ComputerBase Menü
Aktuelles

nftables ipv6 Weiterleitung

J

jb_alvarado

Lieutenant
Registriert
Sep. 2015
Beiträge
553
Hallo Allerseits,
gleich zu Anfang: mein Wissen bezüglich IPv6 ist leider noch recht rudimentär...

Ich würde gerne auf einem (debian) Server für einzelne VMs IPv6 verfügbar machen. Dazu habe ich folgende Bedingungen:
  1. Interface mit welchem der Server mit der Außenwelt kommuniziert $dev_wan
  2. Ein VLan Interface für vSwitch
  3. an dem VLan hängt ein Bridge Interface für die VMs
$dev_wan ist so eingerichtet:

Code: 
iface eno1 inet6 static
  address xxxx:xxxx:xxx:xxxx::2
  netmask 64
  gateway fe80::1

Bridge ist so eingerichtete:

Code: 
iface br2 inet6 static
    address xxxx:xxxx:xxx:xxxx::3
    netmask 64

Interface der VM schaut so aus:

Code: 
iface enp1s0 inet6 static
    address xxxx:xxxx:xxx:xxxx::4
    netmask 64
    gateway xxxx:xxxx:xxx:xxxx::3

/etc/sysctl.conf ist wie folgend konfiguriert:

Code: 
net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1
net.ipv4.conf.all.accept_source_route = 1
net.ipv6.conf.all.accept_source_route = 1

nftables forward chain ist für ipv6 in etwa so konfiguriert:

Code: 
    chain forward {
        type filter hook forward priority 0; policy drop;
        
        iifname $dev_wan oifname $vm_bridge ip6 daddr $vm_net6 ct state { established, related } accept
        iifname $vm_bridge oifname $dev_wan ip6 saddr $vm_net6 accept comment "allow traffic from vm bridge to wan"
        
        iifname $vm_bridge oifname $vm_bridge accept
        
        iifname $dev_wan ip6 daddr "xxx:xxxx:xxx:xxxx::4" accept
        
        log prefix "drop forward " group 0 drop
    }

Habe noch eine postrouting chain, aber ob ich dort auch ein SNAT für IPv6 brauche, weiß ich nicht genau.

Code: 
chain postrouting {
        type nat hook postrouting priority 100; policy accept;

        ip saddr $vm_net4 oifname $dev_wan snat $wan_ipv4
        ip6 saddr $vm_net6 oifname $dev_wan snat $wan_ipv6
    }

Wenn ich jetzt von Außerhalb auf die VM IP pinge, meckert die Firewall nicht. Auf dem Server schaut tcpdump so aus:

Code: 
tcpdump -n -vv ICMP6

tcpdump: listening on eno1, link-type EN10MB (Ethernet), snapshot length 262144 bytes
10:21:11.481616 IP6 (flowlabel 0xe9512, hlim 57, next-header ICMPv6 (58) payload length: 64) 2a0b:4d07:101:10::1 > xxxx:xxxx:xxx:xxxx::4: [icmp6 sum ok] ICMP6, echo request, id 30784, seq 1
10:21:11.481667 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > ff02::1:ff00:4: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has xxxx:xxxx:xxx:xxxx::4
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4
10:21:11.912724 IP6 (flowlabel 0xe9512, hlim 57, next-header ICMPv6 (58) payload length: 64) 2a0b:4d07:101:10::1 > xxxx:xxxx:xxx:xxxx::4: [icmp6 sum ok] ICMP6, echo request, id 30784, seq 2
10:21:12.324695 IP6 (flowlabel 0xe9512, hlim 57, next-header ICMPv6 (58) payload length: 64) 2a0b:4d07:101:10::1 > xxxx:xxxx:xxx:xxxx::4: [icmp6 sum ok] ICMP6, echo request, id 30784, seq 3
10:21:12.501239 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > ff02::1:ff00:4: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has xxxx:xxxx:xxx:xxxx::4
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4

Auf der VM kommt nach kurzer Verzögerung das an:

Code: 
tcpdump -n -vv icmp6

tcpdump: listening on enp1s0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
09:15:18.456139 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::4f2:2eff:fe37:a164 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::1
      source link-address option (1), length 8 (1): 06:f2:2e:37:a1:64
        0x0000:  06f2 2e37 a164
09:15:19.484306 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::4f2:2eff:fe37:a164 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::1
      source link-address option (1), length 8 (1): 06:f2:2e:37:a1:64
        0x0000:  06f2 2e37 a164

Allerdings bekommt mein Dienst von dem ich aus pinge keine Antwort Pakete. Auch wenn ich direkt aus der VM heraus pinge habe ich 100% Paketverlust, kann aber auf dem Server mit tcpdump Traffic sehen.

Dump schaut so aus:
Code: 
tcpdump -n -vv icmp6
tcpdump: listening on eno1, link-type EN10MB (Ethernet), snapshot length 262144 bytes
11:38:45.430436 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) xxxx:xxxx:xxx:xxxx::2 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::1
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4
11:38:45.431032 IP6 (class 0xc0, hlim 255, next-header ICMPv6 (58) payload length: 32) 2a01:4f8::a:25:b > xxxx:xxxx:xxx:xxxx::2: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is fe80::1, Flags [router, solicited, override]
      destination link-address option (2), length 8 (1): e8:a2:45:df:aa:07
        0x0000:  e8a2 45df aa07
11:38:45.431060 IP6 (flowlabel 0x256b3, hlim 63, next-header ICMPv6 (58) payload length: 64) xxxx:xxxx:xxx:xxxx::2 > 2a00:1450:4001:82a::200e: [icmp6 sum ok] ICMP6, echo request, id 14304, seq 1
11:38:45.436164 IP6 (flowlabel 0x256b3, hlim 60, next-header ICMPv6 (58) payload length: 64) 2a00:1450:4001:82a::200e > xxxx:xxxx:xxx:xxxx::2: [icmp6 sum ok] ICMP6, echo reply, id 14304, seq 1
11:38:45.436217 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > ff02::1:ff00:4: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has xxxx:xxxx:xxx:xxxx::4
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4
11:38:46.457192 IP6 (flowlabel 0x256b3, hlim 63, next-header ICMPv6 (58) payload length: 64) xxxx:xxxx:xxx:xxxx::2 > 2a00:1450:4001:82a::200e: [icmp6 sum ok] ICMP6, echo request, id 14304, seq 2
11:38:46.462321 IP6 (flowlabel 0x256b3, hlim 60, next-header ICMPv6 (58) payload length: 64) 2a00:1450:4001:82a::200e > xxxx:xxxx:xxx:xxxx::2: [icmp6 sum ok] ICMP6, echo reply, id 14304, seq 2
11:38:46.471899 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > ff02::1:ff00:4: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has xxxx:xxxx:xxx:xxxx::4
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4
11:38:47.481182 IP6 (flowlabel 0x256b3, hlim 63, next-header ICMPv6 (58) payload length: 64) xxxx:xxxx:xxx:xxxx::2 > 2a00:1450:4001:82a::200e: [icmp6 sum ok] ICMP6, echo request, id 14304, seq 3
11:38:47.486281 IP6 (flowlabel 0x256b3, hlim 60, next-header ICMPv6 (58) payload length: 64) 2a00:1450:4001:82a::200e > xxxx:xxxx:xxx:xxxx::2: [icmp6 sum ok] ICMP6, echo reply, id 14304, seq 3
11:38:47.495877 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > ff02::1:ff00:4: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has xxxx:xxxx:xxx:xxxx::4
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4
11:38:48.505036 IP6 (flowlabel 0x256b3, hlim 63, next-header ICMPv6 (58) payload length: 64) xxxx:xxxx:xxx:xxxx::2 > 2a00:1450:4001:82a::200e: [icmp6 sum ok] ICMP6, echo request, id 14304, seq 4
11:38:48.510161 IP6 (flowlabel 0x256b3, hlim 60, next-header ICMPv6 (58) payload length: 64) 2a00:1450:4001:82a::200e > xxxx:xxxx:xxx:xxxx::2: [icmp6 sum ok] ICMP6, echo reply, id 14304, seq 4
11:38:48.515933 IP6 (flowlabel 0x2484e, hlim 64, next-header ICMPv6 (58) payload length: 112) xxxx:xxxx:xxx:xxxx::2 > 2a00:1450:4001:82a::200e: [icmp6 sum ok] ICMP6, destination unreachable, unreachable address xxxx:xxxx:xxx:xxxx::2
11:38:48.515951 IP6 (flowlabel 0x2484e, hlim 64, next-header ICMPv6 (58) payload length: 112) xxxx:xxxx:xxx:xxxx::2 > 2a00:1450:4001:82a::200e: [icmp6 sum ok] ICMP6, destination unreachable, unreachable address xxxx:xxxx:xxx:xxxx::2
11:38:48.515965 IP6 (flowlabel 0x2484e, hlim 64, next-header ICMPv6 (58) payload length: 112) xxxx:xxxx:xxx:xxxx::2 > 2a00:1450:4001:82a::200e: [icmp6 sum ok] ICMP6, destination unreachable, unreachable address xxxx:xxxx:xxx:xxxx::2
11:38:48.515973 IP6 (flowlabel 0x2484e, hlim 64, next-header ICMPv6 (58) payload length: 112) xxxx:xxxx:xxx:xxxx::2 > 2a00:1450:4001:82a::200e: [icmp6 sum ok] ICMP6, destination unreachable, unreachable address xxxx:xxxx:xxx:xxxx::2
11:38:48.580748 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::eaa2:4500:df:aff8 > ff02::1:ff00:3: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has xxxx:xxxx:xxx:xxxx::3
      source link-address option (1), length 8 (1): e8:a2:45:df:af:b8
        0x0000:  e8a2 45df afb8
11:38:48.780503 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::eaa2:4500:df:aff8 > ff02::1:ff00:3: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has xxxx:xxxx:xxx:xxxx::3
      source link-address option (1), length 8 (1): e8:a2:45:df:af:b8
        0x0000:  e8a2 45df afb8
11:38:49.797881 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::eaa2:4500:df:aff8 > ff02::1:ff00:3: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has xxxx:xxxx:xxx:xxxx::3
      source link-address option (1), length 8 (1): e8:a2:45:df:af:b8
        0x0000:  e8a2 45df afb8
11:38:50.802844 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::eaa2:4500:df:aff8 > ff02::1:ff00:3: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has xxxx:xxxx:xxx:xxxx::3
      source link-address option (1), length 8 (1): e8:a2:45:df:af:b8
        0x0000:  e8a2 45df afb8
11:39:10.480569 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::eaa2:4500:df:aff8 > ff02::1:ff00:4: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has xxxx:xxxx:xxx:xxxx::4
      source link-address option (1), length 8 (1): e8:a2:45:df:af:b8
        0x0000:  e8a2 45df afb8
11:39:11.537948 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::eaa2:4500:df:aff8 > ff02::1:ff00:4: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has xxxx:xxxx:xxx:xxxx::4
      source link-address option (1), length 8 (1): e8:a2:45:df:af:b8
        0x0000:  e8a2 45df afb8
11:39:12.637869 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::eaa2:4500:df:aff8 > ff02::1:ff00:4: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has xxxx:xxxx:xxx:xxxx::4
      source link-address option (1), length 8 (1): e8:a2:45:df:af:b8
        0x0000:  e8a2 45df afb8
11:40:13.568942 IP6 (flowlabel 0xbcaf3, hlim 63, next-header ICMPv6 (58) payload length: 64) xxxx:xxxx:xxx:xxxx::2 > 2a00:1450:4001:827::200e: [icmp6 sum ok] ICMP6, echo request, id 57717, seq 1
11:40:13.574114 IP6 (flowlabel 0xbcaf3, hlim 119, next-header ICMPv6 (58) payload length: 64) 2a00:1450:4001:827::200e > xxxx:xxxx:xxx:xxxx::2: [icmp6 sum ok] ICMP6, echo reply, id 57717, seq 1
11:40:13.574164 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > ff02::1:ff00:4: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has xxxx:xxxx:xxx:xxxx::4
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4
11:40:14.584454 IP6 (flowlabel 0xbcaf3, hlim 63, next-header ICMPv6 (58) payload length: 64) xxxx:xxxx:xxx:xxxx::2 > 2a00:1450:4001:827::200e: [icmp6 sum ok] ICMP6, echo request, id 57717, seq 2
11:40:14.589804 IP6 (flowlabel 0xbcaf3, hlim 119, next-header ICMPv6 (58) payload length: 64) 2a00:1450:4001:827::200e > xxxx:xxxx:xxx:xxxx::2: [icmp6 sum ok] ICMP6, echo reply, id 57717, seq 2
11:40:14.599924 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > ff02::1:ff00:4: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has xxxx:xxxx:xxx:xxxx::4
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4
11:40:15.608370 IP6 (flowlabel 0xbcaf3, hlim 63, next-header ICMPv6 (58) payload length: 64) xxxx:xxxx:xxx:xxxx::2 > 2a00:1450:4001:827::200e: [icmp6 sum ok] ICMP6, echo request, id 57717, seq 3
11:40:15.613545 IP6 (flowlabel 0xbcaf3, hlim 119, next-header ICMPv6 (58) payload length: 64) 2a00:1450:4001:827::200e > xxxx:xxxx:xxx:xxxx::2: [icmp6 sum ok] ICMP6, echo reply, id 57717, seq 3
11:40:15.619877 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > ff02::1:ff00:4: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has xxxx:xxxx:xxx:xxxx::4
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4
11:40:16.632357 IP6 (flowlabel 0xbcaf3, hlim 63, next-header ICMPv6 (58) payload length: 64) xxxx:xxxx:xxx:xxxx::2 > 2a00:1450:4001:827::200e: [icmp6 sum ok] ICMP6, echo request, id 57717, seq 4
11:40:16.637503 IP6 (flowlabel 0xbcaf3, hlim 119, next-header ICMPv6 (58) payload length: 64) 2a00:1450:4001:827::200e > xxxx:xxxx:xxx:xxxx::2: [icmp6 sum ok] ICMP6, echo reply, id 57717, seq 4
11:40:16.647896 IP6 (flowlabel 0x61e9c, hlim 64, next-header ICMPv6 (58) payload length: 112) xxxx:xxxx:xxx:xxxx::2 > 2a00:1450:4001:827::200e: [icmp6 sum ok] ICMP6, destination unreachable, unreachable address xxxx:xxxx:xxx:xxxx::2
11:40:16.647919 IP6 (flowlabel 0x61e9c, hlim 64, next-header ICMPv6 (58) payload length: 112) xxxx:xxxx:xxx:xxxx::2 > 2a00:1450:4001:827::200e: [icmp6 sum ok] ICMP6, destination unreachable, unreachable address xxxx:xxxx:xxx:xxxx::2
11:40:16.647933 IP6 (flowlabel 0x61e9c, hlim 64, next-header ICMPv6 (58) payload length: 112) xxxx:xxxx:xxx:xxxx::2 > 2a00:1450:4001:827::200e: [icmp6 sum ok] ICMP6, destination unreachable, unreachable address xxxx:xxxx:xxx:xxxx::2
11:40:16.647948 IP6 (flowlabel 0x61e9c, hlim 64, next-header ICMPv6 (58) payload length: 112) xxxx:xxxx:xxx:xxxx::2 > 2a00:1450:4001:827::200e: [icmp6 sum ok] ICMP6, destination unreachable, unreachable address xxxx:xxxx:xxx:xxxx::2
11:40:17.656578 IP6 (flowlabel 0xbcaf3, hlim 63, next-header ICMPv6 (58) payload length: 64) xxxx:xxxx:xxx:xxxx::2 > 2a00:1450:4001:827::200e: [icmp6 sum ok] ICMP6, echo request, id 57717, seq 5
11:40:17.661778 IP6 (flowlabel 0xbcaf3, hlim 119, next-header ICMPv6 (58) payload length: 64) 2a00:1450:4001:827::200e > xxxx:xxxx:xxx:xxxx::2: [icmp6 sum ok] ICMP6, echo reply, id 57717, seq 5
11:40:17.661873 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > ff02::1:ff00:4: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has xxxx:xxxx:xxx:xxxx::4
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4


Ich denke das die Pakete aus dem VM Netz nicht richtig hinaus geroutet werden.

Hab ihr mir hier ein paar Tipps, wie ich das beheben kann?
 
NAT darfst du auf keinen Fall machen, die IPv6 Adressen sind ja öffentlich. Meines Erachtens fehlt ein NDP Proxy, die L2 Adressen der VMs können nicht aufgelöst werden.

Warum sucht die VM nach fe80::1? Ist die als Default-Gateway angegeben? Hast du das entsprechend vorgesehen in der Konfiguration?
 
riversource schrieb:
NAT darfst du auf keinen Fall machen, die IPv6 Adressen sind ja öffentlich.
Zum Vergrößern anklicken....
Ok das ist schon mal gut zu wissen.
riversource schrieb:
Warum sucht die VM nach fe80::1? Ist die als Default-Gateway angegeben? Hast du das entsprechend vorgesehen in der Konfiguration?
Zum Vergrößern anklicken....
Ja das ist vom Server Provider so vorkonfiguriert, also auf dem WAN Interface.

Zu NDP habe ich das gefunden. Habe daraufhin das versucht: ip -6 neigh add proxy xxxx:xxxx:xxx:xxxx:2::4 dev eno1 aber das hat nichts gebracht.
 
Zuletzt bearbeitet:
jb_alvarado schrieb:
Ja das ist vom Server Provider so vorkonfiguriert, also auf dem WAN Interface.
Zum Vergrößern anklicken....
Ja, auf dem WAN Interface. Die ND Anfrage fand aber auf der VM statt. Die weiß nichts von fe80::1. Oder sollte sie zumindest nicht. Warum sucht sie trotzdem danach? Mit dem Ping kann es nichts zu tun haben, der kommt von einer anderen Adresse.

Was auch auffällt: Das Subnetz für die Bridge ist auch /64, genau wie für die VMs. Jetzt hat der Rechner mehrere Interfaces im gleichen Subnetz. Demnach könnte er durcheinander kommen, wenn er die VMs sucht. Er schickt ja auch die ND auf dem eno1 Interface raus, nicht auf dem Bridge Device.

Schau dir noch mal gezielt den Traffic auf dem Host auf dem Bridge Device an. Kommen die Pings und die ND Pakete da an? In der VM kommen die Pings ja nicht an. Ggf. musst du der Bridge und den VMs ein kleineres Subnetz verpassen (/80 oder /96) und dann gezielt eine Route dahinsetzen. Mit längerem Prefix werden die Routen höher priorisiert.
 
Super, ich danke dir vielmals! Der Hinweis mit dem Subnet war die Lösung. Es braucht auch keinen NDP Proxy.

Habe die Bridge jetzt so gesetzt;

Code: 
iface br2 inet6 static
    address xxxx:xxx:xxx:xxxx:2::3
    netmask 80

Und in der VM:

Code: 
iface enp1s0 inet6 static
    address xxxx:xxx:xxx:xxxx:2::4
    netmask 80
    gateway xxxx:xxx:xxx:xxxx:2::3
 
Zu früh gefreut. Traffic von Außen zur VM geht, aber IPv6 Traffic aus der VM geht nur sporadisch. Also ab und zu geht ein Ping, aber die meiste Zeit kommt: Destination unreachable: Address unreachable. Eine Idee @riversource? Vielleicht zu große MTU? Habe 1400.

Hier ein Mitschnitt auf dem Host, wo der Ping erst geht und dann nicht mehr:
Code: 
tcpdump -n -vv icmp6
tcpdump: listening on eno1, link-type EN10MB (Ethernet), snapshot length 262144 bytes
18:18:33.856235 IP6 (flowlabel 0xebd59, hlim 63, next-header ICMPv6 (58) payload length: 64) xxxx:xxx:xxx:xxxx:2::4 > 2001:4860:4860::8844: [icmp6 sum ok] ICMP6, echo request, id 25434, seq 6
18:18:33.861354 IP6 (flowlabel 0xebd59, hlim 119, next-header ICMPv6 (58) payload length: 64) 2001:4860:4860::8844 > xxxx:xxx:xxx:xxxx:2::4: [icmp6 sum ok] ICMP6, echo reply, id 25434, seq 6
18:18:34.001717 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > fe80::1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::1
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4
18:18:34.002294 IP6 (class 0xc0, hlim 255, next-header ICMPv6 (58) payload length: 24) fe80::1 > fe80::b62e:99ff:fecd:4f4: [icmp6 sum ok] ICMP6, neighbor advertisement, length 24, tgt is fe80::1, Flags [router, solicited]
18:18:34.857972 IP6 (flowlabel 0xebd59, hlim 63, next-header ICMPv6 (58) payload length: 64) xxxx:xxx:xxx:xxxx:2::4 > 2001:4860:4860::8844: [icmp6 sum ok] ICMP6, echo request, id 25434, seq 7
18:18:34.863099 IP6 (flowlabel 0xebd59, hlim 119, next-header ICMPv6 (58) payload length: 64) 2001:4860:4860::8844 > xxxx:xxx:xxx:xxxx:2::4: [icmp6 sum ok] ICMP6, echo reply, id 25434, seq 7
18:18:35.021711 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > fe80::1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::1
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4
18:18:35.022547 IP6 (class 0xc0, hlim 255, next-header ICMPv6 (58) payload length: 24) fe80::1 > fe80::b62e:99ff:fecd:4f4: [icmp6 sum ok] ICMP6, neighbor advertisement, length 24, tgt is fe80::1, Flags [router, solicited]
18:18:35.859704 IP6 (flowlabel 0xebd59, hlim 63, next-header ICMPv6 (58) payload length: 64) xxxx:xxx:xxx:xxxx:2::4 > 2001:4860:4860::8844: [icmp6 sum ok] ICMP6, echo request, id 25434, seq 8
18:18:35.864840 IP6 (flowlabel 0xebd59, hlim 119, next-header ICMPv6 (58) payload length: 64) 2001:4860:4860::8844 > xxxx:xxx:xxx:xxxx:2::4: [icmp6 sum ok] ICMP6, echo reply, id 25434, seq 8
18:18:36.045740 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > fe80::1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::1
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4
18:18:36.046316 IP6 (class 0xc0, hlim 255, next-header ICMPv6 (58) payload length: 24) fe80::1 > fe80::b62e:99ff:fecd:4f4: [icmp6 sum ok] ICMP6, neighbor advertisement, length 24, tgt is fe80::1, Flags [router, solicited]
18:18:36.860865 IP6 (flowlabel 0xebd59, hlim 63, next-header ICMPv6 (58) payload length: 64) xxxx:xxx:xxx:xxxx:2::4 > 2001:4860:4860::8844: [icmp6 sum ok] ICMP6, echo request, id 25434, seq 9
18:18:36.866014 IP6 (flowlabel 0xebd59, hlim 119, next-header ICMPv6 (58) payload length: 64) 2001:4860:4860::8844 > xxxx:xxx:xxx:xxxx:2::4: [icmp6 sum ok] ICMP6, echo reply, id 25434, seq 9
18:18:37.861774 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::1
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4
18:18:37.862568 IP6 (class 0xc0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::1 > fe80::b62e:99ff:fecd:4f4: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is fe80::1, Flags [router, solicited, override]
      destination link-address option (2), length 8 (1): e8:a2:45:df:aa:07
        0x0000:  e8a2 45df aa07
18:18:38.893712 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::1
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4
18:18:38.894295 IP6 (class 0xc0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::1 > fe80::b62e:99ff:fecd:4f4: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is fe80::1, Flags [router, solicited, override]
      destination link-address option (2), length 8 (1): e8:a2:45:df:aa:07
        0x0000:  e8a2 45df aa07
18:18:39.917682 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::1
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4
18:18:39.918226 IP6 (class 0xc0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::1 > fe80::b62e:99ff:fecd:4f4: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is fe80::1, Flags [router, solicited, override]
      destination link-address option (2), length 8 (1): e8:a2:45:df:aa:07
        0x0000:  e8a2 45df aa07
18:18:41.912389 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::1
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4
18:18:41.912954 IP6 (class 0xc0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::1 > fe80::b62e:99ff:fecd:4f4: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is fe80::1, Flags [router, solicited, override]
      destination link-address option (2), length 8 (1): e8:a2:45:df:aa:07
        0x0000:  e8a2 45df aa07
18:18:42.925718 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::1
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4
18:18:42.926404 IP6 (class 0xc0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::1 > fe80::b62e:99ff:fecd:4f4: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is fe80::1, Flags [router, solicited, override]
      destination link-address option (2), length 8 (1): e8:a2:45:df:aa:07
        0x0000:  e8a2 45df aa07
18:18:43.949724 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::1
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4
18:18:43.950487 IP6 (class 0xc0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::1 > fe80::b62e:99ff:fecd:4f4: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is fe80::1, Flags [router, solicited, override]
      destination link-address option (2), length 8 (1): e8:a2:45:df:aa:07
        0x0000:  e8a2 45df aa07
18:18:44.974064 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::1
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4
18:18:44.974684 IP6 (class 0xc0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::1 > fe80::b62e:99ff:fecd:4f4: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is fe80::1, Flags [router, solicited, override]
      destination link-address option (2), length 8 (1): e8:a2:45:df:aa:07
        0x0000:  e8a2 45df aa07
18:18:45.997693 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::1
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4
18:18:45.998343 IP6 (class 0xc0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::1 > fe80::b62e:99ff:fecd:4f4: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is fe80::1, Flags [router, solicited, override]
      destination link-address option (2), length 8 (1): e8:a2:45:df:aa:07
        0x0000:  e8a2 45df aa07
18:18:47.021770 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::1
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4
18:18:47.022501 IP6 (class 0xc0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::1 > fe80::b62e:99ff:fecd:4f4: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is fe80::1, Flags [router, solicited, override]
      destination link-address option (2), length 8 (1): e8:a2:45:df:aa:07
        0x0000:  e8a2 45df aa07
^C
32 packets captured
32 packets received by filter
0 packets dropped by kernel
 
Zuletzt bearbeitet:
Das Ping Paket reizt die MTU ja bei Weitem nicht aus. Das kann es also nicht sein.

Geh systematisch vor. Überprüfe Interface für Interface, wo die Pakete noch ankommen, und wo nicht. In der VM, auf dem Bridge Device, auf dem externen Interface. Überprüfe außerdem alle IPs und Routen noch mal.
 
  • Gefällt mir
Reaktionen: jb_alvarado
Verstehen tue ist das noch nicht. In dem Fall wenn aus der VM heraus kein Ping möglich ist, loggt tcpdump auf dem Host Brdige Interface das:

Code: 
# tcpdump -n -vv -i br2 icmp6

09:30:23.694512 IP6 (flowlabel 0x0ab32, hlim 64, next-header ICMPv6 (58) payload length: 112) xxxx:xxx:xxx:xxxx:2::3 > xxxx:xxx:xxx:xxxx:2::4: [icmp6 sum ok] ICMP6, destination unreachable, unreachable address xxxx:xxx:xxx:xxx::1
Code: 
xxxx:xxx:xxx:xxxx:2::3 -> br2 IP
xxxx:xxx:xxx:xxxx:2::4 -> VM
xxxx:xxx:xxx:xxx::1    -> externes Ziel

Auf dem Host WAN Interface schaut der Dump so aus:

Code: 
# tcpdump -n -vv -i eno1 icmp6

09:25:50.762540 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::b62e:99ff:fecd:4f4 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::1
      source link-address option (1), length 8 (1): b4:2e:99:cd:04:f4
        0x0000:  b42e 99cd 04f4
09:25:50.763145 IP6 (class 0xc0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::1 > fe80::b62e:99ff:fecd:4f4: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is fe80::1, Flags [router, solicited, override]
      destination link-address option (2), length 8 (1): e8:a2:45:df:aa:07
        0x0000:  e8a2 45df aa07

Witzig ist auch, dass es passieren kann das wenn ich zeitgleich auf dem Host auch ein Ping startet, die ersten Pakete auch nicht durch gehen, aber ab dem Dritten oder Vierten gehen die Pings auf Host und VM durch. Kann das sogar reproduzieren.

Edit: Mit Vorbehalt lag das Problem doch an einer Fehlkonfiguration meines Firewallscripts.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 161 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz