Вопрос или проблема
Настройка
- Настольный компьютер (MyComputer)
- Материнская плата: ASRock
- Дистрибутив: Arch Linux
- Сервер Yunohost (Yunohost)
- Материнская плата: Raspberry Pi 3
- Дистрибутив: Debian
- Основное приложение: Yunohost/NextCloud
- Домен зарегистрирован на godaddy.com (mydomain.tld)
- Сервер Yunohost (Xroklaus)
- Материнская плата: Raspberry Pi 3
- Дистрибутив: Debian
- Основное приложение: Yunohost/Duniter
- Домен зарегистрирован на FreeDNS.afraid.org (guilder-test.eu.org)
- Модем
- Fritz!Box 7581
Мой модем автоматически вводит неправильный ipv6 адрес для как минимум двух моих устройств, что приводит к ошибкам DestinationNetworkUnreachable.
Тесты с https://www.subnetonline.com
IPv6 Ping Вывод:
PING guilder-test.eu.org(2001:983:8610:1:2239:6fcb:6144:21d2 (2001:983:8610:1:2239:6fcb:6144:21d2)) 32 байт данных
От 2001:983:8610::1 (2001:983:8610::1) icmp_seq=1 Назначение недоступно: Административно запрещено
От 2001:983:8610::1 (2001:983:8610::1) icmp_seq=2 Назначение недоступно: Административно запрещено
От 2001:983:8610::1 (2001:983:8610::1) icmp_seq=3 Назначение недоступно: Административно запрещено
От 2001:983:8610::1 (2001:983:8610::1) icmp_seq=4 Назначение недоступно: Административно запрещено
--- статистика пинга guilder-test.eu.org ---
4 пакета передано, 0 получено, +4 ошибок, 100% потеря пакетов, время 3004мс
Настройки модема
Настольный компьютер
Мой модем автоматически вводит неправильный ipv6 адрес для моего основного компьютера.
Адрес, который он вводит, – 73a:34a1:5d16:a67f, когда это должно быть 5766:a840:f358:5b00.
Я могу вручную изменить его на модеме, но через некоторое время он вернется к старым настройкам.
IP-обзор
[me@MyComputer ~]$ ip -6 addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 состояние НЕИЗВЕСТНО qlen 1000
inet6 ::1/128 область host
valid_lft навсегда preferred_lft навсегда
2: enp5s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 состояние UP qlen 1000
inet6 2001:983:8610:1:5766:a840:f358:5b00/64 область global dynamic noprefixroute
valid_lft 6571sec preferred_lft 3492sec
inet6 fe80::90d9:53e6:a878:801c/64 область link noprefixroute
valid_lft навсегда preferred_lft навсегда
Настройки сети
/etc/NetworkManager/system-connections/MyWifi
[root@MyComputer ~]# cat /etc/NetworkManager/system-connections/MyWifi
[connection]
id=MyWifi
uuid=109dd5bb-9f07-465f-b2ef-0f7e40084345
type=wifi
permissions=user:me:;
[wifi]
mac-address=30:10:B3:0A:1C:85
mac-address-blacklist=
mode=infrastructure
ssid=MyWifi
[wifi-security]
auth-alg=open
key-mgmt=wpa-psk
psk=g4TK1DdyiPoOPo6tknNF4eInZthPEfyNYU7jJoRMXvuaea7pckpG43ahnBKZ5pJ
[ipv4]
dns-search=
method=auto
[ipv6]
addr-gen-mode=stable-privacy
dns-search=
method=auto
Серверные компьютеры
IPv6 интерфейсный ID, который был получен с одного из серверов, правильный, в то время как другой получает либо локальную область ссылки, либо, что удивительно, локальную область ссылки другого сервера.
Таким образом, IPv6 интерфейсный ID Yunohost разрешается как ::fb41:cbb3:2bec:e9c0 или, что более удивительно, ::7664:c1e:6989:14b0, когда это должно быть ::f3d5:e2a7:5d97:f45c.
Интерфейсы на YunoHost
admin@YunoHost:~ $ ip -6 addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 состояние НЕИЗВЕСТНО qlen 1
inet6 ::1/128 область host
valid_lft навсегда preferred_lft навсегда
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 состояние UP qlen 1000
inet6 2001:983:8610:1:f3d5:e2a7:5d97:f45c/64 область global noprefixroute dynamic
valid_lft 5916sec preferred_lft 3396sec
inet6 fe80::fb41:cbb3:2bec:e9c0/64 область link
valid_lft навсегда preferred_lft навсегда
3: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 состояние DOWN qlen 1000
inet6 fe80::3aa6:ea20:d318:e097/64 область link tentative
valid_lft навсегда preferred_lft навсегда
Интерфейсы на Xroklaus
admin@Xroklaus:~ $ ip -6 addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 состояние НЕИЗВЕСТНО qlen 1
inet6 ::1/128 область host
valid_lft навсегда preferred_lft навсегда
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 состояние UP qlen 1000
inet6 2001:983:8610:1:2239:6fcb:6144:21d2/64 область global noprefixroute dynamic
valid_lft 5535sec preferred_lft 3461sec
inet6 fe80::7664:c1e:6989:14b0/64 область link
valid_lft навсегда preferred_lft навсегда
3: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 состояние DOWN qlen 1000
inet6 fe80::5f05:b808:f4ad:b037/64 область link tentative
valid_lft навсегда preferred_lft навсегда
/etc/network/interfaces
admin@Yunohost:~ $ cat /etc/network/interfaces
# interfaces(5) файл, используемый ifup(8) и ifdown(8)
# Пожалуйста, обратите внимание, что этот файл написан для использования с dhcpcd
# Для статического IP, обратитесь к /etc/dhcpcd.conf и 'man dhcpcd.conf'
# Включить файлы из /etc/network/interfaces.d:
source-directory /etc/network/interfaces.d
auto lo
iface lo inet loopback
iface eth0 inet manual
allow-hotplug wlan0
iface wlan0 inet manual
wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf
allow-hotplug wlan1
iface wlan1 inet manual
wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf
У моего другого сервера те же настройки.
Модем также показывает, что два сервера имеют очень странное соединение, что не отражает реальности.
В то время как Xroklaus выглядит нормально
Yunohost, с другой стороны, думает, что он подключен к модему через Xroklaus.
Ошибка “Назначение недоступно: Административно запрещено” указывает на то, что может быть какой-то брандмауэр, который отклоняет IPv6 пинги.
У меня была точно такая же проблема с Raspberry Pi 3B+ за Fritz!Box 7581, так что мое решение может сработать и для вас.
-
Отредактируйте
/etc/dhcpcd.confна RPi и замените slaac private на slaac hwaddr. -
Несмотря на то, что кажется, что IPv6 полностью включен на RPi, в последней версии Raspbian Stretch он может быть заблокирован в
/etc/modprobe.d/ipv6.conf. Удаление этого файла или комментирование его содержимого устраняет эту блокировку. -
Заставьте
FB7581забыть о “старом” RPi, выключив его, подождав, пока он не будет указан в неактивных соединениях, а затем удалив его. -
После (пере)загрузки RPi должно быть возможно в разделе Разрешить доступ открыть его для Ping6, OpenVPN и т. д. Это сработало для меня.
Я заметил на моем FritzBox 6690, что мне пришлось вручную изменить значения IPv6 Interface-ID на Интернет/Разрешить доступ (“Internet/Freigaben” на немецком), чтобы они соответствовали тем, что указаны на моем Raspberry (или любом другом устройстве). По какой-то причине эти поля содержат неправильные значения.
У меня была аналогичная проблема. ufw был неактивен. Но мне все же понадобились следующие строки, чтобы разрешить это:
sudo ip6tables -A INPUT -p ipv6 -j ACCEPT
sudo ip6tables -A OUTPUT -p ipv6 -j ACCEPT
Ответ или решение
Ваша проблема с ошибкой "Destination unreachable: Administratively prohibited" при попытке выполнить ping6 на ваши домены может быть связана с несколькими факторами, включая настройки вашей сети и предустановленные ограничения на фаерволе. Давайте рассмотрим возможные решения.
1. Проблемы с настройками IPv6 на модеме Fritz!Box 7581
Ваш модем может неправильно обрабатывать адреса IPv6 для ваших устройств. Для этого выполните следующие шаги:
- Очистите кэш модема: Отключите Raspberry Pi от питания, подождите, пока устройство не исчезнет из списка подключенных к сети, и затем удалите его из списка "idle connections" на модеме.
- Проверьте настройки страницы управления модема: Войдите в интерфейс управления модемом и проверьте разделы, связанные с разрешением доступа. Убедитесь, что IPv6 разрешен и что у каждого устройства правильный интерфейсный ID. Это может быть особенно важно для Raspberry Pi, так как он может отображать неправильные значения.
2. Настройки Raspberry Pi
Попробуйте внести изменения в конфигурацию сети вашего Raspberry Pi:
-
Измените настройки DHCPCD: В файле
/etc/dhcpcd.confзамените строчкуslaac privateнаslaac hwaddr. Это может помочь с корректной генерацией адресов IPv6. -
Проверьте модуль IPv6: Убедитесь, что IPv6 не блокируется. Проверьте наличие файла
/etc/modprobe.d/ipv6.conf. Если он существует, закомментируйте все строки в нем или удалите файл. -
Обновите список интерфейсов: После внесения изменений перезагрузите ваш Raspberry Pi.
3. Проверка фаерволов
Некоторые фаерволы могут блокировать ICMP запросы для IPv6. Если вы используете ufw, выполните следующие команды, чтобы убедиться, что он не блокирует ваши действия:
sudo ip6tables -A INPUT -p ipv6 -j ACCEPT
sudo ip6tables -A OUTPUT -p ipv6 -j ACCEPT4. Дополнительные настройки
Если после выполнения вышеуказанных шагов проблема не решена, попробуйте выполнить следующее:
-
Проверка маршрутизации: Убедитесь, что маршруты настроены правильно и ваши устройства могут видеть друг друга в локальной сети. Используйте команду
ip -6 routeна всех устройствах для проверки. -
Тестирование локальной связи: Попробуйте выполнить ping6 на IP-адреса устройств в вашей локальной сети (например, с MyComputer на Yunohost и Xroklaus), чтобы убедиться, что устройства правильно соединяются.
5. Обратитесь к провайдеру
Если все вышеперечисленные шаги не решают вашу проблему, возможно, вам следует обратиться к вашему интернет-провайдеру, чтобы убедиться, что IPv6 поддерживается на стороне их сети и нет дополнительных ограничений.
Эти шаги должны помочь вам решить проблему с ping6 и обеспечить корректную работу вашего сетевого окружения. Будьте уверены, что каждый этап выполняется внимательно, и проверяйте результаты после каждого изменения.