Post mortem:
Der Support hat bestätigt, dass bestimmte Protokolle über IPv6 gefiltert werden.
Meine gewünschten Protokolle wurden (für mich?) freigeschaltet.
Für mich ist das Thema damit erledigt! 
Beiträge von weinrank
-
-
Wurde das ganze überhaupt schon einmal im Rettungssystem getestet?
Ja, habe ich gerade gemacht: gleiches Verhalten ... IPv4 kommt an, IPv6 nicht.
Ich geb's nochmals via Mail an den Support mit Hinweis auf den Thread hier.
-
Macht es einen Unterschied ob virtio oder e1000 als Netzwerkkarte verwendet wird?
Nein, getestet mit Freebsd 12 und Ubuntu 18.04 LTS.
-
Habe ich bereits versucht, jeweils mit Standardphrasen als Antwort...daher war dieses Forum mein Versuch.
ZitatAlles anzeigenGuten Tag Herr XXX,
vielen Dank für Ihre Anfrage.
Sie besitzen bei uns einen virtuellen Server. Wir stellen Ihnen die Laufzeitumgebung bereit. Zu individueller Software und zur Einrichtung können wir keinen Support geben. Nach Einrichtung haben wir keinen Zugriff mehr auf Ihr System. Die Einrichtung und Konfiguration Ihrer Dienste und Pflege obliegt Ihrer Verantwortung.
Wir können Ihnen nur raten, Ihre lokale IPv6 Konfiguration noch einmal zu überprüfen.
Hilfreiche Tipps finden Sie online und in Fachliteratur. Auch ist für Ihre Fragen unser Kundenforum ein guter Anlaufpunkt, in welchem sich unsere Kunden gegenseitig unterstützen.
Alternativ bieten wir auch ein Wiki mit vielen Informationen und Anleitungen an. Dieses erreichen Sie unter folgender Adresse.
Mit freundlichen Grüßen
YYY
Ein zweiter Anlauf mit etwas mehr Fokus auf "IHR habt da ein Problem!", Antwort:
ZitatAlles anzeigenGuten Tag XXX,
vielen Dank für Ihre Anfrage.
Das ist nicht der Fall. Einzig Ihre Konfiguration ist entscheidend. Sie besitzen bei uns einen virtuellen Server. Wir stellen Ihnen die Laufzeitumgebung bereit. Zu individueller Software und zur Einrichtung können wir keinen Support geben. Nach Einrichtung haben wir keinen Zugriff mehr auf Ihr System. Die Einrichtung und Konfiguration Ihrer Dienste und Pflege obliegt Ihrer Verantwortung.
Hilfreiche Tipps finden Sie online und in Fachliteratur. Auch ist für Ihre Fragen unser Kundenforum ein guter Anlaufpunkt, in welchem sich unsere Kunden gegenseitig unterstützen.
Alternativ bieten wir auch ein Wiki mit vielen Informationen und Anleitungen an. Dieses erreichen Sie unter folgender Adresse.
Mit freundlichen Grüßen
YYY
Schade, mein bisher sehr positiver Eindruck von Netcup bekommt gerade Dämpfer...
-
janxb: Du siehst genau das gleiche "Problem" wie ich.
Wenn auf dem Empfänger kein SCTP Protokoll aktiviert ist, dann stimmt die Meldung.
Ncat: Protocol not available. heißt: Der Empfänger versteht das Protokoll (SCTP) nicht.In tcpdump/Wireshark solltest du eine ICMP Nachricht vom Empfänger mit genau der Fehlermeldung sehen.
Wenn du auf dem Empfänger (ich nehme an Linux) das SCTP Kernel Modul lädst sudo modprobe sctp, dann sollte ncat mit Ncat: Connection refused. reagieren: Empfänger spricht SCTP, hat aber auf dem Port keinen Dienst.
Die IPv4 Verbindung verhält sich völlig korrekt.
Die IPv6 Verbindung sollte allerdings genauso wie die IPv4 reagieren.
Der Timeout lässt darauf schließen, dass auch bei dir SCTP über IPv6 nicht durchkommt.... -
horcht der Webserver denn auch auf der IPv6-Adresse?
Ja, der Server reagiert auf TCP/UDP/ICMP via IPv6.
-
Nein, der RS hat keine Firewall, bis auf ein gehärteter sshd läuft da kein Service drauf.
Aber auch mit Firewall sollte das keine Hürde sein: tcpdump greift die Pakete - Sonderfälle mal ausgenommen - via libpcap vor der Firewall ab.
Die sinnlosen Pakete kommen über IPv4 an, nur über IPv6 nicht.
Das Standardverhalten für "schrottige" Pakete sollte eine ICMP Nachricht an den Sender sein.
Aber eben vom Empfänger, außer es gibt eine Layer-3 Filterung auf dem Weg.
Zum selbst probieren:
Auf dem Server tcpdump laufen lassen und auf SCTP filtern: tcpdump -i vtnet0 sctp
Von einem anderen Client (getestet mit Linux / FreeBSD) eine SCTP Verbindung aufbauen: ncat --sctp -4 example.com 80 bzw. für IPv6 ncat --sctp -6 example.com 80
ncat wird mit dem nmap Paket mitgeliefert (getestet mit apt/Ubuntu und pkg/FreeBSD).
Unsere Beobachtung:
- Bei IPv4 erreicht den Server ein INIT
- Bei IPv6 kommt nichts an
VG
-
Hallo Netcup Team,
wir haben einen Root Server (RS 1000) den wir u.A. für Netzwerkprotokolltests einsetzen.
Dabei haben wir beobachtet, dass uns diverse IPv6 Pakete nicht erreichen.
Handelsübliche TCP/UDP/ICMP Kommunikation über IPv6 geht problemlos, darunter HTTP/HTTPS/SSH.
SCTP über IPv6 kommt aber schon nicht bei unserem Server an.Wir haben dann mittels scapy ein Script geschrieben um das näher zu untersuchen.
Das Script sendet wahlweise IPv4/IPv6 Pakete und geht dabei jeweils alle 256 Protokollheader durch.
Der Inhalt der jeweiligen Pakete ist Schrott, klar!Wir haben von unterschiedlichen Systemen externe ISPs (UM, Telekom, DFN) Pakete geschickt und auf dem Server mit tcpdump mitgelesen.
Unsere Beobachtung:- Über IPv4 kommt alles an, wie gewünscht.
- Über IPv6 kommen nur valide ICMP/UDP/TCP Pakete an
- ESP über IPv6 geht auch mit Schrott
Daher unsere Frage:
Wird seitens netcup irgendeine Layer-3 Paketfilterung durchgeführt?VG
Code
Alles anzeigen#!/usr/bin/env python3 # -*- coding: utf-8 -*- import scapy.all as scapy import ipaddress import sys addr4 = False addr6 = False if len(sys.argv) != 2: print("usage: {} <IP4/IP6-Addr>".format(argv[0])); sys.exit() try: addr4 = ipaddress.IPv4Address(sys.argv[1]); except ipaddress.AddressValueError: print("Not an IPv4 address") try: addr6 = ipaddress.IPv6Address(sys.argv[1]); except ipaddress.AddressValueError: print("Not an IPv6 address") if not(addr4 or addr6): sys.exit("Invalid address!") data = "Hallo Server, magst du dieses Protokoll?" for proto in range(0, 255): if addr4: i4 = scapy.IP() i4.dst = str(addr4) i4.proto = proto #i4.show() pkt_sent = scapy.send(i4/data, return_packets=True) pkt_sent.show() if addr6: i6 = scapy.IPv6() i6.dst = str(addr6) i6.nh = proto pkt_sent = scapy.send(i6/data, return_packets=True) pkt_sent.show()
