hop-limit IPV6

  • manchmal erreicht der eine Ubuntu Root-Server den anderen nicht mehr über IPV6. Bei dem anderen steht dann im Syslog:


    Jul 11 15:40:25 mail kernel: [ 2238.307030] [UFW BLOCK] IN=ens3 OUT= MAC=56:37:f7:ed:7a:45:2c:6b:f5:a0:77:c0:86:dd SRC=2a03:4000:0017:yyyy:0000:0000:0000:0001 DST=2a03:4000:0006:xxxx:0000:0000:0000:0001 LEN=80 TC=0 HOPLIMIT=63 FLOWLBL=180741 PROTO=TCP SPT=52948 DPT=1234 WINDOW=28800 RES=0x00 SYN URGP=0


    Auch bei abgeschalteter FW kommen die Pakete dann nicht durch. Ein MTR -6 funktioniert in beide Richtungen.

    Nehme ich für die Dovecot Replication wieder die IPV4 Adressen ist alles gut.

  • Welche Firewallregeln hast Du dort aktiv, die es blocken könnten? So für sich alleine ist der Logauszug leider wenig wert, weil man nicht weiß, was dort anschlägt.


    Code
    ip6tables -n -v --list

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Ist nicht reproduzierbar: jetzt läuft es ohne Änderungen der Regeln auch wieder mit IPV6. Es lief auch schon 2 Tage vorher. Ich melde mich hier wieder sobald es neuerlich auftreten sollte.

  • also das Problem ist, dass in einem der beiden Rechner die FW Regel für den Dovecot Replication Port nach einem Neustart verschwindet.

    Aufgesetzt wurde die Regel auf beiden Rechnern (Ubuntu 16.04) mit dem Befehl
    ufw allow from 2a03:4000:17:yyyy::1 to any port 1234 proto tcp

    Bei einem ip6tables -n -v --list ist die Regel auch wieder zu finden. Allerdings nicht mehr nach einem Reboot. Auf dem anderen Rechner überlebt die Regel einen Reboot. Lässt man sich nach dem Reboot den Status der UFW anzeigen scheint die Regel auch noch da zu sein:


    In den IP-Tables ist aber der Eintrag für den Port 1234 verschwunden.

  • Hast du mehrere IPv6-Adressen eingerichtet? Ggf. werden unterschiedliche Absenderadressen verwendet :)


    edit: Ich hab die Log-Message im ersten Beitrag nur überflogen, klingt doch nach anderen komischen Dingen.

  • Nein, ich habe nur eine IPv6 Adresse eingerichtet.

    Ich habe jetzt die FW deaktiviert, alle Regeln raus geworfen und neu aufgesetzt; konsequent mit dem ufw app - also wo für einen Dienst wie Postfix oder Dovecot mehrere Ports eingerichtet sind - vorher gab es für jeden Port eine Regel. Bislang scheint alles zu laufen.

  • Nach dem Reboot hat es mir auf einem Rechner wieder einen Teil der IP Table zerrissen: hier ein Teil aus ip6tables -n -v --list vorher:

    Code
    Chain ufw6-user-input (1 references)
     pkts bytes target     prot opt in     out     source               destination
        0     0 ACCEPT     tcp      *      *       ::/0                 ::/0                 tcp dpt:1222 /* 'dapp_OpenSSH' */
        0     0 ACCEPT     tcp      *      *       ::/0                 ::/0                 multiport dports 80,443 /* 'dapp_Apache%20Full' */
       11   880 ACCEPT     tcp      *      *       ::/0                 ::/0                 tcp dpt:25 /* 'dapp_Postfix' */
        0     0 ACCEPT     tcp      *      *       ::/0                 ::/0                 tcp dpt:465 /* 'dapp_Postfix%20SMTPS' */
        0     0 ACCEPT     tcp      *      *       ::/0                 ::/0                 tcp dpt:587 /* 'dapp_Postfix%20Submission' */
        0     0 ACCEPT     tcp      *      *       ::/0                 ::/0                 tcp dpt:4190
        4   320 ACCEPT     tcp      *      *       ::/0                 ::/0                 multiport dports 143,1234 /* 'dapp_Dovecot%20Full' */

    nach dem Boot:

    nach einem ...

    Code
    sudo ufw disable
    sudo ufw enable

    ..werden die IPTABLES teilweise wiederhergestellt:

    bleiben die udp-Einträge, die vorher nicht da waren.