LCOS 10.00.035 - Auffälligkeiten mit IPv6 über IPv4-VPN

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Rougu
Beiträge: 115
Registriert: 18 Sep 2007, 18:57
Wohnort: EU

LCOS 10.00.035 - Auffälligkeiten mit IPv6 über IPv4-VPN

Beitrag von Rougu »

Hallo,

habe folgendes Szenario:

Zwei Standorte, über IPv4-VPN-Tunnel verbunden: Zentrale (1781VA mit 10.00.0035), Filiale 1781EW+ mit 10.00.0035, LANconfig 10.00.0013).
Gemäß LANCOM KB 1605.3111.4016.RHOO (Manuelle Einrichtung einer IPv6 IKEv2 Site-To-Site VPN-Verbindung über eine IPv4-Internetverbindung) wurde eine IPv6-Netzkopplung hinzugefügt.

- Beide Standorte haben im Intranet (routing tag 1) je ein IPv6 ULA-Netz aufgespannt.
- IPv6-Routen zeigen auf das Netz der Gegenseite
- IPv6-LAN-Interfaces haben manuell zugewiesene ULA-Adresse
- IPv6-Forwarding-Rule erlaubt Traffic ULA-ULA (fc00::/7)



Auffälligkeit 1

Letzte Woche habe ich mehrere Tage an einem Standort mit schlechter LTE- und schlechter Cable-ISP-Versorgung verbracht und vergeblich eine stabile Konfiguration für IPv6-via-IPv4-VPN gesucht. In meiner Laborumgebung mit guter ISP-Anbindung habe ich dieses Problem nicht mehr nachvollziehen können.

Die IPv6-Pakete werden unter mir nicht erkennbaren Randbedingungen nur unzuverlässig und mit vielen Paketen in der Datensenke transportiert. Nach einem Neustart beider Seiten kann es manchmal einige Zeit fast ohne Drops laufen.

Ping (IPv6) von Filiale nach Zentrale:

echo request Host @ Fialiale --> Host @ Zentrale : end-to-end ok
echo reply Host @ Zentrale //> Host @ Fialiale : wird in Router Zentrale noch gesehen, ist aber in Router Filiale nicht mehr zu tracen

Laut den Sequenznummern der ICMP-Pakete kamen zwischen 30 und 2 Prozent der IPv6-Pings korrekt zurück.


Ping (IPv4)
echo req und echo reply laufen gleichzeitig nahezu ohne Verluste.


Es ist im Fehlerfall immer so, dass die Antwort der Gegenstelle den Rückweg nicht mehr passieren kann. Das Problem ist auch nicht auf ICMP beschränkt. TCP (getestet mit HTTP und SSH) ist auch betroffen.




Auffälligkeit 2

Ping IPv6 von Host @ Zentrale --> IPv6-LAN-Adresse des Routers Filiale läuft gar nicht.

Code: Alles auswählen

> trace # ipv6-ro @ icmp zentrale
IPv6-Router          ON  @ icmp zentrale

root@filiale:/
> 
[IPv6-Router] 2016/11/06 16:33:08,639 [info] : 
ip packet from ZENTRALE scope 4, routing tag 1
Internet Protocol Version 6
  Payload length: 16
  Next header: ICMPv6 (0x3a)
  Hop limit: 63
  Source: fda3:7f01:64d8:cafe:0:ffff:a01:105
  Destination: fda3:7f01:64d8:21:0:ffff:a01:2101
Internet Control Message Protocol
  Type: Echo (ping) request (128)
  Code: 0
  Checksum: 0x2ed0
  Identifier: 29558
  Sequence number: 215

[IPv6-Router] 2016/11/06 16:33:08,639 [info] : 
ip packet from #Loopback scope 1, routing tag 1
Internet Protocol Version 6
  Payload length: 16
  Next header: ICMPv6 (0x3a)
  Hop limit: 64
  Source: fda3:7f01:64d8:21:0:ffff:a01:2101
  Destination: fda3:7f01:64d8:cafe:0:ffff:a01:105
Internet Control Message Protocol
  Type: Echo (ping) reply (129)
  Code: 0
  Checksum: 0x2ed0
  Identifier: 29558
  Sequence number: 215

[IPv6-Router] 2016/11/06 16:33:08,639 [info] : Firewall: forwarding unicast via ZENTRALE
Echo Reply kommt bei Zentrale nicht an.

Dieses Verhalten kann ich mir nicht erklären, weil die Antwort korrekt mit rt 1 in den Routing-Prozess geht und angeblich über das Egress-Interface rausgeschickt wird.





Auffälligkeit 3

Beim Versuch, in IPv6-Aktionsobjekten DSCP-Tags <> BE zu setzen, führt über LANconfig zu falschen Ergebnissen.

Setzen von "EF" aus Pulldown-Menü: Wert 46 wird grau angezeigt. Der Parameter wird beim Schreiben als fehlerhaft zurückgewiesen.
Setzen von "CS6" aus Pulldown-Menü: Wert 6 wird grau angezeigt. NAch dem Schreiben steht unter "ls /set/ipv6/firew/actions" "DiffServ AF12" und "DSCP-value 6". Richtig wäre wohl "DiffServ CS6" und "DSCP-Value 0", weil laut Hilfe der Value-Wert nur belegt wird, wenn keiner der vordefinierten DiffServ-Werte, sondern "value" verwendet wird.

Über die Web-GUI ist die Definition von DSCP-Tags möglich.


Gruß,
rougu
Antworten