IPv6 Problem

  • Hallo, ich habe ein Problem mit meinem vServer.


    Trotz (meiner Meinung nach korrekten) konfiguration ist der Server von ausserhalb nicht erreichbar.


    IPv6-Subnet 2a03:4000:8:3da::/64


  • Debian 9 nutze ich.


    Und ja die Einträge sind/waren schon exakt so vorhanden


    Code
    1. PING fe80::1(fe80::1) from fe80::c875:e8ff:fe46:c2f0%eth0 eth0: 56 data bytes
    2. From fe80::c875:e8ff:fe46:c2f0%eth0 icmp_seq=1 Destination unreachable: Address unreachable
  • In Debian 9 heißen die Devices klassischerweise ens3 - es kann auch sein, dass Netcup die Devices bei der Image Installation umbenennt.

    Da fe80::1 nicht erreichbar ist, ist das ein Fall für den Support. (mail@netcup.de) mit der Angabe, dass fe80::1 nicht erreichbar ist.


    Du kannst sonst noch über das Rettungssystem probieren, ob fe80::1 erreichbar ist bzw. die Firewall einmal überprüfen ip6tables -S

  • Ja, Netcup benennt die Devices um. Was an sich ja auch kein Problem ist. IPv4 funktioniert ja.

  • Aber über deine Firewall müssen wir nochmal reden.

    Da fehlt das gesamte fe80::/10 Netz und ICMP.

    Testweise kannst du ja die Input Policy auf Accept stellen.


    Die Firewall Config sieht sehr generisch aus. Wer generiert dir die denn so?

  • So sieht meine Firewall aus für IPv6


  • Sind Settings für einen Mail/DNS/SQL Server


    Edit: Habe nun den Adapter von virtio auf rtl8139 geändert.

    Nun kann ich wenigstens schonmal fe80 pingen.


    Mal testen ob der Rest auch klappt


    Edit2: Nein, ausser das ich nun fe80 pingen kann, hat sich nichts geändert.

  • Ich schließe mich hier mal an. Mein IPv6 funktioniert zwar, aber mich verwundert was anderes - irgendwie habe ich zwei IPv6 Adressen auf meinem Interface, obwohl ich nur eine eingerichtet habe. Muss das so, oder kommt mir das berechtigt komisch vor?


    ipv6.png

    VPS 1000 G8 Plus | VPS 200 G8 | selbstgebautes NAS


    Wer im Netz Anstand und Respekt verliert, der ist auch im realen Leben für nichts zu gebrauchen! ;)

  • Das ist eine "Link-Local" Adresse (https://en.wikipedia.org/wiki/Link-local_address#IPv6).

    Ahh. Das macht Sinn. ^^



    So sieht meine Firewall aus für IPv6


    Würde es nicht prinzipiell Sinn machen, die NDP Typen nur für den NDP Netzbereich zuzulassen?

    VPS 1000 G8 Plus | VPS 200 G8 | selbstgebautes NAS


    Wer im Netz Anstand und Respekt verliert, der ist auch im realen Leben für nichts zu gebrauchen! ;)

  • Ich bin persönlich der Meinung, dass ICMP in irgendeiner Art abdrehen nicht sinnvoll und ratsam ist. Es fällt in der Regel einfach unter das Konzept "Security by Obscurity" und naja, die meisten Informationen, die man via ICMP bekommen kann, – wenn nicht alle – gibt es auch über andere Wege und Optionen.

  • Ich bin persönlich der Meinung, dass ICMP in irgendeiner Art abdrehen nicht sinnvoll und ratsam ist. Es fällt in der Regel einfach unter das Konzept "Security by Obscurity" und naja, die meisten Informationen, die man via ICMP bekommen kann, – wenn nicht alle – gibt es auch über andere Wege und Optionen.

    Naja stimmt schon, dass Ding ist, dass ICMPv6 nicht mehr dem einfachen ICMP(v4) entspricht, wo mal drei Pakete hin und her geschubbst werden, und dann gesagt wird "Joa is gut."


    Ich kenne mich nicht sonderlich gut mit IPv6 aus, aber im Rahmen des NDP wurde ja ARP sozusagen abgeschafft, und dessen Funktionen (und einige mehr) in ICMP implementiert, woraus dann halt ICMPv6 entstand.


    Mit ICMPv6 gibt es ja ca. 30 Typen von Ping, und wenn ich recht gelesen habe, sind da auch Sachen dabei, die z.B. nur für Router gedacht sind. Ich glaube, da sollte ein regulärer Server nicht unbedingt drauf hören... Meine wage Vermutung. Ich habe recht oft gelesen, dass man bei ICMPv6 da nochmal ne ganze Nummer vorsichtiger sein muss, als bei einfachem ICMP(v4)...

    VPS 1000 G8 Plus | VPS 200 G8 | selbstgebautes NAS


    Wer im Netz Anstand und Respekt verliert, der ist auch im realen Leben für nichts zu gebrauchen! ;)

  • Es ist der feine Unterschied zwischen blockieren und drauf hören/reagieren:

    Im Netcup v6 Setup werden auch vom Router Router Advertisments gesendet. Da dies aber gerne mal zu Problemen führt, sollte man die default route statisch konfigurieren und das Verarbeiten derer deaktivieren, siehe die Empfehlungen sysctl Einstellungen im netcup Wiki.