[Berlin-wireless] IPv6 Zugriff auf Freifunk-Knoten hinter zoofenster/RHXB

Bastian fly
Sa Nov 7 14:13:19 CET 2015 

Hallo,

nach einer Runde tcpdump glaube ich das Problem gefunden zu haben:

Unsere default ip6tables Firewall ist nicht auf asymmetrisches Routing
vorbereitet. Asymmetrisch wird geroutet, wenn der Traffic von z.B.
Strato oder Netcologne bei bgp01 rein kommt und ein Ziel hinter RHXB
hat. Weil ab dem RHXB ist die Rueckroute via bgp02

Asymmetrisches Routing ist grunds?tzlich kein Problem, aber wenn eine
Firewall mit Connection-Tracking aktiv ist k?nnen seltsame Dinge
passieren. traceroutes/ICMP sind funktionieren aber TCP (z.B. SSH)
verh?lt sich komisch.

Fix:
in der /etc/config/firewall ganz oben in "config defaults" die "option
drop_invalid" auf "0" setzen. Dann fliegen 3 Regeln raus, eine davon:
-A delegate_forward -m conntrack --ctstate INVALID -j DROP

Und schon klappt es mit dem SSH z.B. zur Zwingli wieder!


Auf am-dach-rt1 hatte ich vor 3 Tagen die in der Firmware mitgelieferte
Firewall aktiviert weil es Beschwerden bzgl. SmartGW gab. SmartGW
funktioniert irgendwie nur mit einem Satz policy-routing und iptables-foo.
Oben genannter Fix wurde auf am-dach-rt1 jetzt gesetzt und ich behaupte
die beschriebenen Probleme sind weg.

Cheers
Bastian


On 11/06/2015 11:03 PM, Stefan Funke wrote:

> Seit mindestens 2 Tagen gibt es Verbindungsprobleme von drau?en ?ber IPv6 von z.B. HE/Strato/NetCologne auf verschiedene FF-Knoten hinter Zoofenster bzw. ab rhxb. Als Beispiel nehme ich eine Route zu mir:
> 
> 10  freifunk-bgp.in-berlin.de  87.308 ms  85.642 ms  85.222 ms
> 11  2001:bf7:b102:1::50  87.803 ms  84.589 ms  84.849 ms
> 12  2001:bf7:780:1001::1  87.160 ms  86.720 ms  81.813 ms
> 13  2001:bf7:780:1010::1  87.197 ms  82.414 ms  86.828 ms
> 14  2001:bf7:830:1109::1  94.515 ms  89.194 ms  91.787 ms
> 15  2001:bf7:831:7::1  96.182 ms  115.808 ms  105.345 ms
> 16  2001:bf7:820:1200::1  102.497 ms  139.972 ms  93.003 ms
> 
> Mit Knoten 12 und 13 (zoofenster) kann ich mich noch per SSH oder HTTP verbinden. Ab Knoten 14 (Rathaus Kreuzberg) ist Schluss. Auffallend ist, dass das Traceroute durch geht und die TCP Verbindungen zumindest zu Stande kommen, dann aber keine Daten mehr durchgehen. Riecht irgendwie nach MTU Problem. Kann da ggf. jemand mit Zugriff auf zoofenster/rhxb debuggen? Geht von Zoofenster und oder rhxb ein ?curl [2001:bf7:820:1200::1]?? W?re cool wenn wir das wieder hinbekommen w?rde, sonst habe ich Probleme Infrastruktur aus der Ferne zu managen.


-------------- n?chster Teil --------------
Ein Dateianhang mit Bin?rdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigr??e  : 473 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20151107/c8a8d00a/attachment.pgp>

Mehr Informationen über die Mailingliste Berlin