packet-too-big'         
        list icmp_type 'router-advertisement'   
        list icmp_type 'router-solicitation'    
        list icmp_type 'time-exceeded'          
        list icmp_type 'unknown-header-type'    
        option family 'ipv6'                    
        option limit '1000/sec'                 
        option name 'Allow-ICMPv6-Input'        
        option proto 'icmp'                    
        option src 'wan'                     
        option target 'ACCEPT' 
config rule                                     
        list icmp_type 'bad-header'             
        list icmp_type 'destination-unreachable'
        list icmp_type 'echo-reply'             
        list icmp_type 'echo-request'           
        list icmp_type 'packet-too-big'         
        list icmp_type 'time-exceeded'          
        list icmp_type 'unknown-header-type'    
        option dest '*'                         
        option family 'ipv6'                    
        option limit '1000/sec'                 
        option name 'Allow-ICMPv6-Forward'      
        option proto 'icmp'                    
        option src 'wan'                        
        option target 'ACCEPT'

Ich verwende he.net (Anschlussstelle Frankfurt) um ein /48 IPv6 zu bekommen. Die Verbindung ist eher stabil.
Als Antwort auf Rainer "friendica" Sokoll

Tobias Fiebig
mastodon - Link zum Originalbeitrag
Tobias Fiebig

Netz fliegt weg? Also SSH friert ein? Wenn du bei der dtag bist: Type 2, packet too big.

Sonst bietet es sich auch an, 157/158 (duplicate addr. detection) durch zu lassen, Type 3 (TTL exceeded) und 129 (echo reply) inbound zu lassen is auch meist ganz praktisch (ersterer auf jeden fall, zweiterer wenn das ohne conntrack laeuft).

Generell is aber "icmp6 durch lassen" und im os (sysctl) reagieren auf problematische msg. aus machen generell nen guter plan.

Als Antwort auf Rainer "friendica" Sokoll

Johannes Berg
diaspora - Link zum Originalbeitrag
Johannes Berg
IPv6 braucht eigentlich immer multicast, würde mich nicht wundern wenn du 130-132 und 143 brauchst.
Als Antwort auf Rainer "friendica" Sokoll

Rainer "friendica" Sokoll
friendica (DFRN) - Link zum Originalbeitrag
Rainer "friendica" Sokoll

Gelöst (vermutlich)
Es war schon richtig wie ich das gemacht hatte, nur: die Regel für icmp6 war stateful (da das gesamte Ruleset per default stateful ist), nach Umstellen nur der icmp6-Regel auf stateless scheint alles stabil zu laufen.

🙏