[Berlin-wireless] IPv6 Zugriff auf Freifunk-Knoten hinter zoofenster/RHXB

Stefan Funke stefan
Sa Nov 7 23:08:12 CET 2015 

Top! Danke f?rs Debugging Bastian. Ich kann best?tigen wieder auf die relevanten Nodes zu kommen!

-Stefan


> Am 07.11.2015 um 14:13 schrieb Bastian <fly at d00m.org>:
> 
> Hallo,
> 
> nach einer Runde tcpdump glaube ich das Problem gefunden zu haben:
> 
> Unsere default ip6tables Firewall ist nicht auf asymmetrisches Routing
> vorbereitet. Asymmetrisch wird geroutet, wenn der Traffic von z.B.
> Strato oder Netcologne bei bgp01 rein kommt und ein Ziel hinter RHXB
> hat. Weil ab dem RHXB ist die Rueckroute via bgp02
> 
> Asymmetrisches Routing ist grunds?tzlich kein Problem, aber wenn eine
> Firewall mit Connection-Tracking aktiv ist k?nnen seltsame Dinge
> passieren. traceroutes/ICMP sind funktionieren aber TCP (z.B. SSH)
> verh?lt sich komisch.
> 
> Fix:
> in der /etc/config/firewall ganz oben in "config defaults" die "option
> drop_invalid" auf "0" setzen. Dann fliegen 3 Regeln raus, eine davon:
> -A delegate_forward -m conntrack --ctstate INVALID -j DROP
> 
> Und schon klappt es mit dem SSH z.B. zur Zwingli wieder!
> 
> 
> Auf am-dach-rt1 hatte ich vor 3 Tagen die in der Firmware mitgelieferte
> Firewall aktiviert weil es Beschwerden bzgl. SmartGW gab. SmartGW
> funktioniert irgendwie nur mit einem Satz policy-routing und iptables-foo.
> Oben genannter Fix wurde auf am-dach-rt1 jetzt gesetzt und ich behaupte
> die beschriebenen Probleme sind weg.
> 
> Cheers
> Bastian
> 
> 
> On 11/06/2015 11:03 PM, Stefan Funke wrote:
> 
>> Seit mindestens 2 Tagen gibt es Verbindungsprobleme von drau?en ?ber IPv6 von z.B. HE/Strato/NetCologne auf verschiedene FF-Knoten hinter Zoofenster bzw. ab rhxb. Als Beispiel nehme ich eine Route zu mir:
>> 
>> 10  freifunk-bgp.in-berlin.de  87.308 ms  85.642 ms  85.222 ms
>> 11  2001:bf7:b102:1::50  87.803 ms  84.589 ms  84.849 ms
>> 12  2001:bf7:780:1001::1  87.160 ms  86.720 ms  81.813 ms
>> 13  2001:bf7:780:1010::1  87.197 ms  82.414 ms  86.828 ms
>> 14  2001:bf7:830:1109::1  94.515 ms  89.194 ms  91.787 ms
>> 15  2001:bf7:831:7::1  96.182 ms  115.808 ms  105.345 ms
>> 16  2001:bf7:820:1200::1  102.497 ms  139.972 ms  93.003 ms
>> 
>> Mit Knoten 12 und 13 (zoofenster) kann ich mich noch per SSH oder HTTP verbinden. Ab Knoten 14 (Rathaus Kreuzberg) ist Schluss. Auffallend ist, dass das Traceroute durch geht und die TCP Verbindungen zumindest zu Stande kommen, dann aber keine Daten mehr durchgehen. Riecht irgendwie nach MTU Problem. Kann da ggf. jemand mit Zugriff auf zoofenster/rhxb debuggen? Geht von Zoofenster und oder rhxb ein ?curl [2001:bf7:820:1200::1]?? W?re cool wenn wir das wieder hinbekommen w?rde, sonst habe ich Probleme Infrastruktur aus der Ferne zu managen.
> 
> 
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ?ffentlich einsehbares Archiv

Mehr Informationen über die Mailingliste Berlin