mehrere IPv6 Adressen auf CentOS6 funktionieren nicht

[Poison Nuke]

Hi,

kann es sein, dass CentOS6 keine Unterstützung für mehrere IPv6 Adressen hat? Bzw das vllt nie getestet wurde?

Eine einzelne Adresse funktioniert.
Wird eine zweite hinzugefügt, wird diese zwar in ifconfig angezeigt, ist aber von außen nicht erreichbar und taucht auf dem Router auch nicht bei den neighbors auf.

Ich hab schon die ganzen sinnlosen ip6 routen gelöscht und alles manuell angelegt, hilft auch nicht...

Code:

/sbin/ip -6 route flush ::/96
/sbin/ip -6 route flush ::ffff:0.0.0.0/96
/sbin/ip -6 route flush 2002:a00::/24
/sbin/ip -6 route flush 2002:7f00::/24
/sbin/ip -6 route flush 2002:a9fe::/32
/sbin/ip -6 route flush 2002:a9fe::/32
/sbin/ip -6 route flush 2002:ac10::/28
/sbin/ip -6 route flush 2002:c0a8::/32
/sbin/ip -6 route flush 2002:e000::/19
/sbin/ip -6 route flush 3ffe:ffff::/32
/sbin/ip -6 route flush fe80::/64 
/sbin/ip -6 route flush default dev eth0
/sbin/ip -6 route flush x:x:1000:10::/64

/sbin/ip -6 route add x:x:1000:10::/64 dev eth0
/sbin/ip -6 route add default via x:x:1000:10::1 dev eth0

/sbin/ip -6 addr add x:x:1000:10::2/64 dev eth0
/sbin/ip -6 addr add x:x:1000:10::3/64 dev eth0

Aber auch ohne das ganze geraffel, wenn ich die IPs einfach nur hinzufüge, geht maximal nur eine IP.


Oder gibt es hier eventuell sogar schon einen Bugreport?

[OliverH]

du magst uns nicht zufällig mal deine Ausgaben von

ip -6 addr list

und
ip -6 route show

mitteilen?

Hier läuft das ganze übrigens mit 2 Adressen im selben /64 wunderbar...

Oli

[Kernel-Error]

Nach Firewall muss ich nun eigentlich nicht fragen, oder?

[Poison Nuke]

ip6tables ist unberührt und auf default accept.


@ OliverH

Die Ausgabe der Routing-Tabelle kann man sich theoretisch einfach herleiten aus den obigen Befehlen, also davor und danach zustand. Davor halt haufenweise sinnlose unreachable Netze, die rein gar nix in der Tabelle verloren haben und daher erstmal entfernt wurden und dann das lokale Netz samt default route wieder hinzugefügt.


Hier die Ausgabe von ip -6 addr show

Code:

root@xxxx [~]# ip -6 addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 1000
    inet6 x:x:1000:10::3/64 scope global
       valid_lft forever preferred_lft forever
    inet6 x:x:1000:10::2/64 scope global
       valid_lft forever preferred_lft forever
    inet6 fe80::225:22ff:feca:48ea/64 scope link
       valid_lft forever preferred_lft forever

in dem Fall nur mit zwei IPs, aber auch hier geht nur eine von beiden. Und zwar die erste, mit der 3 am Ende.

[Kernel-Error]

Die anderen Rechner in diesem /64 erreichen auch nur die x:x:1000:10::3?

Wenn du die Adresse drehst, ist dann nur die 2 erreichbar, die 3 aber nicht?

Ich kann mir nicht vorstellen dass es hier einen Bug im CentOS gibt. Denn mehrere Adressen ist bei IPv6 ja mehr als gewünscht :-) Ich wette es ist ein kleine Konfigurationsproblem.

Zudem hast du ja bereits die (Link, und zwei global)... Die link funktioniert?

Bei deinem:
/sbin/ip -6 route add x:x:1000:10::/64 dev eth0
Hast du die 1 nur im Post vergessen, richtig?

Nun ja mich würde sehr interessieren ob die anderen Systeme aus dem /64 die Adressen erreichen oder nicht, natürlich nicht vom router aus testen...

[Poison Nuke]

Bei deinem:
/sbin/ip -6 route add x:x:1000:10::/64 dev eth0
Hast du die 1 nur im Post vergessen, richtig?

nein, das ist so Absicht. Ich habe ALLE Routeneinträge der v6 Tabelle gelöscht, auch die Route zum lokalen Netzwerk. Also musste ich diese wieder hinzufügen. CentOS weigert sich den def-gateway hinzuzufügen, wenn es keine Route zum lokalen Netzwerk kennt. Wegen mir hätte diese ruhig wegbleiben können, um wie bei v4 private-VLANs realisieren zu können. Aber das geht bei CentOS ja auch nicht.


In diesem einen Netz hab ich leider keinen zweiten Rechner um es mal zu testen. Wenn sich keine andere Lösung findet werde ich aber wohl bei Gelegenheit einen suchen müssen, den ich dafür missbrauchen könnte.

[Kernel-Error]

Vergiss das mit der Router, ich habe selbst nicht aufgepasst. Natülich brauchst du die :-)

Aber was ist mit dem Router? Routet der die IPs auch oder hat hier die Firewall ihre Finger im Spiel? Bei meinem traceroute6 scheint das Packet nicht über deine
x:x:1000:10::1 hinaus zu kommen.

[Poison Nuke]

der Router macht schon was er soll. Er zeigt auch die eine aktive IP bei den sh ipv6 neigh an. Nur die anderen nicht. Und die Konfiguration ist auch identisch wie für alle anderen Netze die es bereits in dem /48 gibt. Dort funktionieren auch mehr IPs pro Host... allerdings ist darunter noch kein CentOS sondern nur Debian oder Win2k12.

Und was für Firewalls außer ip6tables gibt es noch?

[Kernel-Error]

Und was für Firewalls außer ip6tables gibt es noch?

Nun ja, du wirst doch sicher nicht nur am Host nach Paketen filtern, sondern bereits am Router, oder?

Ich versuche mal Zusammenfassung:

- Du hast einen Host mit drei IPv6 Adressen (x:x:1000:10::3,x:x:1000:10::2,fe80)
- Auf diesem Host läuft kein Paketfilter, host.deny oder sonst was...
- Dieser Host hat eine funktionierende IPv6 Verbindung ins Internet.
- Auf deinem Router schlägt ein /48 auf welches du in einige /64 zerschlagen hast. Die Konfiguration deiner /64 ist identisch und in den anderen /64 Netzen funktioniert alles wie gewünscht.
- Denn noch erreichst du auf deinem Host immer nur eine beliebige (also nicht fixiert die x:x:1000:10::3) IPv6 Adresse wenn du mehrere hinzufügst.

Korrekt?

[Poison Nuke]

Es funktionierte mehr oder minder immer nur die zuerst hinzugefügte, wobei interessanterweise die :2 eigentlich auch zuerst hinzugefügt wurde.

Zumindest ja, so alles korrekt.

Und auf dem letzten Hop sind derzeit keine v6 ACLs aktiv, erst einen Hop später, aber da es auch von einem anderen /64 am gleichen Router aus nicht funktioniert, können die ausgeschlossen werden.


Wobei "früher" bei anderen Versuchen, mit network-manager oder sysconfig, gab es auch Momente wo mehrere IPs funktionieren (bis 10stk oder so), aber bereits ab 2 stk fielen diese sporadisch aus und je mehr IPs es wurden desto weniger IPs funktionierten.