Köszi a tippeket!
Nos, a router br-lan interfészén nálam a következő címek vannak:
- rendes IPv4-es cím, amit eddig is használtam
- IPv6 global, 2001:470:xxxx:1::1/64
- IPv6 link-local, fe80::valami
Másmilyen cím nincs rajta, ezek mindegyike pingelhető a kliensemről.
A kliensről pingelhető a távoli HE végpont IPv4-en, és IPv6-on pedig a HE tunnel távoli végének a címe.
A kliensek DHCPv6-on megkapják a delegált címtartomány egy /64-es subnetjéből (2001:470:xxxx:1::0/64) a címüket.
A routeren a tunnel interfésznek pedig az alábbi címei vannak:
- IPv6 global, 2001:470:cccc:dddd::2/64
- link-local fe80::
Más bejegyzés nem látszik az "ip a s" kimenetében, ettől függetlenül a prefix delegáció szerintem működik rendesen, mert a tunnel beállításainál beírtam, ahogy kell, és a helyi LAN és WLAN-on rendesen osztva vannak a megfelelő /64-es subnetekből a címek.
Tehát ebből megkockáztatom, hogy a beállítások túlnyomó többsége rendben van.
Valamilyen tűzfal beállításra tudok már csak gondolni.
Arra esetleg van valamilyen tippje valakinek, hogy azt hogyan lehet megnézni valamilyen számlálóval, hogy melyik iptables rule mennyiszer match-csel, illetve ezen számlálókat hogyan lehet nullázni?
Gondolom ez lenne a legcélszerűbb lépés, hogy lássam melyik szabály droppolhatja a kifelé tartó forgalmamat.
Erre abból jutottam, hogy ha tcpdumpolok az "any" interfészen, akkor azt látom, hogy bármely forgalom, amely már a tunnel távoli végpontján túlra menne, beérkezik a routerre, de kifelé már sehová sem megy. Sem a tunnelbe, sem bármelyik másik interfészre, annak ellenére, hogy az "ip ro get" parancs a tunnelt dobja ki rá, tehát a kinti cím a megfelelő irányban látszik.