jah Ich hab mein Profilbild geändert. Sind wir jetzt ein Pärchen?
Ne, sorry, du bist mir zu alt
jah Ich hab mein Profilbild geändert. Sind wir jetzt ein Pärchen?
Ne, sorry, du bist mir zu alt
[netcup] Claudia H. weiß man schon etwas über das Forum und IPv6?
sollte der rDNS-Eintrag nicht eventuell auch angeglichen werden?
Code# host forum.netcup.de forum.netcup.de has address 195.128.101.95 forum.netcup.de has IPv6 address 2a03:4000:35:8e2::95 # host 195.128.101.95 95.101.128.195.in-addr.arpa domain name pointer v12021101054164689.yourpserver.net. # host 2a03:4000:35:8e2::95 Host 5.9.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.e.8.0.5.3.0.0.0.0.0.4.3.0.a.2.ip6.arpa not found: 3(NXDOMAIN) #
Hallo mainziman,
die rDNS-Einträge sind nun korrekt gesetzt (es kann aufgrund des DNS-Cachings ggf. ein wenig dauern, bis dir dies korrekt angezeigt wird).
Das Forum ist via IPv6 erreichbar:
$ curl -IL -6 https://forum.netcup.de
HTTP/2 200
server: nginx
date: Tue, 08 Feb 2022 08:40:20 GMT
content-type: text/html; charset=UTF-8
[...]
Oder funktioniert dies in deinem / eurem Fall nicht? Es werden jedoch Ping-Antworten (ICMP) per IPv6 blockiert, ich werde abklären, ob wir dies ändern können.
genau das will ich gar nicht. ich will hier nicht einen zb zoo von mysql servern, nur weil jeder container glaubt er müsse seinen eigenen mithaben.
Muss ja auch nicht. Kann man ja auch entsprechend im Docker-Compose anpassen, dass da ein vorhandener MySQL verwendet wird.
Was ich oft bei Docker sehe ist, dass sich nur 1mal drum gekümmert wird, damit es läuft. Es wird nicht mehr auf regelmäßige Updates geachtet oder das Patchen von Containern.
Bei mir laufen Updates via Watchtower und die Benachrichtigung darüber (und alles andere was bei Docker passiert) über Telegram (natürlich auch andere Notification / Push Services). Meine Container sind da immer tagesaktuell.
Nebenbei bin ich da beileibe nicht so professionell unterwegs wie Ihr beide. Aber es funktioniert. Und einfach. Und spart viel Administration.
Hallo [netcup] Lars S.
bei mir wartet er bei forum.netcup.de ewig ...
interessanterweise direkt vom Router (Element des selben IPv6-Prefixes) geht es;
Das Forum ist via IPv6 erreichbar:
Das ist bei mir leider nicht der Fall. Also doch, es ist erreichbar, aber auf Layer 7 kommt scheinbar kein TLS Handshake zustande. Passiert aber nur in meinem Präfix hier zuhause, sonst geht es überall. Ein einfacher TCP Connect via Netcat funktioniert auch von hier zu Hause. Und abgesehen vom Forum geht auch alles andere...
$ curl -vIL -6 https://forum.netcup.de
* Trying 2a03:4000:35:8e2::95:443...
* Connected to forum.netcup.de (2a03:4000:35:8e2::95) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
* CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
^C
Das ganze ist auch erst seit dem Update des Forums so. Und ich verstehe einfach nicht warum.
Muss ja auch nicht. Kann man ja auch entsprechend im Docker-Compose anpassen, dass da ein vorhandener MySQL verwendet wird.
Bei mir laufen Updates via Watchtower und die Benachrichtigung darüber (und alles andere was bei Docker passiert) über Telegram (natürlich auch andere Notification / Push Services). Meine Container sind da immer tagesaktuell.
Nebenbei bin ich da beileibe nicht so professionell unterwegs wie Ihr beide. Aber es funktioniert. Und einfach. Und spart viel Administration.
Deployments sind bei mir sowieso immer gesplittet. Für Nextcloud sind es bspw. 3 Stück:
- Redis
- Postgres
- Nextcloud selbst
Watchtower habe ich mir mal angeschaut, finde ich allerdings riskant. Dafür muss ich ja defacto entweder "latest" nehmen für nen Tag, oder bin weiterhin auf bestimmte Versionen gepinned. Dafür muss ich noch meine bereits bestehende Pipeline weiter ausbauen und nen automatischen Test von Restore und Upgrade implementieren, bevor das ne Option ist.
Da gefällt mir die Idee von https://github.com/crazy-max/diun besser. Das als ne HTML Seite wäre was ich gut gebrauchen könnte.
Das ist bei mir leider nicht der Fall. Also doch, es ist erreichbar, aber auf Layer 7 kommt scheinbar kein TLS Handshake zustande. Passiert aber nur in meinem Präfix hier zuhause, sonst geht es überall. Ein einfacher TCP Connect via Netcat funktioniert auch von hier zu Hause. Und abgesehen vom Forum geht auch alles andere...
Code$ curl -vIL -6 https://forum.netcup.de * Trying 2a03:4000:35:8e2::95:443... * Connected to forum.netcup.de (2a03:4000:35:8e2::95) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * successfully set certificate verify locations: * CAfile: /etc/ssl/certs/ca-certificates.crt * CApath: /etc/ssl/certs * TLSv1.3 (OUT), TLS handshake, Client hello (1): ^C
Das ganze ist auch erst seit dem Update des Forums so. Und ich verstehe einfach nicht warum.
Same here, seit dem Update des Forums funktioniert der Zugriff via IPv6 nicht. mainziman hat auch wohl das gleiche Problem.
Ich muss dann mein pihole so konfigurieren, dass der Zugriff auf das Forum via IPv4 erfolgt.
Das kann echt nicht sein!
[netcup] Lars S. Wäre cool, das Problem mit IPv6 zu checken.
Danke whoami0501 bei mir sieht es so aus:
wobei der Error - nach CApath: none - kommt gefült 2-3 Minuten später, so lange blockiert das ...
[netcup] Lars S. könnt ihr euch das ansehen und evtl. icmpv6 auf diesem Host doch aufdrehen,
ich hab da so einen Verdacht ...
whoami0501 hast Du bei Dir die Firewall so eingestellt, dass ICMPv6 bis zu Deinen Hosts durchgelassen werden?
(das ist ja doch Dein eigener 6in4-Tunnel, oder?)
ich würde es als unlogisch, wenn nicht sogar als absurd betrachten, dass der Client sich wie ein Scheunentor öffnen muss,
nur um eine Verbindung hinzubekommen ...
Also meine Verbindung zum Forum vom Windows 10 PC aus ist definitiv IPv6
hast Du bei Dir die Firewall so eingestellt, dass ICMPv6 bis zu Deinen Hosts durchgelassen werden?
(das ist ja doch Dein eigener 6in4-Tunnel, oder?)
Eingehend meine ich nicht, aber bin mir auch nicht sicher. Jedenfalls funktioniert alles restliche an IPv6 problemlos. Abgesehen von klassischen Surfing läuft bei mir eigentlich fast alles auf IPv6-only.
Tunnel gibt es keinen, ich habe einen VDSL Anschluss mit nativen Dual Stack.
Works for me
(Telekom Dualstack Anschluss)
.....@nas:~$ curl -vIL -6 https://forum.netcup.de
* Trying 2a03:4000:35:8e2::95:443...
* TCP_NODELAY set
* Connected to forum.netcup.de (2a03:4000:35:8e2::95) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384
* ALPN, server accepted to use h2
* Server certificate:
* subject: CN=forum.netcup.de
* start date: Jan 19 09:39:18 2022 GMT
* expire date: Apr 19 09:39:17 2022 GMT
* subjectAltName: host "forum.netcup.de" matched cert's "forum.netcup.de"
* issuer: C=US; O=Let's Encrypt; CN=R3
* SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x55fe34c909c0)
> HEAD / HTTP/2
> Host: forum.netcup.de
> user-agent: curl/7.68.0
> accept: */*
>
* Connection state changed (MAX_CONCURRENT_STREAMS == 128)!
< HTTP/2 200
Irgendeine Gemeinsamkeit muss es aber wohl geben, bei denen es nicht funktioniert. Vielleicht doch ein MTU-Problem? Oder irgendwo bei ICMPv6 zu viel geblockt?
Die Ursache könnte natürlich auch bei netcup liegen. Aber irgendeine Gemeinsamkeit muss es trotzdem geben. Bei vielen anderen inkl. mir funktioniert es über IPv6 einwandfrei.
KB19 mein Verdacht fällt auf das geblockte ICMPv6 bei diesem Host;
hatte vor ein paar Jahren ähnliches mit https://uhr.ptb.de/
https://uhr.ptb.info/ klappte hingegen; was war der Unterschied?
bei https://uhr.ptb.de/ war ICMPv6 eingehend blockiert; das ist aber Jahre her und mittlerweile bereinigt;
https://uhr.ptb.info/ funktioniert heute nur wenn man einen Zertifikatsfehler akzeptiert, soferne man überhaupt soweit kommt;
(das war damals nicht nur das Problem über den HE-IPv6-Tunnel sondern auch direkt am Phone mit IPv6,
welches der Mobilfunkbetreiber damals bereits ausgerollt hatte)
[netcup] Lars S. könnt ihr euch das ansehen?
Vielleicht doch ein MTU-Problem?
Das klingt in der Tat schon sehr danach. ICMP geblockt und SSL Handshake funktioniert nicht mehr sind sehr typische Symptome für ein MTU Problem. Da das ganze bei mainziman über einen Tunnel geht (wo die MTU verringert ist), würde ich dort mal ansetzen.
Vielleicht könnte man mal probieren via iptables die MSS runterzudrehen
ip6tables -t mangle -A FORWARD -o **TUNNEL** -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1281:1536 -j TCPMSS --set-mss 1280
Auf Clientseite Sprich idealerweise auf dem Router.
Mixus perfekt und es flutscht, damit ist auch folgendes erklärt, dass curl -vIL -6 https://forum.netcup.de
am Router direkt klappt, aber im Rest von LAN nicht, mit dem Eintrag in den IP6tables auch im Rest vom LAN
das erklärt aber nicht unbedingt die Probleme die andere am Beispiel whoami0501 haben
martin@DNS:~ $ curl -vIL -6 https://forum.netcup.de
* Trying 2a03:4000:35:8e2::95:443...
* Connected to forum.netcup.de (2a03:4000:35:8e2::95) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
* CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* OpenSSL SSL_connect: Die Verbindung wurde vom Kommunikationspartner zurückgesetzt in connection to forum.netcup.de:443
* Closing connection 0
curl: (35) OpenSSL SSL_connect: Die Verbindung wurde vom Kommunikationspartner zurückgesetzt in connection to forum.netcup.de:443
Alles anzeigen
Telekom Dual Stack zu Hause sieht bei mir so aus. Im Moment nehme ich Edge mit vpn. Von anderen Geräten geht es auch nicht, auch nicht vom Router. Über Mobilfunk (der v6 bekommt) geht es bei mir, ich weiß allerdings nicht sicher, wie ich mir anzeigen lasse, ob der auch fürs Forum v6 nimmt.