IPv6 und fehlende Antwortpakete

Tue, 09 Apr 2019 23:52:21 -0700 

Hallo,

ich habe hier einen Router mit 2 NIC, die je einen IPv6-Adressbereich
beziehen und an Clients dahinter verteilen.

Nun ist es so dass Clients aus dem einen Netz Probleme mit HTTPS haben und
die des anderen Netzes nicht. Schaue ich mir das aus Sicht des Webservers
an, so sendet dieser in beiden Fällen Antworten Richtung anfragendem Client,
schaue ich auf dem Router bleiben für die fehlerhaften Clients diese
Antworten aber aus. Für mich schien klar, der Provider filtert da aus nicht
nachvollziehbaren Gründen das eine Netz. Wohlgemerkt mit z.B. SMTP habe ich
das Problem nicht.
Zum Glück heißt der Provider nicht TELEKOM oder so, sondern ist bis zum
Router runter ansprechbar. Auch dieser sieht schon die Antworten des
Webservers angeblich nicht und auch sein Vorgeschalteter würde nicht
filtern. Wir halben mal das komplette IPv6-Netz gewechselt, aber das Bild
bleibt gleich das erste Segment kann arbeiten, das zweite wieder nicht. Mein
Provider meint, es läge an meinem Router (Debian 9, Kernel 4.19, netfilter)
- erklärt das aber nicht genauer. Ich komme beim Provider nun nicht mehr
weiter und will der Behauptung meine Technik sei Schuld eine Chance geben.

Ich beziehe mit wide-dhcpv6 über ppp0 einen Adressbereich und ordne ihn auf
zwei Interfaces wie folgt zu:

profile default
{
        information-only;
        request domain-name-servers;
        request domain-name;
        script "/etc/wide-dhcpv6/dhcp6c-script";
};

interface ppp0 {
        send ia-pd 999;
};

id-assoc pd 999 {
        prefix ::/56 infinity;
        prefix-interface eth0 {
                sla-len 8;
                sla-id 0;
                ifid 1;
        };
        prefix-interface eth1 {
                sla-len 8;
                sla-id 16;
                ifid 1;
        };
};

Zusätzlich verteile ich die Netzinformation für die dahinterliegenden
Clients mit radvd wie folgt:

interface eth0 {
        AdvSendAdvert on;
        AdvManagedFlag on;
        AdvOtherConfigFlag on;
        AdvDefaultPreference high;
        AdvLinkMTU 1280;

        prefix 2a00:fda0:6:cd00::/64 {
                AdvOnLink on;
                AdvAutonomous off;
                AdvRouterAddr on;
        };

        RDNSS 2a00:fda0:6:cd00::221 2a00:fda0:6:cd00::222 {
                #
        };
        DNSSL its-local {
                #
        };
};

interface eth1 {
        AdvSendAdvert on;
        prefix 2a00:fda0:6:cd10::/64 {
                AdvOnLink on;
                AdvAutonomous on;
                AdvRouterAddr on;
        };
        RDNSS 2001:4860:4860::8888 2001:4860:4860::8844 {
                #
        };
};

Nennen wir das Netz hinter eth0 LAN und das hinter eth1 LAB.
Auf mindestens einen Webserver im WAN mit IPv6 habe ich Zugriff. Daher hier
mal die Paketmitschnitte aus Sicht dieses Webservers, wenn eine Anfrage aus
dem LAN kommt und eine aus LAB.

Kann denn da einer von Euch orakeln, warum ein Teil der Antworten an LAB
irgendwo verloren gehen?

Ich kann auch Dumps von dem zeigen, was mein Router davon noch sieht.


Mit freundlichen Grüßen / Kind regards
     Ronny Seffner
--
Ronny Seffner  |  Alter Viehweg 1  |  01665 Klipphausen
www.seffner.de  |  ro...@seffner.de  |  +49 35245 72950
7EA62E22D9CC4F0B74DCBCEA864623A568694DB8

Attachment: lab.dump
Description: Binary data

Attachment: lan.dump
Description: Binary data

Antwort per Email an