IPv6 Problem

  • Hallo, ich habe ein Problem mit meinem vServer.


    Trotz (meiner Meinung nach korrekten) konfiguration ist der Server von ausserhalb nicht erreichbar.


    IPv6-Subnet 2a03:4000:8:3da::/64


  • Ping6 ist überall Timeout


    auch über https://lg.netcup.net/ folgender Traceroute:


    Code
    traceroute to 2a03:4000:8:3da::1000 (2a03:4000:8:3da::1000), 30 hops max, 80 byte packets
     1  gw01.netcup.net (2a03:4000:0:1::2)  0.356 ms  0.337 ms  0.325 ms
     2  * * *
     3  * * *
    -- Traceroute timed out --
  • Debian 9 nutze ich.


    Und ja die Einträge sind/waren schon exakt so vorhanden


    Code
    PING fe80::1(fe80::1) from fe80::c875:e8ff:fe46:c2f0%eth0 eth0: 56 data bytes
    From fe80::c875:e8ff:fe46:c2f0%eth0 icmp_seq=1 Destination unreachable: Address unreachable
  • In Debian 9 heißen die Devices klassischerweise ens3 - es kann auch sein, dass Netcup die Devices bei der Image Installation umbenennt.

    Da fe80::1 nicht erreichbar ist, ist das ein Fall für den Support. (mail@netcup.de) mit der Angabe, dass fe80::1 nicht erreichbar ist.


    Du kannst sonst noch über das Rettungssystem probieren, ob fe80::1 erreichbar ist bzw. die Firewall einmal überprüfen ip6tables -S

  • Ja, Netcup benennt die Devices um. Was an sich ja auch kein Problem ist. IPv4 funktioniert ja.

  • Aber über deine Firewall müssen wir nochmal reden.

    Da fehlt das gesamte fe80::/10 Netz und ICMP.

    Testweise kannst du ja die Input Policy auf Accept stellen.


    Die Firewall Config sieht sehr generisch aus. Wer generiert dir die denn so?

  • So sieht meine Firewall aus für IPv6


  • Sind Settings für einen Mail/DNS/SQL Server


    Edit: Habe nun den Adapter von virtio auf rtl8139 geändert.

    Nun kann ich wenigstens schonmal fe80 pingen.


    Mal testen ob der Rest auch klappt


    Edit2: Nein, ausser das ich nun fe80 pingen kann, hat sich nichts geändert.

  • Moment, erstmal ganz wichtig: Hast du nach dem Einrichten der IPv6-Adresse die Maschine mittels poweroff einmal richtig ausgeschaltet?

    Dann sollte IPv6 gleich funktionieren.

  • Habe die Edits nicht gesehen. Über Edits gibt es keine Benachrichtigung.


    Ich kann deine Maschine jetzt anpingen, damit hast du IPv6 Internet.

    Die Dienste musst du jetzt nur noch darauf binden.

  • Ich schließe mich hier mal an. Mein IPv6 funktioniert zwar, aber mich verwundert was anderes - irgendwie habe ich zwei IPv6 Adressen auf meinem Interface, obwohl ich nur eine eingerichtet habe. Muss das so, oder kommt mir das berechtigt komisch vor?


    ipv6.png

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Das ist eine "Link-Local" Adresse (https://en.wikipedia.org/wiki/Link-local_address#IPv6).

    Ahh. Das macht Sinn. ^^



    So sieht meine Firewall aus für IPv6


    Würde es nicht prinzipiell Sinn machen, die NDP Typen nur für den NDP Netzbereich zuzulassen?

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Ich bin persönlich der Meinung, dass ICMP in irgendeiner Art abdrehen nicht sinnvoll und ratsam ist. Es fällt in der Regel einfach unter das Konzept "Security by Obscurity" und naja, die meisten Informationen, die man via ICMP bekommen kann, – wenn nicht alle – gibt es auch über andere Wege und Optionen.

  • Ich bin persönlich der Meinung, dass ICMP in irgendeiner Art abdrehen nicht sinnvoll und ratsam ist. Es fällt in der Regel einfach unter das Konzept "Security by Obscurity" und naja, die meisten Informationen, die man via ICMP bekommen kann, – wenn nicht alle – gibt es auch über andere Wege und Optionen.

    Naja stimmt schon, dass Ding ist, dass ICMPv6 nicht mehr dem einfachen ICMP(v4) entspricht, wo mal drei Pakete hin und her geschubbst werden, und dann gesagt wird "Joa is gut."


    Ich kenne mich nicht sonderlich gut mit IPv6 aus, aber im Rahmen des NDP wurde ja ARP sozusagen abgeschafft, und dessen Funktionen (und einige mehr) in ICMP implementiert, woraus dann halt ICMPv6 entstand.


    Mit ICMPv6 gibt es ja ca. 30 Typen von Ping, und wenn ich recht gelesen habe, sind da auch Sachen dabei, die z.B. nur für Router gedacht sind. Ich glaube, da sollte ein regulärer Server nicht unbedingt drauf hören... Meine wage Vermutung. Ich habe recht oft gelesen, dass man bei ICMPv6 da nochmal ne ganze Nummer vorsichtiger sein muss, als bei einfachem ICMP(v4)...

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Es ist der feine Unterschied zwischen blockieren und drauf hören/reagieren:

    Im Netcup v6 Setup werden auch vom Router Router Advertisments gesendet. Da dies aber gerne mal zu Problemen führt, sollte man die default route statisch konfigurieren und das Verarbeiten derer deaktivieren, siehe die Empfehlungen sysctl Einstellungen im netcup Wiki.