Debian、第六条隧道和连接问题

Debian、第六条隧道和连接问题

长话短说,我在使用 ISP Charter Business 的第 6 隧道时遇到了 IPv6 问题。他们提供了一条我认为已正确设置的第 6 隧道,但服务器不会回复每个 IPv6 请求。当服务器的网络接口空闲约 10 分钟且没有流量时,IPv6 将停止接受入站连接。要重新允许它,我必须进入服务器,并让它进行出站 IPv6 连接(通常是ping)以重新启动它。但奇怪的是,如果我在iptraf它不工作的时候运行,它仍然显示入站 IPv6 数据包...服务器没有回复,我不知道为什么。此外,如果我尝试从同一 ISP 上约 1 英里外的房子通过 IPv6 访问我的服务器,它永远无法连接。它总是超时,但再次显示iptrafIPv6 入站数据包。同样,它就是不回复。为了测试我的服务器是否可以通过 IPv6 访问,我总是必须使用我的 vzw 4g 手机(他们使用 IPv6)或 ipv6proxy dot net。

以下是我的 ISP 在隧道服务器上提供的所有配置信息:

6rd Prefix = 2602:100::/32
Border Relay Address = 68.114.165.1
6rd prefix length = 32
IPv4 mask length = 0

这是我的/etc/network/interfacesIPv6(使用 x 来阻止真实地址)

auto charterv6 
iface charterv6 inet6 v4tunnel
        address 2602:100:189f:xxxx::1
        netmask 32
        ttl 64
        gateway ::68.114.165.1
        endpoint 68.114.165.1
        local 24.159.218.xxx
        up ip link set mtu 1280 dev charterv6

这是我的iptables配置

filter
:INPUT DROP [0:0]
:fail2ban-ssh – [0:0]
:OUTPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:hold – [0:0]
-A INPUT -p tcp -m tcp —dport 22 -j fail2ban-ssh
-A INPUT -m state —state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport -j ACCEPT —dports 80,443,25,465,110,995,143,993,587,465,22
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp —dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp —dport 5900:5910 -j ACCEPT
-A fail2ban-ssh -j RETURN
-A INPUT -p icmp -j ACCEPT
COMMIT

最后这是我的ip6tables防火墙配置

filter
:INPUT DROP [1653:339023]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [60141:13757903]
:hold – [0:0]
-A INPUT -m state —state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport —dports 80,443,25,465,110,995,143,993,587,465,22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp —dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp —dport 5900:5910 -j ACCEPT
-A INPUT -p ipv6-icmp -j ACCEPT
COMMIT

总结一下:

  1. iptraf始终显示 IPv6 流量,因此它始终会到达服务器

  2. 服务器在一段时间内(大约 10 分钟)没有流量后停止在 IPv6 上应答,直到建立出站连接,然后重复该过程。

  3. 服务器永远无法访问 vi 相同的 ISP(但iptraf仍显示 IPv6 请求)

注意:当我尝试从城镇另一侧的同一个 ISP 访问它时,即使iptables允许ip6tables所有入站流量,也会显示此信息iptraf

IPv6 (92 bytes) from 97.92.18.xxx to 24.159.218.xxx on eth0
ICMP dest unrch (port) (120 bytes) from 24.159.218.xxx to 97.92.18.xxx on eth0

奇怪的是,即使主机文件中的 IPv6 地址设置为服务器域名,它也会这样做。使用iptables上述配置正常设置后,它只会显示以下内容:

IPv6 (100 bytes) from 97.92.18.xxx to 24.159.218.xxx on eth0

另外,我注意到了另一件事。当我能够访问我的服务器时,所有 IPv6 请求都显示此信息

IPv6 (100 bytes) from 68.114.165.1 to 24.159.218.xxx on eth0

这意味着他们正在经历第 6 次中继,然而当在同一个 ISP 上时,请求显示来自诚实的源 IP,这让我认为路由可能与此有关。

我真的被这个问题难住了,如果能得到任何帮助我都会非常感激。

编辑:不知道这是否有帮助,但这是我的路线。

root@XXXXXXX:~# route -A inet6
Kernel IPv6 routing table
Destination                    Next Hop                   Flag Met Ref Use If
::68.114.165.1/128             ::                         U    1024 0     1 charterv6
2602:100::/32                  ::                         Un   256 0     0 charterv6
fe80::/64                      ::                         Un   256 0     0 charterv6
fe80::/64                      ::                         U    256 0     0 eth1
fe80::/64                      ::                         U    256 0     0 eth2
::/0                           ::68.114.165.1             UG   1024 0    30 charterv6
::/0                           ::                         !n   -1  1    32 lo
::1/128                        ::                         Un   0   3    47 lo
2602:100:189f:xxxx::1/128      ::                         Un   0   1    50 lo
fe80::189f:xxxx/128            ::                         Un   0   1     0 lo
fe80::21b:21ff:fe98:456a/128   ::                         Un   0   1     0 lo
fe80::21b:21ff:feab:bd3c/128   ::                         Un   0   1     0 lo
ff00::/8                       ::                         U    256 0     0 charterv6
ff00::/8                       ::                         U    256 0     0 eth1
ff00::/8                       ::                         U    256 0     0 eth2
::/0                           ::                         !n   -1  1    32 lo

答案1

您对 ipv4 使用状态过滤,但我没有看到任何允许入站封装的第 6 层流量的规则,也许这就是问题所在?

如果我没记错的话,6rd 也使用协议编号 41?

iptables -I INPUT 3 --protocol 41 -s 68.114.165.1 -j ACCEPT

编辑:如果您想接收来自您的 ISP 的其他第 6 个客户的流量,您还需要接受来自这些客户的流量。

相关内容