Fortigate IPv6 SIT-Tunnel von Hurricane Electric hinter AVM fritz.box

Interessante Sache … Ich betreibe die fritz.box (FB) rein mit IPv4. Die Fortigate (FG) ist als exposed host freigegeben. Die config der FG sieht so aus:

config system sit-tunnel
edit “HE”
set destination 216.xx.yy.zz
set ip6 2001:470:aaaa:bbbb::2/64
set interface “outside”
next
end

config router static6
edit 1
set device “HE”
next
end

Das funktioniert so weit ganz gut, aber NUR wenn ich auf der FB im Support-Interface (/support.lua) einen Paketmitschnitt auf dem Internet-Interface mache.

Hier ein kurzer Trace, was die FG sieht, wenn der Paketmitschnitt aus ist:

id=20085 trace_id=1594 func=resolve_ip6_tuple_fast line=3286 msg=”vd-root received a packet(proto=6, SERVER:22->CLIENT:62426) from HE.”
id=20085 trace_id=1594 func=resolve_ip6_tuple_fast line=3311 msg=”Find an existing session, id-00000149, reply direction”
id=20085 trace_id=1594 func=ipv6_fast_cb line=58 msg=”enter fast path”
id=20085 trace_id=1595 func=resolve_ip6_tuple_fast line=3286 msg=”vd-root received a packet(proto=6, CLIENT:62426->SERVER:22) from lan.”
id=20085 trace_id=1595 func=resolve_ip6_tuple_fast line=3311 msg=”Find an existing session, id-00000149, original direction”
id=20085 trace_id=1595 func=ipv6_fast_cb line=58 msg=”enter fast path”
id=20085 trace_id=1596 func=resolve_ip6_tuple_fast line=3286 msg=”vd-root received a packet(proto=6, SERVER:22->CLIENT:62426) from outside.”
id=20085 trace_id=1596 func=resolve_ip6_tuple_fast line=3311 msg=”Find an existing session, id-00000149, reply direction”
id=20085 trace_id=1596 func=vf_ip6_route_input line=898 msg=”reverse path check failed, drop”

Die FG glaubt, das Paket käme aus dem Interface “outside” anstatt aus dem Interface “HE” (im Gegensatz zu dem ersten Paket, was richtig aus HE kam). Daher greift der Spoofing-Algorithmus und dropped das Paket.

Ein wenig Abhilfe brachte der folgende Workaround:

config system settings
set asymroute6 enable
end

Damit konnte ich mich zumindest per SSH auf dem Server anmelden. Allerdings stirbt die Session nach kurzer Zeit wieder, weil keine Pakete mehr empfangen werden.

Ich vermute, das Ganze hat was damit zu tun, dass der tcpdump auf der FB das Interface in den promiscuous mode setzt. Entsprechende Tickets hab ich bei AVM, Hurricane Electric und Fortigate offen. Mal sehen was zurück kommt 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *