Vielen Dank ThomasChr,
ich habe einmal alle Firewallregeln gelöscht. Offensichtlich hat ein reboot, alte Docker routings wieder aktiviert(iptables-restore). Dadurch hat port 25 zu einer internen IP gerouted, die nicht mehr da war.
Ich habe in die Richtung null gesucht.
Hey Ihr,
der Support hat mich hierhin verwiesen, daher frage ich einfach mal hier, ob mir evtl. einer weiterhelfen kann.
Wir haben einen mailpiler auf einem Storage Server laufen.
Seit einer gewissen Zeit(vermutlich max. 1-3 Wochen oder Anfang des Jahres) kann dieser jedoch keine Mails mehr annehmen.
hier ein netstat, man sieht, piler läuft: und listened auf allen interfaces und hofft auf E-Mails 
/usr/local/etc/piler # ss -tnulp | grep :25
tcp LISTEN 0 20 0.0.0.0:25 0.0.0.0:* users:(("piler-smtp",pid=4031,fd=4))hier noch ein auszug aus der Firewall. Auch hier nichts komisch. (die geblockten ips, kommen durch fail2ban)
/usr/local/etc/piler # iptables -nvL | grep 25
0 0 REJECT all -- * * 91.149.225.120 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 58.251.76.166 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 36.110.228.254 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 222.187.254.41 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 199.195.251.182 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 188.254.173.120 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 185.220.102.252 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 173.18.205.254 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 171.25.193.77 0.0.0.0/0 reject-with icmp-port-unreachablehier ein versuch auf die externe IP via telnet zu connecten:
/usr/local/etc/piler # telnet xxx.xxx.xxx.xxx 25
Trying xxx.xxx.xxx.xxx...
telnet: Unable to connect to remote host: Connection timed outund hier, wenn ich den localhost nehme.
/usr/local/etc/piler # telnet 127.0.0.1 25
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
220 piler.yourdomain.com ESMTP
quit
221 piler.yourdomain.com Goodbye
Connection closed by foreign host.Wenn ich piler auf jedem anderen Port als den Mailports(port 25, 587) laufen lasse, funktioniert der telnet connect auch problemlos an meiner externen IP.
Das Problem trat aus heiterem Himmel, ohne update oder upgrade auf.
Ich hätte eine Frage zu ungepatchten Kunden VMs.
Können diese aus der Cloud ausbrechen und den Speicherinhalt anderer Kunden VMs auslesen?
So wie ich den CVE verstanden habe, handelt es sich hierbei ja um ein "Feature" von Intel Prozessoren, welches durch einen Software Patch abgeschaltet wird.
Wenn jetzt eine ungepatchte Virtuelle Maschine dieses Feature noch nicht weg gepatcht hat, hat diese dann dennoch die Möglichkeit auszubrechen und den Speicherinhalt von anderen Maschinen auszulesen?
Hast du schon ein poweroff im vcp gemacht?
Danach ging es bei mir siehe auch hier:
[KVM] Archlinux IPV6 keine Verbindung zum gateway
Außerdem brauchst du in deinen scripten noch eine route zum gw:
ip -6 route add 2a03:4000:0:2::1 dev eth0
Ein acpi-reboot oder shutdown, reichen nicht aus.
Nach einem poweroff ging alles!
Vielen Dank an der Stelle nochmal an den support.
Heißt aber auch soviel wie, wenn das Hostsystem kein NTP nützt, wäre es im Gastsystem doch irgendwie sinnvoll? Und das wissen wir bisher leider nicht, was netcup am Node laufen hat.
Das stimmt schon, aber warum sollte man KVM-Clock bauen, wenn man dahinter keinen ntp benutzt?
Zumal die Uhrzeit ja stimmt, daher ist ja schon von 'nem funktionierenden ntp auszugehen.
Aus dem Kopf nicht, aber mal schnell gegooglet:
KVM guests clock synchronisation
ZitatAlles anzeigenUse NTP on guests?
Different distributions have opposed opinions on running a NTP daemon inside the guests. Ubuntu's Community Documentation suggests:
On the contrary, the RHEL 6 Virtualization guide states:
Finally, the SLES Virtualization with KVM manual states:
nein liegt er nicht.
Eine route habe ich erstellt:
ip -6 route add 2a03:4000:0:2::1 dev eth0
habe ich die falsch erstellt?
Wenn ich jetzt ping6 2a03:4000:0:2::1 mache, kommt immer:
From 2a03:4000:2:***::10 icmp_seq=1 Destination unreachable: Address unreachable
From 2a03:4000:2:***::10 icmp_seq=2 Destination unreachable: Address unreachable
From 2a03:4000:2:***::10 icmp_seq=3 Destination unreachable: Address unreachable
ping: sendmsg: Network is unreachablehier noch ein Auszug aus ip-route:
2a03:4000:0:2::1 dev eth0 metric 1024
2a03:4000:2:***::/64 dev eth0 metric 1024
fe80::/64 dev eth0 proto kernel metric 256Du kannst prüfen, ob die Uhrzeit vom KVM durchgegeben wird mit:
dmesg | grep kvm-clock
oder auch:
cat /sys/devices/system/clocksource/clocksource0/current_clocksource
dann sollte da kvm-clock als output kommen.
Wenn KVM-Clock benutzt wird, ist es nicht zu empfehlen ntp zu benutzen...
Hallo ich habe auf meiner KVM arch64 laufen.
Soweit geht auch alles, aber wenn ich IPv6 hinzufügen möchte klappt nix mehr.
Das "nix mehr" liegt am Gateway, da meine IPv6 keine Verbindung zum GW hinbekommt. (network out of range)
Hier noch ein paar ausgaben, die vielleicht hilfreich sind:
Das ist die IPv6 die ich aus dem VCP hab
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 52:54:1f:86:bd:a9 brd ff:ff:ff:ff:ff:ff
inet 37.221.***.***/22 brd 37.221.***.255 scope global eth0
inet6 2a03:4000:*:***::10/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::5054:1fff:fe86:bda9/64 scope link
valid_lft forever preferred_lft foreverDas wäre der Gateway, den ich aber nicht Anpingen kann.
ping6 2a03:4000:0:2::1
connect: Network is unreachableund hier noch ein Auszug aus dem /etc/network,d/eth0 Profil
IP6=static
ADDR6=(2a03:4000:*:1***::2/64)
#GATEWAY6=2a03:4000:0:2::1
den Gateway muss ich auskommentieren, weil ansonsten mein eth0 down gemacht wird, da er ja nicht dorthin kommt
Wenn ich manuell die Route hinzufügen möchte, kommt folgendes:
templis@otter:~$ sudo ip -6 route add default via 2a03:4000:0:2::1 dev eth0
RTNETLINK answers: No route to hostHat jemand das zum laufen bekommen?
Bzw. kann mir jemand mit dem Problem helfen oder hat ähnliche Probleme?
