[linux] IPv6 dhcp PD 'komt niet aan' ...

Mike Jonkmans nllgg op jonkmans.nl
Vr Aug 20 08:55:06 CEST 2021 

On Thu, Aug 19, 2021 at 10:54:37PM +0200, Geert Stappers wrote:
> 
> Waarschuwing vooraf:
> 
>   Dit bericht bevat een compliment.
> 
> 
> Er is nu dus gevaar dat ik Mike in verlegenheid ga brengen.
> Mijn inschatting is dat het risico aanvaartbaar zal zijn.  :-)

Oh, leuk, een cliffhanger.

> On Wed, Aug 18, 2021 at 11:38:05AM +0200, Mike Jonkmans wrote:
> > On Wed, Aug 18, 2021 at 09:16:46AM +0200, Udo van den Heuvel wrote:
> > > Linux-guru's,
> > > 
> > > 
> > > Ik heb nog steeds last van een (voor mij) vaag probleem:
> > > 
> > > De IPv6 dhcp PD-reply die xs4all stuurt naar mijn firewall doos is wel te
> > > zien in de tcpdump maar wordt niet door de dhclient ontvangen; e.e.a. gaat
> > > door naar de FORWARD regel in de iptables firewall. (adsl4linux als basis
> > > daarbij)
> > > 
> > > We doen aan Prefix Delegation dus we doen `dhclient -P ppp0`.
> > > Dit fenomeen treedt ook op zonder iptables firewall.
> > > 
> > > Op https://serverfault.com/questions/1073418/ipv6-dhcp-pd-reply-going-to-forward-rule-in-iptables-firewall
> > > is wat meer data te zien inzake dit fenomeen.
> 
> Gezien.
> 
> 
> > > De vraag is dus:
> > > 
> > > Wat is er mis? Wat doe ik verkeerd, wat is er mis met dhclient of zelfs de
> > > kernel die ik gebakken heb?
> > > 
> > > Waar begin ik te kijken?
> > > Iemand met een idee?
> 
> tcpdump langer laten draaien. Nu heb ik alleen 1 dhcp6 solicit
> en 2 dhcp6 advertise pakketen gezien. (alle drie xid=b68ba1)
> 
> Ik zou meer verkeer willen zien. Langer laten lopen had ik al
> gemeld. Laat ook het filter op port 546 weg.
> 
> > > 
> > > Groeten,
> > > Udo
> > 
> > Alweer een millenium geleden dat ik ppp gebruikte over een modem.
> > En toen ging ipv6 binnen 5 jaar ipv4 overnemen ;)
> > 
> > Uit https://bugzilla.redhat.com/show_bug.cgi?id=1956209
> > 
> > # ip -6 a s dev ppp0
> > 20: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc cbq state UNKNOWN group default qlen 3
> >     inet6 fe80::c5d5:e942:39c7:7eb7 peer fe80::9ecc:83ff:fec6:e7e5/128 scope link
> >        valid_lft forever preferred_lft forever
> > 
> > Ik denk dat 'scope link' er voor zorgt dat de reply naar de FORWARD chain gaat.
> 
> Zo ver ik weet staan "scope" en "firewall rules" geheel los van elkaar.
> (spreek me tegen als er wel verband is tussen die twee)

Scope bepaalt (initieel) de ip.src waarmee een pakket verstuurt wordt.
Maar ik moet bekennen dat ik niet aandachtig naar de tcpdump heb gekeken.
(Er staan namen, zoals vuurmuur, in de tcpdump - dat is niet handig, Udo,
want dan weet je niet welk source adress gebruikt wordt.)
Dus misschien is het niks. Maar het was mijn eerste idee.

> > Kijken in /etc/ppp/options, routes: ip r. 

Wellicht dat het met de routering te doen heeft.
/etc/ppp/options: defaultroute ?

> Omdat het IPv6 betreft zal het `ip -6 r` moeten zijn.
> (Default laat `ip route` alleen IPv4 netwerk routes zien)

Klein foutje, tenzij:
alias ip='ip -6'

> > Verder weet ik het ook niet.
> 
> Mij is eerder opgevallen dat Mike Jonkmans berichten kwalitatief erg
> goede berichten zijn. In de "Verder weet ik het ook niet." zit mijn
> inziens de wijsheid van 'hoe meer je weet, hoe meer je weet wat je nog
> niet weet'. Ik mag dat wel.

Dankjewel!

Je hoeft je niet te schamen voor wat je niet weet.
Sowieso niet.

Groetjes, Mike Jonkmans

Meer informatie over de Linux maillijst