Routing (Nating) von localhost (::1/128) über IPv6 funktioniert nicht

karl047

Hallo,
obwohl ich es nicht brauche, aber wundere ich mich, wieso der Ping-Test von localhost über IPv6 nicht klappt?
In Outbound NAT schon eingetragen, so dass localhost IPv6 Adresse (::1/128) über WAN geroutet werden soll, aber Ping gibt immer diese Ergebnis:

PING6(56=40+8+8 bytes) ::1 --> 2a00:1450:400c:c06::64
ping6: wrote google.com 16 chars, ret=-1
ping6: wrote google.com 16 chars, ret=-1
ping6: wrote google.com 16 chars, ret=-1

--- google.com ping6 statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

Anderes Interface hat sofort unter der gleichen Einstellung geklappt (als Test probiert, weil ich gegen Natting für IPv6 bin)

Warum klappt Natting für localhost über IPv4, aber über IPv6 nicht?

PING google.com (172.253.120.139) from 127.0.0.1: 56 data bytes
64 bytes from 172.253.120.139: icmp_seq=0 ttl=109 time=19.540 ms
64 bytes from 172.253.120.139: icmp_seq=1 ttl=109 time=18.624 ms
64 bytes from 172.253.120.139: icmp_seq=2 ttl=109 time=18.871 ms
--- google.com ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 18.624/19.012/19.540/0.387 ms

Danke euch;
Karl

mike69

@karl047

Moin.

Ping auf localhost geht.

PING6(56=40+8+8 bytes) ::1 --> ::1
16 bytes from ::1, icmp_seq=0 hlim=64 time=0.190 ms
16 bytes from ::1, icmp_seq=1 hlim=64 time=0.119 ms
16 bytes from ::1, icmp_seq=2 hlim=64 time=0.070 ms

--- localhost ping6 statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.070/0.126/0.190/0.049 ms

Die Frage ist, wozu braucht man ein Routing von localhost zu WAN? Die IP 2a00:1450:400c:c06::64 gehört übrigens zu google.com, wie dein Ping zeigt.
Was ist dein Plan?

karl047

@mike69

Hallo,

Ping auf localhost from default (Diagnostics -> Ping) klappt auch bei mir

PING6(56=40+8+8 bytes) ::1 --> ::1
16 bytes from ::1, icmp_seq=0 hlim=64 time=0.103 ms
16 bytes from ::1, icmp_seq=1 hlim=64 time=0.050 ms
16 bytes from ::1, icmp_seq=2 hlim=64 time=0.055 ms

--- ::1 ping6 statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.050/0.069/0.103/0.024 ms

Wie ich vorher geschrieben habe, ich brauche es nicht, aber ich wundere mich nur dass das Ping von localhost nach draußen über IPv4 geht, aber über IPv6 nicht (deswegen stand die IPv6 Adresse von google.com "2a00:1450:400c:c06::64")
Hauptsache, es gehöht zu Standardeinstellung unter NAT die beiden Rules für localhost über WAN (IPv4 und IPv6), und es war ein Zufall dass ich das Ping von localhost über IPv6 probiert habe. (es gibt keinen Plan)
Die Frage, die ich gestellt habe, es gibt ein Rule für localhost IPv6 Adresse über WAN in NAT, warum funktioniert es nicht wie bei IPv4?

Danke;
Karl

mike69

@karl047

Moin.
Hmm, Ping v6 von der Sense über WAN IF zu google.com geht.
Du hast die IP genommen, kann es an der Namensauflösung nicht scheitern.

 In Outbound NAT schon eingetragen, so dass localhost IPv6 Adresse (::1/128) über WAN geroutet werden soll, aber Ping gibt immer diese Ergebnis:

Die Outbound Rule hast Du nur zum testen angelegt?

karl047

@mike69
Hallo,
in Standardeinstellung gibt es eine Rule in Outbound NAT für localhost über WAN (eingestellt mit IPv4, und Netzwerk 127.0.0.0/8). Da das Localhost die IP Adresse 127.0.0.1 und 0::1/128 hat, habe ich auch immer die Rule ::1/128 mit IPv6 über WAN angelegt. Die Namenauflösung hat das PING geschafft, so dass die IP Adresse von google gezeigt wurde.
<<Die Outbound Rule hast Du nur zum testen angelegt?>>
Nein, ich habe es angelegt, so dass localhost seine Verbindung über WAN, genauso wie mit IPv4, auch noch mit IPv6 bekommen kann.
Ich hoffe dass die Idee ein bisschen klarer wird: warum PING v4 für localhost geht und PING v6 nicht?

mike69

@karl047 said in Routing (Nating) von localhost (::1/128) über IPv6 funktioniert nicht:

Ich hoffe dass die Idee ein bisschen klarer wird: warum PING v4 für localhost geht und PING v6 nicht?

Ganz ehrlich? Nein. :)
Verdiene meine Brötchen auch nicht damit. Hier mal unsere zum Vergleich:
Screenshot 2023-06-05 at 09-26-25 pfSense.home - Firewall NAT Outbound.png

Playse und Telefon sind eingetragen, mehr nicht. Soweit ich weiß, ist der Ping unter IPv6 notwendig, somit ist es defaultmässig erlaubt. Nachzusehen in der von der Sense generierten /tmp/rules.debug. Müsste der Part sein:


# IPv6 ICMP is not auxiliary, it is required for operation
# See man icmp6(4)
# 1    unreach         Destination unreachable
# 2    toobig          Packet too big
# 128  echoreq         Echo service request
# 129  echorep         Echo service reply
# 133  routersol       Router solicitation
# 134  routeradv       Router advertisement
# 135  neighbrsol      Neighbor solicitation
# 136  neighbradv      Neighbor advertisement
pass  quick inet6 proto ipv6-icmp from any to any icmp6-type {1,2,135,136} ridentifier 1000000107 keep state

Eventuell können andere was dazu sagen.

karl047

@mike69

trotzdem Danke.
wie ich sehe, es steht bei dir die ::1/128 Adresse darunter.
Hast du irgendwie einen Ping-Test direkt von Localhost nach draußen durchgeführt?

Screenshot 2023-06-05 at 09.55.26.png

sonst alles gut, und danke dir...

mike69

@karl047

Hatte WAN als Source angegeben.
localhost als Source und google.com als Destination: v4 geht und v6 nicht, wie bei Dir.

Warum das so ist?

karl047

@mike69

genau... und das ist das Problem... ich verstehe es auch nicht.

Bob.Dig

@karl047 Hab die Frage von Beginn an verstanden, kann sie aber auch nicht beantworten, da kein Pro. Vermutlich wird ICMP für IPv6 irgendwie anders behandelt.