[solved] IPv6 privacy-extensions: geht nicht ins Internet

[ingo2]

Ich habe hier ein ganz verrücktes Verhalten auf meinem Desktop-PC via Ethernet.
DNS-Server ist mein Serverlein mit unbound für IPv4 und IPv6.

Netzwerk-Konfiguration:
/etc/network/interfaces

Code: Alles auswählen

# The loopback network interface
auto lo
iface lo inet loopback

Die eigentliche Konfigurationm macht der NetworkManager:
/etc/resolv.conf

Code: Alles auswählen

# Generated by NetworkManager
search home
nameserver 192.168.xy.90
nameserver fdxy::abcd:20d:b9ff:fe47:83e8

/etc/NetworkManager/system-connections/eno1

Code: Alles auswählen

...
[ipv6]
addr-gen-mode=eui64
dns=fdxy::abcd:20d:b9ff:fe47:83e8;
dns-search=home;
ignore-auto-dns=true
ip6-privacy=2
method=auto

Wenn ich mir im nm-Applet die "Verbindungsinformation" anzeigen lasse, zeigt er auch korrekt meine IPv6-Adressen (mit und ohne privacy) und das IPv6-Gateway und den IPv6 DNS-Server an,

nur kann ich keine IPv6-Verbindung ins Internet aufbauen.
In lokalen Netz dagegen klappt alles einwandfrei.

Exakt die gleiche Konfiguration habe ich auf meinem Laptop T520 via WLAN - das geht problemlos.

Und jetzt das Erstaunliche:
Wenn ich die privacy-extensions mit der Option "öffentliche Adresse bevorzugen"

Code: Alles auswählen

ip6-privacy=1

wähle, erhalte ich ebenfalls alle IPv6-Adressen, das gleiche Gateway und DNS-Server - aber damit geht's auch ins Internet

Ich bin ratlos,
Ingo

[ingo2]

Nachtrag:

was ich auch schon probiert habe:
/etc/sysctl.conf

Code: Alles auswählen

net.ipv6.conf.eno1.use_tempaddr = 2
net.ipv6.conf.eno1.use_tempaddr = 86400

ist völlig wirkungslos

[TomL]

nur kann ich keine IPv6-Verbindung ins Internet aufbauen.

- Wie hast Du das festgestellt bzw. überprüft?
- Wie ist die Ausgabe von ip a ?

[ingo2]

Mit "öffentliche IPv6 bevorzugen":

Code: Alles auswählen

ping6 heise.de
PING heise.de(redirector.heise.de (2a02:2e0:3fe:1001:302::)) 56 data bytes
64 bytes from redirector.heise.de (2a02:2e0:3fe:1001:302::): icmp_seq=1 ttl=57 time=7.23 ms
64 bytes from redirector.heise.de (2a02:2e0:3fe:1001:302::): icmp_seq=2 ttl=57 time=6.16 ms

Mit "temporäre IPv6 bevorzugen":

Code: Alles auswählen

ping6 heise.de
PING heise.de(redirector.heise.de (2a02:2e0:3fe:1001:302::)) 56 data bytes
^C
--- heise.de ping statistics ---
16 packets transmitted, 0 received, 100% packet loss, time 373ms

Code: Alles auswählen

ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:22:4d:83:64:41 brd ff:ff:ff:ff:ff:ff
    inet 192.168.xy.12/24 brd 192.168.xy.255 scope global noprefixroute eno1
       valid_lft forever preferred_lft forever
    inet6 fdxy::abcd:fc95:45c3:2263:6f35/64 scope global temporary dynamic 
       valid_lft 7028sec preferred_lft 3428sec
    inet6 fdxy::abcd:222:4dff:fe83:6441/64 scope global dynamic mngtmpaddr noprefixroute 
       valid_lft 7028sec preferred_lft 3428sec
    inet6 2003:c7:ef33:3100:fc95:45c3:2263:6f35/64 scope global temporary dynamic 
       valid_lft 7028sec preferred_lft 1628sec
    inet6 2003:c7:ef33:3100:222:4dff:fe83:6441/64 scope global dynamic mngtmpaddr noprefixroute 
       valid_lft 7028sec preferred_lft 1628sec
    inet6 fe80::222:4dff:fe83:6441/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
3: wlp2s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default qlen 1000
    link/ether fa:f1:e2:fd:50:5b brd ff:ff:ff:ff:ff:ff

Meiner Meinung nach alles korrekt.
Darfst dich nicht an den ULA's stören, die nutze ich seit Jahren im lokalen Netz.
Der WLAN-Adapter dient nur zum beobachten mit linssid, wird nicht konfiguriert.

Und noch der Vollständigkei halber:

Code: Alles auswählen

nmcli device show eno1

GENERAL.DEVICE:                         eno1
GENERAL.TYPE:                           ethernet
GENERAL.HWADDR:                         00:22:4D:83:64:41
GENERAL.MTU:                            1500
GENERAL.STATE:                          100 (verbunden)
GENERAL.CONNECTION:                     eno1
GENERAL.CON-PATH:                       /org/freedesktop/NetworkManager/ActiveConnection/1
WIRED-PROPERTIES.CARRIER:               an
IP4.ADDRESS[1]:                         192.168.xy.12/24
IP4.GATEWAY:                            192.168.xy.1
IP4.ROUTE[1]:                           dst = 192.168.xy.0/24, nh = 0.0.0.0, mt = 100
IP4.ROUTE[2]:                           dst = 0.0.0.0/0, nh = 192.168.xy.1, mt = 100
IP4.DNS[1]:                             192.168.xy.90
IP6.ADDRESS[1]:                         2003:c7:ef33:3100:fc95:45c3:2263:6f35/64
IP6.ADDRESS[2]:                         fdxy::abcd:fc95:45c3:2263:6f35/64
IP6.ADDRESS[3]:                         2003:c7:ef33:3100:222:4dff:fe83:6441/64
IP6.ADDRESS[4]:                         fdxy::abcd:222:4dff:fe83:6441/64
IP6.ADDRESS[5]:                         fe80::222:4dff:fe83:6441/64
IP6.GATEWAY:                            fe80::3a10:d5ff:fed2:2355
IP6.ROUTE[1]:                           dst = fe80::/64, nh = ::, mt = 100
IP6.ROUTE[2]:                           dst = 2003:c7:ef33:3100::/56, nh = fe80::3a10:d5ff:fed2:2
IP6.ROUTE[3]:                           dst = fdxy:0:0:abcd::/64, nh = fe80::3a10:d5ff:fed2:2355,
IP6.ROUTE[4]:                           dst = 2003:c7:ef33:3100::/64, nh = ::, mt = 100
IP6.ROUTE[5]:                           dst = ::/0, nh = fe80::3a10:d5ff:fed2:2355, mt = 100
IP6.ROUTE[6]:                           dst = ff00::/8, nh = ::, mt = 256, table=255
IP6.ROUTE[7]:                           dst = fdxy:0:0:abcd::/64, nh = ::, mt = 100
IP6.DNS[1]:                             fdxy::abcd:20d:b9ff:fe47:83e8

[TomL]

Im Moment verstehe ich das Problem gar nicht... das sieht doch völlig normal aus. Was antwortet denn diese Web-Site:
https://ipv6-test.com/
?

[ingo2]

IPv6 Not supported
Address
Type
SLAAC
ICMP
Hostname
ISP

Tja, verstehe ich auch nicht

Habe da noch eine Idee:

eventuell legt meine FritzBox die Ohren an, weil ich das System ja bei jedem Versuch sicherheitshalber neu rebootet habe und dort inzwischen viele IPv6 Adressen für diese MAC aufgelaufen sind (jeder Reboot bringt ja eine neue temp-ULA und temp-Global Adresse dazu.

[TomL]

Ist eine Firewall aktiv?

Code: Alles auswählen

iptables -L -nv
oder 
nft list ruleset

Wenn ja, testweise mal deaktivieren.

[ingo2]

Nix da, habe meine nftables sogar ganz abgeschaltet:

Code: Alles auswählen

root@tux:~# iptables -L -nv
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 
root@tux:~# nft list ruleset
table ip filter {
	chain INPUT {
		type filter hook input priority 0; policy accept;
	}

	chain FORWARD {
		type filter hook forward priority 0; policy accept;
	}

	chain OUTPUT {
		type filter hook output priority 0; policy accept;
	}
}

Habe gerade nochmal nachgesehen in der FritzBox:
zusammen habe ich 9 globale IPv6 auf diesen Host dort registriert!
Weiß aber nicht, wie lange die TTL noch ist - müssen ja morgen früh doch weg sein?

[TomL]

An der Stelle würde ich jetzt mal kurz die Fritzbox stromlos machen und einmal neu starten.

[ingo2]

An der Stelle würde ich jetzt mal kurz die Fritzbox stromlos machen und einmal neu starten.

Das war's

Code: Alles auswählen

You are connecting with an IPv6 Address of:
2003:c7:ef46:3d00:34f4:73c8:94a7:24f0

Ich glaube, da schreib' ich mal eine Mail an AVM - von so einem Limit hab' ich noch nie gehört.

Vor Allem, da auf diesem PC insgesamt 3 Linux-Systeme unter der gleichen MAC-Adresse mit privacy-extensions werkeln, ist das wohl garnicht so ungewöhnlich.

Danke für die Hilfe und sorry für so einen dummen Fehler, gehört demnach eigentlich unter "sonstige Hardware"

Ingo

[TomL]

Ich glaube, da schreib' ich mal eine Mail an AVM - von so einem Limit hab' ich noch nie gehört.
Vor Allem, da auf diesem PC insgesamt 3 Linux-Systeme unter der gleichen MAC-Adresse mit privacy-extensions werkeln, ist das wohl garnicht so ungewöhnlich.

Da mach Dir mal keinen Kopp drum... so ein knappes Limit gibs nicht. Die Fritzbox kommt mit wesentlich mehr Adressen klar. Aber ist halt auch nur ein Stück Software drin.... ich würde mal nach Updates suchen lassen.