Я не могу пинговать свои домены по IPv6 извне. Удаленный узел недоступен: Административно запрещено.

Настройка

• Настольный компьютер (MyComputer)
  • Материнская плата: ASRock
  • Дистрибутив: Arch Linux
• Сервер Yunohost (Yunohost)
  • Материнская плата: Raspberry Pi 3
  • Дистрибутив: Debian
  • Основное приложение: Yunohost/NextCloud
  • Домен зарегистрирован на godaddy.com (mydomain.tld)
• Сервер Yunohost (Xroklaus)
  • Материнская плата: Raspberry Pi 3
  • Дистрибутив: Debian
  • Основное приложение: Yunohost/Duniter
  • Домен зарегистрирован на FreeDNS.afraid.org (guilder-test.eu.org)
• Модем
  • Fritz!Box 7581

Мой модем автоматически вводит неправильный ipv6 адрес для как минимум двух моих устройств, что приводит к ошибкам DestinationNetworkUnreachable.

Тесты с https://www.subnetonline.com

IPv6 Ping Вывод:

PING guilder-test.eu.org(2001:983:8610:1:2239:6fcb:6144:21d2 (2001:983:8610:1:2239:6fcb:6144:21d2)) 32 байт данных
От 2001:983:8610::1 (2001:983:8610::1) icmp_seq=1 Назначение недоступно: Административно запрещено
От 2001:983:8610::1 (2001:983:8610::1) icmp_seq=2 Назначение недоступно: Административно запрещено
От 2001:983:8610::1 (2001:983:8610::1) icmp_seq=3 Назначение недоступно: Административно запрещено
От 2001:983:8610::1 (2001:983:8610::1) icmp_seq=4 Назначение недоступно: Административно запрещено

--- статистика пинга guilder-test.eu.org ---
4 пакета передано, 0 получено, +4 ошибок, 100% потеря пакетов, время 3004мс

Настройки модема

Настольный компьютер

Мой модем автоматически вводит неправильный ipv6 адрес для моего основного компьютера.
Адрес, который он вводит, – 73a:34a1:5d16:a67f, когда это должно быть 5766:a840:f358:5b00.
Я могу вручную изменить его на модеме, но через некоторое время он вернется к старым настройкам.

IP-обзор

[me@MyComputer ~]$ ip -6 addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 состояние НЕИЗВЕСТНО qlen 1000
    inet6 ::1/128 область host 
       valid_lft навсегда preferred_lft навсегда
2: enp5s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 состояние UP qlen 1000
    inet6 2001:983:8610:1:5766:a840:f358:5b00/64 область global dynamic noprefixroute 
       valid_lft 6571sec preferred_lft 3492sec
    inet6 fe80::90d9:53e6:a878:801c/64 область link noprefixroute 
       valid_lft навсегда preferred_lft навсегда

Настройки сети

/etc/NetworkManager/system-connections/MyWifi

[root@MyComputer ~]# cat /etc/NetworkManager/system-connections/MyWifi
[connection]
id=MyWifi
uuid=109dd5bb-9f07-465f-b2ef-0f7e40084345
type=wifi
permissions=user:me:;

[wifi]
mac-address=30:10:B3:0A:1C:85
mac-address-blacklist=
mode=infrastructure
ssid=MyWifi

[wifi-security]
auth-alg=open
key-mgmt=wpa-psk
psk=g4TK1DdyiPoOPo6tknNF4eInZthPEfyNYU7jJoRMXvuaea7pckpG43ahnBKZ5pJ

[ipv4]
dns-search=
method=auto

[ipv6]
addr-gen-mode=stable-privacy
dns-search=
method=auto

Серверные компьютеры

IPv6 интерфейсный ID, который был получен с одного из серверов, правильный, в то время как другой получает либо локальную область ссылки, либо, что удивительно, локальную область ссылки другого сервера.

Таким образом, IPv6 интерфейсный ID Yunohost разрешается как ::fb41:cbb3:2bec:e9c0 или, что более удивительно, ::7664:c1e:6989:14b0, когда это должно быть ::f3d5:e2a7:5d97:f45c.

Интерфейсы на YunoHost

admin@YunoHost:~ $ ip -6 addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 состояние НЕИЗВЕСТНО qlen 1
    inet6 ::1/128 область host 
       valid_lft навсегда preferred_lft навсегда
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 состояние UP qlen 1000
    inet6 2001:983:8610:1:f3d5:e2a7:5d97:f45c/64 область global noprefixroute dynamic 
       valid_lft 5916sec preferred_lft 3396sec
    inet6 fe80::fb41:cbb3:2bec:e9c0/64 область link 
       valid_lft навсегда preferred_lft навсегда
3: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 состояние DOWN qlen 1000
    inet6 fe80::3aa6:ea20:d318:e097/64 область link tentative 
       valid_lft навсегда preferred_lft навсегда

Интерфейсы на Xroklaus

 admin@Xroklaus:~ $ ip -6 addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 состояние НЕИЗВЕСТНО qlen 1
    inet6 ::1/128 область host 
       valid_lft навсегда preferred_lft навсегда
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 состояние UP qlen 1000
    inet6 2001:983:8610:1:2239:6fcb:6144:21d2/64 область global noprefixroute dynamic 
       valid_lft 5535sec preferred_lft 3461sec
    inet6 fe80::7664:c1e:6989:14b0/64 область link 
       valid_lft навсегда preferred_lft навсегда
3: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 состояние DOWN qlen 1000
    inet6 fe80::5f05:b808:f4ad:b037/64 область link tentative 
       valid_lft навсегда preferred_lft навсегда

/etc/network/interfaces

admin@Yunohost:~ $ cat /etc/network/interfaces
# interfaces(5) файл, используемый ifup(8) и ifdown(8)

# Пожалуйста, обратите внимание, что этот файл написан для использования с dhcpcd
# Для статического IP, обратитесь к /etc/dhcpcd.conf и 'man dhcpcd.conf'

# Включить файлы из /etc/network/interfaces.d:
source-directory /etc/network/interfaces.d

auto lo
iface lo inet loopback

iface eth0 inet manual

allow-hotplug wlan0
iface wlan0 inet manual
    wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf

allow-hotplug wlan1
iface wlan1 inet manual
    wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf

У моего другого сервера те же настройки.

Модем также показывает, что два сервера имеют очень странное соединение, что не отражает реальности.

В то время как Xroklaus выглядит нормально

Yunohost, с другой стороны, думает, что он подключен к модему через Xroklaus.

Ошибка “Назначение недоступно: Административно запрещено” указывает на то, что может быть какой-то брандмауэр, который отклоняет IPv6 пинги.

У меня была точно такая же проблема с Raspberry Pi 3B+ за Fritz!Box 7581, так что мое решение может сработать и для вас.

1. Отредактируйте /etc/dhcpcd.conf на RPi и замените slaac private на slaac hwaddr.

2. Несмотря на то, что кажется, что IPv6 полностью включен на RPi, в последней версии Raspbian Stretch он может быть заблокирован в /etc/modprobe.d/ipv6.conf. Удаление этого файла или комментирование его содержимого устраняет эту блокировку.

3. Заставьте FB7581 забыть о “старом” RPi, выключив его, подождав, пока он не будет указан в неактивных соединениях, а затем удалив его.

4. После (пере)загрузки RPi должно быть возможно в разделе Разрешить доступ открыть его для Ping6, OpenVPN и т. д. Это сработало для меня.

Я заметил на моем FritzBox 6690, что мне пришлось вручную изменить значения IPv6 Interface-ID на Интернет/Разрешить доступ (“Internet/Freigaben” на немецком), чтобы они соответствовали тем, что указаны на моем Raspberry (или любом другом устройстве). По какой-то причине эти поля содержат неправильные значения.

У меня была аналогичная проблема. ufw был неактивен. Но мне все же понадобились следующие строки, чтобы разрешить это:

sudo ip6tables -A INPUT -p ipv6 -j ACCEPT
sudo ip6tables -A OUTPUT -p ipv6 -j ACCEPT