aptitude update stark verzögert bei Ipv6

    Hallo Gemeinde,


    Ich habe einen neuen KVM-Server mit Debian 8.4 aufgesetzt und mit IPv4 und IPv6 im Dual Stack konfiguriert. Eine Firewall ist bisher noch nicht eingerichtet.
    Nun bemerke ich, dass beim aptitude update der Prozess bei "100% [Verbindung mit security.debian.org (2001:a78:5:1:216:35ff:fe7f:6ceb)]" einige Minuten verzögert, dann jedoch ohne Fehlermehldung durchläuft. Das Ergebnis meiner Netzrecherche ergab, dass es sich dabei um ein Problem handelt, dass auftritt, wenn man über IPv6 auf die Debian Security Repositories zugreift. Entsprechende Tests auf meinem Server bestätigen den Zusammenhang mit IPv6.


    In den Netzquellen wird stets empfohlen, IPv6 für die Zugriffe auf die Debian Repositories auszuschließen. So weit so gut.
    Doch ich habe nirgends etwas zu den Hintergründen gehört. Sind die Debian Repositories ein Problem mit IPv6, liegt ein Bug in Debian vor oder liegt das Problem in meiner Serverkonfiguration?


    Kann mir hier jemand mit Hintergrundinfos auf die Sprünge helfen?


    Vielen Dank schon mal im Voraus für Eure Mühe. :)
    Curio

    Debian Jessie
    i-MSCP 1.2.17

    Einmal editiert, zuletzt von Curio ()

    Die Ausgabe von "ip -6 r s":

    Code
    2a03:4000:6:40ce::/64 dev eth0 proto kernel metric 256
fe80::/64 dev eth0 proto kernel metric 256
default via fe80::1 dev eth0 metric 1024


    Curio

    Dann solltest Du den Server also auch anpingen können:

    Code
    ping6 -I 2001:db8::1 -c 3 security.debian.org

    Natürlich vorher die IP-Adresse durch Deine eigene ersetzen.

    Hier habe ich offensichtlich einen Fehler in der IPv6-Konfiguration. Ich kann keine iPv6 Adressen anpingen.

    Code
    ping: bind icmp socket: Cannot assign requested address


    Ich habe es auch gleich mal mit Anpingen der ipv6.google.com versucht - mit gleichem Ergebnis.


    Ich muss also erst noch mal meine IPv6 Konfiguration überprüfen.


    Curio

    So. Ich hatte einen Schreibfehler in der /etc/Network/Interfaces. Der ist nun korrigiert.
    Die Verzögerung beim "aptitude update" ist tatsächlich verschwunden. :thumbup:


    Code
    # ping6 -I 2a03:******::* -c 3 security.debian.org
PING security.debian.org(lobos.debian.org) from 2a03:******::* : 56 data bytes
64 bytes from lobos.debian.org: icmp_seq=1 ttl=61 time=4.01 ms
64 bytes from lobos.debian.org: icmp_seq=2 ttl=61 time=4.61 ms
64 bytes from lobos.debian.org: icmp_seq=3 ttl=61 time=3.97 ms
--- security.debian.org ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 3.972/4.200/4.612/0.296 ms



    Vielen Dank erst mal bis dahin für Deine weiterführende Hilfe, A.
    Allerdings wenn ich "aptitude update" per ipv6 aufrufe, erhalte ich einige Fehler beim Aufruf der Repositories:



    Heißt das nun, dass nur die Security Repositories von Debian per ipv6 erreichbar sind und der Rest nicht?


    Curio

    So isses:


    Mit ftp2 geht es aber:

    Zitat von Curio

    Heißt das nun, dass nur die Security Repositories von Debian per ipv6 erreichbar sind und der Rest nicht?


    Da du ja aber ein DualStack betriebt laufen lässt, sollte es ja weiterhin auch über IPv4 funktionieren. Eine weitere Möglichkeit wäre den Mirror von netcup zu nehmen oder HTTPredir was ich persönlich nutze. Der Vorteil damit, du kannst dir eine Routine bauen und musst nie den Mirror anpassen, denn es wird immer einer in der näheren Umgebung genommen, welcher auch erreichbar ist.

    @ A
    Vielen Dank noch mal für Deine kompetente Hilfe, die DNS-Abfrage per dig und den Hinweis auf ftp2. Hat mich auf die richtige Spur gebracht. :)


    @ twiddem
    Toller Tip mit HTTPredir. Hab' ich gleich in meiner sources.list eingetragen und funktioniert bestens. Keine Fehlermeldungen mehr bei "aptitude update" über IPv6. Herzlichen Dank.


    Grüße, Curio