Wir haben einen Interessenten, den wir trotz diverser Anläufe einfach nicht angebundenbekommen.
Bekannte Fakten sind:
Provider ist Unity Media (Aachen)
Router ist eine „blaue“ , gebrandete UnityMedia-Fritzbox.
DHCP V4 ist auf der LAN Seite aus
Teredo Filter dürfte auf der Box aktiv sein, konnte aber (noch) nicht geprüft werden
UnityMedia macht angeblich nur noch IPV6 im eigenen Netz (=WAN) mit einer Art „Provider MegaNatting“ für IPV4, das soll IPV4 VPNs angeblich verhindern
Freifunk läuft auf TP-Link 3600V1 mit Gluon 2014.3-beta-3
Freie LAN IPV4 Adresse wurde im Webinterface auf der LAN Seite manuell eingetragen incl. Gateway u Mask
LAN IPV6 wurde im Web-Interface auf DHCP gestellt, was vermutlich aber nix bringt. Welche Adresse müsste man da nehmen, wenn man es manuell tut?
Problem:
Keine Verbindung zu den Freifunk Servern möglich. Es sieht so aus als käme der Router nicht an die Freifunk Server, um Tunnel aufzubauen.
Fragen:
1.)
Gibt es eine gesicherte Information, dass all unserer Server IPV6 Tunnel aufbauen können? Wenn es nur bestimmte können: wie mache ich die Verbindung zu bestimmten?
2.)
Kann die Firmware auf dem Router das auch?
3.)
Wie kann ich das bei mir sicher testen, wenn mein Provider noch IPV4 unterstützt bzw. wie kann ich einen IPV6 Freifunk Tunnel in diesem Fall (bei mir) erzwingen und auch sicher überprüfen, dass es sich, um einen IPV6 Tunnel handelt? Z. B. WAN IPV4 auf der Freifunk-Box abschalten? Hintergrund: ich will vorher sicherstellen, dass alles tip-top geht, da nicht auszuschließen ist, dass weitere Fallstricke am eigentlichen Einsatzort ausliegen.
4.)
Ich komme per SSH auf die CMD-Line. Wo finde ich welches Logs, um nähere Informationen zum Status der Freifunk-Box zu bekommen?
So weit ich weiss, besteht die Rheinufer-Config auf „Verbindung via IPv4“ zu den Supernodes. Daher schauen, ob diese „CGN“-v4-Anbindung funktioniert. (tut sie hier, ebenfalls UM, ebenfalls Fritzbox, ebenfalls rheinufer) für eine hand voll Nodes)
Was tun?
Nach dem Login per ssh auf dem Node, schau doch mal, ob Du zumindest die 8.8.8.8 pingen kannst.
dann pinge doch mal irgendeine fqnd, z.B. ping www.heise.de
Und bitte mal die Ausgabe von logread betrachten, was das so erzählt als letzte Einträge.
(ggf. pastbin.com nutzen)
Ich kann Dir zu Rheinufer nicht viel erzählen, aber ein paar Fragen beantworten:
uci show fastd
bietet einen Überblick über die fastd-Einstellungen
da steht dann als Beispiel so was:
fastd.mesh_vpn_backbone_peer_wupper7.enabled=1
wobei hier wupper7 mit irgend einem Namen bei Euch zu ersetzen ist. da einfach eine 0 setzen.
uci set fastd.mesh_vpn_backbone_peer_wupper7.enabled=0
Damit ist dieser Server deaktiviert.
uci set fastd.mesh_vpn_backbone.peer_limit=2
setzt die Anzahl der Server fest, zu denen eine gleichzeitig Verbindung aufgebaut wird. Um das ROM zu schonen braucht erst mal für Tests nichts commitet werden.
/etc/init.d/fastd reload
führt eine Neugenerierung der fastd-Konfigurationsdatei, die dann geldaden wird
meines Wissens ja
fastd.mesh_vpn_backbone_peer_wupper7.remote=ipv4 "wupper7.ffwtal.net" port 42042
hier ipv6 eintragen und nicht vergessen zu escapen:
uci set fastd.mesh_vpn_backbone_peer_wupper7.remote="ipv4 \"wupper7.ffwtal.net\" port 42042"
wichtig ist, dass die Gegenstelle auf einem Port auf IPv6 lauscht
Also erstmal muss ich aus eigener Erfahrung sprechen:
Ich wohne in Baden-Württemberg und habe als Provider KabelBW. KBW ist ja mittlerweile mit Unitymedia fusioniert. Ich selbst habe noch echtes IPv4 bekommen.
Dein „Provider MegaNatting“ nennt sich DualStack-Lite.
Ein Freund von mir ist auch bei KabelBW und hat DS-Lite ohne echte IPv4 Adresse, also genau wie bei dir „Provider MegaNatting“. Vor ein paar Wochen habe ich dort testweise meinen Freifunk Knoten angeschlossen, ohne Probleme. Auch ein VPN Tunnel (IPv4) zu meiner Fritzbox klappt wunderbar hinter der Carrier-grade NAT. Somit lässt sich DS-Lite eigentlich als Problemerzeuger ausschließen.
Zu 1)
Also unser Gateway hat KEINE IPv4 Adresse. VPN hinter dem Carrier-grade NAT klappt trotzdem.
Da komme ich gern drauf zurück. Die ersten Rückmeldungen hier unterstreichen, was ich eh vermute: Problem liegt im Netz vor Ort. Wenn schon jemand DHCP V4 intern abschaltet wegen der „Sicherheit“… wer weiss was da noch „gefrickelt“ wurde…
Trotzdem bin ich an weiteren Tipps hierzu sehr interessiert. Vor allem hinsichtlich IPV6 Tunnel nutzen/überhaupt möglich. Aber auch die anderen Fragen…
Ich tippe darauf, dass Du da mit den Nodes in einer Art „Gastlan“ hängst, wo nur DNS, HTTP und HTTPS (respektive deren Ports) funktionieren.
Und somit z.B. Port 10000/UDP zu den Supernodes nicht verfügbar ist.
Das wird mit zu den ersten Tests beim nächsten Anlauf gehören.
Ich hätte aber gern noch belastbare Aussagen zu Frage 1.,) und 2.) (sieh erster Post hier im Thread) in der Domain Rheinufer. Wer kann das sicher beantworten bzw. auch gleich tun.
ich zu 1.) und 2.) hier keine belastbare Antwort erhalte und viel schlimmer: dass das nicht irgendwo eh für jederman ™ eh abrufbar, erfahrbar und dokumentiert ist.
Sorry, aber ich kann Dir dazu leider nichts sagen, da ich weder die „offizielle“ Firmware verwende, noch Einblick in die Server-Configs habe.
(Und wenn ich es „zufällig“ wüsste, dann hätte ich das gern beantwortet.)
BTW: Was ich jetzt als totale Absurdidät in der letzten Woche gefunden habe:
Ein Unitymedia-Internetzugang (200/10er) mit TC7200-Modem und DS-Lite (wie es selbst sagt): Mit defektem IPv6.
Das CGN-IPv4 funktioniert (RFC1918er 10.x.x.x/8er-Adressen werden vergeben vom Technicolor-Docsis-Routerchen).
IPv6-Prefix und Routen gibt es auch.
Aber egal was ich tue: IPv6 funktioniert nicht. (auch nicht zu heise und google). Mehrere Rechner und Mobilgeräte als Client probiert. Namensauflösung klappt, aber nicht mal ein einfacher Ping6 wird beantwortet, geschweige denn http-connects auf Port80…
Sprich: simply broken… Reboot des Modems und auch Reset auf dem admin-webinterface waren erfolglos.
Deren Hotline mag ich gar nicht erst anrufen, weil ich davon ausgehe, dass die Agenten dort nichteinmal erahnen, wovon ich ihnen erzählen würde.
Zur Konfiguration der Supernodes kann ich leider auch nichts sagen, allerdings habe ich hier bei mir auch Unitymedia (in NRW) mit DS-Lite (also natives IPv6 mit IPv4 via CGN). Bei mir funktioniert der Zugang zum Freifunk-VPN.
Ich habe den Freifunk-Router (mit aktueller Beta-Firmware 2014.4) am Gastzugang der Fritzbox (6360, LAN-Port 4) angeschlossen, anfangs auch an einem normalen LAN-Port. Für den Gastzugang musste ich allerdings in den Zugansgregeln den TCP-Port 53 (DNS) und die UDP-Ports 10000 bis 10999 (vermutlich würde hier auch der 10040 reichen) herausnehmen.
Ein Mitschnitt per tcpdump auf der Fritzbox zeigt hier, dass der Freifunk-Router auf UDP-Port 10040 via IPv6 mit den Supernodes (in meinem Fall rheinufer1 und rheinufer2) kommuniziert.
Ich vermute mal, dass dies so aber erst ab der 2014.4-beta so funktioniert, da vorher in der site.conf der Firmware in der VPN-Konfiguration des Routers noch das Tag ipv4 stand. Mit der aktuellen Stable-Version wird da offenbar also IPv4 für den VPN-Tunnel benutzt und ob das bei Unitymedia wegen dem IPv4-CGN funktioniert, weiß ich nicht.
FTR, vielleicht ja auch anderweitig von Interesse: da ich armes T-VDSL25-Universal-Kunde kein v6 bis Sankt Nimmerlein bekommen werde (ich kann hier VDSL nicht mehr neu bekommen, lange Geschichte um Early Adopter, technische vs. regulatorische Bandbreiten, Indoor und Nahbereich-KvZ), habe ich eine zweite FB ins LAN gehängt (LAN hat Public v4), die über einen dieser automagischen Tunnel v6 ranschafft. Nicht schön, aber Gold wert, um das Eine oder Andere zu testen. In Berlin habe ich congstar 50/10, nette Leitung, aber auch ohne nativem v6.
V6 sollte tun (mit Gluon 2014.3 schon), wie auch in PB haben wir hier Knoten mit Uplink über UnityMedia, und ich meine auch auf gw01/gw04 native v6-Verbindungen gesehen zu haben. Unsere MTU saugt dafür zwar eigentlich, aber im fastd-Umfeld macht mir das wenger Sorgen. IMHO ist das das kleinere Übel, als die MTU im Livesetup zu verringern …
Ich finde es wirklich toll, dass Ihr Euch bemüht eine Antwort zu geben. Ernstgemeintes und herzliches Danke dafür!
Mich interssiert aber immer noch viel mehr eine echte, ernste und belastbare Aussage zu den beiden Fragen. Ich bin einigermassen entsetzt, dass es a.) keine belastbaren Quellen für diese doch berechtigten Fragen zu geben scheint und b.) auch nach > einer Woche hier keine belastbare Aussage aufschlägt.
Also noch mal (ich geb ja nicht so ganz schnell auf): Bitte, bitte, bitte: mal ein paar gesicherte und belastbare Aussagen zu Frage 1.) und 2.) s. o. Toll wären Quellen for future use… you know…
So absurd ist das nicht, ich habe mit der Technikabteilung bei UM einige Gespräche geführt da ich anfänglich genau das gleiche Problem hatte.
Die TC7200 Modems sind der letzte rotz Die haben einige Probleme (Hautpsächlich Software Fehler) und UM weiß das aber gibt es nur ungerne zu.
Also tut euch selbst den Gefallen wenn ihr einen UM Anschluss mietet: Nehmt Telefon Plus als Option dazu, dann gibt es eine FritzBox
Soweit ich das mitbekommen habe, hat dir @CyrusFox schon hier eine Antwort darauf gegeben. Die aktuelle Rheinufer stable basiert auf 2014.3.1 und die beta ist die 2014.4
Sowohl die Server als auch die Firmware auf den Routern unterstützen IPv6.
Die haben einige Probleme (Hautpsächlich Software Fehler) und UM weiß das aber gibt es nur ungerne zu.