Hallihallo!

Ich hab da ein kleines Problem mit IPv6, was anscheinend mit der SuSEfirewall2 zusammenhängt. Wenn die Firewall aus ist, funktioniert alles super (ping6 geh, ich kann mich zu IPv6 IRC Servern connecten...), aber wenn die Firewall an ist geht nix mehr :( Hat irgendwer ne ahnung, wie ich die Firewall Einstellungen ändern muss, dass IPv6 auch mit der Firewall geht?

Danke im Vorraus!

kenn ich leider nicht und ich hab mit ipv6 in dem Zusammenhang noch nicht viel zu tun gehabt, also kann ich mal nur Raten.

Benutzt du direkt ipv6 oder tunnels du ?

Benutzt du die Firewall als Router ?
Wenn ja macht SuSE vielleicht keine Eintraege in /proc/sys/net/ipv6

Ansonsten, was fuer Eintraege machst du denn in die config Datei ? Nur ipv4 Eintraege, oder auch ipv6 ?

T;o)Mes

Ich benutze einen Tunnel. Die Firewall benutz ich als Router. Konfiguriert hab ich die über YaST2, und da gibts leider nirgends eine Option für IPv6. Im /proc/sys/net/ipv6 Verzeichniss sind diverse Unterverzeichnisse mit relativ vielen Datein, in keiner steht aber was drin (ich schätze, hier sieht man deutlich, dass ich keine Ahnung davon hab ;) ). Wie ich das im ipng.org.uk Forum (http://ipng.org.uk/forums/ikonboard.cgi?act=ST;f=4;t=6) (mein Tunnelbroker) verstanen habe, muss man die Firewall so einstellen, dass Pakete des IPv6 Protokolls durchgelassen werden. Aber da ich davon praktisch keine Ahnung hab, bekomme ich das nicht hin - auch ein iptables how-to hat mir da nicht geholfen :(


Ansonsten, was fuer Eintraege machst du denn in die config Datei ? Nur ipv4 Eintraege, oder auch ipv6 ?
Welche config Datei meinst du?

PS: wenn die Firewall aus ist, funktioniert IPv6 ohne Probleme, es muss also irgendwo an meinen Firewall Einstellungen liegen.

villeicht solltest du das tunnel-device als internes oder externes device in der firewall-config eintragen

Habs grad ausprobiert, geht aber nicht :rolleyes:

brauchst du CONFIG_NET_IPGRE=y oder mod !
Ausserdem sollte * GRE broadcast over IP=y oder mod !
Beides sind [BKernel - Optionen[/B].
Wenn sie Module sind, müssen sie geladen werden. Dann sollten automatisch die ipv6 Pakete in ipv4 gepackt werden und von der Firewall durchgelassen werden.

Was passiert eigendlich bei einem ipv4 Ping bei eingeschalteter Firewall ?

T;o)Mes

Bedeutet das, dass ich den Kernel neu compilieren muss? Und falls ich die Module auch so laden kann, wie lauten die genauen Namen von denen, bzw. wie der Befehl um die zu laden (modprobe nehme ich an?). Sorry wenn ich hier so blöde Fragen stelle, aber davon hab ich echt keine Ahnung :rolleyes:


Ein IPv4 Ping geht ohne Probleme wenn die Firewall läuft. Auch kein anderes IPv4 Zeugs macht Probleme, es sind wirklich nur die IPv6 Sachen.

ob die Sachen schon in deinem Kernel sind, kanst du folgendes tun (Beispiel für Suse):
# more /boot/vmlinuz.config | grep -i "gre"

Folgendes sollte dann auftauchen:
CONFIG_NET_IPGRE=m
CONFIG_NET_IPGRE_BROADCAST=y

Wenn das auftaucht, brauchst du keinen neuen Kernel. Einfach das Modul laden:
# modprobe ip_gre

Wie gesagt, kenne ich mich nicht mit der SuSEfirewall aus, aber du kannst nach der Aktivierung der Firewall auch folgenden Befehl eingeben:
# /usr/sbin/iptables -I INPUT -i "inneres Interface" -s "aeusseres Interface" -p gre -j accept
Dieses Beispiel ist ganz einfach gehalten. Bei -I kann man auch eine Zahl angeben an welcher Stelle die neue Regel eingefuegt werden soll. Ohne Zahl wird diese Regel dann ganz oben in dem Input- Chain eingefuegt.

T;o)Mes

Hmm, das hat auch nichts gebracht. Ich bin jetzt übrigens auf die Shorewall Firewall (http://www.shorewall.net) umgestiegen.
Mir ist nochwas aufgefallen: wenn ich lsmod ausführe taucht da folgendes auf:
ipv6 123424 -1 (autoclean)
ist das normal?

dass das Modul vom kerneld geladen wurde und bei Nichtbenutzung wieder automatisch entfernt werden kann.
Da ich weder die Eine, noch die Andere kenne, ist es Schwierig, man kann nur raten. Ich kenne ja nicht deine Regeln. Wahrscheinlich muss -p gre auch in der forward Regel auftauchen. Vielleicht auch in den output Regeln.
Du kannst auch alle Pakete einfach mal loggen, um zu sehen warum sie nicht durchkommen, bzw. von welcher Regel verworfen werden.

Was sagt den # /usr/sbin/iptables -L -n -v ?
T;o)Mes

/usr/sbin/iptables -L -n -v sagt seeeehr viel, viel zu viel um das hiet aufzulisten. Ich hab mal an die Mailing Liste von Shorewall geschrieben, mal schaun ob da jemand ne Lösung kennt.