[gelöst] Lebenszeit lokaler IPv6 (fd00::/16)

[TomL]

Moin

Zusätzlich zu meinem anderen VM-Probem mit IPv6 hat sich noch ein weiteres Problem gesellt. Das ist zwar nicht unlösbar, aber es ist immerhin unschön... und es erfordert möglicherweise einen Workaround. Beim Start des Systems wird mithilfe einer Service-Unit eine lokale IPv6 auf dem Interface erstellt. Das passiert mit dem folgenden Statement:

Code: Alles auswählen

ip addr add  fd00:172:10:10:0:0:0:1/64 dev eth0

Danach sieht die Adresse so aus und ist auch voll funktionsfähig:

Code: Alles auswählen

inet6 fd00:172:10:10::1/64 scope global tentative 
       valid_lft forever preferred_lft forever

Das Problem ist, dass die Eigenschaften dieser IP nach der täglichen Zwangstrennung von "valid_lft forever" auf den üblichen Sekunden-Timout wechselt. Mit anderen Worten, einige Zeit nach der Zwangstrennung ist die IP auf einmal entfernt... was natürlich Folgen für bestimmte Prozesse hat. Die erste Idee eines Workarounds wäre, im 10-Minuten-Takt via Cron-Job eine Prüfung durchzuführen und die IP ggf. neu zu erstellen... aber vielleicht hat ja jemand eine bessere Idee, wie man den Status 'forever' tatsächlich auch dauerhaft festschreiben kann.

[bluestar]

Schau dir mal an, was dein Router so an IPv6 Announcements sendet, kommen da evtl. störende RAs rein?

Was für einen Router verwendest du?

[mat6937]

... wie man den Status 'forever' tatsächlich auch dauerhaft festschreiben kann.

Teste mal mit:

Code: Alles auswählen

sysctl -w net.ipv6.conf.all.keep_addr_on_down=1

für alle Interfaces oder mit:

Code: Alles auswählen

sysctl -w net.ipv6.conf.<Interface>.keep_addr_on_down=1

für ein bestimmtes Interface.

[TomL]

Schau dir mal an, was dein Router so an IPv6 Announcements sendet, kommen da evtl. störende RAs rein? Was für einen Router verwendest du?

Woran erkennt man störende RAs? Ich weiss nur, dass ULAs nur dann verteilt werden, wenn kein ISP-Prefix vorliegt. Das heisst, ich habe das so eingestellt, dass ULA's nicht automatisch zugewiesen werden. Es handelt sich um eine FB 7490.

Teste mal mit:

Code: Alles auswählen

sysctl -w net.ipv6.conf.<Interface>.keep_addr_on_down=1

Ich habs mal eingestellt... und ich lass das jetzt so laufen, wie die eigentliche VM auch läuft.... also ohne das ich da etwas bewusst provoziere. Morgen früh weiss ich dann mehr. Allerdings befürchte ich, dass nach der Zwangstrennung die auf dem alten Prefix basierenden IPv6 ebenfalls weiterhin noch leben... keine Ahnung, ob das so kommt, aber wenn, wäre es kontraproduktiv.

[mat6937]

Allerdings befürchte ich, dass nach der Zwangstrennung die auf dem alten Prefix basierenden IPv6 ebenfalls weiterhin noch leben...

Wenn das der Fall sein wird, dann versuch zusätzlich mit einer Lft von größer 24 Std. Z. B.:

Code: Alles auswählen

net.ipv6.conf.<Interface>.temp_prefered_lft = 114912
net.ipv6.conf.<Interface>.temp_valid_lft = 129600

[TomL]

Schau dir mal an, was dein Router so an IPv6 Announcements sendet, kommen da evtl. störende RAs rein?

Ich habe das auf der Test-VM jetzt mal 2 Stunden beobachtet. Für mich sieht das wie völlig normales Multicast aus, und in jeder Hinsicht unspektakulär. Alle Pakete kommen vom DSL-Router, keine Auffälligkeiten.

Code: Alles auswählen

# tcpdump -n -i enp1s0 icmp6 and ip6[40] == 134
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp1s0, link-type EN10MB (Ethernet), capture size 262144 bytes
15:15:00.544777 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
15:19:22.688890 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
15:23:44.833953 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
15:28:06.978266 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
15:36:51.979695 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
15:44:33.980813 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
15:53:17.980839 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
15:53:20.841046 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
16:03:11.691022 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
16:11:26.692409 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
16:17:00.262630 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
16:17:01.101003 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
16:20:32.705277 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
16:22:43.777963 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
16:24:54.849839 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
16:31:28.066128 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
16:41:08.067035 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
16:50:08.067851 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
16:53:21.842429 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
17:00:25.904488 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
17:09:02.905416 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
17:18:19.906174 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
17:19:31.648787 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
17:26:04.865614 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
17:30:27.009970 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
17:32:38.082054 IP6 fe80::f337:5edd:fe11:289 > ff02::1: ICMP6, router advertisement, length 112
^C
27 packets captured
27 packets received by filter
0 packets dropped by kernel

[mat6937]

Für mich sieht das wie völlig normales Multicast aus, und in jeder Hinsicht unspektakulär. Alle Pakete kommen vom DSL-Router, keine Auffälligkeiten.

Code: Alles auswählen

# tcpdump -n -i enp1s0 icmp6 and ip6[40] == 134
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

BTW: Mit z. B.:

Code: Alles auswählen

tcpdump -vv -ni enp1s0 'icmp6 and (ip6[40] == 134)'

oder mit:

Code: Alles auswählen

ndptool -v -i enp1s0 -t ra monitor

kann man auch den Inhalt der RA anzeigen lassen.
Mit z. B.:

Code: Alles auswählen

ndptool -i enp1s0 -t rs send

kann man eine RA anfordern.

[bluestar]

Welchen ULA hast du in der Fritzbox manuell konfiguriert?

[TomL]

Sorry, aber die Frage verstehe ich nicht. Ich habe in der VM eine lokale IPv6 gemäß der Site-ID im Router für lokale IPv6 eingerichtet. Die Bits 17-64 sind quasi identisch mit dem IPv4-LAN. Also etwa so:

Code: Alles auswählen

V4 = 172.10.100/24        Client-IP = 172.10.100.36
V6 = fd00:172:10:100/64   Client-IP = fd00:172:10:100::36

Aber im Grundegenommen ist das doch egal.... solange alle Geräte die gleiche Site-ID haben passt das doch.... ... also kurz gesagt, die Site-ID ist in Router und den betroffenen Clients natürlich gleich. Aber das hat ja imho nur Einfluss auf die Kommunikation, aber nicht auf die Lifetime. Ich kann ja jede beliebige IP eintragen... das schlimmste, was passieren kann, sie findet keinen zum Quatschen.

[bluestar]

Damit kollidiert dein privates /64 das von der Fritzbox via Router Advertisement ausgesandt wird, mit der von dir händisch eingestellten IPv6 IP und überschreibt dir die Lebenszeit der privaten IPv6 IP deiner VM.

Dein Problem könntest du elegant lösen, wenn du in der FB immer (egal ob on- oder offline) deinen privaten ULA announcen lässt.... Bist du online, kommt halt noch automatisch dein öffentlicher ULA deines Providers hinzu. Damit einhergehend würde ich auch ip-token einsetzen, damit bleibst du Herr deiner Adressen.

[TomL]

*hmmm*... das passt zu dem, wie es hier abläuft... und auch zu dem, was ich vermutet habe. Mit der Verteilung der ULA via RA hätte ich dann jedoch das 3. Netz... das wird ja immer unübersichtlicher. Ich denke, die bessere Alternative wäre dann wohl der Workaround, der einfach prüft, obs die IP noch gibt und wenn nicht, sie eben wieder erstellt.

[bluestar]

*hmmm*... das passt zu dem, wie es hier abläuft... und auch zu dem, was ich vermutet habe. Mit der Verteilung der ULA via RA hätte ich dann jedoch das 3. Netz...

Wo kommt denn das dritte Netz her?

IPv4: 192.168.0.0/16
IPV6-ULA: fd01:0:0::/64

So und jetzt bildest du einfach die letzten zwei IPv4 Blöcke ab:

192.168.0.1 = fd01:0:0:0:0:0:0:0:1
192.168.255.254 = fd01:0:0:0:0:0:ff:fe

Volia

[TomL]

Wo kommt denn das dritte Netz her?

2000::/3

[mat6937]

*hmmm*... das passt zu dem, wie es hier abläuft... und auch zu dem, was ich vermutet habe.

Welche "valid_time" und "preferred_time" wird via RA für den "Prefix fd00::/64" mitgeteilt?

[bluestar]

*hmmm*... das passt zu dem, wie es hier abläuft... und auch zu dem, was ich vermutet habe.

Welche "valid_time" und "preferred_time" wird via RA für den "Prefix fd00::/64" mitgeteilt?

Das musst du deine Fritzbox fragen

[bluestar]

Wo kommt denn das dritte Netz her?

2000::/3

Das ist deine Default-Route ins Internet

[TomL]

Wo kommt denn das dritte Netz her?

2000::/3

Das ist deine Default-Route ins Internet

Nein, ist es nicht. Jeder Client hat eine öffentliche IPv6 aus diesem Netz und ist natürlich damit selber direkt im Internet als Client unterwegs, ohne NAT, Netz und doppelten Boden. Ich denke, das Problem ist gelöst. Danke für Deinen Hinweis über die Ursache.... das macht es mir leichter, jetzt eine Entscheidung zu treffen. Ich setz das mal auf gelöst.

[mat6937]

Das musst du deine Fritzbox fragen

Das muss ich nicht, denn ich weiß es ja (... von meiner FritzBox). Der TE muss evtl. seine FritzBox fragen oder die RA von der FRitzBox sniffen (oder gleichwertig).

[bluestar]

2000::/3

Das ist deine Default-Route ins Internet

Nein, ist es nicht. Jeder Client hat eine öffentliche IPv6 aus diesem Netz und ist natürlich damit selber direkt im Internet als Client unterwegs, ohne NAT, Netz und doppelten Boden.

Die von dir genannte Netz-Adresse ist KEINE, du du von deinem Provider zugewiesen bekommst. Du bekommst ein /48 oder kleiner vom Provider, ergo kannst du 2000::/3 nicht frei nutzen, sondern nur dein dir zugewiesenes Subnetz.

Du hast dann logischerweise je Gerät mind. 2 IPv6-Adressen (einmal privater ULA und einmal globaler ULA), ggfs. kommen durch Privacy-Ext noch weitere temporäre Adressen hinzu.

[TomL]

Mannoman, das weiss ich doch... 2000::/3 sagt doch nur aus, dass das auf den Clients eine Addresse aus einem von der IANA vorgebenen Bereich für Global-Unicast-Adressen ist. Mein ISP-Prefix ist ein /56'er Netz natürlich ebenfalls aus dem Bereich 2000::/3... und selbstverständlich bekomme ich diesen Prefix von meinem DSL-Provicer zugewiesen. Mit der hier bestehenden Site-ID/64 ist das dann das dritte Netz. Wir sollten das jetzt wirklich beenden.

Und ich habe auch nicht 1 GUA, sondern wegen Privacy Extensions immer zwei... und wenn ich wollte, könnte ich fünf, sechs, oder zwanzig pro NIC anlegen.

https://www.iana.org/assignments/ipv6-a ... pace.xhtml

[bluestar]

Und dein drittes IPv6-Netz sehe ich nicht als notwenig an, du brauchst nur zwei v6-Netze

[TomL]

Und dein drittes IPv6-Netz sehe ich nicht als notwenig an, du brauchst nur zwei v6-Netze

Ja, wenn man trotz IPv6 sowas dummes wie NAT machen will... was man bei IPv6 gsd nicht mehr braucht.

[bluestar]

Ja, wenn man trotz IPv6 sowas dummes wie NAT machen will... was man bei IPv6 gsd nicht mehr braucht.

Jetzt zähl doch mal bitte die drei IPv6-Netze auf von denen du hier sprichst.

[TomL]

Ich habe nur von 3 Netzen gesprochen... ich weiss nicht, wie Du auf 3 mal IPv6 kommst.

Das sind:
- IPv4/24 lokal (erfordert NAT)
- fc00::/7 lokal (ULA, erfordert ebenfalls NAT (nach meinem Kenntnisstand wird die nicht ins Internet geroutet))
- 2000::/3 öffentlich (GUA)

Und das lokale IPv6 will ich nicht. Ich brauche das nur an einer Stelle, zwischen zwei Geräten, aber eben nicht für alle Clients, also werde ich das auch nicht via RA verteilen. Wenn alle Stricke reissen, werde ich einfach testen, ob ich stattdessen einfach LLA verwenden kann... denn die sind eh obligatorisch. Ich denke, hier sind keine weiteren Erkenntnisse zu gewinnen... wir sollten das jetzt beenden.

[mat6937]

Das heisst, ich habe das so eingestellt, dass ULA's nicht automatisch zugewiesen werden. Es handelt sich um eine FB 7490.

Hast Du den default-ULA-Präfix fd00:0.0.0/64 deiner FritzBox geändert? Wenn nicht, dann wird es auch keine Kollision mit deinem manuell konfigurierten ULA-Präfix fd00:172:10:100/64 (oder gleichwertig) geben.
M. E. ist das Problem, dass das Interface down geht, in Folge der täglichen Zwangstrennung.