Zugang auf meine Seiten mittels IPv6

Hi,

ich wurde von einem Mapper kontaktiert, daß der Zugang auf meine Seiten mittels IPv6 nicht funktionieren würde.
Ich “sehe” aber im Wireshark-Protokoll, daß IPv6-Traffic vorhanden ist und gehe somit davon aus, daß IPv6 bei mir funktioniert.

Kann mir jemand das positiv - oder auch negativ - bestätigen?

Gruss
walter

@HostedDinner: http://wiki.gwdg.de/index.php/Wget_mit_SSL-Sites_und_CA-File

[wget --no-check-certificate https://osm.wno-edv-service.de/DataServer/osm/files/update_some_trees.log](wget --no-check-certificate https://osm.wno-edv-service.de/DataServer/osm/files/update_some_trees.log) klappt aber dennoch nicht :frowning:

Grübel, Grübel

Bei mir geht es nicht. Und ich denke das Problem ist, dass du icmpv6 blockst und somit kein Verbindungsaufbau möglich ist.
Kann das sein?

Meinem Browser kann ich nicht beibringen, IPv6 zuerst zu verwenden… aber wget probiert es und bekommt ein “Permission denied”

wget -v "http://osm.wno-edv-service.de/"
--2014-07-23 15:11:38--  http://osm.wno-edv-service.de/
Resolving osm.wno-edv-service.de... 2a02:908:dc34:8880:4cc8:844:bd26:40c, 80.244.251.106
Connecting to osm.wno-edv-service.de|2a02:908:dc34:8880:4cc8:844:bd26:40c|:80... failed: Permission denied.
Connecting to osm.wno-edv-service.de|80.244.251.106|:80... connected.

Wäre ein Hinweis:

ping6 osm.wno-edv-service.de
PING osm.wno-edv-service.de(2a02:908:dc34:8880:4cc8:844:bd26:40c) 56 data bytes
From 2a02:908:dc00:3:61c3:b47c:8297:ee2a icmp_seq=1 Destination unreachable: Administratively prohibited
From 2a02:908:dc00:3:61c3:b47c:8297:ee2a icmp_seq=2 Destination unreachable: Administratively prohibited

tcpdump -n ip6 während der Verbindungsaufname mit wget:

15:11:38.319588 IP6 2001:4d88:1ffa:65:7:542:1:12.50014 > 2a02:908:dc34:8880:4cc8:844:bd26:40c.80: Flags [s], seq 2660660070, win 5760, options [mss 1440,sackOK,TS val 1744392117 ecr 0,nop,wscale 6], length 0
15:11:38.333164 IP6 2a02:908:dc00:3:61c3:b47c:8297:ee2a > 2001:4d88:1ffa:65:7:542:1:12: ICMP6, destination unreachable,  unreachable prohibited 2a02:908:dc34:8880:4cc8:844:bd26:40c, length 88

*Nachtrag: *

Mir fällt auf, dass der blockierer nicht wno-edv-service.de (2a02:908:dc34:8880:4cc8:844:bd26:40c) ist, sondern ein anderer (2a02:908:dc00:3:61c3:b47c:8297:ee2a). Gehört der Dir überhaupt noch oder ist das ein Router deines Providers?

Nee, icmp ist frei.

Aber ich glaube, ich hab ein DynDNS-Problem, da die IPv6-Adresse nicht (mehr) stimmt.

Gruss
walter

ps: ich meld mich wieder.

jetzt könnte es wieder mit ipv6 funktionieren. Habe die IPv6-Adresse manuell angepasst, da die sich wohl in den letzten Tagen geändert hat.

Bei meinem alten DNS-Anbieter (RegFish) ging das automatisch.

Von mir aus gesehen, neue Adresse, gleiches Fehlerbild:

 wget -v "http://osm.wno-edv-service.de/"
--2014-07-23 16:48:16--  http://osm.wno-edv-service.de/
Resolving osm.wno-edv-service.de... 2a02:908:dc30:d380:4861:b782:e343:663a, 80.244.251.106
Connecting to osm.wno-edv-service.de|2a02:908:dc30:d380:4861:b782:e343:663a|:80... failed: Permission denied.
Connecting to osm.wno-edv-service.de|80.244.251.106|:80... connected.

 wget -v "https://osm.wno-edv-service.de/"
--2014-07-23 16:48:44--  https://osm.wno-edv-service.de/
Resolving osm.wno-edv-service.de... 2a02:908:dc30:d380:4861:b782:e343:663a, 80.244.251.106
Connecting to osm.wno-edv-service.de|2a02:908:dc30:d380:4861:b782:e343:663a|:443... failed: Permission denied.
Connecting to osm.wno-edv-service.de|80.244.251.106|:443... connected.

Währenddessen im dump:

16:48:16.812062 IP6 2001:4d88:1ffa:65:7:542:1:12.39362 > 2a02:908:dc30:d380:4861:b782:e343:663a.80: Flags [s], seq 1673493869, win 5760, options [mss 1440,sackOK,TS val 1745841740 ecr 0,nop,wscale 6], length 0
16:48:16.829980 IP6 2a02:908:dc00:3:178:a720:2f97:92b5 > 2001:4d88:1ffa:65:7:542:1:12: ICMP6, destination unreachable,  unreachable prohibited 2a02:908:dc30:d380:4861:b782:e343:663a, length 88
....
16:48:44.402630 IP6 2001:4d88:1ffa:65:7:542:1:12.48670 > 2a02:908:dc30:d380:4861:b782:e343:663a.443: Flags [s], seq 1713194353, win 5760, options [mss 1440,sackOK,TS val 1745848638 ecr 0,nop,wscale 6], length 0
16:48:44.421180 IP6 2a02:908:dc00:3:178:a720:2f97:92b5 > 2001:4d88:1ffa:65:7:542:1:12: ICMP6, destination unreachable,  unreachable prohibited 2a02:908:dc30:d380:4861:b782:e343:663a, length 88

Und zur Sicherheit ne Gegenprobe:

 www.google.de
--2014-07-23 16:55:22--  http://www.google.de/
Resolving www.google.de... 2a00:1450:4008:c01::5e, 173.194.69.94
Connecting to www.google.de|2a00:1450:4008:c01::5e|:80... connected.
HTTP request sent, awaiting response... 200 OK

und meine Gegenprobe: http://osm.wno-edv-service.de.sixxs.org.sixxs.org/ ist erreichbar.

Das ist ein Service von https://www.sixxs.net/tools/gateway/. Damit läßt sich die Erreichbarkeit von Servern u.A. via IPv6 testen.
Leider kann man dort kein SSL testen, aber meine Dummy-Seite meldet sich auf http.

Gruss
walter

zu icmp6: ist bei mir frei geschaltet, aber wird von Unity-Media geblockt. Machen viele Provider so.

osm.wno-edv-service.de.sixxs.org ist auch von mir aus erreichbar.

Ich würde das “unreachable prohibited” von diesem “2a02:908:dc00:3:178:a720:2f97:92b5” als Antwort auf mein tcp/ip-Paket so deuten, dass er mich auch auf Port 80 nicht reinlassen will.

Offensichlich lässt er andere aber rein, sonst würde sixx nicht gehen. ipv6-test.com geht im Moment nicht. Ich glaube, dein Provider hat gerade Probleme…

schau mal:


eth2      Link encap:Ethernet  Hardware Adresse 30:85:a9:8c:da:13  
          inet Adresse:192.168.178.20  Bcast:192.168.178.255  Maske:255.255.255.0
          inet6-Adresse: 2a02:908:dc30:d380:4861:b782:e343:663a/64 Gültigkeitsbereich:Global
          inet6-Adresse: 2a02:908:dc30:d380:c04b:6d07:96de:6bee/64 Gültigkeitsbereich:Global
          inet6-Adresse: fe80::3285:a9ff:fe8c:da13/64 Gültigkeitsbereich:Verbindung
          inet6-Adresse: 2a02:908:dc30:d380:c18f:4fa2:bda6:2971/64 Gültigkeitsbereich:Global
          inet6-Adresse: 2a02:908:dc30:d380:3dc1:fb17:f25a:a9bf/64 Gültigkeitsbereich:Global
          inet6-Adresse: 2a02:908:dc30:d380:3285:a9ff:fe8c:da13/64 Gültigkeitsbereich:Global

da ist 2a02:908:dc00:3:178:a720:2f97:92b5 nicht dabei. Und Port 80 klemm ich per Redirect eh auf 448 um.

Jo, mit IPv6 tun sich alle noch schwer - ich bin da auch nicht 100% sicher drin.

Gruss
walter

Ja. Ich halte diese Kiste für einen Router einen oder ein paar Hops vor Deinem Rechner. Im traceroute von meiner Seite aus ist er der vierte Router, der zu unitymedia gehört.

srv101:~$ traceroute6 osm.wno-edv-service.de
traceroute to osm.wno-edv-service.de (2a02:908:dc30:d380:c18f:4fa2:bda6:2971), 30 hops max, 80 byte packets
 1  2001:4d88:1ffa:65::1 (2001:4d88:1ffa:65::1)  3.036 ms  4.215 ms  4.217 ms
 2  2a03:2900:100:31::9 (2a03:2900:100:31::9)  2.999 ms  0.598 ms  2.987 ms
 3  2a00:5f40:11:200::2:4582 (2a00:5f40:11:200::2:4582)  0.833 ms  0.561 ms  0.830 ms
 4  2001:4dd0:a000:a09::8422 (2001:4dd0:a000:a09::8422)  2.555 ms  2.946 ms  2.948 ms
 5  core-sto1-po1.netcologne.de (2001:4dd0:a2b:42:dc30::c)  2.523 ms  2.525 ms  2.520 ms
 6  rtdecix-te4-3.netcologne.de (2001:4dd0:a2b:14:10::b)  7.896 ms  7.321 ms  7.302 ms
 7  de-fra04a-ri1.aorta.net (2001:7f8::1aae:0:4)  6.276 ms  6.270 ms  5.335 ms
 8  2001:730:2d00::5474:8066 (2001:730:2d00::5474:8066)  7.285 ms  7.268 ms  7.275 ms
 9  7111a-mx960-01.fra.unity-media.net (2a02:908::1:1)  6.631 ms  6.612 ms  7.814 ms
10  7114a-mx960-01.wib.unity-media.net (2a02:908::19:1)  7.817 ms  7.812 ms  7.757 ms
11  ph-7114a-ubr10k-03-te-1-2-0-1030.wib.unity-media.net (2a02:908:0:1f1::2)  7.752 ms  7.887 ms  7.862 ms
12  2a02:908:dc00:3:178:a720:2f97:92b5 (2a02:908:dc00:3:178:a720:2f97:92b5)  14.780 ms !X  14.776 ms !X  14.771 ms !X

Grüße, Max

Jo, das ist tatsächlich meine FritzBox 6350 !!!

Der kann ich sagen (und hab ich auch gemacht), daß sie icmp6 zum Server zulassen soll. Nur für sie selber kann ich das nicht einstellen. Oder ich finde die Schraube nicht.

Das Problem bei den 6350 ist, daß alle Einstellungen auf der WAN-Seite (Kabel) nicht vom Kunden einstellbar sind. Ist ein sog. Zwangsrouter - friß oder stirb.

Gruss
walter

Eine nette Seite zum Testen auf IPv6 ist http://ip6.nl

http://ip6.nl/#!osm.wno-edv-service.de

Owei jetzt hab ich ne Diskussion angetreten…

  1. du brauchst .sixxs.org nicht doppelt anhängen, aber viel wichtiger:
  2. eigentlich ist das ist, was sixxs.org macht: es stellt Webseiten über IPv6(-only) bereit, auch wenn die Seite “nur” Ipv4 kann, d.h. das zeigt nur, dass der sixxs Server irgndwie auf deinen Server zugreifen kann :wink:

Die kenne ich auch die Seite, die liest leider nur DNS Einträge aus, d.h. die gibt dir nicht wirklich eine Auskunft, was dein Server kann…

@wambacher: hast du Zugriffslogs des Servers? Die würden dir am ehesten sagen können, ob Zugriffe via IPv6 gemacht wurden, oder ob es sich nur um normales “Hintergrundrauschen”/Scriptkiddies/ernsthafte Angriffe oder die NSA handelt, was du in Wireshark siehst. Es gibt ja noch anderen Internetverkehr, der auf deinen Rechner prallen kann, z.b. wird ja auch gerne versucht per Brute Force auf Port 22 (SSH) das root Passwort zu erraten. (Hehe oder auch andere komische Nutzernamen^^)

Lg

Wirklich? Schau mal wer den Thread aufgemacht hat :wink:

jo, war ein Flüchtigkeitsfehler.

Klar, ip4->ip6 ist deren Job, aber das Testsystem sollte schon verläßlich sein. Leider unterstützen die kein SSL und ohne SSL kommt man nicht auf meine Seiten, sondern nur auf die Default-Seite (aber natürlich per jetty)

Ich taste mich weiter an die Sache ran. Logs vom Jetty habe ich, und da waren wirklich keine IP6-Zugriffe dabei.

jetzt aber doch: https://[2a02:908:dc30:d380:c18f:4fa2:bda6:2971]/fools und https://osm6.wno-edv-service.de/fools gehen bei mir über IPv6.

dig sagt:


dig @8.8.8.8 osm.wno-edv-service.de any

; <<>> DiG 9.9.3-rpz2+rl.13214.22-P2-Ubuntu-1:9.9.3.dfsg.P2-4ubuntu1.1 <<>> @8.8.8.8 osm.wno-edv-service.de any
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 671
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;osm.wno-edv-service.de.		IN	ANY

;; ANSWER SECTION:
osm.wno-edv-service.de.	3599	IN	A	80.244.251.106
osm.wno-edv-service.de.	3599	IN	AAAA	2a02:908:dc30:d380:c18f:4fa2:bda6:2971

;; Query time: 38 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Jul 24 07:31:06 CEST 2014
;; MSG SIZE  rcvd: 95

und


dig @8.8.8.8 osm6.wno-edv-service.de any

; <<>> DiG 9.9.3-rpz2+rl.13214.22-P2-Ubuntu-1:9.9.3.dfsg.P2-4ubuntu1.1 <<>> @8.8.8.8 osm6.wno-edv-service.de any
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54319
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;osm6.wno-edv-service.de.	IN	ANY

;; ANSWER SECTION:
osm6.wno-edv-service.de. 3599	IN	AAAA	2a02:908:dc30:d380:c18f:4fa2:bda6:2971

;; Query time: 72 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Jul 24 07:34:53 CEST 2014
;; MSG SIZE  rcvd: 80

Derzeit sieht das für mich nach einem Problem auf dem Client aus: Ich biete per DNS eine IPv4 und eine IPv6-Adresse an. Welche davon der Client (also euer Rechner) verwendet, liegt nicht in meiner Hand. Oder doch?

osm.wno-edv-service.de. 3599 IN A 80.244.251.106
osm.wno-edv-service.de. 3599 IN AAAA 2a02:908:dc30:d380:c18f:4fa2:bda6:2971

osm6.wno-edv-service.de. 3599 IN AAAA 2a02:908:dc30:d380:c18f:4fa2:bda6:2971

Bitte probiert osm6 oder gar die ipv6-Adresse mal mit Fools aus. Er sollte dann ein weiteres Zertifikat bekommen, aber das ist ok so. Bei den anderen Anwendungen hab ich das erweiterte Logging noch nicht freigeschaltet. Und bitte nix mit wget. Ich möchte da nicht noch ein anderes Problem klären müssen.

Gruss
walter

tl;dr: bitte mal mit https://osm6.wno-edv-service.de/fools probieren.

jo, den ersten sicheren ipv6-Zugriff hab ich gerade gesehen.

Gruss
walter

Geht. Solltest du im Log von 2001:4d88:1ffa:65:7:542:1:12 sehn.

stimmt: 24.07.2014 08:21:01 2001:4d88:1ffa:65:7:542:1:12 getFools3 fools-1.2 done rc=200

so, jetzt seit ihr dran.

Gruss
walter

ps: ich werde die Sache natürlich weiter verfolgen, da es doch ziemlich lästig ist. Auch weil ich nicht verstehen kann, daß ip4 anscheinend (von den Rechnern?) bevorzugt wird.

Jetzt geht es auf wundersame Weise, aber nur https, nicht http. (beides osm… und osm6…)

BTW: Und auf meinem Server geht sogar wget, der aktzeptiert das Zert einfach :wink: auf meinem Pc nervt der mich auch, dass der das nicht kann…

Wie? mit osm… oder mit osm6…?

Http will ich nicht unterstützen; es sollte aber ein automatischer Redirect http–> https erfolgen. Mag sein, dass das nicht mehr funzt, aber das funktionierte bereits.

was für ein OS auf dem PC? ich fahre nur Ubuntu. hat aber gestern auch dort mit wget nicht funktioniert.

Gruss
walter

Das Wort davor war: beides :wink: Also über https://osm6.wno-edv-service.de/ und https://osm.wno-edv-service.de/

Meinem Pc ist Windows, mit wget 1.11.4, mein Server ist Debian mit wget 1.13.4 (vllt kann das wget erst in späteren Versionen :wink: )