FF-IPv6 announce am WANport?

Hi,
nachdem ich die Freifunk-Idee schon lange sehr interessant finde und neulich mal wieder drüber gestolpert bin, habe ich heute mal meinen Router auf die Freifunk-Ruhrgebiet-Firmware geflasht. (Gluon 0.5)

Beim Rumspielen und rumprobieren fiel mir auf, dass der Freifunk-Router seinen IPv6-Adressbereich auch in mein LAN announced, sodass ich auf den Rechnern nicht nur mein (durch die Fritzbox-Firewall geschützte) IPv6-Präfix (2a01:198:xxx) zugewiesen bekomme, sondern auch das aus dem Freifunk-Bereich (2a02:f98:0:xxx).

Ist das ein Bug oder ein Feature? und wie kann ich das abschalten?

Ich möchte ungern 2 Firewalls für mein LAN administrieren. Oder muss ich den Freifunk-Router an den Gastzugang der Fritzbox hängen?

schöne Grüße,
fkyle

Das Announcement geht an alle Geräte die sich im Mesh (WLan und gelbe Lan Ports) befinden.

Hast Du aus versehen noch ein Ethernetkabel auf einem der gelben Lan Ports Deines Gluon Routers stecken, über das Du die Adressen announced bekommst? :wink:

Über die Wan Schnittstelle (blau) laufen keine Announcements)…

Leider doch.
Ich habe mein LAN wirklich nur am Blauen WAN-Port hängen. am gelben LAN-port hängt nur 1 einziger Rechner. Trotzdem habe ich auf allen möglichen geräten IPv6-adressen aus dem 2a02-Bereich.

Hatte gerade noch die Vermutung, dass ich beim Einrichten etwas kurzzeitig falsch angeschlossen hatte, aber das wäre nun auch behoben. Auch das Starten eines Rechners, der vorher noch gar nicht im Netz war zeigt, dass dieser auch eine Adresse aus dem 2a02-Netz bekommt.

Welcher Router ist das, wie heisst der?

Der andere Rechner hängt nur im Freifunk Mesh und nicht im Lan?

Du hast nur die Standardinstallation Ruhrgebiet 0.5 gemacht und nichts umkonfiguriert?

Das hört sich komisch an. Aber du kannst das auch auf der Fritzbox anschalten.

Unter Heimnetzwerk → Netzwerk → Netzwerkeinstellungen findest du folgendes:

Weitere IPv6-Router im Heimnetzwerk

  • Auch IPv6-Präfixe zulassen, die andere IPv6-Router im Heimnetzwerk bekanntgeben
  • DNSv6-Server auch über Router Advertisement bekanntgeben (RFC 5006)

Wenn das tatsächlich ein Announcement ist, muss die Fritzbox den Verteilen. Also mal die beiden Punkte ausschalten.
Ansonsten haste irgendwie die beiden Netzt gebrückt.

Gruß
Thomas

1 Like

Also:
der Router (ein TP-Link WR1043ND) heißt FF-DO-UNION11
Ich habe nur die Standardinstallation gemacht. Alles, was ich konfiguriert habe, war, ein SSH-Passwort einzurichten und mesh-vpn zu aktivieren.

Alle Rechner, bis auf einen, hängen in meinem (privaten) lan, also direkt an der Fritzbox. Da hängt auch der Tp-link mit seinem (blauen) WAN-Port dran.

Wenn ich auf meinem Rechner „ip -6 addr show dev eth0“ ausführe, bekomme ich folgende ausgabe:

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP8000> mtu 1500 qlen 1000
inet6 2a01:198:2ff:0:201:2eff:febc:d652/64 scope global dynamic
valid_lft 7021sec preferred_lft 3421sec
inet6 2a02:f98:0:26:201:2eff:febc:d652/64 scope global deprecated dynamic
valid_lft 5354sec preferred_lft 0sec
inet6 fe80::201:2eff:febc:d652/64 scope link
valid_lft forever preferred_lft forever

Wie du siehst: Adressen aus meinem und aus dem Freifunk-Netz.

Achso, und in der Fritzbox war nur „DNSv6-Server auch über Router Advertisement bekanntgeben“ aktiviert.

War der Router neu, oder hast Du den vorher schon mit anderem Betriebssystem in Nutzung gehabt?

Auf dem Router hatte ich vorher OpenWRT drauf.
Aber beim Flashen habe ich angegeben, dass er die Einstellungen nicht übernehmen soll.

Am Union 11 ist nur ein Client verbunden, gehört Union 01 Dir auch?

Nope. Union01 gehört einem (mir unbekannten) nachbarn.

Die IP-Adresse die Dir Dein Rechner anzeigt ist auch nicht erreichbar, obwohl einer Deiner fastd Tunnel unmittelbar an Ruhrgebiet0 hängt:

Ruhrgebiet0:~# ping6 2a02:f98:0:26:201:2eff:febc:d652
PING 2a02:f98:0:26:201:2eff:febc:d652(2a02:f98:0:26:201:2eff:febc:d652) 56 data bytes
From 2a02:f98:0:26::10 icmp_seq=1 Destination unreachable: Address unreachable

Das ist sowohl beruhigend als auch verstörend… :wink:

Naja, die ist ja auch „deprecated“, hat also keinen aktuellen Lease

1 Like

Das dachte ich mir auch schon.
Trotzdem wüßte ich gern, wo sie herkommt.

Und warum ich meinen Router nicht per IPv6 erreichen (pingen, Webstats) kann.

router

OK, jetzt wirds komisch:

ping6 -I eth0 2a02:f98:0:26:223:cdff:fe19:1132
ping6: Warning: source address might be selected on device other than eth0.
PING 2a02:f98:0:26:223:cdff:fe19:1132(2a02:f98:0:26:223:cdff:fe19:1132) from 2a02:f98:0:26:8d89:932b:f5ad:9944 eth0: 56 data bytes
64 bytes from 2a02:f98:0:26:223:cdff:fe19:1132: icmp_seq=1 ttl=63 time=24.6 ms
64 bytes from 2a02:f98:0:26:223:cdff:fe19:1132: icmp_seq=2 ttl=63 time=26.7 ms
64 bytes from 2a02:f98:0:26:223:cdff:fe19:1132: icmp_seq=3 ttl=64 time=0.573 ms
64 bytes from 2a02:f98:0:26:223:cdff:fe19:1132: icmp_seq=4 ttl=64 time=0.541 ms
64 bytes from 2a02:f98:0:26:223:cdff:fe19:1132: icmp_seq=5 ttl=63 time=29.5 ms
^C
— 2a02:f98:0:26:223:cdff:fe19:1132 ping statistics —
5 packets transmitted, 5 received, 0% packet loss, time 4002ms
rtt min/avg/max/mdev = 0.541/16.404/29.538/13.033 ms

EDIT: OK, das ziehe ich zurück, da hat er eth3 genommen, was im mesh hängt

Weil Du bei Dir im Lan hängst und Dein Rechner fehlerhaft noch die 2a02: Adresse drin hat.

Entsprechend versucht er Deinen Router im Lan zu erreichen, da reagiert er aber nicht, da das Mesh keine Anbindung an die Wan Schnittstelle hat.

Sobald die Adresse weg ist, dann erreichst Du den Router mittels IPv6 über das Internet.

Im Lan musst Du die IP Adresse nehmen die er von der Fritzbox per DHCP auf der Wan Schnittstelle hat…

Nimm die IP mal manuell raus, dann sollte normale Funktion eintreten. Oder solange warten bis valid_lft abgelaufen ist.

Das ist komisch.
Ich hab die Rausgenommen. Hab auch mit ifconfig kontrolliert, dass sie auch wirklich raus ist. Die IPv6 des Routers konnte ich trotzdem noch nicht pingen.
Dann war ich 5 min. woanders, und nun hat sich der Rechner auf dem Interface wieder dieselbe IP aus dem 2a02-netz geholt.

Die IP ist deprecated. Das heißt der Rechner behält die solange es Prozesse gibt die damit Arbeiten.
Danach verschwindet diese auch wieder.

Du hattest wohl deinen Rechner bei der Einrichtung mal an dem FF Router.

Mit ifconfig würde ich heute garnierst mehr kontrollieren :frowning:
am besten mal „ip addr show“

Gruß
THomas