Anmelden
Sonntag, 15. Mai 2011, 19:38
An der Firewall stimmt noch irgendwas nicht. Denn das Binding klappt nicht mit der IPv6 Adresse. Intern kann ich das Gateway anpingen mit ping6. Funktioniert. Jedoch klappt das pingen an google nicht: ping6 -c2 ipv6.google.com Ich bekomme einfach keine Antwort. Ich nehme einfach mal an, das meine Firewall das alles blockt, aber ich habe echt keinen Plan, wo ich das erlauben soll ?!? Pingen mit ipv4 klappt anstantslos.... Und so der Suse Firewall Experte bin ich echt nicht 
Montag, 16. Mai 2011, 22:14
NE, ich habe mich an die Strato Anleitung gehalten und das dementsprechend eingetragen. Das Gateway kann ich anpingen, also muss es wirklich meine Firewall sein. Nur sind dort in der ipv6tables die imcpv6 anfragen erlaubt. Ich stehe echt vor einem Rätsel. Die Anleitung werde ich hier noch verlinken.
Das Rote ist immer meine Ausgabe!
Das ist meine IPv6 Adresse, die ich von Strato zugewiesen bekommen habe:
2a01:238:433c:4100:3c2d:e651:9907:9b7
Nur anpingen kann ich die nicht
Ich blick bei den Ganzen IP's auch net mehr durch.
Die Adresse: 2a01:238:40ab:cd12:dead:beef:dead:beef
ist die bezogene IPv6 Adresse über den Strato DCHP Server.
Strato Anleitung (Wollte hier das pdf hochladen, ging aber nicht, weil zu groß 270KB):
2 Konfiguration unter Linux
In diesem Abschnitt wird die Konfiguration für die verbreiteten Distributionen openSUSE, Debian und Ubuntu beschrieben.
2.1 Alle Distributionen
2.1.1 Wie kann ich herausfinden, ob mein Linux RootServer IPv6-fähig ist?
Damit Ihr Server mit anderen IPv6-fähigen Routern und Hosts kommunizieren kann, muss der Kernel IPv6 unterstützen. Diese Unterstützung wird zumeist über das Kernelmodul ipv6 erreicht.
Mit der folgenden Methode können Sie feststellen, ob Ihr Server IPv6-fähig ist:
Prüfen Sie, ob das Kernelmodul ipv6 geladen ist:
h123456:~ # lsmod | grep ipv6
ipv6 331544 36
nf_conntrack_ipv6 21518 4
nf_conntrack 87250 5
nf_conntrack_ipv6,xt_NOTRACK,xt_state,nf_conntrack_netbios_ns,nf_conntrack_ipv4
Sollte der Befehl nicht die oben gezeigte Ausgabe erzeugen, so ist entweder das Kernelmodul ipv6 nicht geladen oder der Kernel Ihres Servers ist mit statischer IPv6-Unterstützung ausgestattet. Im Falle des Kernelmoduls lässt sich dieses nachladen durch die Eingabe von:
h123456:~ # modprobe ipv6
Kontrollieren Sie anschließend, ob Ihr primäres Netzwerkinterface eine link-lokale IPv6-Adresse besitzt:
h1386331:~ # ifconfig eth0 | grep inet6
inet6 addr: fe80::211:22ff:fe33:4455/64 Scope:Link
inet6 Adresse: 2a01:238:40ab:cd12:dead:beef:dead:beef/128 Gültigkeitsbereich:Global
inet6 Adresse: fe80::224:21ff:feaf:9079/64 Gültigkeitsbereich:Verbindung
2a01:238:433c:4100:3c2d:e651:9907:9b7
Die angezeigte Adresse beginnend mit fe80::2... wird automatisch generiert und ist nur auf dem Link gültig. Sie dient der lokalen Kommunikation im LAN-Segment und wird von Routern nicht geroutet.
Anleitung IPv6 Basisunterstützung www.strato.de Seite 4 von 10
Version: 1103.1
2.2 openSUSE 11.0 und 11.1
2.2.1 Aktivierung von IPv6
Die IPv6-Grundkonfiguration können Sie im Setup-Tool yast vornehmen.
h123456:~ # yast network
Wählen Sie aus der Liste Available Network Modules den Eintrag Network Card aus.
Wählen Sie in den Network Settings den Menüpunkt Global Options.
Anleitung IPv6 Basisunterstützung www.strato.de Seite 6 von 10
Stellen Sie sicher, dass die Optionen Traditional Method with ifup und Enable IPv6 aktiviert sind.
Schließen Sie die Konfiguration über die Schaltfläche Finish ab.
2.2.2 Konfiguration der primären IPv6-Adresse
Die Konfiguration der primären IPv6-Adresse und des Standard Gateways erfolgt in den entsprechenden Konfigurationsdateien von openSUSE.
Editieren Sie die Datei /etc/sysconfig/network/ifcfg-eth0
Fügen Sie die folgende Zeile am Ende der Datei an:
IPADDR_2='2a01:238:40ab:cd12:dead:beef:dead:beef'
NETMASK_2='/128'
Dieser Eintrag konfiguriert Ihre primäre IPv6-Adresse auf dem primären Netzwerkinterface Ihres Servers.
Legen Sie die Datei /etc/sysconfig/network/ifroute-eth0 an.
Fügen Sie die folgende Zeile am Ende der Datei an:
default fe80::1
Anleitung IPv6 Basisunterstützung www.strato.de Seite 7 von 10
Dieser Eintrag konfiguriert den entsprechenden Router als Standard Gateway.
Starten Sie anschließend die Netzwerkkonfiguration neu:
h123456:~ # rcnetwork restart
Aus Sicherheitsgründen sollten Sie die Verarbeitung von Router Advertisements unterbinden.
Editieren Sie dazu die Datei /etc/sysctl.conf
Fügen Sie die folgende Zeile am Ende der Datei an:
net.ipv6.conf.all.accept_ra = 0
Rufen Sie sysctl –p auf, um die Änderung wirksam werden zu lassen.
2.2.3 Basis-Firewall
Ihre gegebenenfalls bestehende Firewall behandelt lediglich IPv4-Netzwerkverkehr. Alle Dienste auf Ihrem dedizierten Server, die per IPv6 erreichbar sind, werden durch diese Firewall nicht geschützt. Die folgenden Firewall-Regeln bieten einen grundlegenden Schutz für IPv6-Netzwerkverkehr.
Editieren Sie die Datei /etc/init.d/after.local
Fügen Sie die folgenden Zeilen am Ende der Datei an:
/sbin/ip6tables -P INPUT DROP
/sbin/ip6tables -P OUTPUT DROP
/sbin/ip6tables -A INPUT -i eth0 -p icmpv6 -j ACCEPT
/sbin/ip6tables -A OUTPUT -o eth0 -p icmpv6 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/ip6tables -A OUTPUT -m state --state NEW,ESTABLISHED -j ACCEPT
/sbin/ip6tables -A INPUT -j REJECT
/sbin/ip6tables -A OUTPUT -j REJECT
Unter /sbin/ gab es keine ip6tables. Die liegt bei mir im usr/sbin/. Dementsprechend hatte ich die Pfade angepasst.
Hinweis: Die genannten Regeln bilden ein Grundgerüst, das sie gegebenenfalls an Ihre Bedürfnisse anpassen müssen. Die Regelerstellung mit ip6tables erfolgt syntaktisch analog zu iptables für IPv4.
Mit dem nächsten Neustart Ihres Servers werden die oben genannten Regeln am Ende des Bootprozesses ausgeführt.
Bitte beachten Sie, dass ein- und ausgehender ICMPv6-Verkehr nicht gefiltert werden sollte. Anderenfalls ist Ihr Server nicht erreichbar.
Das Rote ist immer meine Ausgabe!
Das ist meine IPv6 Adresse, die ich von Strato zugewiesen bekommen habe:
2a01:238:433c:4100:3c2d:e651:9907:9b7
Nur anpingen kann ich die nicht
Ich blick bei den Ganzen IP's auch net mehr durch. Die Adresse: 2a01:238:40ab:cd12:dead:beef:dead:beef
ist die bezogene IPv6 Adresse über den Strato DCHP Server.
Strato Anleitung (Wollte hier das pdf hochladen, ging aber nicht, weil zu groß 270KB):
2 Konfiguration unter Linux
In diesem Abschnitt wird die Konfiguration für die verbreiteten Distributionen openSUSE, Debian und Ubuntu beschrieben.
2.1 Alle Distributionen
2.1.1 Wie kann ich herausfinden, ob mein Linux RootServer IPv6-fähig ist?
Damit Ihr Server mit anderen IPv6-fähigen Routern und Hosts kommunizieren kann, muss der Kernel IPv6 unterstützen. Diese Unterstützung wird zumeist über das Kernelmodul ipv6 erreicht.
Mit der folgenden Methode können Sie feststellen, ob Ihr Server IPv6-fähig ist:
Prüfen Sie, ob das Kernelmodul ipv6 geladen ist:
h123456:~ # lsmod | grep ipv6
ipv6 331544 36
nf_conntrack_ipv6 21518 4
nf_conntrack 87250 5
nf_conntrack_ipv6,xt_NOTRACK,xt_state,nf_conntrack_netbios_ns,nf_conntrack_ipv4
Sollte der Befehl nicht die oben gezeigte Ausgabe erzeugen, so ist entweder das Kernelmodul ipv6 nicht geladen oder der Kernel Ihres Servers ist mit statischer IPv6-Unterstützung ausgestattet. Im Falle des Kernelmoduls lässt sich dieses nachladen durch die Eingabe von:
h123456:~ # modprobe ipv6
Kontrollieren Sie anschließend, ob Ihr primäres Netzwerkinterface eine link-lokale IPv6-Adresse besitzt:
h1386331:~ # ifconfig eth0 | grep inet6
inet6 addr: fe80::211:22ff:fe33:4455/64 Scope:Link
inet6 Adresse: 2a01:238:40ab:cd12:dead:beef:dead:beef/128 Gültigkeitsbereich:Global
inet6 Adresse: fe80::224:21ff:feaf:9079/64 Gültigkeitsbereich:Verbindung
2a01:238:433c:4100:3c2d:e651:9907:9b7
Die angezeigte Adresse beginnend mit fe80::2... wird automatisch generiert und ist nur auf dem Link gültig. Sie dient der lokalen Kommunikation im LAN-Segment und wird von Routern nicht geroutet.
Anleitung IPv6 Basisunterstützung www.strato.de Seite 4 von 10
Version: 1103.1
2.2 openSUSE 11.0 und 11.1
2.2.1 Aktivierung von IPv6
Die IPv6-Grundkonfiguration können Sie im Setup-Tool yast vornehmen.
h123456:~ # yast network
Wählen Sie aus der Liste Available Network Modules den Eintrag Network Card aus.
Wählen Sie in den Network Settings den Menüpunkt Global Options.
Anleitung IPv6 Basisunterstützung www.strato.de Seite 6 von 10
Stellen Sie sicher, dass die Optionen Traditional Method with ifup und Enable IPv6 aktiviert sind.
Schließen Sie die Konfiguration über die Schaltfläche Finish ab.
2.2.2 Konfiguration der primären IPv6-Adresse
Die Konfiguration der primären IPv6-Adresse und des Standard Gateways erfolgt in den entsprechenden Konfigurationsdateien von openSUSE.
Editieren Sie die Datei /etc/sysconfig/network/ifcfg-eth0
Fügen Sie die folgende Zeile am Ende der Datei an:
IPADDR_2='2a01:238:40ab:cd12:dead:beef:dead:beef'
NETMASK_2='/128'
Dieser Eintrag konfiguriert Ihre primäre IPv6-Adresse auf dem primären Netzwerkinterface Ihres Servers.
Legen Sie die Datei /etc/sysconfig/network/ifroute-eth0 an.
Fügen Sie die folgende Zeile am Ende der Datei an:
default fe80::1
Anleitung IPv6 Basisunterstützung www.strato.de Seite 7 von 10
Dieser Eintrag konfiguriert den entsprechenden Router als Standard Gateway.
Starten Sie anschließend die Netzwerkkonfiguration neu:
h123456:~ # rcnetwork restart
Aus Sicherheitsgründen sollten Sie die Verarbeitung von Router Advertisements unterbinden.
Editieren Sie dazu die Datei /etc/sysctl.conf
Fügen Sie die folgende Zeile am Ende der Datei an:
net.ipv6.conf.all.accept_ra = 0
Rufen Sie sysctl –p auf, um die Änderung wirksam werden zu lassen.
2.2.3 Basis-Firewall
Ihre gegebenenfalls bestehende Firewall behandelt lediglich IPv4-Netzwerkverkehr. Alle Dienste auf Ihrem dedizierten Server, die per IPv6 erreichbar sind, werden durch diese Firewall nicht geschützt. Die folgenden Firewall-Regeln bieten einen grundlegenden Schutz für IPv6-Netzwerkverkehr.
Editieren Sie die Datei /etc/init.d/after.local
Fügen Sie die folgenden Zeilen am Ende der Datei an:
/sbin/ip6tables -P INPUT DROP
/sbin/ip6tables -P OUTPUT DROP
/sbin/ip6tables -A INPUT -i eth0 -p icmpv6 -j ACCEPT
/sbin/ip6tables -A OUTPUT -o eth0 -p icmpv6 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/ip6tables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/ip6tables -A OUTPUT -m state --state NEW,ESTABLISHED -j ACCEPT
/sbin/ip6tables -A INPUT -j REJECT
/sbin/ip6tables -A OUTPUT -j REJECT
Unter /sbin/ gab es keine ip6tables. Die liegt bei mir im usr/sbin/. Dementsprechend hatte ich die Pfade angepasst.
Hinweis: Die genannten Regeln bilden ein Grundgerüst, das sie gegebenenfalls an Ihre Bedürfnisse anpassen müssen. Die Regelerstellung mit ip6tables erfolgt syntaktisch analog zu iptables für IPv4.
Mit dem nächsten Neustart Ihres Servers werden die oben genannten Regeln am Ende des Bootprozesses ausgeführt.
Bitte beachten Sie, dass ein- und ausgehender ICMPv6-Verkehr nicht gefiltert werden sollte. Anderenfalls ist Ihr Server nicht erreichbar.
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »KC-Cracky« (16. Mai 2011, 22:55)
Dienstag, 17. Mai 2011, 11:27
Hat sich erledigt 
Funktioniert jetzt. Kannste hier testen: http://ipv6-test.com/
Die hatten in Ihrer Anleitung natürlich nicht erwähnt gehabt, das die IPADDR_2 auch MEINE sein muss. So Anleitungen liebe ich ja, besonders wenn es um etwas geht, das man noch nie gemacht hat. Man kann natürlich auch sagen, man bist du dumm, aber sowas passiert
Funktioniert jetzt. Kannste hier testen: http://ipv6-test.com/Die hatten in Ihrer Anleitung natürlich nicht erwähnt gehabt, das die IPADDR_2 auch MEINE sein muss. So Anleitungen liebe ich ja, besonders wenn es um etwas geht, das man noch nie gemacht hat. Man kann natürlich auch sagen, man bist du dumm, aber sowas passiert
Ähnliche Themen
-
alte Versionen [1.6.03|1.6.1|1.6.4] »-
Keine Profiländerungen über den Adminbereich möglich?!
(20. April 2008, 17:47)
-
- Web | Programmierung »
-
Teamspeak Viewer 2 streikt
(25. April 2009, 21:42)
-
- alte Versionen [1.6.03|1.6.1|1.6.4] »
-
fehler beim laden meiner webseite
(23. Januar 2009, 00:20)
-
- pkSM Support »
-
Stand Alone HB3 Logs
(3. Mai 2008, 23:57)
-
- alte Versionen [1.6.03|1.6.1|1.6.4] »
-
habe mich ausgesperrt...
(3. März 2008, 20:18)
