Posts by xplod

    Hallo zusammen.


    Ich hätte da mal eine Frage an diejenigen, die selber einen TURN Server betreiben (sei es für Nextcloud oder Synapse/Riot):

    Was habt ihr für Erfahrungen damit?

    Ich würde coturn gerne für Telefonie- und Videochat nutzen. Aber leider klappt die Verbindung nicht immer. im Coturn-Log sieht man keine einzige Fehlermeldung, es scheint einfach so, als ob das Herausfinden der Tunnel-IP einfach so lange dauert, dass die entsprechende Software (z.B. Riot für Android) einfach zwischenzeitlich aufgibt.

    Hat jemand von euch ähnliche Erfahrungen? Oder läuft bei euch coturn einwandfrei?


    Also, wenn du es unbedingt machen musst, würde ich es mit solchen Aliasen versuchen:

    Code
    1. auto ens3:1
    2. iface ens3:1 inet6 static
    3. address 2a03:4000:1:2:3::1
    4. netmask 64
    5. gateway fe80::1

    Allerdings würde ich dir von den virtuellen IPs abraten.

    Ich hatte gerade erst massiv Probleme, weil die Virtualisierungssoftware beim Standardtreiber nicht mit 2 "einfachen" IPv4 Adressen zurecht kam. Da gab's auf einmal Packet Loss und Verbindungsabbrüche...


    Wäre 6in4, wie es he.net und die anderen noch verbliebenen Tunnelbroker anbieten, eventuell eine Lösung? Dort bekommst Du pro Tunnel einen Prefix, der an ein spezifisches Gateway statisch geroutet wird, womit solche Asymmetrien in aller Regel nicht auftreten können.

    Das Problem ist, dass viele Unitymedia Kunden genau dieses Problem mit meinem Server haben.

    Die Leute mit DSL-Lite haben eine native IPv6 Adresse und müssen IPv6 nutzen, da die IPv4-Tunnel massiv Probleme verursachen.

    Meinereiner mit einer nativen IPv4 Adresse hingegen könnte IPv4 bevorzugen, muss es aber verwenden, da die Cloud-Dienste aufgrund der IP-Knappheit immer mehr auf IPv6 setzen werden...


    Das ist doch zum Mäusemelken... 20 Jahre IPv6, und die Provider kriegen es immer noch nicht flächendeckend fehlerfrei hin???

    Das ist alles sehr seltsam. Das scheint irgendwas mit 6to4 zu tun zu haben (nutzt meine Fritzbox)...


    Nochmal die Kurzform:

    - Meine Fritzbox kann meinen Server nicht per IPv6 erreichen (auch netcup.de nicht)

    - Mein Server kann meine Fritzbox per IPv6 nicht erreichen (kenne leider keine weitere 6to4 Adresse

    - Meine Fritzbox erreicht allerdings ipv6.google.com

    - Über http://www.ipv6now.com.au/pingme.php kann ich meine Fritzbox und den Server erreichen


    Somit scheint Netcup nicht an dem 6to4 Tunnel "angeschlossen" zu sein, den Unitymedia verwendet. Ich frage heute mal nach, ob ich eine native IPv6 Adresse bekommen kann... Hat jemand noch andere Vorschläge?

    Ein Profi kriegt vielleicht ein Serverupdate innerhalb von 15 Minuten hin. Wenn allerdings noch Zusatzsoftware installiert werden soll (Steam, ...) braucht man deutlich länger...


    Für jemanden, der nicht in der Materie drin steckt, würde ich dir raten

    a.) Für einen Monat einen vServer zu mieten, den TS dort zu installieren, und die Domain auf die neue IP umzubiegen...

    b.) (wenn du kurz vor einer Vertragsverlängerung stehst): Bestell dir bei Netcup einen neuen Server, kündige den alten, und installier auf dem neuen Server in Ruhe ein neues OS + Umgebung

    ens3:1 könntest Du Dir eventuell schenken, wenn Windows das auch auf dem Loopback-Interface akzeptiert. Es sollte an sich nichts ausmachen, aber das Interface hat dieselbe Broadcast-Domain wie ens3 und die private IP hat dort IMO nichts verloren. Freilich kannst Du auch das Gratis cloud VLAN dazubuchen und dessen Interface verwenden. Das ist aber nicht das Hauptthema.

    Leider nein. Windows mit IKEv2 hat trotz Tunnel die seltsame Eigenschaft, den Datenverkehr zu dem VPN-Server nicht zu verschlüsseln. Quasi alles, was direkt an die Server-IP geht, geht in Klartext raus. Somit muss es leider eine IP geben, auf die der Server hört, und die in jedem Fall durch das VPN geroutet wird...


    eripek wrote:

    Die Vorgehensweise mit ICMPv6 solltest Du überdenken. Echo request und echo reply allein genügen nicht für eine funktionierende Neighbor Discovery. https://de.wikipedia.org/wiki/Neighbor_Discovery_Protocol

    Wie gesagt NDP ersetzt ARP in IPv6 und ist Voraussetzung, dass IPv6 überhaupt routen kann. Wenn Dir ip -6 n oder ip -6 n s lauter „incomplete“ Werte ausspuckt, ist das ein sicheres Indiz dafür, dass Du zuviel blockst. Neben Typ 128 und 129 sollten schon auch zumindest Typ 135 und 136 zugelassen sein. Typ 2 ist bei abweichenden MTUs unentbehrlich - ist nur die Frage, ob der Rechner auch als Router fungiert - VPN deutet darauf hin.

    Ich habe jetzt spaßeshalber alle ICMP Pakete erlaubt, das ändert auch nichts.

    Kann es denn überhaupt eine Fehlkonfiguration sein, wenn z.B. http://ipv6-test.com und https://lg.netcup.net/ die IPv6 richtig auflösen können?


    Mein Server löst z.B auch netcup.de zu "2a03:4000:e013::" auf, mein Rechner zuhause hingegen kann diese IPv6 nicht auflösen...
    Also sieht es so aus, als ob Unitymedia Probleme mit allem hat, was aus dem Netcup Bereich kommt, aber warum bin ich der einzige, dem das auffällt? Kann das mal jemand, der auch bei Unitymedia Kunde ist, verifizieren?

    Dass IPv6 Adressen 128 Bit breit sind, schenke ich mir mal. Die 64 Bit auf die du abzielst, sind wahrscheinlich die Subnetzmaske.

    Meinetwegen. Ich meinte den mir zugewiesenen Adressbereich...


    Betriebssystem: Ubuntu 16.04 LTS

    Netzwerk-Konfig ens3 (Treiber steht im SCP auf virtio, Komplett statische IP-Adressen (kein DHCP))

    ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000

    link/ether (mac) brd ff:ff:ff:ff:ff:ff

    inet (ipv4)/22 brd 185.228.139.255 scope global ens3

    valid_lft forever preferred_lft forever

    inet 10.1.1.1/24 brd 10.1.1.255 scope global ens3:1

    valid_lft forever preferred_lft forever

    inet6 (ipv6)/64 scope global

    valid_lft forever preferred_lft forever

    inet6 fe80::3845:5dff:fe8c:b529/64 scope link

    valid_lft forever preferred_lft forever


    ens3:1 wird für einen Zugriff von Windows über einen VPN Tunnel benötigt...

    ip6tables hat die Default-Policy DROP, ICMP echo-request und echo-reply sind explizit freigegeben.

    Bei Teamspeak z.B. sind die gleichen Ports für IPv4 und IPv6 freigegeben, und über IPv4 kann ich mich verbinden, IPv6 klappt nicht.


    Lustigerweise gibt es Leute, die sich über IPv6 verbinden können (z.B. über 1+1). Das Netcup-Lookingglas kann per ping6 normal auf den Server zugreifen...


    Es sieht so aus, als ob irgendeiner der großen Routing-Dienstleister meinen Adressbereich nicht auflösen möchte/kann. Aber ich wüsste nicht, wen man diesbezüglich fragen bzw. eine Störung melden könnte...

    Der Reverse Eintrag (ip6.arpa) hat nichts, aber schon gar nichts mit dem Routing zu tun.

    Das im SCP angezeigte IPv6-Prefix ist nicht durch Dich selbst änderbar.


    Sind weitere Zuteilungen vorhanden (gebuchte zusätzliche Präfices, Failover-Subnets?)

    Nein, keine weiteren Zuteilungen...


    Erstaunlicherweise hatte ich gerade wieder einen Connect über IPv6 aus dem 1+1 Netz. Somit scheint irgendwie Unitymedia Probleme zu haben. Aber warum bin ich der einzige, der das bemerkt?

    IPv6 solltest Du auf dem Server statisch konfigurieren, damit fallen eine Vielzahl von Problemen weg:

    Alle IP-Adressen (je eine V4 und V6) sind statisch konfiguriert.

    Beim Server war eine IPv6 Address-Range von 64Bit enthalten, diese gehört auch zu Netcup (2a03:4000::x)


    Im SCP habe ich die Adresse gelöscht und neu angelegt, aber das hat scheinbar nichts gebracht.

    Im SCP ist als gateway fe80::1 angegeben, diese habe ich so übernommen. Wenn ich eine IPv6 IP traceroute ist 2a03:4000:23::2 der erste Hop.


    Ein Traceroute auf ipv6.google.com wird komplett aufgelöst. Ein traceroute auf meine Fritzbox hingegen nicht...

    Auch meine Fritzbox kann ipv6.google.com auflösen (allerdings mit anderer IP). Die Verbindung zu meinem Server klappt aber auch nicht.

    Bei einem traceroute von meinem PC auf meinen Server sehe ich nichts, was ansatzweise nach Netcup aussieht (dafür sehr viele Sternchen)...


    Über https://www.subnetonline.com/p…ools/online-ipv6-ping.php wiederum kann ich meinen Server erreichen.

    Es sieht also so aus, als ob Deutschlandweit irgendwo eine Vermittlungsstelle abgebrannt wäre...


    Ich habe gerade spaßeshalber mal einen DNS-Lookup für Netcup gemacht, und auch deren IPv6 (2a03:4000:0:0:0:0:0:e013) kann nicht angepingt werden...

    Hat niemand von euch das gleiche Problem? Hab ich meine IPv6-Rechnung nicht bezahlt :heul:

    Hallo zusammen.


    Ich habe seit gestern ein eigenartiges Problem:

    Eine Verbindung von extern auf meinen Server per IPv6 Adresse klappt nicht mehr.


    Jedes ping6 oder traceroute6 arbeitet der Server ohne Probleme ab, (ipv6.google.com z.B.)

    Problematisch wird's, wenn ich mich auf den Server verbinden will: Dann sagt mir leider jedes Tool "Netzwerk nicht erreichbar".


    Auf dem Server läuft ein VPN (StrongSwan), das auch IPv6 tunnelt (und nebenbei alles aus dem VPN an der Firewall vorbeischläust).

    Logge ich mich ins VPN ein, so kann ich den Server per IPv6 Adresse wiederum einwandfrei ansprechen.


    Ich habe mal das Notfallsystem gebootet. Die Netzwerkkarte bekommt dort nur die Standard-IPv4. Wenn ich den dhclient -6 aufrufe, bleibt er beim aquire hängen.


    Ist das ein Zeichen, dass nei Netcup die IPv6 Verteilung nicht funktioniert? Oder gibt es noch andere Möglichkeiten zu überprüfen, warum die Welt meint, dass es meine IPv6 nicht gibt?


    Leider funktioniert IPv6 bei Unity auch nicht so wunderprächtig, und im mobilen Netz habe ich auch immer wieder Aussetzer. Dementsprechend bin ich mir gerade nicht sicher, wer den nun wieder der Schuldige ist...


    Gruß,

    _X_

    Copy&paste vom Browser funktioniert leider nicht. Da hilft leider nur der Umweg, eine Textdatei hochzuladen (Also z.B. die URL in eine Textdatei "download.sh" einfügen, wget davor schreiben, hochladen und ausführbar machen)


    "Server-intern" in Emacs kannst du die Buffer allerdings wie gewohnt nutzen.

    Regional nutzen die Leute eben einen Messenger. Mit deiner self hosted Lösung erreichst am Ende 2 😂

    Ja, und? Der Messenger soll für meine Familie und mich sein, um unsere Familienangelegenheiten nicht in die ganze Welt zu posaunen...

    Wenn's dazu noch hilft, die neue Technik genauso weit zu verbreiten, wie die Emails heute, dann unterstütze ich solche Projekte auch gerne...


    Ich finde die Einstellung "WhatsApp ist schei***, aber was soll man machen?" halt grundlegend verkehrt. Alternativen gibt's genug, man muss sie nur nutzen...

    xplod Die Zeile

    allow-query { vpn;};

    verhindert alle Abfragen außer vom VPN. Muss das Keyhelp keine authorativen Zonen hosten?

    In VPN ist auch noch localhost mit dabei.


    Wenn ich das richtig sehe, ist Keyhelp per Default so eingestellt, dass man den Server auch direkt als primären Nameserver benutzen könnte. Für "meine" Domains hingegen nutzte ich die offiziellen DNS von Netcup - Die haben mehr Ahnung vom Thema.

    Somit wird BIND nur bemüht, wenn mein Server seine eigenen Domains auflösen soll... Aber korrigiert mich, wenn ich was Falsches sage...

    hast Du Deine IPtables Firewall nach umgekehrtem Prinzip aufgebaut?

    ('es ist alles erlaubt außer explizit geblockt' vs. 'es ist alles geblockt außer explizit erlaubt')

    Die Firewall ist auf "alles geblockt" konfiguiert, nur der Port 53 war explizit offen. Der ist jetzt komplett dicht...


    Ich verstehe deine Frage nicht... Was meinst du mit rDNS Zone? Reverse DNS, sprich aus der IP einen Namen auflösen? Wofür sollte ich das benötigen?


    DNS-caching ist eins meiner nächsten Ziele, wenn ich mal wieder Langeweile habe. Aktuell soll Bind nur die gängige Werbung blockieren, und ansonsten einen der altbekannten DNS fragen...

    Hallo zusammen.


    Da meine Meinung von Whatsapp, Facebook, Twitter, .. immer weiter ins Bodenlose fällt, bin ich auf der Suche nach offenen, selbst-gehosteteten Alternativen...

    Aktuell schaue ich mich im Bereich Fediverse um, und bin dort auf einen Dienst Namens Matrix.org gestoßen, der sich recht interessant anhört.


    Hat jemand von euch damit Erfahrungen?

    Kann man mit dem Docker-Image von Matrix-Synapse direkt brauchbar loslegen? Oder werden für den reibungslosen Einsatz erst noch Datenbank, TURN, .... was-weiß-ich für Dienste benötigt?


    Es gibt ein fertiges Installationsskript, welches nginx mit dem Matrix-Synapse installiert, nur gehe ich stark davon aus,dass das einen bestehenden Webserver mit nginx und Apache komplett zerschießt, oder?


    Aktuell sieht es so aus, dass man auch "einfach" die Python-Quellen herunterladen und den Server direkt starten kann. Ist die Frage, ob sich das lohnt...

    ...Dann würde ich den Bind an eine IP binden, die nur via VPN erreichbar ist. Das hilft jetzt aber der FritzBox noch nicht. Ich habe hier einen Raspi als DNS-Server im LAN. Die FritzBox kann ja leider noch kein DoH oder DoT. :-(

    Da der Bind Server von Keyhelp genutzt wird, muss er auf der Netzwerkschnittstelle (ens3) arbeiten.

    Allerdings habe ich den Port per

    Code
    1. acl vpn {10.1.1.0/24; localhost;};
    2. options {
    3. allow-recursion { vpn;};
    4. allow-query { vpn;};
    5. ...
    6. forwarders {
    7. 1.1.1.1;
    8. }

    abgedichtet.


    Dazu habe ich mittlerweile per iptables den Port 53 von extern blockiert, und nur für das 10.1.10/24 Subnetz erlaubt...


    Wenn ich also das DNS meines Servers von der Fritzbox nutzen wollte, müsste ich die Fritzbox in das StrongSwan-VPN kriegen, was theoretisch wohl geht...

    Aktuell sieht es so aus, dass es mehr Sinn ergibt, einen weiteren Router mit offener Software ins Haus zu holen, der z.B. die ganzen "Smart"-Devices versorgt, und nebenher noch als DNS Filter agiert...



    Ich habe also noch reichlich zu tun :-)


    Mal eine Frage: was nutzt Du als VPN Server?

    Strongswan. Das wird mittlerweile von Android unterstützt (man bemötigt leider eine App dafür),aber es geht dafür sparsam mit dem Handy um.

    Davor hatte ich L2TP/IPSec am laufen (OpenSwan, war das, glaube ich) . Aber da war das Handy fast am glühen, und der Akku war schnell leer...


    Mit Strongswan bin ich sehr zufrieden, und es funktioniert auch nativ mit Windows 10


    Übrigens Danke noch mal für die Warnung mit dem Amplification-Angriffen. Der Server war keinen Tag am Laufen, und wurde schon für einen Angriff auf USADF.org misbraucht... Mal schauen, wann die Attacken aufhören, wenn der Server diese jetzt wieder ablehnt...

    Ich hatte mal ein ähnliches Fehlerbild mit anderer Ursache:

    Clients, die sich über die IPv6-Adresse verbunden hatten, hatten deinen Effekt, während ein Verbinden über IPv4 einwandfrei funktionierte.


    Hast du IPv6 laufen? Nutzt du eine Domain, um dich mit dem Server zu verbinden? Ist für diese Domain ein A- und ein AAAA-Record angelegt?

    Evtl. hilft es, sich dann direkt mit dem TS über die IPv4 oder IPv6 zu verbinden...