Re: (XS4ALL/SixXS) IPv6 tunnels op je FritzBox 7170

[Frits Letteboer]

Frits Letteboer schreef:
> IPv6 tunnels op de Fritz!Box met een aangepaste (Freetz) firmware[0]
>

Voordat ik het vergeet: Freetz is een _toevoeging_ op de standaard
firmware, _geen_ vervanging zoals DD-WRT en andere cornuiten. De huidge
instellingen en functionaliteit blijven dus behouden als je deze
firmware flasht.

[Theo]

Dank voor de info.

Ik heb twee vragen.

- Hoe installeer de Freetz firmware. Doe je dit gewoon via de firmware
update functie van de Fritz.
- Misschien of-topic. Waarom staat de firmware 59.04.68-14579 niet op de AVM
site maar wel op de XS4ALL site. Is dit een betal release op een speciale
XS4ALL versie.

Groet,

Theo

"Frits Letteboer" <n...@thanks.invalid> schreef in bericht
news:4a6230f8$0$185$e4fe...@news.xs4all.nl...

> IPv6 tunnels op de Fritz!Box met een aangepaste (Freetz) firmware[0]
>
>

> Stappenplan:
>
> Disclaimer: Uiteraard volledig op eigen risico en geen support van XS4ALL
> en AVM ;)
>
> 1. Installeer de versie (Annex A[1] of B[2]) van de Freetz firmware
>
> (Vervang 192.168.178.1 als je het interne IP van je FritzBox gewijzigd
> hebt)
>
> 2. Na het installeren telnet je naar 192.168.178.1 en log je in met 'root'
> / 'freetz'
> 2a. Je zal meteen het wachtwoord moeten wijzigen naar iets anders
>
> 3. Doe 'echo 0 > /tmp/flash/mod/security' (Dit zorgt ervoor dat je dingen
> kunt wijzigen in de webinterface)
> 3a. Je kunt nu uitloggen
>
> 4. Ga naar http://192.168.178.1:81 en log in met gebruiker 'admin' en het
> wachtwoord dat je zojuist met telnet hebt ingesteld
>
> 5. Klik op 'Settings' en dan 'Freetz: modules'
> 5a. In het vak voeg je 'ipv6' toe, als deze er nog niet staat
> 5b. Klik op 'Apply' en 'Back'
>
> 6. Klik op 'Freetz: rc.custom'
> 6a. In het vak voeg je in:
>
> -----8<----------8<-----
> ip tunnel add xs6all mode sit remote [XS4ALL's IPv4-tunnel endpoint] local
> 192.168.178.1 ttl 255
> ip link set xs6all up
> ip addr add [Users's tunnel IPv6-adres]/64 dev xs6all
> ip route add ::/0 dev xs6all
> -----8<----------8<-----
>
> 6b. Klik op 'Apply' en 'Back'
>
> 7. Klik op 'Packages' 'radvd'
> 7a. Stel 'Start type' in op 'Automatic' om radvd bij het booten van het
> modem te starten
> 7b. Laat 'IPv6 interface:' op 'lan' staan
> 7c. Stel 'IPv6 address:' in op een adres uit je /48 prefix, voorbeeld je
> hebt '2001:888:yyyy::/48' als prefix, kies dan '2001:888:yyyy::1/64' als
> IPv6 address
> 7d. Stel 'IPv6 prefix:' in op het subnet van bovenstaand, voorbeeld:
> '2001:888:yyyy::/64'
> 7e. Klik op 'Apply' en 'Back'
>
> 8. Reboot het modem via de normale webinterface of powercycle het modem en
> have fun :)
>
>
>
> [0] Deze firmware is gebaseerd op de laatste versie met de
> 'XS4ALL-reboot-bij-belasting'-fix, meer info over de firmware mod:
> http://www.freetz.org/
>
> [1]
> http://members.home.nl/fletteboer/7170_04.68freetz-devel-3483.en_20090716-143703.AnnexA.image
>
> [2]
> http://members.home.nl/fletteboer/7170_04.68freetz-devel-3483.en_20090716-143611.AnnexB.image

[Frits Letteboer]

Theo schreef:

> Dank voor de info.
>
> Ik heb twee vragen.
>
> - Hoe installeer de Freetz firmware. Doe je dit gewoon via de firmware
> update functie van de Fritz.

Ja, via de normale update manier. Je krijgt gaandeweg een melding dat de
firmware niet van AVM afkomstig is met een waarschuwing. Gewoon
verdergaan met flashen.

Je kunt later ook weer zonder problemen terug naar de standaard firmware.

http://www.xs4all.nl/helpdesk/adsl/fritzbox/update.php

> - Misschien of-topic. Waarom staat de firmware 59.04.68-14579 niet op de AVM
> site maar wel op de XS4ALL site. Is dit een betal release op een speciale
> XS4ALL versie.

Dat is inderdaad een 'speciale' versie voor XS4ALL. Om een lang verhaal
kort te maken: XS4ALL had een batch modems die onder belasting van 8Mbit
of meer crashte, AVM kon het niet produceren met hun modems. XS4ALL
heeft een batch gestuurd, AVM kont het toen wel reproduceren en heeft
een kleine fix gemaakt die niet voor de rest van de wereld interessant was.

[Theo]

"Frits Letteboer" <n...@thanks.invalid> schreef in bericht

news:4a62f902$0$201$e4fe...@news.xs4all.nl...

Dank voor de antwoorden. Ik ga ermee aan de gang, Ga je ons voor de
toekomstige firmware versies ook voorzien van nieuwe freetz modules.

Theo

[Mike Delta]

In article <4a6230f8$0$185$e4fe...@news.xs4all.nl>, n...@thanks.invalid
says...

Je schreef:

> -----8<----------8<-----
> ip tunnel add xs6all mode sit remote [XS4ALL's IPv4-tunnel endpoint]
> local 192.168.178.1 ttl 255
> ip link set xs6all up
> ip addr add [Users's tunnel IPv6-adres]/64 dev xs6all
> ip route add ::/0 dev xs6all
> -----8<----------8<-----
>

En ook:

> 7c. Stel 'IPv6 address:' in op een adres uit je /48 prefix, voorbeeld je
> hebt '2001:888:yyyy::/48' als prefix, kies dan '2001:888:yyyy::1/64' als
> IPv6 address
> 7d. Stel 'IPv6 prefix:' in op het subnet van bovenstaand, voorbeeld:
> '2001:888:yyyy::/64'

Nou heb ik een ipv6 tunnel werkend en wel (via klein virtueel linux
machientje), maar ik heb me wel eens afgevraagd: Wat heb ik nou? Een /48
of een /64 ?

In jou voorbeeld zie ik ook beiden. Is de tunnel een /64? Is mijn
toegewezen reeks een /48 of een /64? En als het een /48 is, waarom dan
een /64 adverteren op je interne netwerk?

[Rob]

Mike Delta <xs4al...@scrapheap.xs4all.nl.invalid> wrote:
> In jou voorbeeld zie ik ook beiden. Is de tunnel een /64? Is mijn
> toegewezen reeks een /48 of een /64? En als het een /48 is, waarom dan
> een /64 adverteren op je interne netwerk?

Een netwerk in IPv6 is een /64. Dus dat is wat je meestal ziet.
Bij XS4ALL krijg je standaard 65536 netwerken van /64 ofwel samen
een /48. Maar daar doe je meestal niks mee natuurlijk.

[Theo]

"Frits Letteboer" <n...@thanks.invalid> schreef in bericht

news:4a6230f8$0$185$e4fe...@news.xs4all.nl...
> IPv6 tunnels op de Fritz!Box met een aangepaste (Freetz) firmware[0]
>
>
>
>

> [0] Deze firmware is gebaseerd op de laatste versie met de
> 'XS4ALL-reboot-bij-belasting'-fix, meer info over de firmware mod:
> http://www.freetz.org/
>
> [1]
> http://members.home.nl/fletteboer/7170_04.68freetz-devel-3483.en_20090716-143703.AnnexA.image
>
> [2]
> http://members.home.nl/fletteboer/7170_04.68freetz-devel-3483.en_20090716-143611.AnnexB.image

Hallo Fritz,

Het lijkt bij mij niet te gaan werken. Ik zie de volgende foutmeldingen in
de log

Set IPv6 address: 2001:888:yyyy::1/64ip: RTNETLINK answers: Invalid argument
done.
Enable IPv6 forwarding.../etc/init.d/rc.radvd: line 124: can't create
/proc/sys/net/ipv6/conf/all/forwarding: nonexistent directory
done.
Starting radvd...[Jul 20 00:09:36] radvd: can't create socket(AF_INET6):
Address family not supported by protocol
failed.
ip: an IP address is expected rather than "2001:888:yy:yyy::1"
/etc/init.d/rc.S: local: line 2: 192.168.178.1: bad variable name
ip: SIOCGIFFLAGS: No such device
ip: cannot find device "xs6all"
ip: cannot find device "xs6all"

In rc.custom staat:

ip tunnel add xs6all mode sit remote 2001:888:yy:yyy::1

local 192.168.178.1 ttl 255
ip link set xs6all up

ip addr add 2001:888:yy:yyy::2/64 dev xs6all

ip route add ::/0 dev xs6all

radvd settings zijn:

IPv6 address: 2001:888:yyyy::1/64
IPv6 address: 2001:888:yyyy::/64

Ik heb in mijn config files stukken van het adres vervangen voor yyyy.

Enig idee wat ik fout doe.

Theo

[Operator]

In article <4a6233b1$0$199$e4fe...@news.xs4all.nl>,

NB: Als iemand denkt "Ik wil een (XS4ALL/SixXS) IPv6 tunnel en ik
heb een FritzBox 7170" (subject), en vervolgens: "Heb ik deze
toevoeging nodig?", het antwoord is _Nee_.
Je kan gewoon forwarden naar je interne IPv6 router.

[Danny Terweij]

"Operator" <ro...@dragon.doktercom.nl> schreef in bericht
news:4a639efb$0$185$e4fe...@news.xs4all.nl...

Maar dan heb je een tunnel nodig en die kan je nu ook dus direct op de fritz
aanmaken of op je windows doos of op een linux doos in je netwerk.

Dus je regel van gewoon forwarden naar je interne ipv6 router is een beetje
erg wazig en je brengt weer 3000 man in de verwarring van oh ken het ook
anders? Waar zit mijn interne IPv6 router? Waar kan ik hem gewoon forwarden?

"Hij was een beetje dom" - Maxima.

[Operator]

In article <4a63affd$0$201$e4fe...@news.xs4all.nl>,

"Danny Terweij" <spam...@p-s.nl> writes:
>
> "Operator" <ro...@dragon.doktercom.nl> schreef in bericht
> news:4a639efb$0$185$e4fe...@news.xs4all.nl...
>> In article <4a6233b1$0$199$e4fe...@news.xs4all.nl>,
>> Frits Letteboer <n...@thanks.invalid> writes:
>>> Frits Letteboer schreef:
>>>> IPv6 tunnels op de Fritz!Box met een aangepaste (Freetz) firmware[0]
>>>
>>> Voordat ik het vergeet: Freetz is een _toevoeging_ op de standaard
>>> firmware, _geen_ vervanging zoals DD-WRT en andere cornuiten. De huidge
>>> instellingen en functionaliteit blijven dus behouden als je deze
>>> firmware flasht.
>
>> NB: Als iemand denkt "Ik wil een (XS4ALL/SixXS) IPv6 tunnel en ik
>> heb een FritzBox 7170" (subject), en vervolgens: "Heb ik deze
>> toevoeging nodig?", het antwoord is _Nee_.
>
>> Je kan gewoon forwarden naar je interne IPv6 router.
>
> Maar dan heb je een tunnel nodig

Zolang er geen native IPv6 geleverd wordt, ja, hehe, niks "Maar",
dan heb je een tunnel nodig, nogal widus. Ook als je freetz hebt.

> en die kan je nu ook dus direct op de fritz
> aanmaken

Met die freetz toevoeging.

> of op je windows doos of op een linux doos in je netwerk.

of je mac of *bsd doos, of enz...

En dan heb je die toevoeging niet nodig.

> Dus je regel van gewoon forwarden naar je interne ipv6 router is een beetje
> erg wazig

Is dat zo? Men weet niet wat een router is?

> en je brengt weer 3000 man in de verwarring van oh ken het ook
> anders?

Anders?
Niet anders. Gewoon volgens het TCP/IP boekje.

> Waar zit mijn interne IPv6 router?

Dat is die linux, mac, *bsd, solaris, whatever doos.

> Waar kan ik hem gewoon forwarden?

Nou, naar die doos, waar de tunnel uitmoet komen en die kan routeren.
En als je maar een doos hebt hoeft ie niet eens te routeren.

> "Hij was een beetje dom" - Maxima.

En, heb je het nu door?

[Frits Letteboer]

Theo schreef:

> "Frits Letteboer" <n...@thanks.invalid> schreef in bericht
> news:4a6230f8$0$185$e4fe...@news.xs4all.nl...
>> IPv6 tunnels op de Fritz!Box met een aangepaste (Freetz) firmware[0]
>>
>>
>>
>>
>> [0] Deze firmware is gebaseerd op de laatste versie met de
>> 'XS4ALL-reboot-bij-belasting'-fix, meer info over de firmware mod:
>> http://www.freetz.org/
>>
>> [1]
>> http://members.home.nl/fletteboer/7170_04.68freetz-devel-3483.en_20090716-143703.AnnexA.image
>>
>> [2]
>> http://members.home.nl/fletteboer/7170_04.68freetz-devel-3483.en_20090716-143611.AnnexB.image
>
> Hallo Fritz,
>
> Het lijkt bij mij niet te gaan werken. Ik zie de volgende foutmeldingen in
> de log
>
> Set IPv6 address: 2001:888:yyyy::1/64ip: RTNETLINK answers: Invalid argument
> done.
> Enable IPv6 forwarding.../etc/init.d/rc.radvd: line 124: can't create
> /proc/sys/net/ipv6/conf/all/forwarding: nonexistent directory
> done.

Dit wijst erop dat de module ipv6 niet geladen is, zie stap 5, 5a en 5b

> Starting radvd...[Jul 20 00:09:36] radvd: can't create socket(AF_INET6):
> Address family not supported by protocol
> failed.
> ip: an IP address is expected rather than "2001:888:yy:yyy::1"
> /etc/init.d/rc.S: local: line 2: 192.168.178.1: bad variable name
> ip: SIOCGIFFLAGS: No such device
> ip: cannot find device "xs6all"
> ip: cannot find device "xs6all"

Dit mislukt omdat je hieronder een IPv6 adres gebruikt in plaats van het
IPv4 adres voor het tunnel endpoint.

>
> In rc.custom staat:
>
> ip tunnel add xs6all mode sit remote 2001:888:yy:yyy::1
> local 192.168.178.1 ttl 255

Dit moet dus zijn remote 'XS4ALL's IPv4-tunnel endpoint'. Let op die
IPv4. Dikke kans dat die 194.109.5.241 moet zijn:

ip tunnel add xs6all mode sit remote 194.109.5.241 local 192.168.178.1
ttl 25

> ip link set xs6all up
> ip addr add 2001:888:yy:yyy::2/64 dev xs6all
> ip route add ::/0 dev xs6all

Dit ziet er goed uit.

>
> radvd settings zijn:
>
> IPv6 address: 2001:888:yyyy::1/64
> IPv6 address: 2001:888:yyyy::/64

Ook dit lijkt in orde

>
> Ik heb in mijn config files stukken van het adres vervangen voor yyyy.
>
> Enig idee wat ik fout doe.

Ik zal een werkend voorbeeld geven van een echte tunnel:

XS4ALL IPv6-tunnelbroker
XS4ALL's IPv4-tunnel endpoint 194.109.5.241 <- Deze komt achter
'remote' in de eerste regel van rc.custom

IPv6-space
XS4ALL's tunnel IPv6-adres 2001:888:10:65e::1/64
colorad's tunnel IPv6-adres 2001:888:10:65e::2/64 <- Dit wordt het IPv6
adres in de 3e regel van rc.custom
colorad's IPv6-prefix 2001:888:165e::/48 <- Deze gaat naar radvd

rc.custom:

ip tunnel add xs6all mode sit remote 194.109.5.241 local 192.168.178.1

ttl 255
ip link set xs6all up

ip addr add 2001:888:10:65e::2/64 dev xs6all

ip route add ::/0 dev xs6all

radvd:

IPv6 Interface: lan
IPv6 Address: 2001:888:165e::1/64
IPv6 Prefix: 2001:888:165e::/64

Happy hacking!

[Frits Letteboer]

Operator schreef:

Indien je die hebt. :)

Daarom staat in het subject ook OP je Fritz!Box en niet MET je Fritz!Box.

Maar zie dit als een proof-of-concept dat ook de 'oude' 7170 perfect
geschikt gemaakt kan worden voor IPv6-ondersteuning.

[Maarten te Paske]

On 19 Jul 2009 22:32:27 GMT, Operator <ro...@dragon.doktercom.nl> wrote:

> NB: Als iemand denkt "Ik wil een (XS4ALL/SixXS) IPv6 tunnel en ik
> heb een FritzBox 7170" (subject), en vervolgens: "Heb ik deze
> toevoeging nodig?", het antwoord is _Nee_.
> Je kan gewoon forwarden naar je interne IPv6 router.

Waarom zou je een andere router achter je FritzBox plaatsen?

Maarten

[Susan Walker]

Maarten te Paske wrote:
> Waarom zou je een andere router achter je FritzBox plaatsen?

Een draadloze, bijvoorbeeld, met hogere snelheid.

[Maarten te Paske]

Het voordeel van de FritzBox laten routen is dat dat apparaat het
publieke IP-adres heeft. En voor draadloos internet volstaat het om een
accesspoint/bridge in te zetten.

Maarten

[Theo]

"Frits Letteboer" <n...@thanks.invalid> schreef in bericht

news:4a64294f$0$190$e4fe...@news.xs4all.nl...

Hallo Frits,

Bedankt voor de hulp. Ik had gisteravond niet goed gelezen en inderdaad
verkeerde dingen ingevuld en vergeten de IPV6 module toe te voegen. Ze
noemen dat ook wel RTFM :).. Nu werk alles perfect. Ik mijn IPV6 atunnel
eerder via een Ubuntu doosje aan de gang gekregen maar dat het nu in mijn
modem zit ingebakken vindt ik helemaal een mooie oplossing.

Nu nog even via een cron job regelmatig naar een IPV6 adres even pingen
zodat de tunnel open blijft.

Theo

[Boonie...]

"Frits Letteboer" <n...@thanks.invalid> schreef in bericht

news:4a6233b1$0$199$e4fe...@news.xs4all.nl...

Hier is een 7140 in gebuik. Met daarachter een linksys wrt54g. Die laatste
heeft alleen de taak om IPv6 router te zijn. Het draadloze deel gebruik ik
niet eens.

Ik zie nu dus dat de fritz zelf IPv6 moet kunnen. Ik hoop dat AVM dan toch
ook voor de oudere doosjes met een update gaat komen. In de tussentijd ga ik
wel eens kijken of dat Freetz ook om mijn 7140 wil werken. Mooi projectje
voor een weekend.

Is hier ook iemand met ervaring met Freetz op de 7140? Werkt IPv6 naar wens?

Thanks,

Boonie

[Wietse Muizelaar]

On 2009-07-18, Frits Letteboer <n...@thanks.invalid> wrote:
> IPv6 tunnels op de Fritz!Box met een aangepaste (Freetz) firmware[0]
>

> Stappenplan:
>
> Disclaimer: Uiteraard volledig op eigen risico en geen support van
> XS4ALL en AVM ;)
>
> 1. Installeer de versie (Annex A[1] of B[2]) van de Freetz firmware
>
> (Vervang 192.168.178.1 als je het interne IP van je FritzBox gewijzigd hebt)

Done.

> 2. Na het installeren telnet je naar 192.168.178.1 en log je in met
> 'root' / 'freetz'
> 2a. Je zal meteen het wachtwoord moeten wijzigen naar iets anders

Done.

> 3. Doe 'echo 0 > /tmp/flash/mod/security' (Dit zorgt ervoor dat je
> dingen kunt wijzigen in de webinterface)
> 3a. Je kunt nu uitloggen

Done.

> 4. Ga naar http://192.168.178.1:81 en log in met gebruiker 'admin' en
> het wachtwoord dat je zojuist met telnet hebt ingesteld

Hier was het wachtwoord ook weer 'freetz', maar ook dat was snel
gewijzigd :)

> 5. Klik op 'Settings' en dan 'Freetz: modules'
> 5a. In het vak voeg je 'ipv6' toe, als deze er nog niet staat
> 5b. Klik op 'Apply' en 'Back'
>
> 6. Klik op 'Freetz: rc.custom'
> 6a. In het vak voeg je in:
>
> -----8<----------8<-----

> ip tunnel add xs6all mode sit remote [XS4ALL's IPv4-tunnel endpoint]

> local 192.168.178.1 ttl 255
> ip link set xs6all up

> ip addr add [Users's tunnel IPv6-adres]/64 dev xs6all

> ip route add ::/0 dev xs6all

> -----8<----------8<-----

local moest op dezelfde regel als 'ip tunnel add', maar dat ding prima.

> 6b. Klik op 'Apply' en 'Back'
>
> 7. Klik op 'Packages' 'radvd'
> 7a. Stel 'Start type' in op 'Automatic' om radvd bij het booten van het
> modem te starten
> 7b. Laat 'IPv6 interface:' op 'lan' staan

> 7c. Stel 'IPv6 address:' in op een adres uit je /48 prefix, voorbeeld je
> hebt '2001:888:yyyy::/48' als prefix, kies dan '2001:888:yyyy::1/64' als
> IPv6 address
> 7d. Stel 'IPv6 prefix:' in op het subnet van bovenstaand, voorbeeld:
> '2001:888:yyyy::/64'

> 7e. Klik op 'Apply' en 'Back'
>
> 8. Reboot het modem via de normale webinterface of powercycle het modem
> en have fun :)

modprobe ipv6, tunnel-commando met de hand inkloppen, en radvd starten,
en toen werkte het ook. Reboot was dus niet nodig :-)

Veel dank!

--
Cheers,
Wietse

[Wietse Muizelaar]

Oef. Wat blijkt nu: op je tunnel-endpoint staan nu opeens poort 23 en 81
wagenwijd open naar de hele wereld te luisteren. Dat is definitely niet
wenselijk. Ik heb het voor nu gefixed door eerst de httpd te killen
(toen was poort 81 niet meer open) en daarna poort 23 (en daar ging m'n
telnet-sessie), maar nu staat het wel dicht :) Als ik er dan weer bij
moet, moet ik het ding rebooten.

--
Cheers,
W.

[Frits Letteboer]

Boonie... schreef:

Ik heb hier images gebakken voor de internationale versie[1]. Ik kan ze
niet testen maar het moet op exact dezelfde manier werken.

[1]http://members.home.nl/fletteboer/

[Frits Letteboer]

Wietse Muizelaar schreef:

>
> Oef. Wat blijkt nu: op je tunnel-endpoint staan nu opeens poort 23 en 81
> wagenwijd open naar de hele wereld te luisteren. Dat is definitely niet
> wenselijk. Ik heb het voor nu gefixed door eerst de httpd te killen
> (toen was poort 81 niet meer open) en daarna poort 23 (en daar ging m'n
> telnet-sessie), maar nu staat het wel dicht :) Als ik er dan weer bij
> moet, moet ik het ding rebooten.

Gadver, dat is nu weer net niet de bedoeling nee...

Even kijken of er wat op firmware niveau kan en anders iptables erbij
doen...

[Operator]

In article <slrnh69bup....@one.analogue.nl>,

Maarten te Paske <maa...@tepaske.net.invalid> writes:
> On Mon, 20 Jul 2009 19:17:01 +0200, Susan Walker
> <myful...@xs4all.nl.invalid> wrote:
>
>> Maarten te Paske wrote:
>>
>> > Waarom zou je een andere router achter je FritzBox plaatsen?
>>
>> Een draadloze, bijvoorbeeld, met hogere snelheid.
>
> Het voordeel van de FritzBox laten routen is dat dat apparaat het
> publieke IP-adres heeft.

Ik laat mijn publieke adressen liever op een wat zwaardere bak
uitkomen, met meer toeters en bellen.

[Wietse Muizelaar]

Ik zat al te denken of wellicht het interface waar het tunnel-endpoint
op binnenkomt wellicht een andere kan/moet zijn, wil daar zelf ook nog
even mee testen.

iptables, is dat ook incluis ip6tables al?

--
Groet,
Wietse

[Frits Letteboer]

Wietse Muizelaar schreef:

Tunnelendpoint komt binnen op interfaces xs6all, die wordt gecreeerd bij
het opzetten van de tunnel.

Dikke kans dat het handiger is telnet en freetz webif alleen te binden
op het interne IPv4 lan-adres.

>
> iptables, is dat ook incluis ip6tables al?

Jawohl.

[Wietse Muizelaar]

On 2009-07-21, Frits Letteboer <n...@thanks.invalid> wrote:
> Wietse Muizelaar schreef:
>> On 2009-07-21, Frits Letteboer <n...@thanks.invalid> wrote:
>>> Wietse Muizelaar schreef:
>>>
>>>> Oef. Wat blijkt nu: op je tunnel-endpoint staan nu opeens poort 23 en 81
>>>> wagenwijd open naar de hele wereld te luisteren. Dat is definitely niet
>>>> wenselijk. Ik heb het voor nu gefixed door eerst de httpd te killen
>>>> (toen was poort 81 niet meer open) en daarna poort 23 (en daar ging m'n
>>>> telnet-sessie), maar nu staat het wel dicht :) Als ik er dan weer bij
>>>> moet, moet ik het ding rebooten.
>>> Gadver, dat is nu weer net niet de bedoeling nee...
>>>
>>> Even kijken of er wat op firmware niveau kan en anders iptables erbij
>>> doen...
>>
>> Ik zat al te denken of wellicht het interface waar het tunnel-endpoint
>> op binnenkomt wellicht een andere kan/moet zijn, wil daar zelf ook nog
>> even mee testen.
>
> Tunnelendpoint komt binnen op interfaces xs6all, die wordt gecreeerd bij
> het opzetten van de tunnel.

Ohja, check.

> Dikke kans dat het handiger is telnet en freetz webif alleen te binden
> op het interne IPv4 lan-adres.

Of het IPv6 lan-adres, dat is natuurlijk net zo prima :-)

>> iptables, is dat ook incluis ip6tables al?
>
> Jawohl.

Super.

--
Groet,
Wietse

[Boonie...]

"Frits Letteboer" <n...@thanks.invalid> schreef in bericht

news:4a656f04$0$183$e4fe...@news.xs4all.nl...

>
> Ik heb hier images gebakken voor de internationale versie[1]. Ik kan ze
> niet testen maar het moet op exact dezelfde manier werken.
>
> [1]http://members.home.nl/fletteboer/

Bedankt Frits. Ik zal me er van het weekend verder in verdiepen. Ik heb vast
even de versie bij je opgehaald voor mijn doosje. Het enige wat ik op dit
moment graag wil is IPv6 in mijn 7140. Als er nog meer leuke dingen in
zitten is dat mooi meegenomen.

Boonie

[Rob van der Putten]

Moguh

Operator wrote:

> Ik laat mijn publieke adressen liever op een wat zwaardere bak
> uitkomen, met meer toeters en bellen.

Vooral toeters en bellen.

Vr.Gr,
Rob
--
The war on terror is like an autoimmune disease;
It destroys what it should protect

[Rob van der Putten]

Moguh

Theo wrote:

> Bedankt voor de hulp. Ik had gisteravond niet goed gelezen en inderdaad
> verkeerde dingen ingevuld en vergeten de IPV6 module toe te voegen. Ze
> noemen dat ook wel RTFM :).. Nu werk alles perfect. Ik mijn IPV6 atunnel
> eerder via een Ubuntu doosje aan de gang gekregen maar dat het nu in mijn
> modem zit ingebakken vindt ik helemaal een mooie oplossing.
>
> Nu nog even via een cron job regelmatig naar een IPV6 adres even pingen
> zodat de tunnel open blijft.

Waarom zou ie dicht gaan?

[Theo]

"Rob van der Putten" <r...@sput.nl> schreef in bericht
news:4a687a75$0$182$e4fe...@news.xs4all.nl...

Ik denk omdat de IPV6 verbinding via een IPV4-IPV6 tunnel gaat. Het IPV4
gedeelte gaat door de Fritz via de NAT router van de Fritz heen. Als er een
tijd geen IPV6 verkeer is zal uiteindelijk de NAT regel automatisch
verdwijnen.

Theo

[Operator]

In article <4a68bb7d$0$197$e4fe...@news.xs4all.nl>,
"Theo" <th...@theonet.invalid> writes:

> "Rob van der Putten" <r...@sput.nl> schreef in bericht
> news:4a687a75$0$182$e4fe...@news.xs4all.nl...

>> Theo wrote:

>>> Nu nog even via een cron job regelmatig naar een IPV6 adres even pingen
>>> zodat de tunnel open blijft.
>>
>> Waarom zou ie dicht gaan?

> Ik denk omdat de IPV6 verbinding via een IPV4-IPV6 tunnel gaat. Het IPV4

> gedeelte gaat door de Fritz via de NAT router van de Fritz heen. Als er een
> tijd geen IPV6 verkeer is zal uiteindelijk de NAT regel automatisch
> verdwijnen.

Juist met IPv6 heb ik daar geen last van.
Een ssh verbinding via IPv6 kan ik gewoon op de shell-prompt laten staan
net zoals in het lan.
Bij een ssh verbinding via IPv4 moet ik niet vergeten een top te starten
als ik even niets doe, anders valt de verbinding weg...

Ik gebruik geen cron job om te pingen.
sixxs komt op een aantal plaatsen wel langst met een ping, om de 5 minuten.
Een ssh over IPv4 is al veel eerder stuk.

[Boonie...]

"Frits Letteboer" <n...@thanks.invalid> schreef in bericht

news:4a656f04$0$183$e4fe...@news.xs4all.nl...

>
> Ik heb hier images gebakken voor de internationale versie[1]. Ik kan ze
> niet testen maar het moet op exact dezelfde manier werken.
>
> [1]http://members.home.nl/fletteboer/

Frits,

Mijn dank is groot. Ik heb de 7140 werkend met jouw Freetz samenstelling.
Dit in combinatie met een tunnel van Hurricane Electric. Nu kan mijn wrt54g
weer stof gaan vangen. Een andere functie heeft hij voorlopig niet ;)

Ik heb nog wat vragen:
- Waarom eindigt de tunnel op het private IP? Kan die niet op het publieke
IP van de Fritz eindigen?
- Als de tunnel niet op het publieke IP kan eindigen, moeten we dan niet
iets in de cron zetten om te zorgen dat de IPv6 adressen op de PC's
bereikbaar blijven van buiten af?
- Kan ik zelf ook nog ergens aanpassingen doen aan de firewall? Ik neem aan
dat dit ip6tables is.

Wie het weet mag het roepen.

Boonie

[Frits Letteboer]

Boonie... wrote:
> "Frits Letteboer" <n...@thanks.invalid> schreef in bericht
> news:4a656f04$0$183$e4fe...@news.xs4all.nl...
>> Ik heb hier images gebakken voor de internationale versie[1]. Ik kan ze
>> niet testen maar het moet op exact dezelfde manier werken.
>>
>> [1]http://members.home.nl/fletteboer/
>
> Frits,
>
> Mijn dank is groot. Ik heb de 7140 werkend met jouw Freetz samenstelling.
> Dit in combinatie met een tunnel van Hurricane Electric. Nu kan mijn wrt54g
> weer stof gaan vangen. Een andere functie heeft hij voorlopig niet ;)

Leuk om te horen :)

>
> Ik heb nog wat vragen:
> - Waarom eindigt de tunnel op het private IP? Kan die niet op het publieke
> IP van de Fritz eindigen?

Ik heb op dit moment geen Fritz!Box bij de hand die op een ADSL lijn is
aangesloten. Er ligt me iets bij dat de ATM-interface niet echt een
standaard interface was.

Kun je de output van ifconfig betreffende de ATM-interface geven>

> - Als de tunnel niet op het publieke IP kan eindigen, moeten we dan niet
> iets in de cron zetten om te zorgen dat de IPv6 adressen op de PC's
> bereikbaar blijven van buiten af?

Dat is alleen zo als de NAPT-engine de zaak dichtflikkert na een
bepaalde tijd van inactiviteit. Het kan natuurlijk nooit kwaad een
'keep-alive' ping te doen naar de endpoint.

> - Kan ik zelf ook nog ergens aanpassingen doen aan de firewall? Ik neem aan
> dat dit ip6tables is.

Nog niet, ik moet nog images bakken met deze ondersteuning.

[Wietse Muizelaar]

On 2009-07-27, Frits Letteboer <inv...@invalid.invalid> wrote:
> Boonie... wrote:
>> "Frits Letteboer" <n...@thanks.invalid> schreef in bericht
>> news:4a656f04$0$183$e4fe...@news.xs4all.nl...
>>> Ik heb hier images gebakken voor de internationale versie[1]. Ik kan ze
>>> niet testen maar het moet op exact dezelfde manier werken.
>>>
>>> [1]http://members.home.nl/fletteboer/
>>
>> Frits,
>>
>> Mijn dank is groot. Ik heb de 7140 werkend met jouw Freetz samenstelling.
>> Dit in combinatie met een tunnel van Hurricane Electric. Nu kan mijn wrt54g
>> weer stof gaan vangen. Een andere functie heeft hij voorlopig niet ;)
>
> Leuk om te horen :)
>
>>
>> Ik heb nog wat vragen:
>> - Waarom eindigt de tunnel op het private IP? Kan die niet op het publieke
>> IP van de Fritz eindigen?
>
> Ik heb op dit moment geen Fritz!Box bij de hand die op een ADSL lijn is
> aangesloten. Er ligt me iets bij dat de ATM-interface niet echt een
> standaard interface was.
>
> Kun je de output van ifconfig betreffende de ATM-interface geven>

Ik weet niet welke dat is, maar dit is wat ik op ifconfig -a zie:

adsl Link encap:UNSPEC HWaddr
00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:2000 Metric:1
RX packets:3092715 errors:0 dropped:0 overruns:0 frame:0
TX packets:2332627 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:32
RX bytes:3394090565 (3.1 GiB) TX bytes:302570072 (288.5 MiB)

cpmac0 Link encap:Ethernet HWaddr 00:24:FE:36:02:77
inet6 addr: fe80::224:feff:fe36:277/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:7570 errors:17 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:589331 (575.5 KiB)

dsl Link encap:Point-to-Point Protocol
inet addr:169.254.2.1 P-t-P:169.254.2.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST MTU:1500
Metric:1
RX packets:3019956 errors:0 dropped:0 overruns:0 frame:0
TX packets:2263124 errors:0 dropped:302 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:3292299290 (3.0 GiB) TX bytes:227226816 (216.7 MiB)

eth0 Link encap:Ethernet HWaddr 00:24:FE:36:02:77
inet6 addr: fe80::224:feff:fe36:277/64 Scope:Link
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:7579 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:128
RX bytes:0 (0.0 B) TX bytes:588861 (575.0 KiB)

lan Link encap:Ethernet HWaddr 00:24:FE:36:02:77
inet addr:192.168.178.1 Bcast:192.168.178.255
Mask:255.255.255.0
inet6 addr: 2001:888:1270::1/64 Scope:Global
inet6 addr: fe80::200:ff:fe00:0/64 Scope:Link
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:2143621 errors:0 dropped:0 overruns:0 frame:0
TX packets:2905962 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:199303319 (190.0 MiB) TX bytes:3308120566 (3.0 GiB)

lan:0 Link encap:Ethernet HWaddr 00:24:FE:36:02:77
inet addr:169.254.1.1 Bcast:169.254.255.255 Mask:255.255.0.0
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:12900 errors:0 dropped:0 overruns:0 frame:0
TX packets:12900 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:723652 (706.6 KiB) TX bytes:723652 (706.6 KiB)

sit0 Link encap:IPv6-in-IPv4
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

tiwlan0 Link encap:Ethernet HWaddr 00:24:FE:09:18:DA
inet6 addr: fe80::224:feff:fe09:18da/64 Scope:Link
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:890994 errors:0 dropped:0 overruns:0 frame:0
TX packets:1194459 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:87937629 (83.8 MiB) TX bytes:1364668996 (1.2 GiB)

tiwlan1 Link encap:Ethernet HWaddr 00:00:00:00:00:00
BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

tiwlan2 Link encap:Ethernet HWaddr 00:00:00:00:00:00
BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

tiwlan3 Link encap:Ethernet HWaddr 00:00:00:00:00:00
BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

wdsdw0 Link encap:Ethernet HWaddr 00:24:FE:09:18:DA
inet6 addr: fe80::224:feff:fe09:18da/64 Scope:Link
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:2336 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:182711 (178.4 KiB)

wdsdw1 Link encap:Ethernet HWaddr 00:24:FE:09:18:DA
inet6 addr: fe80::224:feff:fe09:18da/64 Scope:Link
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:2335 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:182669 (178.3 KiB)

wdsdw2 Link encap:Ethernet HWaddr 00:24:FE:09:18:DA
inet6 addr: fe80::224:feff:fe09:18da/64 Scope:Link
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:2334 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:182627 (178.3 KiB)

wdsdw3 Link encap:Ethernet HWaddr 00:24:FE:09:18:DA
inet6 addr: fe80::224:feff:fe09:18da/64 Scope:Link
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:2334 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:182317 (178.0 KiB)

wdsup0 Link encap:Ethernet HWaddr 00:24:FE:09:18:DA
inet6 addr: fe80::224:feff:fe09:18da/64 Scope:Link
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:2336 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:182711 (178.4 KiB)

xs6all Link encap:IPv6-in-IPv4
inet6 addr: 2001:888:10:270::2/64 Scope:Global
inet6 addr: fe80::c0a8:b201/128 Scope:Link
UP POINTOPOINT RUNNING NOARP MTU:1480 Metric:1
RX packets:35707 errors:0 dropped:0 overruns:0 frame:0
TX packets:35064 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:14993814 (14.2 MiB) TX bytes:4030169 (3.8 MiB)

Heb je daar wat aan?

>> - Als de tunnel niet op het publieke IP kan eindigen, moeten we dan niet
>> iets in de cron zetten om te zorgen dat de IPv6 adressen op de PC's
>> bereikbaar blijven van buiten af?
>
> Dat is alleen zo als de NAPT-engine de zaak dichtflikkert na een
> bepaalde tijd van inactiviteit. Het kan natuurlijk nooit kwaad een
> 'keep-alive' ping te doen naar de endpoint.
>
>> - Kan ik zelf ook nog ergens aanpassingen doen aan de firewall? Ik neem aan
>> dat dit ip6tables is.
>
> Nog niet, ik moet nog images bakken met deze ondersteuning.

Dat lijkt me ook wel boeiend/handig :-)

--
Groet,
Wietse

[Boonie...]

"Frits Letteboer" <inv...@invalid.invalid> schreef in bericht
news:4a6e06fc$0$187$c5fe...@news6.xs4all.nl...

> Kun je de output van ifconfig betreffende de ATM-interface geven>

Wietse was me al voor. Ik neem aan dat dat voldoende is.

> Nog niet, ik moet nog images bakken met deze ondersteuning.

Hoe wordt op dit moment dan voorkomen dat ik van buitenaf op de webgui kom?
Ik heb het geprobeerd en zie in wireshark dat ik een RST terug krijg. Dat is
prima. Maar als ik ip6tables ter beschikking had dan zou ik de pakketten
liever droppen dan weigeren.

Boonie

[Wietse Muizelaar]

Je moet de webgui uitzetten (via 'services'), net als de telnetd. Als je
via de normale fritz-gui inlogt, kun je onderin op 'Freetz' klikken, dat
start de webgui-service weer.

--
Groet,
Wietse

[Frits Letteboer]

Wietse Muizelaar wrote:
> On 2009-07-27, Frits Letteboer <inv...@invalid.invalid> wrote:
>> Boonie... wrote:
>>> "Frits Letteboer" <n...@thanks.invalid> schreef in bericht
>>> news:4a656f04$0$183$e4fe...@news.xs4all.nl...
>>>> Ik heb hier images gebakken voor de internationale versie[1]. Ik kan ze
>>>> niet testen maar het moet op exact dezelfde manier werken.
>>>>
>>>> [1]http://members.home.nl/fletteboer/
>>> Frits,
>>>
>>> Mijn dank is groot. Ik heb de 7140 werkend met jouw Freetz samenstelling.
>>> Dit in combinatie met een tunnel van Hurricane Electric. Nu kan mijn wrt54g
>>> weer stof gaan vangen. Een andere functie heeft hij voorlopig niet ;)
>> Leuk om te horen :)
>>
>>> Ik heb nog wat vragen:
>>> - Waarom eindigt de tunnel op het private IP? Kan die niet op het publieke
>>> IP van de Fritz eindigen?
>> Ik heb op dit moment geen Fritz!Box bij de hand die op een ADSL lijn is
>> aangesloten. Er ligt me iets bij dat de ATM-interface niet echt een
>> standaard interface was.
>>
>> Kun je de output van ifconfig betreffende de ATM-interface geven>
>
> Ik weet niet welke dat is, maar dit is wat ik op ifconfig -a zie:

[...Snip...]

> Heb je daar wat aan?

Jazeker; Dat bevestigt mijn vermoeden van hierboven dat de ATM-interface
niet als een 'standaard' interface zichtbaar is.

>>> - Kan ik zelf ook nog ergens aanpassingen doen aan de firewall? Ik neem aan
>>> dat dit ip6tables is.
>> Nog niet, ik moet nog images bakken met deze ondersteuning.
>
> Dat lijkt me ook wel boeiend/handig :-)

Verse gebakken images:

http://members.home.nl/fletteboer/

Het volgende toevoegen aan je Settings -> Freetz: modules en gaan met
die banaan:

ip6table_filter

[Frits Letteboer]

Frits Letteboer wrote:

> Verse gebakken images:

Nieuw:

- aiccu (SixXS)
- Dropbear SSH Client
- AVM firewall voor IPv4
- Wake on LAN
- Virtual IP
- cpmaccfg voor VLAN op de verschillende switch poorten

[Frits Letteboer]

Nieuw:

- aiccu (SixXS)
- Dropbear SSH Server

[Boonie...]

"Frits Letteboer" <inv...@invalid.invalid> schreef in bericht

news:4a6e0f90$0$187$c5fe...@news6.xs4all.nl...

>
> Verse gebakken images:
>
> http://members.home.nl/fletteboer/
>
> Het volgende toevoegen aan je Settings -> Freetz: modules en gaan met die
> banaan:
>
> ip6table_filter

Frits,

Dat is dan alleen de firewall voor ipv6. Hoe zit het met ipv4? Het gaat mij
alleen om het beveiligen van de Fritz zelf. Niet op de PC's op het netwerk.
Die hebben hun eigen firewall.

Ik heb de image gepakt. Ik zet het er morgen op na mijn werk.

Bedankt,

Boonie

[Frits Letteboer]

Boonie... wrote:
> "Frits Letteboer" <inv...@invalid.invalid> schreef in bericht
> news:4a6e0f90$0$187$c5fe...@news6.xs4all.nl...
>> Verse gebakken images:
>>
>> http://members.home.nl/fletteboer/
>>
>> Het volgende toevoegen aan je Settings -> Freetz: modules en gaan met die
>> banaan:
>>
>> ip6table_filter
>
> Frits,
>
> Dat is dan alleen de firewall voor ipv6. Hoe zit het met ipv4? Het gaat mij
> alleen om het beveiligen van de Fritz zelf. Niet op de PC's op het netwerk.
> Die hebben hun eigen firewall.

Daarvoor kun je de AVM firewall gebruiken (zie Freetz interface) en
anders ook iptable_filter aan modules toevoegen.

[Boonie...]

"Frits Letteboer" <inv...@invalid.invalid> schreef in bericht

news:4a6ea38c$0$195$c5fe...@news6.xs4all.nl...

>
> Daarvoor kun je de AVM firewall gebruiken (zie Freetz interface) en anders
> ook iptable_filter aan modules toevoegen.

Frits,

De versie die je gisteren bakte staat er op. Wat een lijst met extra opties
zeg. Jammer dat AVM zelf niet dit soort dingen aanbiedt.

Ik zie dat de avm firewall toegankelijk is geworden via de Freetz interface.
Mij lijkt dat ik nu ook een rule kan aanmaken waarbij ik zeg dat alle
verkeer vanaf de tunnel endpoint (ipv4) van hurricane electric door moet
worden gelaten naar het locale IP van de Fritz zelf. Dan zou ook geen ping
in de cron hoeven. Ik ga dat proberen.

Wederom vriendelijk bedankt.

Boonie

[geertjandegroot]

Zou iemand die z'n fritz-box omgebouwd heeft, eens kunnen proberen
of er nog steeds IPv6 PMTU blackhole problemen zijn met ftp.nluug.nl?

1. $ ftp -6 ftp.nluug.nl
2. Inloggen werkt
3. 'dir' werkt
4. 'cd pub'
5. 'dir' hangt

De truuk is dat in stap 5, voor het eerst grote packets verstuurd
worden. Hiervoor is fragmentatie nodig, maar daar gaat blijkbaar
iets mis.

Kijkend met tcpdump zie ik wel het 2e fragment van het encapsulated
IPv6 datagram binnenkomen, maar het eerste fragment ben ik kwijt.
(Ik gebruik een ST780 met "sip spoof").

het gekke is dat:
- Dit op andere plaatsen in de wereld wel werkt
(dwz, als ik op een andere box inlog werkt ftp naar
ftp.nluug.nl prima)
- Dit probleem alleen optreedt naar ftp.nluug.nl,
andere FTP servers lijken gewoon te werken
(ik vermoed dat voor andere bestemmingen er upstream iets zit
wat de IPv6 MTU capt)
- Ik het missende packet echt helemaal niet m'n ST uit zie komen
- Als ik packet sizes ga sweepen, alles met kleine packets goed gaat,
als ik de packets groter maak, er een range van 20 bytes is waarin ik
*niets* terug zie komen, en daarna ik alleen het 2e fragment zie

het zou aardig zijn om te weten of de Fritz-tunnel dit probleem oplost.

Geert Jan

[Frits Letteboer]

On 11-08-09 10:48, Geert Jan de Groot wrote:
> Zou iemand die z'n fritz-box omgebouwd heeft, eens kunnen proberen
> of er nog steeds IPv6 PMTU blackhole problemen zijn met ftp.nluug.nl?

Hmz. Ik heb hetzelfde probleem, maar dan niet met een Fritz!Box maar een
standaard Linux-tunnelding met SixXS.

Op de tunneldoos zelf gaat het wel goed, maar daarachter krijg ik geen
data binnen...

[Vincent Zweije]

In artikel <4a81378a$0$195$c5fe...@news6.xs4all.nl> schrijft Frits Letteboer
<f.let...@radiotwenterand.nl>:

Warempel, ik zie hier hetzelfde (met een xs4all tunnel). Geen fritzbox.

Vanaf het tunnel endpoint is er geen probleem, maar 1 ipv6 hop verder
weg en het hangt.

Apart.

Met een andere ftp server (ftp.estpak.ee) zie ik geen probleem.

Ciao. Vincent.
--
Vincent Zweije <zwe...@xs4all.nl> | "If you're flamed in a group you
<http://www.xs4all.nl/~zweije/> | don't read, does anybody get burnt?"
[Xhost should be taken out and shot] | -- Paul Tomblin on a.s.r.

[Maurice Janssen]

Hier precies hetzelfde. Op mijn tunneldoos (OpenBSD) geen probleem,
daarachter komt de tweede 'dir' ook niet door.
Ik heb overigens ook een tunnel via Sixxs.

--
Maurice

[Karel]

Hier een cisco 876 en een xs4all ipv6 tunnel.
Vanaf de router heb ik geen ftp getest, maar daarachter precies hetzelfde
resultaat.

Karel

[Vincent Zweije]

In artikel <h5res5$rhc$1...@love.zweije.nl> schrijft Vincent Zweije
<vzw...@sense.znet>:

|| In artikel <4a81378a$0$195$c5fe...@news6.xs4all.nl> schrijft Frits
|| Letteboer <f.let...@radiotwenterand.nl>:
||
|| || On 11-08-09 10:48, Geert Jan de Groot wrote:
|| || > Zou iemand die z'n fritz-box omgebouwd heeft, eens kunnen proberen
|| || > of er nog steeds IPv6 PMTU blackhole problemen zijn met ftp.nluug.nl?
|| ||
|| || Hmz. Ik heb hetzelfde probleem, maar dan niet met een Fritz!Box maar
|| || een standaard Linux-tunnelding met SixXS.
|| ||
|| || Op de tunneldoos zelf gaat het wel goed, maar daarachter krijg ik geen
|| || data binnen...
||
|| Warempel, ik zie hier hetzelfde (met een xs4all tunnel). Geen fritzbox.
||
|| Vanaf het tunnel endpoint is er geen probleem, maar 1 ipv6 hop verder
|| weg en het hangt.

Een kort onderscheid leert dat de first-hop MTU voor deze twee gevallen
verschilt. Op het tunnel endpoint is deze 1480, een hop verder (over
ethernet) is deze 1500.

Gegeven dat een andere FTP site geen probleem is vermoed ik dat het geen
locaal probleem is.

[Frits Letteboer]

On 11-08-09 15:44, Vincent Zweije wrote:
> In artikel<h5res5$rhc$1...@love.zweije.nl> schrijft Vincent Zweije
> <vzw...@sense.znet>:
>
> || In artikel<4a81378a$0$195$c5fe...@news6.xs4all.nl> schrijft Frits
> || Letteboer<f.let...@radiotwenterand.nl>:
> ||
> || || On 11-08-09 10:48, Geert Jan de Groot wrote:
> || ||> Zou iemand die z'n fritz-box omgebouwd heeft, eens kunnen proberen
> || ||> of er nog steeds IPv6 PMTU blackhole problemen zijn met ftp.nluug.nl?
> || ||
> || || Hmz. Ik heb hetzelfde probleem, maar dan niet met een Fritz!Box maar
> || || een standaard Linux-tunnelding met SixXS.
> || ||
> || || Op de tunneldoos zelf gaat het wel goed, maar daarachter krijg ik geen
> || || data binnen...
> ||
> || Warempel, ik zie hier hetzelfde (met een xs4all tunnel). Geen fritzbox.
> ||
> || Vanaf het tunnel endpoint is er geen probleem, maar 1 ipv6 hop verder
> || weg en het hangt.
>
> Een kort onderscheid leert dat de first-hop MTU voor deze twee gevallen
> verschilt. Op het tunnel endpoint is deze 1480, een hop verder (over
> ethernet) is deze 1500.

True,

Zodra ik de mtu van een computer achter de tunneldoos op 1480 zet, dan
werkt ftp.nluug.nl wel.

Misschien een beheerder bij ftp.nluug.nl die iets teveel ICMP blokkeert?

[Wietse Muizelaar]

Nope :-/ En aangezien vele mensen via vele tunnels het hebben op 1
enkele FTP-server, vermoed ik inderdaad iets teveel ICMPv6 dat geblockt
wordt...

Cheers,
--
Wietse

[Maarten te Paske]

On 21 Jul 2009 10:29:53 GMT, Operator <ro...@dragon.doktercom.nl> wrote:

> In article <slrnh69bup....@one.analogue.nl>,
> Maarten te Paske <maa...@tepaske.net.invalid> writes:
>
> > Het voordeel van de FritzBox laten routen is dat dat apparaat het
> > publieke IP-adres heeft.

>
> Ik laat mijn publieke adressen liever op een wat zwaardere bak
> uitkomen, met meer toeters en bellen.

Ik heb deze week een Fritzbox 7170 gekocht en speel nu voor het eerst
met Freetz. Qua toeters en bellen denk ik dat je de meeste dingen wel
met zo'n Fritzbox kan. Het lijkt er iig. op dat het mijn WRT54G router
met openwrt prima kan vervangen.

Maarten

[Operator]

In article <slrnh9j7fo....@one.analogue.nl>,

Maarten te Paske <maa...@tepaske.net.invalid> writes:
> On 21 Jul 2009 10:29:53 GMT, Operator <ro...@dragon.doktercom.nl> wrote:
>
>> In article <slrnh69bup....@one.analogue.nl>,
>> Maarten te Paske <maa...@tepaske.net.invalid> writes:
>>
>> > Het voordeel van de FritzBox laten routen is dat dat apparaat het
>> > publieke IP-adres heeft.
>>
>> Ik laat mijn publieke adressen liever op een wat zwaardere bak
>> uitkomen, met meer toeters en bellen.
>
> Ik heb deze week een Fritzbox 7170 gekocht en speel nu voor het eerst
> met Freetz. Qua toeters en bellen denk ik dat je de meeste dingen wel
> met zo'n Fritzbox kan. Het lijkt er iig. op dat het mijn WRT54G router
> met openwrt prima kan vervangen.

Mmm, 'de meeste dingen', die zijn al snel voorzien van de eerste regel:

#!/usr/bin/perl

Snapt ie dat ook?

[Maarten te Paske]

Standaard niet, maar het lijkt me niet zo'n probleem om dat aan de praat
te krijgen.

Maarten