plexxus
Goto Top

Fortigate IPv6 - Windows 2012 Server vergisst die route nach wenigen Sekunden?

Wir haben vom Provider einen Cisco Router (2001:900:400::1) mit einem /48 Netz bekommen.

Unsere Fortigate hat zum WAN Port hin 2001:900:400:2.
Unser interface1 (intern) hat 2001:900:400:5000::1/64.

Ich muss von jedem Windows8 bzw Windows2012 Client (2001:900:400:5000::2,3,4,5) an den Cisco router (2001:900:400::1) bevor ich ins Internet will einen Ping absetzen.

Unser Linux Mailfilter bzw. einige ältere Windows Server 2008 .. haben kein Problem.

Habe die IP Adressen teilweise fix, teilweise per DHCP verteilt, macht aber keinen unterschied.

Auf der Firewall wird alles eingehend blockiert bis auf das was notwendig ist. (SMTP, VPN, Webmail).

Ausgehend dürfen die Clients alles. (interface1 to wan1, all sources to all destinations, all services, all time,..)

Hat wer von euch sowas schon erlebt?

lg plex

Content-Key: 317042

Url: https://administrator.de/contentid/317042

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 06.10.2016 um 15:17:56 Uhr
Goto Top
Hallo Plex,

stimmen die Routen denn Grundsätzlich? Seit wann besteht das Problem?

VG
Mitglied: Chonta
Chonta 06.10.2016 um 15:32:30 Uhr
Goto Top
Hallo,

bei der Übersicht von: route print ist die Notwendige Route weg?

Gruß

Chonta
Mitglied: aqui
aqui 06.10.2016 aktualisiert um 21:10:10 Uhr
Goto Top
Ich muss von jedem Windows8 bzw Windows2012 Client (2001:900:400:5000::2,3,4,5) an den Cisco router (2001:900:400::1) bevor ich ins Internet will einen Ping absetzen.
Das ist natürlich Unsinn und zeugt von einer IPv6 Fehlkonfiguration im Router / Firewall oder im Switch.
Kann das sein das deine IPv6 Router Advertisements im Switch oder Router / Firewall deaktiviert sind ?
Ggf. v6 Neighbor Discoveries auch noch ??
Mitglied: plexxus
plexxus 10.10.2016 aktualisiert um 08:54:42 Uhr
Goto Top
ja ich weiß es selber nicht seit wann das ist, da es bei den Geräten die ins Internet müssen es ja funkioniert (prä 2012 / Windows 10, .. windows 8.1 hab ich nicht im haus) und mir somit nicht gleich aufgefallen ist.

Mir kommt vor das es seit einem letzteren Windows Update ist (ist mir stark bei meinem Windows 10 PC aufgefallen).
Windows Firewall hab ich überall mal deaktiv, Routen sind eingetragen.
Router lässt sich auch anpingen. Aber es ist egal, bei den Geräten wo es nicht funktioniert kann ich per DHCP oder Fixe IP, .. beides geht nicht.

Hab einen Windows 2008 Server neu konfiguriert, IP fix eingetragen.. funktioniert.. findet sofort über IPv6 raus.

Hab festgestellt das wenn ich den Cisco Router von den defekten Clients pinge .. ich dann von allen IPv6 Adressen einen reply bekomme, die aber kompletter bullshit sind, weil google <1ms pingen geht nicht, da antwortet also ein anderes Gerät.

Auf der Forti sind viele Neighbors eingetragen, .. auf den defekten Clients findet er auch alle möglichen Nachbarn (netsh interface ipv6 show neighbors level=verbose)

Sieht auch jetzt GUI mäßig und was ich in der Console gegenüberstellen kann, alles gleich aus.

Ich hab die Windows 2008 sowie 2012 Server in vmware, somit auch idente Treiber (vmxnet3).. einzig unser 2012 DC hat einen emulierten (Standard) Intel 82574L Treiber.. dort funkioniert IPv6 auch.

Ich hab bei meinem PC aber einen Intel 82579LM drin.. und das streikt auch.

Ich experimentier noch mit den Optionen um herauszufinden ob es an den Treibern / Windows liegt.

jedenfalls es ist zum Haare raufen..
Mitglied: aqui
aqui 10.10.2016 um 15:58:02 Uhr
Goto Top
Wenn du ne Intel Karte hast dann natürlich unbedingt die original Intel Treiber nehmen. Niemals die embeddeten von Winblows !
https://downloadcenter.intel.com/de/product/47549/Intel-Gigabit-Ethernet ...
Mitglied: plexxus
plexxus 10.10.2016 um 17:18:55 Uhr
Goto Top
Witzigerweise gehts in der vm wo default Intel Treiber installiert sind.