"No route to host" zu anderem netcup-Server

Hallo allerseits,

ich habe mir vor kurzer Zeit einen Root-Server M bestellt. Dieser ist soweit eingerichtet und ich dachte eigentlich, dass alles funktioniert.
Ich habe vor zwei Tagen bemerkt, dass ich keine E-Mails mehr von einem Freund bekommen kann, dessen Server ebenfalls bei netcup ist. Ich habe somit versucht, das Problem zu lokalisieren. Wenn mein Freund auf seinem Server nun versucht meinen Mailserver auf dem SMTP-Port zu erreichen, kommen nur folgende Meldungen:

> telnet 46.38.237.169 25
Trying 46.38.237.169...
telnet: Unable to connect to remote host: No route to host

> telnet 2a03:4000:2:1af::1 25
Trying 2a03:4000:2:1af::1...
telnet: Unable to connect to remote host: No route to host

Das selbe Spiel ist auch bei einem wget und einem Traceroute. Die Fehlermeldung ist immer "No route to host".

Auf meinem Rechner zu Hause oder von anderen Servern, funktioniert der Verbindungsaufbau mittels telnet problemlos. Auch sonst muss es funktionieren, denn ansonsten scheint der Mailverkehr komplett problemlos zu laufen.

Ich habe zur Sicherheit auch noch einmal meine komplette Firewall deaktiviert, geändert hat dies an der Tatsache jedoch nichts.

Deshalb habe ich dem Support gestern abend eine E-Mail geschrieben. Heute morgen dann, habe ich auch ziemlich früh eine Antwort bekommen. Um das Problem nachzuvollziehen wurde allerdings der Server meines Freundes ohne Vorwarnung mit Finnix gestartet. (Ist es normal, dass das einfach ohne Vorwarnung geschieht? Mein Freund war auf alle Fälle ziemlich verduzt, als bei Ihm heute morgen das nagios ein Fehler gemeldet hat... Von meinem alten Hoster, war ich solche nicht explezit vorher angekündigten Neustart jedenfalls nicht gewohnt...)
Naja, die Antwort vom Support war, dass vom Server meines Freundes problemlos pings an meinen Server problemlos möglich wären. Diese Antwort, habe ich erstmal als Fakt angenommen.
Allerdings habe ich mich gleich gefragt, weshalb mein Server auf pings antworten sollte. Denn eigentlich werden ping-Anfrage von meiner Firewall gedroppt und wenn ich versuche zu pingen, dann kriege ich keine Antwort.

Um das ganze nachzuvollziehen, habe ich vor einigen Minuten meinen Server auch mit Finnix gestartet und dort versucht, eine SMTP-Verbindung mittels telnet zum Server meines Freundes aufzubauen. Es hat natürlich nicht geklappt und auch ein traceroute ist gnadenlos gescheitert. Die Fehlermeldung war erneut "No route to host".

Deshalb wollte ich fragen, ob ihr einen Tipp für mich habt, wie ich den Fehler eingrenzen (und hoffentlich beheben) kann.

Falls es weiterhilft, meine (nicht veränderten) Routingtabellen:

> route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         46.38.232.1     0.0.0.0         UG    0      0        0 eth0
46.38.232.0     0.0.0.0         255.255.248.0   U     0      0        0 eth0

> route -6 -n
Kernel IPv6 routing table
Destination                    Next Hop                   Flag Met Ref Use If
2a03:4000:2:1af::/64           ::                         U    256 0     0 eth0
fe80::/64                      ::                         U    256 0     0 eth0
::/0                           ::                         !n   -1  1   225 lo
::1/128                        ::                         Un   0   1     7 lo
2a03:4000:2:1af::1/128         ::                         Un   0   1   589 lo
fe80::5054:8fff:fe25:2db5/128  ::                         Un   0   1    33 lo
ff00::/8                       ::                         U    256 0     0 eth0
::/0                           ::                         !n   -1  1   225 lo

Zitat von [netcup] Felix

Lässt sich dieses Verhalten im Rettungssystem rekonstruieren?

Wenn ich meinen Server ins Rettungssystem (Finnix) boote, dann kann ich ebenfalls keine telnet-Verbindung/traceroute/wget zum Server meines Freundes ausführen. Der Fehler ist ebenfalls "No route to host" - egal ob nun IPv4 oder IPv6. (Wobei ich mir gerade nicht sicher bin, ob IPv6 überhaupt konfiguriert war.)
Ihr Supporter meinte jedoch gestern im Ticket (NC#2014050510003863), dass es im Rettungssystem problemlos funktionieren würde. Weshalb es bei ihm ein ping jedoch funktioniert hat (obwohl der Zielserver eigentlich eine Firewall hat, die nicht auf Pings antwortet), ist für mich noch schleierhaft.

Vorhin haben mein Freund und ich, beide den Server ins Rettungssystem gefahren und versucht uns gegenseitig anzupingen. Dies hat ebenfalls nicht funktioniert. Ein ping von meinem privaten Internetanschluss zu meinem Server im Rettungssystem hat jedoch problemlos geklappt.
Nähere Informationen mit Ausgaben findet ihr im gerade aufgemachten Support-Case.

Bisher gibt es noch keine Lösung - zumindest keine die mir bekannt ist.
Der aktuelle Stand ist, dass netcup das Problem gestern auf zwei Testsystemen nicht nachstellen konnte. Deshalb will netcup unsere zwei Server in den Rettungsmodus fahren will, um das Problem direkt nachvollziehen zu können. Die Erlaubnis um es sich direkt auf unseren Systemen im Rettungsmodus anschauen zu können, haben wir beide gestern abend per E-Mail erteilt. (Die Erlaubnis hat nur den heutigen Tag umfasst.) Wenn ich mein Monitoring richtig deute, dann wurden die Systeme bisher noch nicht im Rettungsmodus analysiert.
Sobald ich mehr weiß, werde ich es posten.

Das Problem wurde von netcup behoben. Es lag wohl irgendwie am routing, wobei mein Routingtabelle noch wie im Anfangspost gezeigt aussieht. (Und es funktioniert zur Zeit über IPv4.)

Der Support hat mir noch geschrieben, dass im Fall eines erneuten Ausfalls, folgender Routingeintrag helfen sollte:

route add -net 46.38.232.0/21 gw 46.38.232.1 dev eth0

Über IPv4 wurde das Problem nun behoben. IPv6 ist allerdings weiterhin betroffen.

Die Server können sich untereinander per IPv6 nicht erreichen. Dies ist aber vielleicht auch ein anderes Problem, weshalb dazu gerade ein neues Thema aufgemacht habe: IPv6 Verbindung sehr instabil