1

Frage

2

Antwort

3

Lösung

ping6: connect: Network is unreachable
JanKarcher
Smart-Analyzer
Smart-Analyzer

Hallo zusammen,

ich habe gerade etwas Probleme mit meinem IPv6 setup.

Erstmal zu den Basics. Ich habe bei mir zwei PIs im Netz die beide IPv6 Adressen haben und von extern erreichbar sein sollen.

Das ging auch schon ohne Probleme. Durch Wartung und Updates habe ich die zwei rebootet und seit dem bestehen Probleme. Da die Symptome für beide identisch sind werde ich nur einen als Beispiel aufführen in der Hoffnung, dass mir jemand sagen kann wo ich falsch abgebogen bin:

 

Router-Daten: 

Typ: FRITZ!Box 6490 Cable

Connection: FRITZ!Box verwendet einen DS-Lite-Tunnel

Internet, IPv6 : 

IPv6-Adresse: 2a02:8070:a100::abf/64, Gültigkeit: 70905/27705s
IPv6-Präfix: 2a02:8070:a180:ffe0::/59, Gültigkeit: 70905/27705s
Entsprechend sieht man, dass ich eine valide IPv6-Adresse auf Router-Ebene habe.
 
Raspi-Daten:

 

3: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether {{ MAC-Addresse }} brd ff:ff:ff:ff:ff:ff
inet 192.168.178.38/24 brd 192.168.178.255 scope global dynamic noprefixroute wlan0
valid_lft 692570sec preferred_lft 584570sec
inet6 fd00::24a6:fe07:391f:c82f/64 scope global dynamic mngtmpaddr noprefixroute
valid_lft 6757sec preferred_lft 3157sec
inet6 2a02:8070:a180:ffe0:cc11:d537:57f0:4bfb/64 scope global dynamic mngtmpaddr noprefixroute
valid_lft 6757sec preferred_lft 3157sec
inet6 fe80::a9a0:542d:bebb:f5bf/64 scope link
valid_lft forever preferred_lft forever

 

Auch hier sieht man, dass der PI eine IPv6 hat. In dem Fall ist die 2a02:8070:a180:ffe0:cc11:d537:57f0:4bfb die globale IP die ich gerne freigeben möchte.

 

Konfiguration in der FritzBox:

JanKarcher_2-1703943519586.png

Hier ist die Freigabe für PING6 und die Freigabe der IPv6-Präfixe erteilt. Zusätzlich die zwei Ports die ich im Moment erreichen möchte.

Des weiteren sind die generellen IPv6 Einstellungen der Box die Folgenden:

JanKarcher_1-1703943375027.png

Wenn ich versuche die IPv6 zu pingen bekomme ich folgende Meldung:

 

~$ ping6 2a02:8070:a180:ffe0:cc11:d537:57f0:4bfb
ping6: connect: Network is unreachable

 

 bzw selbst wenn ich im Netz versuche die Link-Adresse zu pingen habe ich 100% package loss:

 

~$ ping6 -v fe80::a9a0:542d:bebb:f5bf
PING fe80::a9a0:542d:bebb:f5bf(fe80::a9a0:542d:bebb:f5bf) 56 data bytes
^C
--- fe80::a9a0:542d:bebb:f5bf ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2079ms

 

Das gleiche passiert auch wenn ich versuche die Adresse aus einem Anderen Netz zu erreichen.

So verzweifelt wie ich nun bin habe ich mir dann mal angeschaut was denn so im Layer passiert und mir einen Trace gezogen (über fritz.box/#cap ausgewertet in Wireshark). Ich will jetzt nicht den ganzen Trace hier veröffentlichen, was mir sofort ins Auge fällt ist, dass auf den SYN direkt ein RST, ACK folgt. 

JanKarcher_3-1703944127766.png

 

Ich glaube das sollten die wichtigesten Randdaten von dem Set-up sein. Bin für Pointer offen.

Vielen Dank schonmal.

 

1 Akzeptierte Lösung

Akzeptierte Lösungen

Sorry für die kaputte Reihenfolge der Antworten. Ich musste zwischendurch aufs Handy wechseln - da ist das Forum grausam zu bedienen. Aus meiner Sicht läuft dein Webdienst IPv4 only und ist deshalb nicht erreichbar.  Mein Support pausiert für die nächsten Stunden. Viel Erfolg!

Lösung in ursprünglichem Beitrag anzeigen

15 Antworten 15
RobertP
Giga-Genie
Giga-Genie

sind auf den Raspis die Privacy Extensions deaktiviert?

Hallo Robert,

Danke für deine Antwort!

Das habe ich schon auf dem anderen PI deaktiviert (nach folgender Anleitung https://www.elektronik-kompendium.de/sites/raspberry-pi/2010021.htm).

Leider hat das meine Problematik nicht behoben. Ich habe das jetzt auch auf dem zweiten deaktiviert. Verhalten - bis auf neue IP - unverändert.

besser so:

RobertP_0-1703950877078.png

 

thomasschaefer
Royal-Techie
Royal-Techie

Von meiner Sicht aus sieht alles richtig aus. Ist auf dem raspi irgendeine Firewall aktiv?

thomas@witz:~> /usr/sbin/traceroute6 2a02:8070:a180:ffe0:cc11:d537:57f0:4bfb
traceroute to 2a02:8070:a180:ffe0:cc11:d537:57f0:4bfb (2a02:8070:a180:ffe0:cc11:d537:57f0:4bfb), 30 hops max, 80 byte packets
 1  fritz.box (2001:a61:4ed:5d01:9a9b:cbff:fe05:4241)  0.713 ms  1.173 ms  1.325 ms
 2  2001:a60::89:107:1 (2001:a60::89:107:1)  8.725 ms  8.668 ms  9.174 ms
 3  * * 2001:a60::89:a06 (2001:a60::89:a06)  9.006 ms
 4  as3209.munich.megaport.com (2001:7f8:2c:1000:0:c89:0:2)  8.992 ms  8.936 ms  10.549 ms
 5  2a02:908::3a:1 (2a02:908::3a:1)  31.702 ms  31.661 ms  31.726 ms
 6  2a02:8070:a0ff:2369::2 (2a02:8070:a0ff:2369::2)  24.339 ms  19.103 ms  19.333 ms
 7  2a02:8070:a100::abf (2a02:8070:a100::abf)  32.3

thomas@witz:~> ping 2a02:8070:a100::abf
PING 2a02:8070:a100::abf(2a02:8070:a100::abf) 56 Datenbytes
64 Bytes von 2a02:8070:a100::abf: icmp_seq=1 ttl=249 Zeit=30.1 ms
64 Bytes von 2a02:8070:a100::abf: icmp_seq=2 ttl=249 Zeit=45.8 ms
64 Bytes von 2a02:8070:a100::abf: icmp_seq=3 ttl=249 Zeit=28.0 ms
^C
--- 2a02:8070:a100::abf ping-Statistik ---
3 Pakete übertragen, 3 empfangen, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 28.032/34.649/45.835/7.953 ms

Das Traceroute läuft sauber bis zur Fritzbox. Selbst die Fritzbox ist pingbar. Einzig bei deinem Test zu fe80 fehlt das Interface. Das muss bei link-localen Adressen immer angegeben werden.

Im Moment sehe ich auch keine Tippfehler 🤔

thomasschaefer
Royal-Techie
Royal-Techie

 

 

thomas@witz:~> telnet 2a02:8070:a180:ffe0:cc11:d537:57f0:4bfb 443
Trying 2a02:8070:a180:ffe0:cc11:d537:57f0:4bfb...
telnet: connect to address 2a02:8070:a180:ffe0:cc11:d537:57f0:4bfb: Permission denied
thomas@witz:~> telnet 2a02:8070:a180:ffe0:cc11:d537:57f0:4bfb 80
Trying 2a02:8070:a180:ffe0:cc11:d537:57f0:4bfb...
telnet: connect to address 2a02:8070:a180:ffe0:cc11:d537:57f0:4bfb: Permission denied
thomas@witz:~> ping 2a02:8070:a180:ffe0:cc11:d537:57f0:4bfb
PING 2a02:8070:a180:ffe0:cc11:d537:57f0:4bfb(2a02:8070:a180:ffe0:cc11:d537:57f0:4bfb) 56 Datenbytes
Von 2a02:8070:a100::abf icmp_seq=1 Ziel nicht erreichbar: Administrativ verboten
Von 2a02:8070:a100::abf icmp_seq=2 Ziel nicht erreichbar: Administrativ verboten
Von 2a02:8070:a100::abf icmp_seq=3 Ziel nicht erreichbar: Administrativ verboten
^C
--- 2a02:8070:a180:ffe0:cc11:d537:57f0:4bfb ping-Statistik ---
3 Pakete übertragen, 0 empfangen, +3 Fehler, 100% packet loss, time 2002ms

 

Die Freigaben scheinen einfach nicht zu wirken/ zu funktionieren. Nochmal rebooten?

JanKarcher
Smart-Analyzer
Smart-Analyzer

@RobertP habe ich entsprechend übernommen, bemerke noch keinen Unterschied. Da ich über Kabel angebunden bin habe ich nun auch noch die Aushandlung über DHCPv6 only aktiviert:

JanKarcher_0-1703953532157.png

 

Ich kann nun Pi zu Pi pingen über die entsprechenden IPv6 Addressen. Von Windoof (auch WSL) zu den PIs tut nicht. Da ist noch Blödsinn konfiguriert was die Route angeht befürchte ich. Ist eine zweite Baustelle.

Wenn ich nun einen Ping ausführe von außerhalb dem Netz (e.g.: https://ipv64.net/ping_online) kann ich den PI pingen: 

JanKarcher_2-1703953889225.png

 

Sobald ich aber versuche auf ihn zuzugreifen über Port 80 bekomme ich nach wie vor ERR_CONNECTION_REFUSED.

Firewall auf dem PI benutze ich normalerweise UFW, die habe ich gerade deaktiviert um zu verifizieren ob die da zuschlägt. Habe aber auch in deren Log keine entsprechende denies gesehen...

Auch wenn ich von PI zu PI einen curl versuche geht das in die Knie:

curl -vvv [2a02:8070:a180:ffe0:da3a:ddff:fe12:c507]:80
*   Trying 2a02:8070:a180:ffe0:da3a:ddff:fe12:c507:80...
* connect to 2a02:8070:a180:ffe0:da3a:ddff:fe12:c507 port 80 failed: Connection refused
* Failed to connect to 2a02:8070:a180:ffe0:da3a:ddff:fe12:c507 port 80: Connection refused
* Closing connection 0
curl: (7) Failed to connect to 2a02:8070:a180:ffe0:da3a:ddff:fe12:c507 port 80: Connection refused

Obwohl in der firtzbox der Port offen ist:

JanKarcher_3-1703954158013.png

 

Ich meine ich weiß, dass ich bei IPv6 noch einige Wissenslücken habe und ich bin echt am zweifeln an meiner Kompetenz 😄 

JanKarcher
Smart-Analyzer
Smart-Analyzer

@thomasschaefer Guter call. Ich restarte mal meine fritzbox + die PIs.

JanKarcher
Smart-Analyzer
Smart-Analyzer

Alles wieder up & running. Die neue IP von dem PI ist jetzt:

[2a02:8070:a180:ffe0:da3a:ddff:fe12:c507]

Verhalten unverändert.

thomasschaefer
Royal-Techie
Royal-Techie

Also ping kann ich jetzt bestätigen.

Jetzt aber doch noch eine blöde Frage: Die Server auf dem raspi laufen?

 

ss -tulpen | grep 80
nmap -6 2a02:8070:a180:ffe0:da3a:ddff:fe12:c507
Starting Nmap 7.92 ( https://nmap.org ) at 2023-12-30 17:49 CET
Nmap scan report for 2a02:8070:a180:ffe0:da3a:ddff:fe12:c507
Host is up (0.051s latency).
Not shown: 985 filtered tcp ports (no-response), 11 filtered tcp ports (admin-prohibited)
PORT     STATE  SERVICE
80/tcp   closed http
443/tcp  closed https
8000/tcp closed http-alt
8082/tcp closed blackice-alerts

Nmap done: 1 IP address (1 host up) scanned in 18.48 seconds

 

WSL auf Windows ist mehrfach kaputt. Versuche das bitte als letztes zu fixen. Windows selbst sollte aber funktionieren.