@elli_8098 

Deine Aussage ist leider nur bedingt korrekt.

@Brunhilde42 möchte ja das GRE Protokoll auf IPv6 nutzen, die Pakete erreichen gar nicht das AFTR Gateway, somit spielt es keine Rolle wie der IPv4 Traffic geroutet wird. 

Es ist jedoch wichtig, dass @Brunhilde42 die gesamte GRE/VPN Verbindung ausschließlich via IPv6 aufbaut und betreibt. 

Beim GRE-Protokoll handelt es sich um ein verbindungsloses Protokoll auf OSI Ebene 4 (gleiche Ebene wie TCP oder UDP), welches für Netzwerktunnel (sozusagen für ein VPN) genutzt werden kann. Aktuell möchte ich es dafür nutzen, IPv4-Traffic einer öffentlich routbaren IPv4-Addresse über IPv6 in mein Heimnetz zu bekommen.

Das Problem ist, dass das Vodafone-Netz diese GRE-Pakete verschluckt. (In welche Richtung diese verschluckt werden, muss ich noch rausfinden) Ich sende also ein GRE-Paket und kann bestätigen, dass es meinen einen Rechner verlässt, aber es kommt nicht im Zielnetz von Vodafone trotz GRE-Protokoll-Weiterleitung in der Fritz Box an. Da das Paket auch in delegierten IPv6-Präfixen nicht empfangen wird, in denen ich volle Kontrolle über den Router habe und die Firewall der FritzBox hier keine Rolle spielt, kann ich einen Firewall-Konfigurationsfehler meinerseits ausschließen.

Es muss sich also entweder um einen FritzBox-Bug handeln (sehr unwahrscheinlich, da ich nicht glaube, dass die FritzBox einen Bug in der eigenen Firewall UND in der direkten Weiterleitung von Paketen an delegierte Präfixe hat, bei denen spezifisch nur GRE-Pakete rejected werden), oder Vodafone blockiert die Pakete aus irgendeinem Grund.

Das ist etwas anderes, was du jetzt schreibst.

Du musst das GRE Protokoll mit IPv6 Erweiterung auf der Layer3 Ebene direkt mit IPv6 betreiben.

Könntest du erläutern, wie du das meinst (speziell den Part mit dem Betreiben über IPv6)? Die Aussage von mir, GRE sei auf der Ebene OSI-4, ist tatsächlich falsch (es ist außerhalb des Schichtmodells, bzw. verbindet zwei Network Layers).

Meine GRE-Pakete werden vollständig über IPv6 versendet – lediglich das eingekapselte Paket ist ein IPv4-Paket.

du solltest jetzt nicht erklären was GRE Tunneling ist, sondern wie du das gedenkst umzusetzen

du schreibst auch etwas von einem Anbieter, welcher ist das?

Genau, alles was übers GRE Protokoll im Layer 3 abgewickelt wird, darf nur via IPv6 abgewickelt werden.

Dafür ist meines Wissens eine Erweiterung um das IPv6 Protokoll beim GRE Server/Client erforderlich.

Was du innerhalb des VPNs überträgst spielt keine Rolle.

Anbieter ist noez.de.

Hinter meine FritzBox ist ein OpenWRT-Router geschaltet, an den die FritzBox für delegierte IPv6-Subnetze die Firewallaufgaben delegiert. Da tcpdump die Pakete vor der Firewall abfängt, ist die Konfiguration selbiger erstmal irrelevant.

Wenn ich das interne Gateway des virtuellen Netzes pinge, meldet tcpdump folgendes:

IP6 [censored public IPv6 of OpenWRT router] > [noez.de IPv6 endpoint]: GREv0, length 88: IP 192.168.2.30 > 192.168.2.29: ICMP echo request, id 9258, seq 1, length 64

192.168.2.28/30 ist dabei das VPN-Netz (mit privaten IPv4-Addressen). Der Endpoint sendet keine Antwort auf den ping request.

Habe jetzt noch ein bisschen mehr Troubleshooting durchgeführt, folgendes zeichnet sich bei der GRE-Erreichbarkeit von außerhalb des Heimnetzes auf den OpenWRT-Router ab:

• erreichbar innerhalb des FritzBox-Netzwerkes
• erreichbar über Handy-Hotspot, wobei Handy Netz vom Heimnetz bezieht
• nicht erreichbar über Handy-Hotspot mit mobilen Daten
• erreichbar über Netz eines benachbarten DS-Lite-Anschlusses bei Vodafone
• erreichbar über VPS in einem anderen AS

Ursprünglich habe ich nur den ersten und den dritten Troubleshooting-Schritt gemacht. Mit den neuen Daten kann ich nun mit ziemlicher Sicherheit sagen, das es am Anbieter oder meiner Konfiguration liegt. Ich vermute außerdem, das mein Anbieter von mobilen Daten GRE-Traffic filtert.

Vielen Dank für das Input von euch 🙂

EDIT: Vodafone macht doch irgendwas, siehe nächste Seite