ich wurde von einem Mapper kontaktiert, daß der Zugang auf meine Seiten mittels IPv6 nicht funktionieren würde.
Ich “sehe” aber im Wireshark-Protokoll, daß IPv6-Traffic vorhanden ist und gehe somit davon aus, daß IPv6 bei mir funktioniert.
Kann mir jemand das positiv - oder auch negativ - bestätigen?
Mir fällt auf, dass der blockierer nicht wno-edv-service.de (2a02:908:dc34:8880:4cc8:844:bd26:40c) ist, sondern ein anderer (2a02:908:dc00:3:61c3:b47c:8297:ee2a). Gehört der Dir überhaupt noch oder ist das ein Router deines Providers?
Das ist ein Service von https://www.sixxs.net/tools/gateway/. Damit läßt sich die Erreichbarkeit von Servern u.A. via IPv6 testen.
Leider kann man dort kein SSL testen, aber meine Dummy-Seite meldet sich auf http.
Gruss
walter
zu icmp6: ist bei mir frei geschaltet, aber wird von Unity-Media geblockt. Machen viele Provider so.
Ich würde das “unreachable prohibited” von diesem “2a02:908:dc00:3:178:a720:2f97:92b5” als Antwort auf mein tcp/ip-Paket so deuten, dass er mich auch auf Port 80 nicht reinlassen will.
Offensichlich lässt er andere aber rein, sonst würde sixx nicht gehen. ipv6-test.com geht im Moment nicht. Ich glaube, dein Provider hat gerade Probleme…
Ja. Ich halte diese Kiste für einen Router einen oder ein paar Hops vor Deinem Rechner. Im traceroute von meiner Seite aus ist er der vierte Router, der zu unitymedia gehört.
srv101:~$ traceroute6 osm.wno-edv-service.de
traceroute to osm.wno-edv-service.de (2a02:908:dc30:d380:c18f:4fa2:bda6:2971), 30 hops max, 80 byte packets
1 2001:4d88:1ffa:65::1 (2001:4d88:1ffa:65::1) 3.036 ms 4.215 ms 4.217 ms
2 2a03:2900:100:31::9 (2a03:2900:100:31::9) 2.999 ms 0.598 ms 2.987 ms
3 2a00:5f40:11:200::2:4582 (2a00:5f40:11:200::2:4582) 0.833 ms 0.561 ms 0.830 ms
4 2001:4dd0:a000:a09::8422 (2001:4dd0:a000:a09::8422) 2.555 ms 2.946 ms 2.948 ms
5 core-sto1-po1.netcologne.de (2001:4dd0:a2b:42:dc30::c) 2.523 ms 2.525 ms 2.520 ms
6 rtdecix-te4-3.netcologne.de (2001:4dd0:a2b:14:10::b) 7.896 ms 7.321 ms 7.302 ms
7 de-fra04a-ri1.aorta.net (2001:7f8::1aae:0:4) 6.276 ms 6.270 ms 5.335 ms
8 2001:730:2d00::5474:8066 (2001:730:2d00::5474:8066) 7.285 ms 7.268 ms 7.275 ms
9 7111a-mx960-01.fra.unity-media.net (2a02:908::1:1) 6.631 ms 6.612 ms 7.814 ms
10 7114a-mx960-01.wib.unity-media.net (2a02:908::19:1) 7.817 ms 7.812 ms 7.757 ms
11 ph-7114a-ubr10k-03-te-1-2-0-1030.wib.unity-media.net (2a02:908:0:1f1::2) 7.752 ms 7.887 ms 7.862 ms
12 2a02:908:dc00:3:178:a720:2f97:92b5 (2a02:908:dc00:3:178:a720:2f97:92b5) 14.780 ms !X 14.776 ms !X 14.771 ms !X
Der kann ich sagen (und hab ich auch gemacht), daß sie icmp6 zum Server zulassen soll. Nur für sie selber kann ich das nicht einstellen. Oder ich finde die Schraube nicht.
Das Problem bei den 6350 ist, daß alle Einstellungen auf der WAN-Seite (Kabel) nicht vom Kunden einstellbar sind. Ist ein sog. Zwangsrouter - friß oder stirb.
du brauchst .sixxs.org nicht doppelt anhängen, aber viel wichtiger:
eigentlich ist das ist, was sixxs.org macht: es stellt Webseiten über IPv6(-only) bereit, auch wenn die Seite “nur” Ipv4 kann, d.h. das zeigt nur, dass der sixxs Server irgndwie auf deinen Server zugreifen kann
Die kenne ich auch die Seite, die liest leider nur DNS Einträge aus, d.h. die gibt dir nicht wirklich eine Auskunft, was dein Server kann…
@wambacher: hast du Zugriffslogs des Servers? Die würden dir am ehesten sagen können, ob Zugriffe via IPv6 gemacht wurden, oder ob es sich nur um normales “Hintergrundrauschen”/Scriptkiddies/ernsthafte Angriffe oder die NSA handelt, was du in Wireshark siehst. Es gibt ja noch anderen Internetverkehr, der auf deinen Rechner prallen kann, z.b. wird ja auch gerne versucht per Brute Force auf Port 22 (SSH) das root Passwort zu erraten. (Hehe oder auch andere komische Nutzernamen^^)
Klar, ip4->ip6 ist deren Job, aber das Testsystem sollte schon verläßlich sein. Leider unterstützen die kein SSL und ohne SSL kommt man nicht auf meine Seiten, sondern nur auf die Default-Seite (aber natürlich per jetty)
Ich taste mich weiter an die Sache ran. Logs vom Jetty habe ich, und da waren wirklich keine IP6-Zugriffe dabei.
jetzt aber doch: https://[2a02:908:dc30:d380:c18f:4fa2:bda6:2971]/fools und https://osm6.wno-edv-service.de/fools gehen bei mir über IPv6.
dig sagt:
dig @8.8.8.8 osm.wno-edv-service.de any
; <<>> DiG 9.9.3-rpz2+rl.13214.22-P2-Ubuntu-1:9.9.3.dfsg.P2-4ubuntu1.1 <<>> @8.8.8.8 osm.wno-edv-service.de any
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 671
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;osm.wno-edv-service.de. IN ANY
;; ANSWER SECTION:
osm.wno-edv-service.de. 3599 IN A 80.244.251.106
osm.wno-edv-service.de. 3599 IN AAAA 2a02:908:dc30:d380:c18f:4fa2:bda6:2971
;; Query time: 38 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Jul 24 07:31:06 CEST 2014
;; MSG SIZE rcvd: 95
und
dig @8.8.8.8 osm6.wno-edv-service.de any
; <<>> DiG 9.9.3-rpz2+rl.13214.22-P2-Ubuntu-1:9.9.3.dfsg.P2-4ubuntu1.1 <<>> @8.8.8.8 osm6.wno-edv-service.de any
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54319
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;osm6.wno-edv-service.de. IN ANY
;; ANSWER SECTION:
osm6.wno-edv-service.de. 3599 IN AAAA 2a02:908:dc30:d380:c18f:4fa2:bda6:2971
;; Query time: 72 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Jul 24 07:34:53 CEST 2014
;; MSG SIZE rcvd: 80
Derzeit sieht das für mich nach einem Problem auf dem Client aus: Ich biete per DNS eine IPv4 und eine IPv6-Adresse an. Welche davon der Client (also euer Rechner) verwendet, liegt nicht in meiner Hand. Oder doch?
Bitte probiert osm6 oder gar die ipv6-Adresse mal mit Fools aus. Er sollte dann ein weiteres Zertifikat bekommen, aber das ist ok so. Bei den anderen Anwendungen hab ich das erweiterte Logging noch nicht freigeschaltet. Und bitte nix mit wget. Ich möchte da nicht noch ein anderes Problem klären müssen.
ps: ich werde die Sache natürlich weiter verfolgen, da es doch ziemlich lästig ist. Auch weil ich nicht verstehen kann, daß ip4 anscheinend (von den Rechnern?) bevorzugt wird.
Http will ich nicht unterstützen; es sollte aber ein automatischer Redirect http–> https erfolgen. Mag sein, dass das nicht mehr funzt, aber das funktionierte bereits.
was für ein OS auf dem PC? ich fahre nur Ubuntu. hat aber gestern auch dort mit wget nicht funktioniert.