Netzwerk (IPv6) Probleme

[Salamimander]

Hi,

vielleicht kann mir ja einer helfen.

Ich habe folgendes Problem:

Ich kann zB Problemlos Internetseiten mittels IPv6 aufrufen, aber meine Internen Adressen nur eine kurze Zeit lang. dH Nach dem Neustart gehts eine weile, dann plötzlich nicht mehr. Ich habe das Problem NUR unter Windows, dH iPhone, Macs und was da alles kreucht und fleucht hat keine Probleme.

Was zB IMMER geht:
ping -6 google.de

Was nur eine Zeit lang geht:
ping -6 fd11:192:168:1::10

Das ist die DNS-Server Adresse in meinem Netz

ipconfig /flushdns
nbtstat –r
netsh int ip reset
netsh winsock reset
netsh winsock reset catalog
netsh int ipv6 reset

+ Reboot

Das hilft dann temporär aber wieder die selben Probleme nach einer kurzen Zeit. Der Adapterstatus zeigt bei IPv6 auch IMMER keine Internetverbindung, obwohl sich Seiten öffnen lassen.


Achja:
Als Router/Firewall dient OPNsense und ich nutze DHCPv6 (RA M+O) + NAT6 für den Zugriff auf das Internet. Firewallregeln passen alle, sonst würde das ja nicht eine Zeit lang gehen





Ein paar Infos:

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
 18    281 ::/0                     fe80::fc7c:e7ff:fee0:d96c
 18    281 ::/0                     fe80::505c:56ff:feb0:824
  1    331 ::1/128                  Auf Verbindung
 18    281 fd11:192:168:1::/64      Auf Verbindung
 18    281 fd11:192:168:4::/64      Auf Verbindung
 18    281 fd11:192:168:4::a212/128 Auf Verbindung
 14    281 fe80::/64                Auf Verbindung
 18    281 fe80::/64                Auf Verbindung
 14    281 fe80::beee:1e88:46aa:652c/128
                                    Auf Verbindung
 18    281 fe80::bf68:61f3:95c6:85b1/128
                                    Auf Verbindung
  1    331 ff00::/8                 Auf Verbindung
 14    281 ff00::/8                 Auf Verbindung
 18    281 ff00::/8                 Auf Verbindung
===========================================================================
Ständige Routen:
  Keine

So funktioniert es gerade NICHT.

 

[Necareor]

Welche Meldung erhältst du denn, sobald die Pings nicht mehr funktionieren? Standard "Zeitüberschreitung der Anforderung."?

 

[Salamimander]

Edit: Ne doch nicht: Zielhost nicht erreichbar + Zeitüberschreitung der Anforderung.

 

[gaym0r]

Was siehst du in den Logs auf der OPNsense? Siehst du die ICMP Requests in einem TCP-Dump auf der OPNsense?

 

[snaxilian]

Der Adapterstatus zeigt bei IPv6 auch IMMER keine Internetverbindung, obwohl sich Seiten öffnen lassen.

Dazu muss man verstehen wie der NCSI funktioniert: https://learn.microsoft.com/de-de/windows-server/networking/ncsi/ncsi-overview

Vermutlich hast entsprechende Zugriffe blockiert oder der funktioniert nicht korrekt in IPV6 only Netzwerken, müsstest du im Detail nachlesen, siehe der Link.

Was nur eine Zeit lang geht:
ping -6 fd11:192:168:1::10

Hast ggf. fail2ban o.ä. laufen, was das entsprechend temporär unterbindet?

Das ist die DNS-Server Adresse in meinem Netz

Funktioniert denn die DNS Funktionalität wenn die Probleme auftreten? Wenn nein: Welche Antwort bekommst du vom DNS und was steht in den Logs vom DNS?

 

[Salamimander]

Auf IPv6 gibt es dann natürlich timeouts. Ich erreiche keine der lokale. Netzte mehr .

Fail2ban etc gibt es nicht. Betrifft wie gesagt auch NUR Windows

Ergänzung (12. September 2023)

Was siehst du in den Logs auf der OPNsense? Siehst du die ICMP Requests in einem TCP-Dump auf der OPNsense?

Nein, da routing Problem auf dem Client. Das komischerweise erst nach einer Zeit auftritt.. Ich bin kurz davor, Windows platt zu machen.. Nur kA ob das was bringt


Jetzt funktioniert es gerade wieder:

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
 18    281 ::/0                     fe80::fc7c:e7ff:fee0:d96c
  1    331 ::1/128                  Auf Verbindung
 18    281 fd11:192:168:4::/64      Auf Verbindung
 18    281 fd11:192:168:4::a240/128 Auf Verbindung
 14    281 fe80::/64                Auf Verbindung
 18    281 fe80::/64                Auf Verbindung
 14    281 fe80::beee:1e88:46aa:652c/128
                                    Auf Verbindung
 18    281 fe80::bf68:61f3:95c6:85b1/128
                                    Auf Verbindung
  1    331 ff00::/8                 Auf Verbindung
 14    281 ff00::/8                 Auf Verbindung
 18    281 ff00::/8                 Auf Verbindung
===========================================================================

Wie man sieht, schmuggelt sich eine kaputte Route dazu, woher auch immer die kommt. Und klar, es gibt nur EINEN DHCPv6 auf dem Interface

 

[Salamimander]

Auch spannend:

Selbst wenn ich RA abstelle, erhalte ich von irgendwo eine Gateway Adresse.. Ich werde hier noch verrückt


Ooooooookaaaaaaay.

Wireshark hat mir gezeigt, woher das RA kommt. Aus mir noch unbekannten gründen, schlägt das RA des SERVERS Interfaces zu den anderen Netzen (Mindestens jedoch ins WIREDCLIENTS network) durch. Ich versuche das gerade zu verhindern, eine Firewall Regel habe ich, die scheint aber nicht zu reichen .


Edit2:

Boah das KANN ES DOCH NICHT SEIN. opnsense scheint ganz schön verbuggt zu sein. Das RA hat auf dem Interface nichts zu suchen und lässt sich nicht mal blocken... da kann ich regeln bauen wie ich will offenbar.

Edit3:
Jetzt stirbt mir das System mit OOM weg, mit 4GB Memory.. WTF


Edit4:
Ich GLAUBE ich habe das Problem gefunden. Der SwitchPort auf dem ich sitzte, hatte als Default VLAn das SERVERS Netz drin. Obwohl ich in der Netzwerkkarte VLANID 4 (WIREDCLIENTS) eingestellt habe, hat die Karte weiterhin RAs aus dem SERVERS VLAn erhalten (Windows tut Windows Dinge). Also es lag am Ende an Windows, wie eingangs vermutet. (Ich konnte jetzt das untagged vlan auf 4 ändern am Switch, also arbeite ich da gerade an Windows vorbei)

 

[snaxilian]

Geht doch nichts über einen guten alten tcpdump/wireshark zur Fehlersuche

Obwohl ich in der Netzwerkkarte VLANID 4 (WIREDCLIENTS) eingestellt habe, hat die Karte weiterhin RAs aus dem SERVERS VLAn erhalten (Windows tut Windows Dinge)

Jain.
Ausgehende Pakete werden dann vermutlich auch mit VLANID 4 entsprechend korrekt getaggt sein aber zusätzlich wird das System auch ankommende untagged Pakete verarbeiten was dann zu dem Problem führt.

Wenn du willst, dass sich Windows wie ein Linux verhält dann verwende halt Linux, ansonsten musst eben auch lernen, wie Windows funktioniert

Der Thread ist aber auch ein gutes Beispiel warum man VLANs an Clients (und Servern) vermeiden sollte wenn möglich^^

 

[Salamimander]

Ich würde sofort Linux verwenden, wenn alles dort läuft . Es scheitert halt noch an Dingen beim Gaming, aber ein anderes Thema.

PS: Mit einer IntelNIC verhält sich Windows wie gewünscht. Man kann dort pro VLAN ein IF erstellen und das untagged einfach deaktivieren.