IPv6 Einrichtung: Funkioniert nur eine zufällige Zeitspanne lang

  • Hallo allerseits,
    ich wollte meinen Server (RS 2000 G7 SE,Debian Jessie) fit für IPv6 machen und habe es entsprechend eingerichtet. Folgende Schritte habe ich dabei unternommen:

    • /etc/network/interfaces angepasst:

      Code
      1. iface eth0 inet6 static
      2. address 2a03:4000:XXXX:XXXX::1
      3. netmask 64
      4. gateway fe80::1
    • Einen Eintrag in der Hosts-Datei vorgenommen: 2a03:4000:XXXX:XXXX::1 hostname.example.com hostname
    • Domains um entsprechende AAAA-Einträge erweitert.

    Das funktioniert soweit auch, allerdings meist nur kurz. Zu Beginn ist der Server bzw. seine Dienste problemlos über IPv6 ansprechbar doch noch einer Weile (mal sind es nur wenige Minuten, zuletzt jedoch knapp 5 Tagen) laufen alle Verbindungsversuche, sowohl raus als auch rein, ins Leere. Nach einem Neustart des Servers funktioniert es wieder einige, zufällige, Zeit. Ich gebe zu ich bin was IPv6 bzw. was die Networking-Konfiguration unter KVM-Servern allgemein angeht nicht der hellste, da ich hier in der Vergangenheit von verschiedenen vServern (anderer Anbieter) verwöhnt bzw. entmündigt wurde und somit nie damit behelligt wurde. ^^
    Mein erster Verdacht war IPtables (welche ich mittels ufw steuere), doch das erklärt nicht, warum es einige Zeit funktioniert und dann plötzlich nicht mehr. Zudem sind, soweit mir ersichtlich, alle nötigen Ports auch für IPv6 offen, die benötigt werden. Es funktioniert anfangs auch bspw. den Webserver anzusprechen. In den Logs (Kern, Sys, Daemon) lässt sich auch nicht der geringste Anhaltspunkt finden, warum es nicht mehr funktionieren sollte. ?(


    Auf anraten des Supports habe ich im Rettungssystem auch einmal probiert, dort funktioniert es problemlos. Allerdings habe ich dort keine Langzeitbeobachtung machen können (so lange will ich das Live-System nicht vom Netz nehmen), ob es dort auch nach einer Weile wieder abbricht. Ein Problem jenseits meiner Reichweite ist damit vielleicht noch nicht auszuschließen, auch wenn der Herr vom Support mir versichert, dass das nahezu ausgeschlossen sei.


    Vermutlich habe ich also irgendwo irgendetwas falsch gemacht, vergessen oder übersehen. Würde mich daher über Hinweise sehr freuen, was ich noch testen oder überprüfen sollte. :)

  • Ich habe folgende Einstellungen




    iface lo inet6 loopback


    iface eth0 inet6 static
    address 2a03:4000:xxxx:xxxx::1
    netmask 64
    up ip addr add 2a03:4000:xxxx:xxxx::2/128 dev eth0 # Weitere Adressen
    gateway fe80::1


    zusätzlich habe ich die router advertisement abgeschaltet (sysctl.conf)


    net.ipv6.conf.eth0.accept_ra=0
    net.ipv6.conf.all.accept_ra=0
    net.ipv6.conf.default.accept_ra = 0

  • Vielen Dank für die Antwort. Ich habe es mal testweise übernommen (natürlich mit meinen Adressen angepasst) aber auch keinen Erfolg. Der Server war schon nach wenigen Minuten wieder nicht mehr über IPv6 zu erreichen. Bin weiter ratlos. ?(

  • Wenn es funktioniert:

    Code
    1. 2a03:4000:10::3 dev eth0 lladdr f0:1c:2d:7d:40:c0 router STALEfe80::1 dev eth0 lladdr 00:00:5e:00:02:02 router REACHABLEfe80::f21c:2d00:797d:40c0 dev eth0 lladdr f0:1c:2d:7d:40:c0 router STALE2a03:4000:10::1 dev eth0 lladdr 00:00:5e:00:02:02 router STALE


    Wenn es nicht mehr geht:

    Code
    1. 2a03:4000:10::3 dev eth0 lladdr f0:1c:2d:7d:40:c0 router STALEfe80::1 dev eth0 lladdr 00:00:5e:00:02:02 router STALEfe80::f21c:2d00:797d:40c0 dev eth0 lladdr f0:1c:2d:7d:40:c0 router STALE2a03:4000:10::1 dev eth0 lladdr 00:00:5e:00:02:02 router STALE


    Problem also der Router in Zeile 2? ?(


    Edit: Okay, obriges ignorieren. Aktuell funktioniert es, ohne, dass ich etwas geändert hätte. :S Mal schauen, ob es diesmal auch stabil bleibt.

  • Du musst wie margau sagte IPv4 ebenfalls statisch einstellen.


    Ich lehne mich mal aus dem Fenster und behaupte, sobald die IPv4 DHCP Lease erneuert wird, droppt er die statische IPv6 Konfiguration.



    PS: Denk an die Firewall, iptables deckt IPv6 nicht ab => ip6tables gibt es separat.
    fail2ban ist derzeit IPv4-only, daher SSH Port auf IPv6 nicht freigeben, unter IPv6 ist fail2ban eh fragwürdig, da "eigentlich jeder" ein /64 Bit Subnetz hat ;)

  • Jap, genau das scheint es gewesen zu sein. Jetzt läuft es stabil und scheint – zumindest bisher – Reboot fest zu sein. :thumbsup:

    PS: Denk an die Firewall, iptables deckt IPv6 nicht ab => ip6tables gibt es separat.
    fail2ban ist derzeit IPv4-only, daher SSH Port auf IPv6 nicht freigeben, unter IPv6 ist fail2ban eh fragwürdig, da "eigentlich jeder" ein /64 Bit Subnetz hat ;)

    Wichtiger Tipp! Zum Glück hatte ich mich da schon vorher schlau gemacht und entsprechend vorgesorgt, bzw. festgestellt, dass da schon gut vorgesorgt ist. Im Image von Netcup von Debian 8 ist ip6tables schon standardmäßig mit drin und aktiv. UFW legt dann sogleich auch für beide Version die Regeln an. :)