Seltsame Probleme mit IPv6-Adressen

Ringelnatz · 2. Juni 2015

Nabend zusammen,

ich habe mir vor ein paar Wochen einen neuen Server gemietet und an diesem Wochenende meinen alten auf diesen migriert (Wheezy -> Jessie). Mir sind direkt Probleme mit meiner IPv6-Failover-Adresse aufgefallen, die ich auf dem neuen Server nun erstmals benutze. Leider ist mein Server nicht unter dieser erreichbar, die Standard-IPv6 von dem Server funktionierte normal. Vorab, ich habe noch nie einen Server mit mehr als je einer IPv4 und IPv6-Adresse betrieben, und die Informationen im Netz bezüglich dem Betrieb zweier IPv6-Adressen sind leider recht spärlich. So sieht meine derzeitige Konfiguration (/etc/network/interfaces) wie folgt aus:

Code

auto eth0
iface eth0 inet static
         address ##IPv4.1#
         netmask 255.255.252.0
         broadcast 37.120.179.255
         gateway 37.120.176.1




auto eth0:1
iface eth0:1 inet static
         address #IPv4.2#
         netmask 255.255.255.255




iface eth0 inet6 static
         address #IPv6.1#
         netmask 64
         gateway fe80::1
         post-up ip -6 route add default via fe80::1 dev eth0




iface eth0:1 inet6 static
         address #IPv6.2#
         netmask 64

Alles anzeigen

Die IPv6.2 ist die "Problem-IP", über diese ist mein Server nicht erreichbar. Eine Traceroute zu diese IP ergibt:

Code

tracert #IPv6.2#




Routenverfolgung zu HOSTNAME [#IPv6.2#]
über maximal 30 Hops:




   1    13 ms     2 ms     1 ms  fritz.box [...]
   2     9 ms     9 ms     9 ms  2003:0:5b00:4201::1
   3     9 ms     8 ms     9 ms  2003:0:1202:8318::2
   4    13 ms    12 ms    12 ms  2003:0:130b::1
   5    15 ms    26 ms    20 ms  2003:0:130b:1a::2
   6  Zielhost nicht erreichbar.




Ablaufverfolgung beendet.

Alles anzeigen

Die Route endet noch bei der Telekom, ich kommt nichtmal ins Netcup-Netzwerk. Mit diesen Infos habe ich mich also an den Support gewandt. Dieser wollte, dass ich bei der Konfiguration der IP #IPv6.2# auch das Standardgateway angebe. Soweit ich weiß ist dies bei Alias-Interfaces (in diesem Fall eth0:1) nicht möglich. Natürlich habe ich das trotzdem versucht, ohne Erfolg.
Jetzt wird es zunehmend seltsam. Der Support schreibt mir, die Failover-IP sei dem Server vXXXX... zugeordnet, allerdings habe ich keinen Server mit diesem Namen, was ich wiederum geantwortet habe. Daraufhin habe ich keine Antwort erhalten. Soweit so gut (oder auch nicht).

Mittlerweile läuft unter der anderen IPv6 (nicht die Failover, die "normale" aus dem Subnetz das bei jedem Server dabei ist) eine nette HTML-Animation auf dem Dienst hinter Port 80. Für diese IP habe ich den Webserver allerdings ausdrücklich deaktiviert. Eine kurze Suche lieferte mir dieselbe Animation unter der Seite ColdicE , die wohl auch bei Netcup gehostet wird. Die IP wurde mir zugewiesen (und steht auch so im VCP), aber es laufen fremde Inhalte darauf!?

Ich schreibe diesen Post, da ich keine Idee habe, was ich tun soll? Liegt ein Konfigurationsfehler meinerseits vor? Ich komme leider idR erst nachmittags dazu, dem Support zu antworten, und durch den bisherigen Nachrichtenaustausch ist noch nichts sinnvolles rumgekommen (Wir leiten das an die Administration weiter, Sie haben die IP falsch konfiguriert, Die IP ist einem anderen Server (der Ihnen nicht gehört) zugewiesen, probieren Sie auf diesem, die IP einzurichten). Falls jemand einen Tipp für mich hat wäre ich sehr dankbar.

Das Nicht-funktionieren der IPv6-Adresse, zu der die Hostname-Domain ja auflöst, verursacht Schwierigkeiten/Verzögerungen beim Mailverkehr etc. Somit werde ich diese IP erstmal aus den DNS-Einstellungen entfernen müssen.

KB19 · 3. Juni 2015

Die Definition von zusätzlichen Adressen über ein Alias von eth0 ist in aktuellen Versionen von Debian eigentlich nicht mehr vorgesehen. Womöglich könnte es daran liegen.

Ich habe mir meine eigene IPv6-Failover Adresse leider noch nicht näher angesehen. Zusätzliche IP's werden normalerweise genauso geroutet, wie die primäre IP – auch als "Ziel IP" im VCP ersichtlich, wenn ich das richtig interpretiere. Also über den gleichen Gateway. Von daher sollte man sie einfach so aktivieren können:

Code

iface eth0 inet6 static
        address 2001:db8:affe::1/64
        gateway fe80::1




        # Nullroute für nicht verwendete Adressen
        post-up ip -6 route add 2001:db8:1337::/64 dev lo
        pre-down ip -6 route del 2001:db8:1337::/64 dev lo




        # Die gewünschte(n) IP(s) aktivieren
        post-up ip -6 addr add 2001:db8:1337::1/128 dev eth0 preferred_lft 0
        pre-down ip -6 addr del 2001:db8:1337::1/128 dev eth0

Alles anzeigen

2001:db8:affe::/64 = reguläres Netz
2001:db8:1337::/64 = Failover Netz

Das ist jetzt für das Failover-Szenario ungetestet! Funktioniert so aber problemlos bei anderen Systemen mit mehreren IPv6 Subnetzen/Adressen.

MfG Christian

Ringelnatz · 4. Juni 2015

Danke für Deine Antwort. Ich bin den Weg mit dem Alias-Interface gegangen, weil unter anderem das Netcup-Wiki diesen Weg beschreibt, um zusätzliche IPs hinzuzufügen. Der Versuch, mehrere IPs (sowohl mit der IPv4 als auch mit der IPv6) dem selben Interface hinzuzufügen, ist soeben gescheitert: Die IPs werden offensichtlich ignoriert. Für die IPv6 habe ich die von Dir geposteten Zeilen verwendet, für die IPv4 sah die Konfiguration wie folgt aus:

Code

auto eth0
iface eth0 inet static
        address #IPv4.1#
        netmask 255.255.252.0
        broadcast 37.120.179.255
        gateway 37.120.176.1




iface eth0 inet static
        address #IPv4.2#
        netmask 255.255.255.255

Alles anzeigen

Laut Debian-Wiki sollte das so möglich sein, hat bei mir aber nicht funktioniert, nur die erste IP war erreichbar. Ich musste das dann schnell rückgängig machen, damit mein Server bzw. der Webserver darauf wieder erreichbar war.

Der Support schrieb mir mittlerweile, dass ich die IP, die im VCP als "Ziel-IP" angegeben ist (eine aus dem IPv6-Subnetz des Servers), als zweite IP konfigurieren soll. Mir ist nicht klar ob gemeint ist, diese statt der Failover-IP einzutragen? Das wäre doch nicht sinnvoll, oder?

KB19 · 4. Juni 2015

Ich habe das jetzt mal schnell ausprobiert, unter einem frischen Debian Wheezy System. So funktioniert es bei mir einwandfrei:

Code

auto lo eth0
iface lo inet loopback




iface eth0 inet static
        address 37.120.177.***
        netmask 255.255.252.0
        gateway 37.120.176.1




        post-up ip -4 addr add 46.38.230.***/32 dev eth0
        pre-down ip -4 addr del 46.38.230.***/32 dev eth0




iface eth0 inet6 static
        address 2a03:4000:6:****::1/64
        gateway fe80::1




        post-up ip -6 route add 2a03:4000:20:****::/64 dev lo
        pre-down ip -6 route del 2a03:4000:20:****::/64 dev lo




        post-up ip -6 addr add 2a03:4000:20:****::1/128 dev eth0 preferred_lft 0
        pre-down ip -6 addr del 2a03:4000:20:****::1/128 dev eth0

Alles anzeigen

37.120.177.*** = IPv4 vom Server
46.38.230.*** = IPv4 Failover Adresse
2a03:4000:6:****::/64 = IPv6 vom Server
2a03:4000:20:****::/64 = IPv6 Failover Netz

Der jeweils relevanteste Teil meiner IP-Adressen/Subnetze ist unkenntlich gemacht. Die Nullroute für das unbelegte /64-Netz kann man bei Bedarf auch wieder weglassen. Kurzer Neustart nach der Änderung und alles funktionierte. Der Vorteil an dieser Methode ist ja auch, dass man die post-up/pre-down Zeilen jederzeit selbst ausführen kann, wenn man die IP einem anderen System zuweist.

ping/ping6 von extern zum Server funktioniert auf die primären IP-Adressen und auch auf die Failover-IP-Adressen. Vom Server zu einem externen Ziel (wieder mit ping/ping6) funktionierte es ebenfalls. Die ausgehenden Adressen (Source Address) bleiben unangetastet, es werden immer die primären Adressen vom Server genutzt, Failover ist also standardmäßig nur für eingehende Verbindungen, außer du konfigurierst eine Anwendung entsprechend. Wenn das Bei Dir so nicht funktioniert, dann liegt der Fehler wahrscheinlich woanders.

MfG Christian

Ringelnatz · 5. Juni 2015

Das funktioniert so nun bei mir (auch wenn die zweite IPv4 nicht in der Ausgabe von ifconfig auftaucht, warum auch immer), vielen Dank. Vielleicht sollte der entsprechende Eintrag im Netcup-Wiki mal mit dieser Version aktualisiert werden. Auf Hinweis des Supports hin sind nun sowohl die Failover-IPv6 also auch deren Ziel-IP (laut VCP) hinterlegt.
Zudem lagen in meinem Fall (s. Startpost) Routingprobleme mit beiden IPv6-Subnetzen vor, die nun behoben wurden bzw. noch behoben werden.

KB19 · 5. Juni 2015

Zitat von Ringelnatz

auch wenn die zweite IPv4 nicht in der Ausgabe von ifconfig auftaucht, warum auch immer

ifconfig ist nur bedingt dafür geeignet, die IP-Adressen aufzulisten

Code

ip -4 addr
ip -6 addr

MfG Christian

Ringelnatz · 15. Juli 2015

Hallo zusammen,

mit Deiner Hilfe funktionierte die Konfiguration bis gestern einwandfrei, vielen Dank.
Nach den nächtlichen Wartungsarbeiten gestern startete mein Apache nicht mehr, weil er sich nicht an die IPv6 binden konnte. Ich habe zunächst wieder ein Routingproblem vermutet, das war es ja beim letzten Mal. Eine Traceroute endet bei irgendeinem Netcup-Router. Dem Support zufolge gibt es aber netcup-seitig diesmal kein Problem. Da ich gerade nicht weiß, wo ich nach der Ursache suchen soll bin ich über jeden Tipp dankbar. Da ich im Urlaub bin steht mir im Augenblick nur ein Android-Tablet zu Verfügung, Traceroutes etc. gestalten sich schon schwierig.