Das längste Thema

  • [netcup] Claudia H. weiß man schon etwas über das Forum und IPv6?


    sollte der rDNS-Eintrag nicht eventuell auch angeglichen werden?

    Code
    # host forum.netcup.de
    forum.netcup.de has address 195.128.101.95
    forum.netcup.de has IPv6 address 2a03:4000:35:8e2::95
    # host 195.128.101.95
    95.101.128.195.in-addr.arpa domain name pointer v12021101054164689.yourpserver.net.
    # host 2a03:4000:35:8e2::95
    Host 5.9.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.e.8.0.5.3.0.0.0.0.0.4.3.0.a.2.ip6.arpa not found: 3(NXDOMAIN)
    #

    Hallo mainziman,


    die rDNS-Einträge sind nun korrekt gesetzt (es kann aufgrund des DNS-Cachings ggf. ein wenig dauern, bis dir dies korrekt angezeigt wird).


    Das Forum ist via IPv6 erreichbar:

    Code
    $ curl -IL -6 https://forum.netcup.de
    HTTP/2 200 
    server: nginx
    date: Tue, 08 Feb 2022 08:40:20 GMT
    content-type: text/html; charset=UTF-8
    [...]

    Oder funktioniert dies in deinem / eurem Fall nicht? Es werden jedoch Ping-Antworten (ICMP) per IPv6 blockiert, ich werde abklären, ob wir dies ändern können.

  • genau das will ich gar nicht. ich will hier nicht einen zb zoo von mysql servern, nur weil jeder container glaubt er müsse seinen eigenen mithaben.

    Muss ja auch nicht. Kann man ja auch entsprechend im Docker-Compose anpassen, dass da ein vorhandener MySQL verwendet wird.

    Was ich oft bei Docker sehe ist, dass sich nur 1mal drum gekümmert wird, damit es läuft. Es wird nicht mehr auf regelmäßige Updates geachtet oder das Patchen von Containern.

    Bei mir laufen Updates via Watchtower und die Benachrichtigung darüber (und alles andere was bei Docker passiert) über Telegram (natürlich auch andere Notification / Push Services). Meine Container sind da immer tagesaktuell.


    Nebenbei bin ich da beileibe nicht so professionell unterwegs wie Ihr beide. Aber es funktioniert. Und einfach. Und spart viel Administration.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

  • Das Forum ist via IPv6 erreichbar:

    Das ist bei mir leider nicht der Fall. Also doch, es ist erreichbar, aber auf Layer 7 kommt scheinbar kein TLS Handshake zustande. Passiert aber nur in meinem Präfix hier zuhause, sonst geht es überall. Ein einfacher TCP Connect via Netcat funktioniert auch von hier zu Hause. Und abgesehen vom Forum geht auch alles andere...


    Code
    $ curl -vIL -6 https://forum.netcup.de
    *   Trying 2a03:4000:35:8e2::95:443...
    * Connected to forum.netcup.de (2a03:4000:35:8e2::95) port 443 (#0)
    * ALPN, offering h2
    * ALPN, offering http/1.1
    * successfully set certificate verify locations:
    *  CAfile: /etc/ssl/certs/ca-certificates.crt
    *  CApath: /etc/ssl/certs
    * TLSv1.3 (OUT), TLS handshake, Client hello (1):
    ^C


    Das ganze ist auch erst seit dem Update des Forums so. Und ich verstehe einfach nicht warum.

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

    Gefällt mir 1
  • Muss ja auch nicht. Kann man ja auch entsprechend im Docker-Compose anpassen, dass da ein vorhandener MySQL verwendet wird.

    Bei mir laufen Updates via Watchtower und die Benachrichtigung darüber (und alles andere was bei Docker passiert) über Telegram (natürlich auch andere Notification / Push Services). Meine Container sind da immer tagesaktuell.


    Nebenbei bin ich da beileibe nicht so professionell unterwegs wie Ihr beide. Aber es funktioniert. Und einfach. Und spart viel Administration.

    Deployments sind bei mir sowieso immer gesplittet. Für Nextcloud sind es bspw. 3 Stück:
    - Redis
    - Postgres
    - Nextcloud selbst

    Watchtower habe ich mir mal angeschaut, finde ich allerdings riskant. Dafür muss ich ja defacto entweder "latest" nehmen für nen Tag, oder bin weiterhin auf bestimmte Versionen gepinned. Dafür muss ich noch meine bereits bestehende Pipeline weiter ausbauen und nen automatischen Test von Restore und Upgrade implementieren, bevor das ne Option ist.

    Da gefällt mir die Idee von https://github.com/crazy-max/diun besser. Das als ne HTML Seite wäre was ich gut gebrauchen könnte.

  • Das ist bei mir leider nicht der Fall. Also doch, es ist erreichbar, aber auf Layer 7 kommt scheinbar kein TLS Handshake zustande. Passiert aber nur in meinem Präfix hier zuhause, sonst geht es überall. Ein einfacher TCP Connect via Netcat funktioniert auch von hier zu Hause. Und abgesehen vom Forum geht auch alles andere...


    Code
    $ curl -vIL -6 https://forum.netcup.de
    *   Trying 2a03:4000:35:8e2::95:443...
    * Connected to forum.netcup.de (2a03:4000:35:8e2::95) port 443 (#0)
    * ALPN, offering h2
    * ALPN, offering http/1.1
    * successfully set certificate verify locations:
    *  CAfile: /etc/ssl/certs/ca-certificates.crt
    *  CApath: /etc/ssl/certs
    * TLSv1.3 (OUT), TLS handshake, Client hello (1):
    ^C


    Das ganze ist auch erst seit dem Update des Forums so. Und ich verstehe einfach nicht warum.

    Same here, seit dem Update des Forums funktioniert der Zugriff via IPv6 nicht. mainziman hat auch wohl das gleiche Problem.
    Ich muss dann mein pihole so konfigurieren, dass der Zugriff auf das Forum via IPv4 erfolgt.

    Das kann echt nicht sein!

    [netcup] Lars S. Wäre cool, das Problem mit IPv6 zu checken.

  • Danke whoami0501 bei mir sieht es so aus:

    pasted-from-clipboard.png

    wobei der Error - nach CApath: none - kommt gefült 2-3 Minuten später, so lange blockiert das ...

    [netcup] Lars S. könnt ihr euch das ansehen und evtl. icmpv6 auf diesem Host doch aufdrehen,

    ich hab da so einen Verdacht ...

    whoami0501 hast Du bei Dir die Firewall so eingestellt, dass ICMPv6 bis zu Deinen Hosts durchgelassen werden?

    (das ist ja doch Dein eigener 6in4-Tunnel, oder?)


    ich würde es als unlogisch, wenn nicht sogar als absurd betrachten, dass der Client sich wie ein Scheunentor öffnen muss,

    nur um eine Verbindung hinzubekommen ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • hast Du bei Dir die Firewall so eingestellt, dass ICMPv6 bis zu Deinen Hosts durchgelassen werden?

    (das ist ja doch Dein eigener 6in4-Tunnel, oder?)

    Eingehend meine ich nicht, aber bin mir auch nicht sicher. Jedenfalls funktioniert alles restliche an IPv6 problemlos. Abgesehen von klassischen Surfing läuft bei mir eigentlich fast alles auf IPv6-only.


    Tunnel gibt es keinen, ich habe einen VDSL Anschluss mit nativen Dual Stack.

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Works for me :/

    (Telekom Dualstack Anschluss)


    Meine (Netcup) Produkte: S 1000 G7, VPS 200 G8 Ostern 2019, IPs, Failover..

  • Irgendeine Gemeinsamkeit muss es aber wohl geben, bei denen es nicht funktioniert. Vielleicht doch ein MTU-Problem? Oder irgendwo bei ICMPv6 zu viel geblockt?


    Die Ursache könnte natürlich auch bei netcup liegen. Aber irgendeine Gemeinsamkeit muss es trotzdem geben. Bei vielen anderen inkl. mir funktioniert es über IPv6 einwandfrei.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • KB19 mein Verdacht fällt auf das geblockte ICMPv6 bei diesem Host;


    hatte vor ein paar Jahren ähnliches mit https://uhr.ptb.de/

    https://uhr.ptb.info/ klappte hingegen; was war der Unterschied?

    bei https://uhr.ptb.de/ war ICMPv6 eingehend blockiert; das ist aber Jahre her und mittlerweile bereinigt;

    https://uhr.ptb.info/ funktioniert heute nur wenn man einen Zertifikatsfehler akzeptiert, soferne man überhaupt soweit kommt;

    (das war damals nicht nur das Problem über den HE-IPv6-Tunnel sondern auch direkt am Phone mit IPv6,

    welches der Mobilfunkbetreiber damals bereits ausgerollt hatte)


    [netcup] Lars S. könnt ihr euch das ansehen?

    https://tools.ietf.org/html/rfc4890#page-14

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Vielleicht doch ein MTU-Problem?

    Das klingt in der Tat schon sehr danach. ICMP geblockt und SSL Handshake funktioniert nicht mehr sind sehr typische Symptome für ein MTU Problem. Da das ganze bei mainziman über einen Tunnel geht (wo die MTU verringert ist), würde ich dort mal ansetzen.


    Vielleicht könnte man mal probieren via iptables die MSS runterzudrehen


    ip6tables -t mangle -A FORWARD -o **TUNNEL** -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1281:1536 -j TCPMSS --set-mss 1280

  • Mixus perfekt und es flutscht, damit ist auch folgendes erklärt, dass curl -vIL -6 https://forum.netcup.de

    am Router direkt klappt, aber im Rest von LAN nicht, mit dem Eintrag in den IP6tables auch im Rest vom LAN


    das erklärt aber nicht unbedingt die Probleme die andere am Beispiel whoami0501 haben

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Telekom Dual Stack zu Hause sieht bei mir so aus. Im Moment nehme ich Edge mit vpn. Von anderen Geräten geht es auch nicht, auch nicht vom Router. Über Mobilfunk (der v6 bekommt) geht es bei mir, ich weiß allerdings nicht sicher, wie ich mir anzeigen lasse, ob der auch fürs Forum v6 nimmt.