[gelöst]Kein Zugriff auf Apache

[suleiman]

Wenn sich der IPv6-Präfix, den deine FB6360 von Unitymedia bekommt, nicht ändert, dann musst Du auch nichts bei deinem DynDNS-Anbieter updaten.

Die ssh-Verbindung zu deinem Server, kannst Du nur per IPv4 oder IPv6 aus deinem (W)LAN (nicht Internet) herstellen. Das geht z. Zt. nicht aus dem Internet per IPv4, wegen DS-lite.

Joa, das ist mir jetzt klar, daher habe ich mal den Link zu meinem Server hier rein gestellt.


Mit zwei Computer getestet...
Suse ist mein Server mit Apache drauf.
Der Antec ist mein Desktop PC.

Code: Alles auswählen

mario@antec:~$ host -t AAAA suleiman.home-webserver.de
;; connection timed out; no servers could be reached
mario@antec:~$ host -t AAAA suleiman.home-webserver.de 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases: 

suleiman.home-webserver.de has IPv6 address 2a02:908:2618:6ce0:e94b:d5a:f72d:efb

Code: Alles auswählen

root@suse:~# host -t AAAA suleiman.home-webserver.de 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases: 

suleiman.home-webserver.de has IPv6 address 2a02:908:2618:6ce0:e94b:d5a:f72d:efb

Nachtrag:
Den hab ich vergessen zu posten ...

Code: Alles auswählen

root@suse:~# host -t AAAA suleiman.home-webserver.de
;; connection timed out; no servers could be reached

[mat6937]

Der Antec ist mein Desktop PC.

Code: Alles auswählen

mario@antec:~$ host -t AAAA suleiman.home-webserver.de
;; connection timed out; no servers could be reached

ist dein Desktop-PC überhaupt IPv6-fähig? Wenn ja, warum kann dieser keine IPv6-Namensauflösung machen?
Wie sind auf deinem Desktop-PC die Ausgaben von:

Code: Alles auswählen

cat /etc/resolv.conf
ip a
ip r

?

[suleiman]

Code: Alles auswählen

mario@antec:~$ ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether f4:6d:04:76:60:42 brd ff:ff:ff:ff:ff:ff
3: wlan1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 98:de:d0:07:cc:f0 brd ff:ff:ff:ff:ff:ff
    inet 192.168.178.33/24 brd 192.168.178.255 scope global dynamic wlan1
       valid_lft 849652sec preferred_lft 849652sec
    inet6 2a02:908:2618:6ce0:9ade:d0ff:fe07:ccf0/64 scope global noprefixroute dynamic 
       valid_lft 6985sec preferred_lft 3385sec
    inet6 fe80::9ade:d0ff:fe07:ccf0/64 scope link 
       valid_lft forever preferred_lft forever

Code: Alles auswählen

mario@antec:~$ ip -6 route
2a02:908:2618:6ce0::/64 dev wlan1  proto ra  metric 10 
2a02:908:2618:6ce0::/59 via fe80::2665:11ff:fe3b:7e28 dev wlan1  proto ra  metric 10 
fe80::/64 dev wlan1  proto kernel  metric 256 
default via fe80::2665:11ff:fe3b:7e28 dev wlan1  proto static  metric 1024 

Code: Alles auswählen

mario@antec:~$ ping6 -c 1 heise.de
PING heise.de(redirector.heise.de) 56 data bytes
64 bytes from redirector.heise.de: icmp_seq=1 ttl=54 time=32.5 ms

--- heise.de ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 32.515/32.515/32.515/0.000 ms

Code: Alles auswählen

mario@antec:~$ ping6 -c 1 suleiman.home-webserver.de
unknown host

Code: Alles auswählen

mario@antec:~$ cat /etc/resolv.conf 
# Generated by NetworkManager
search fritz.box
nameserver 192.168.178.1
nameserver fd00::2665:11ff:fe3b:7e28

[mat6937]

Code: Alles auswählen

mario@antec:~$ ping6 -c 1 suleiman.home-webserver.de
unknown host

Poste die Ausgaben von:

Code: Alles auswählen

cat /etc/resolv.conf
host -t AAAA suleiman.home-webserver.de 192.168.178.1
host dns.fritz.box

[suleiman]

Code: Alles auswählen

mario@antec:~$ host -t AAAA suleiman.home-webserver.de 192.168.178.1
;; connection timed out; no servers could be reached

Code: Alles auswählen

mario@antec:~$ host dns.fritz.box
dns.fritz.box has IPv6 address fd00::2665:11ff:fe3b:7e28

Code: Alles auswählen

mario@antec:~$ cat /etc/resolv.conf 
# Generated by NetworkManager
search fritz.box
nameserver 192.168.178.1
nameserver fd00::2665:11ff:fe3b:7e28

[mat6937]

Code: Alles auswählen

mario@antec:~$ host -t AAAA suleiman.home-webserver.de 192.168.178.1
;; connection timed out; no servers could be reached

Code: Alles auswählen

mario@antec:~$ host dns.fritz.box
dns.fritz.box has IPv6 address fd00::2665:11ff:fe3b:7e28

Code: Alles auswählen

mario@antec:~$ cat /etc/resolv.conf 
# Generated by NetworkManager
search fritz.box
nameserver 192.168.178.1
nameserver fd00::2665:11ff:fe3b:7e28

Und jetzt noch:

Code: Alles auswählen

ip a
ping -c 3 -W 2 192.168.178.1
ping6 -c 3 -W 2 fd00::2665:11ff:fe3b:7e28
host -t AAAA suleiman.home-webserver.de fd00::2665:11ff:fe3b:7e28

?
Evtl. geht der IPv4-Zugang zu deiner FB6360 z. Zt. nicht? Die Ausgabe von:

Code: Alles auswählen

sudo iptables -nvx -L

?

EDIT:

BTW: Wenn man den NM benutzt, dann sollte man nur dann in der interfaces-Datei rum fuhrwerken, wenn man auch weiß was man tut.

[suleiman]

Code: Alles auswählen

mario@antec:~$ ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether f4:6d:04:76:60:42 brd ff:ff:ff:ff:ff:ff
3: wlan1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 98:de:d0:07:cc:f0 brd ff:ff:ff:ff:ff:ff
    inet 192.168.178.33/24 brd 192.168.178.255 scope global dynamic wlan1
       valid_lft 848571sec preferred_lft 848571sec
    inet6 2a02:908:2618:6ce0:9ade:d0ff:fe07:ccf0/64 scope global noprefixroute dynamic 
       valid_lft 6931sec preferred_lft 3331sec
    inet6 fe80::9ade:d0ff:fe07:ccf0/64 scope link 
       valid_lft forever preferred_lft forever

Ich gehe mal davon aus das a und addr gleich sind.

Code: Alles auswählen

mario@antec:~$ ping -c 3 -W 2 192.168.178.1
PING 192.168.178.1 (192.168.178.1) 56(84) bytes of data.
64 bytes from 192.168.178.1: icmp_seq=1 ttl=64 time=3.41 ms
64 bytes from 192.168.178.1: icmp_seq=2 ttl=64 time=3.30 ms
64 bytes from 192.168.178.1: icmp_seq=3 ttl=64 time=2.96 ms

--- 192.168.178.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 2.968/3.227/3.411/0.199 ms

Code: Alles auswählen

mario@antec:~$ ping6 -c 3 -W 2 fd00::2665:11ff:fe3b:7e28
PING fd00::2665:11ff:fe3b:7e28(fd00::2665:11ff:fe3b:7e28) 56 data bytes
64 bytes from fd00::2665:11ff:fe3b:7e28: icmp_seq=1 ttl=64 time=3.75 ms
64 bytes from fd00::2665:11ff:fe3b:7e28: icmp_seq=2 ttl=64 time=4.26 ms
64 bytes from fd00::2665:11ff:fe3b:7e28: icmp_seq=3 ttl=64 time=17.1 ms

--- fd00::2665:11ff:fe3b:7e28 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 3.750/8.391/17.163/6.206 ms

Code: Alles auswählen

mario@antec:~$ host -t AAAA suleiman.home-webserver.de fd00::2665:11ff:fe3b:7e28
;; connection timed out; no servers could be reached

Ich hab keine Filterregeln aufm Dektop PC....

Code: Alles auswählen

mario@antec:~$ sudo iptables -nvx -L
[sudo] password for mario: 
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination     

[suleiman]

BTW: Wenn man den NM benutzt, dann sollte man nur dann in der interfaces-Datei rum fuhrwerken, wenn man auch weiß was man tut.

Joa, das regelt alles der NM aufm Dektop PC...

Code: Alles auswählen

mario@antec:~$ sudo cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet6 loopback

## wlan
#auto	wlan1
#iface	wlan1	inet6	auto
#	wpa-ssid	"EmoRage GimpCon"
#	wpa-psk		xxx
#        privext         0
#	dhcp		1
#	pre-up		/bin/sh	/usr/local/bin/firewall.start.client.sh

#quto	wlan0
#iface	wlan0	inet	dhcp
#	wpa-ssid	"EmoRage GimpCon"
#	wpa-psk		xxx

## Neu
#auto wlan1
#allow-hotplug wlan1
#iface wlan1 inet6 auto
#	wpa-ssid        "EmoRage GimpCon"
#	wpa-psk         xxxx
#	privext		0
#	dhcp 1

[suleiman]

Als ich nochmal über meine Post drüber geschaut habe ist mir die Latenz wieder mal aufgefallen.
Joa, ist mir bekannt und betrifft nur den Desktop PC.
Der Server schnurrt wie ein Kätzchen.

Soll ich am Server auch mal probieren ob da DNS irgendwie nicht geht, weil ich hab da eine Firewall für IPv4 aktiv.

Code: Alles auswählen

root@suse:~# iptables -L -n -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 5818  654K LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 7 prefix "iptables: input-debug: "
 2007  142K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0            ctstate NEW
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            MAC 98:DE:D0:07:CC:F0 multiport dports 22,80,389,8200 ctstate NEW
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            MAC BC:8C:CD:62:9D:39 multiport dports 22,80,389,8200 ctstate NEW
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            MAC D0:50:99:AD:77:C5 multiport dports 22,80,389,8200 ctstate NEW
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 ctstate NEW
 3811  512K LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 5 prefix "iptables: input-dropped: "
 3748  510K REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with tcp-reset
   63  2268 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-proto-unreachable

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 19291 packets, 6650K bytes)
 pkts bytes target     prot opt in     out     source               destination   

[mat6937]

Code: Alles auswählen

mario@antec:~$ host -t AAAA suleiman.home-webserver.de fd00::2665:11ff:fe3b:7e28
;; connection timed out; no servers could be reached

Hast Du an den externen DNS-Server deiner FB6360 etwas geändert?
Wie sind die Ausgaben von:

Code: Alles auswählen

nc -zv 192.168.178.1 53
nc -zv -6 fd00::2665:11ff:fe3b:7e28 53
host -t A heise.de fd00::2665:11ff:fe3b:7e28
host -t AAAA heise.de fd00::2665:11ff:fe3b:7e28
dig +tcp -t AAAA heise.de @fd00::2665:11ff:fe3b:7e28 +short

?

[suleiman]

Code: Alles auswählen

mario@antec:~$ host -t AAAA suleiman.home-webserver.de fd00::2665:11ff:fe3b:7e28
;; connection timed out; no servers could be reached

Hast Du an den externen DNS-Server deiner FB6360 etwas geändert?
Wie sind die Ausgaben von:

Code: Alles auswählen

nc -zv 192.168.178.1 53
nc -zv -6 fd00::2665:11ff:fe3b:7e28 53
host -t A heise.de fd00::2665:11ff:fe3b:7e28
host -t AAAA heise.de fd00::2665:11ff:fe3b:7e28
dig +tcp -t AAAA heise.de @fd00::2665:11ff:fe3b:7e28 +short

?

wusste garnicht das sowas geht.

Code: Alles auswählen

mario@antec:~$ nc -zv 192.168.178.1 53
fritz.box [192.168.178.1] 53 (domain) open

Code: Alles auswählen

mario@antec:~$ nc -zv -6 fd00::2665:11ff:fe3b:7e28 53
nc: invalid option -- '6'
nc -h for help

Wie kann es sein das dieses Tool funktioniert aber nicht installiert ist...

Code: Alles auswählen

mario@antec:~$ apt-cache policy netcat
netcat:
  Installiert:           (keine)
  Installationskandidat: 1.10-41
  Versionstabelle:
     1.10-41 0
        500 http://ftp.de.debian.org/debian/ jessie/main amd64 Packages

Code: Alles auswählen

mario@antec:~$ host -t A heise.de fd00::2665:11ff:fe3b:7e28
Using domain server:
Name: fd00::2665:11ff:fe3b:7e28
Address: fd00::2665:11ff:fe3b:7e28#53
Aliases: 

heise.de has address 193.99.144.80

Code: Alles auswählen

mario@antec:~$ host -t AAAA heise.de fd00::2665:11ff:fe3b:7e28
Using domain server:
Name: fd00::2665:11ff:fe3b:7e28
Address: fd00::2665:11ff:fe3b:7e28#53
Aliases: 

heise.de has IPv6 address 2a02:2e0:3fe:1001:302::

Code: Alles auswählen

mario@antec:~$ dig +tcp -t AAAA heise.de @fd00::2665:11ff:fe3b:7e28 +short
bash: dig: Kommando nicht gefunden.

Was ist dig für ein Tool, ich finde da nix.
Wie kann man das installieren bzw den Paketnamen bräuchte ich.

[mat6937]

Code: Alles auswählen

mario@antec:~$ host -t AAAA heise.de fd00::2665:11ff:fe3b:7e28
Using domain server:
Name: fd00::2665:11ff:fe3b:7e28
Address: fd00::2665:11ff:fe3b:7e28#53
Aliases: 

heise.de has IPv6 address 2a02:2e0:3fe:1001:302::

Dann sollte/müsste jetzt auch:

Code: Alles auswählen

host -t AAAA suleiman.home-webserver.de fd00::2665:11ff:fe3b:7e28

funktionieren.

Was ist dig für ein Tool, ich finde da nix.
Wie kann man das installieren bzw den Paketnamen bräuchte ich.

dnsutils

[suleiman]

Code: Alles auswählen

mario@antec:~$ host -t AAAA suleiman.home-webserver.de fd00::2665:11ff:fe3b:7e28
;; connection timed out; no servers could be reached

Brauch ich dnsutils ?
Oder mal anders gefragt: Brauche ich einen eigenen DNS-Server (Bind9) ?

[mat6937]

Brauch ich dnsutils ?

Wenn Du dig haben willst, ja.

Oder mal anders gefragt: Brauche ich einen eigenen DNS-Server (Bind9) ?

Nein, Du brauchst keinen eigenen DNS-Server.

[suleiman]

Code: Alles auswählen

admin@suse:~$ cat /var/log/apache2/access.log 
...- - [16/Jan/2017:15:02:44 +0100] "GET / HTTP/1.1" 200 10956 "-" "curl/7.38.0"

Irgendwer hat Zugriff gehabt.
Aber wieso ich nicht.

[mat6937]

Irgendwer hat Zugriff gehabt.

Starte auf deinem Server:

Code: Alles auswählen

tcpdump -vvveni eth0 'ip6 and (ip6[6] == 0x06) and (ip6[53] == 0x02)'

und dann kannst Du sehen von welcher IPv6-Adresse, auf den Port 80 deines Servers zugegriffen wird (v6-Filter für das "syn-flag").

... oder mit sy+ack-Flag:

Code: Alles auswählen

tcpdump -vvveni eth0 'ip6 and (ip6[6] == 0x06) and (ip6[53] == 0x12)'

[suleiman]

Zwei Kumpels von mir haben auch keine Verbindung bekommen.
Ich hab nichtmal einen Eintrag in den Logs.

Ich finde nix anderes als diese Fehlerlogs von Apache.
Die Meldungen kommen immer beim (neu)starten vom apache.

Code: Alles auswählen

[Mon Jan 16 18:53:09.298518 2017] [mpm_event:notice] [pid 751:tid 140249698424704] AH00489: Apache/2.4.10 (Debian) configured -- resuming normal operations
[Mon Jan 16 18:53:09.339554 2017] [core:notice] [pid 751:tid 140249698424704] AH00094: Command line: '/usr/sbin/apache2'
[Mon Jan 16 19:07:31.354272 2017] [mpm_event:notice] [pid 751:tid 140249698424704] AH00491: caught SIGTERM, shutting down
[Mon Jan 16 19:07:32.429308 2017] [mpm_event:notice] [pid 892:tid 140010487715712] AH00489: Apache/2.4.10 (Debian) configured -- resuming normal operations
[Mon Jan 16 19:07:32.429537 2017] [core:notice] [pid 892:tid 140010487715712] AH00094: Command line: '/usr/sbin/apache2'

Über die IPv6 kann ich den Server direkt erreichen, aber die Namensauflösung funktioniert egal wie nicht.

Mit dem tcpdump lausche ich nun und ja da hat auch mal wieder einer es versucht,
aber ich werde leider nicht aus dem tcpdump schlau, da muß mach sich schon sehr sehr gut auskennen mit den Protokollen.
Mein Respekt dafür!

Ich gehe jetzt stark davon aus dass es was mit der Namensauflösung zu tun hat.

Was für ein Programm brauch man bei spdns.de ?
Kann man da auch mit lynx oder vergleichbarem die IPv6 da eintragen ?

Die Zugriffe wo ich mit tcpdump protokolliere, werden die noch woanders protokolliert, oder geht das nur mit ip6tables ?
Im apache log Verzeichnis ändert sich nix.
Im normalen Protokoll-Verzeichnis aber auch nicht.
Also muß doch irgendwo eine Blockade wieder sein.

[suleiman]

Mal nen Schuss ins schwarze ...

an meinen Treibern liegt es auch nicht oder ?...

Code: Alles auswählen

admin@suse:~$ journalctl -k -b -p debug --no-pager | grep -iE "(eth0|r8169)"
Jan 16 18:52:53 suse kernel: r8169 Gigabit Ethernet driver 2.3LK-NAPI loaded
Jan 16 18:52:53 suse kernel: r8169 0000:02:00.0: can't disable ASPM; OS doesn't have ASPM control
Jan 16 18:52:53 suse kernel: r8169 0000:02:00.0: irq 41 for MSI/MSI-X
Jan 16 18:52:53 suse kernel: r8169 0000:02:00.0 eth0: RTL8168evl/8111evl at 0xffffc9000000a000, 8c:89:a5:a3:fc:7f, XID 0c900800 IRQ 41
Jan 16 18:52:53 suse kernel: r8169 0000:02:00.0 eth0: jumbo features [frames: 9200 bytes, tx checksumming: ko]
Jan 16 18:53:03 suse kernel: r8169 0000:02:00.0: firmware: direct-loading firmware rtl_nic/rtl8168e-3.fw
Jan 16 18:53:03 suse kernel: r8169 0000:02:00.0 eth0: link down
Jan 16 18:53:03 suse kernel: r8169 0000:02:00.0 eth0: link down
Jan 16 18:53:03 suse kernel: IPv6: ADDRCONF(NETDEV_UP): eth0: link is not ready
Jan 16 18:53:03 suse kernel: r8169 0000:02:00.0 eth0: link up
Jan 16 18:53:03 suse kernel: IPv6: ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready
Jan 16 19:34:35 suse kernel: device eth0 entered promiscuous mode
Jan 16 19:35:15 suse kernel: device eth0 left promiscuous mode
Jan 16 19:49:27 suse kernel: device eth0 entered promiscuous mode
Jan 16 19:57:39 suse kernel: device eth0 left promiscuous mode
Jan 16 19:57:49 suse kernel: device eth0 entered promiscuous mode

Gibt es vielleicht eine andere Möglichkeit mit Apache zu komunizieren, z.B. über ssl ... würde das helfen ?

[mat6937]

Über die IPv6 kann ich den Server direkt erreichen, ...

Über das Internet? Wenn ja, dann musst Du dich weiter, mit der Konfiguration des apache2 beschäftigen.

... aber die Namensauflösung funktioniert egal wie nicht.

Nur an deinem Internetanschluss? Und nur für "suleiman.home-webserver.de" nicht? ... denn für z. B. "heise.de" funktioniert die IPv6-Namensauflösung ja, an deinem Internetanschluss. Das sieht eher nach einem string-Filter aus. Z. B. wenn ich mit iptables, die Zeichenkette "google" blocke, bekomme ich folgende Meldung bei der Namensauflösung:

Code: Alles auswählen

:~$ host -t A google.de
;; connection timed out; no servers could be reached

Hast Du evtl. in deiner Konstellation, die domain "home-webserver.de" für lokale Zwecke konfiguriert?

... aber ich werde leider nicht aus dem tcpdump schlau,

Poste mal die Ausgaben von tcpdump.

[suleiman]

edit

[mat6937]

Code: Alles auswählen

19:53:55.876928 24:65:11:3b:7e:28 > 8c:89:a5:a3:fc:7f, ethertype IPv6 (0x86dd), length 94: (hlim 56, next-header TCP (6) payload length: 40) 2001:4ba0:ffff:88::1.24003 > 2a02:908:2618:6ce0:8e89:a5ff:fea3:fc7f.25: Flags [S], cksum 0xfe89 (correct), seq 3998826888, win 14400, options [mss 1440,sackOK,TS val 518783684 ecr 0,nop,wscale 9], length 0

Ja, die Ausgabe von tcpdump beinhaltet die source-IPv6-Adressen, die aus dem Internet versuchen auf deinen Server zuzugreifen. Z. B., hier:

Code: Alles auswählen

19:54:42.763820 24:65:11:3b:7e:28 > 44:78:3e:de:f8:d3, ethertype IPv6 (0x86dd), length 94: (hlim 64, next-header TCP (6) payload length: 40) 2a02:908:2618:6ce0:2665:11ff:fe3b:7e28.44398 > 2a02:908:2618:6ce0:4678:3eff:fede:f8d3.80: Flags [S], cksum 0xeb9d (correct), seq 2691702757, win 5760, options [mss 1440,sackOK,TS val 24385657 ecr 0,nop,wscale 4], length 0

ist es die source-IPv6-Adresse:

Code: Alles auswählen

2a02:908:2618:6ce0:2665:11ff:fe3b:7e28

EDIT:

... wenn Du von deinem Server aus, keine IPv6-Zugriffe auf den Port 80 im Internet gemacht hast. Das updaten der IPv6-Adresse mit PEs deines Servers bei deinem v6ddns-Provider, macht das Zuordnen der IPv6-Adressen nicht einfach.
Beachte in der Ausgabe von tcpdump, auch die MAC-Adressen (source-MAC-Adresse und destination-MAC-Adresse). Z. B.:

Code: Alles auswählen

24:65:11:3b:7e:28 > 44:78:3e:de:f8:d3

[suleiman]

suleiman hat geschrieben:
Über die IPv6 kann ich den Server direkt erreichen, ...



Über das Internet? Wenn ja, dann musst Du dich weiter, mit der Konfiguration des apache2 beschäftigen.

Nee, im Heimnetz, über IPv6 immerhin.

suleiman hat geschrieben:
... aber die Namensauflösung funktioniert egal wie nicht.


Nur an deinem Internetanschluss? Und nur für "suleiman.home-webserver.de" nicht? ... denn für z. B. "heise.de" funktioniert die IPv6-Namensauflösung ja, an deinem Internetanschluss.

Gute Frage.
Wenn man mit "www" meine Domain aufgerufen hat dann kam insta eine Antwort dass die Webseite nicht erreichbar wäre und DNS kann nicht aufgelöst werden.
Ohne "www" dauert es nur länger, kommt aber die gleiche Antwort.
Meine Kumpels hatten die gleichen Effekte wie bei mir.

... wenn Du von deinem Server aus, keine IPv6-Zugriffe auf den Port 80 im Internet gemacht hast. Das updaten der IPv6-Adresse mit PEs deines Servers bei deinem v6ddns-Provider, macht das Zuordnen der IPv6-Adressen nicht einfach.

Den Satz mußte ich drei mal lesen bis ich ihn halbwegs verstanden habe xD
Ich wollte mir ein Script dafür machen und dann im std oder 5 min Takt abfragen ob sich die IP geändert hat und dem entsprechend ein Update vollzehen.
Bis jetzt muß ich das Script noch manuell ausführen.

Beachte in der Ausgabe von tcpdump, auch die MAC-Adressen (source-MAC-Adresse und destination-MAC-Adresse).

Dann lösch ich wieder mein vorherigen Post.
Es soll ja nicht jeder der auf meinen Link geklickt hat hier stehen xD

[suleiman]

... wenn Du von deinem Server aus, keine IPv6-Zugriffe auf den Port 80 im Internet gemacht hast. Das updaten der IPv6-Adresse mit PEs deines Servers bei deinem v6ddns-Provider, macht das Zuordnen der IPv6-Adressen nicht einfach.

Jetzt verstehe ich was du meintest mit PEs deaktivieren für die Firewall.
Du hattest Recht, die Firewall lässt keinen Verkehr für temporäre Adressen durch.
Nachdem ich mal auf Bearbeiten in der IPv6 Firewall geklickt hatte konnte ich den Zusammenhang verstehen.
Also muß ich PE deaktiviert haben!

Code: Alles auswählen

admin@suse:~$ cat /proc/sys/net/ipv6/conf/eth0/use_tempaddr
0

Das ist bei mir so voreingestellt, also brauch ich nix mehr mit sysctl machen.

Kann es vieleicht sein das Internet Verbindungen getunnelt werden und meine iptables regeln da was blocken ?...
Ich protokollier hier grade mit und meine Fritz!Box will mit verschiedenen MAC-Adressen auf meinen Rechner zurück greifen.

Code: Alles auswählen

Jan 17 18:34:35 suse kernel: [14367.139848] Paket erhalten (INPUT)IN=eth0 OUT= MAC=01:00:5e:00:00:01:24:65:11:3b:7e:28:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 
Jan 17 18:34:36 suse kernel: [14368.429663] Paket erhalten (INPUT)IN=eth0 OUT= MAC=01:00:5e:7f:ff:fa:24:65:11:3b:7e:28:08:00 SRC=192.168.178.1 DST=239.255.255.250 LEN=151 TOS=0x00 PREC=0x00 TTL=4 ID=2832 PROTO=U

Ich seh auch in den iptables.log das Leute probieren auf meinen Server zu kommen.

Code: Alles auswählen

Jan 17 18:33:55 suse kernel: [14327.149676] Paket erhalten (INPUT)IN=eth0 OUT= MAC=33:33:00:00:00:01:24:65:11:3b:7e:28:86:dd SRC=fe80:0000:0000:0000:2665:11ff:fe3b:7e28 DST=ff02:0000:0000:0000:0000:0000:0000:0001 LEN=152 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TYPE=134 CODE=0 

Aber keiner hat bis jetz bei mir einen Eintrag in Apache gemacht, bzw keiner schafft es meinen Server über die Domain zu erreichen.
Ich hab mittlerweile mich auch bei spdns.de angemeldet, da habe ich aber die gleichen Probleme.

Die IPv4 Firewall ist nun auch aus, es wird nur noch protokolliert.
IMCP und HTTP Ports sollten für jeden erreichbar sein.

Ich bekomm aber trozdem keine Verbindung zum Server, egal was ich mache.
Wie was das mit den externen Tools um die IPv6-Firewall der Fritzbox zu testen ?

Wenn Du Lust hast, kannst Du deinen Server auch mit entsprechenden Online-Tools/Webseiten, aus dem Internet per IPv6 pingen.

[mat6937]

Kann es vieleicht sein das Internet Verbindungen getunnelt werden und meine iptables regeln da was blocken ?...

Nein, kein Tunnel, denn Du hast DS-lite, d. h. natives IPv6 und da wird nichts getunnelt. Und btw., iptables ist nur für IPv4 zustandig; für IPv6 ist ip6tables zuständig.

Ich protokollier hier grade mit und meine Fritz!Box will mit verschiedenen MAC-Adressen auf meinen Rechner zurück greifen.

Code: Alles auswählen

Jan 17 18:34:35 suse kernel: [14367.139848] Paket erhalten (INPUT)IN=eth0 OUT= MAC=01:00:5e:00:00:01:24:65:11:3b:7e:28:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 
Jan 17 18:34:36 suse kernel: [14368.429663] Paket erhalten (INPUT)IN=eth0 OUT= MAC=01:00:5e:7f:ff:fa:24:65:11:3b:7e:28:08:00 SRC=192.168.178.1 DST=239.255.255.250 LEN=151 TOS=0x00 PREC=0x00 TTL=4 ID=2832 PROTO=U

Ich seh auch in den iptables.log das Leute probieren auf meinen Server zu kommen.

Code: Alles auswählen

Jan 17 18:33:55 suse kernel: [14327.149676] Paket erhalten (INPUT)IN=eth0 OUT= MAC=33:33:00:00:00:01:24:65:11:3b:7e:28:86:dd SRC=fe80:0000:0000:0000:2665:11ff:fe3b:7e28 DST=ff02:0000:0000:0000:0000:0000:0000:0001 LEN=152 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TYPE=134 CODE=0 

Nein, das ist alles harmlos, denn das ist ipv4-Multicasting (224.0.0.1 bzw. 239.255.255.250) und per IPv6 sind es RAs und RSs (PROTO=ICMPv6 TYPE=134), zwischen der FB und den Clients.

Wie was das mit den externen Tools um die IPv6-Firewall der Fritzbox zu testen ?

Es gibt diverse Webseiten im Internet, mit Hilfe derer Du deinen web-Server per IPv6 scannen und pingen kannst.

[suleiman]

Joa, ich weiß es gibt iptables und ip6tables.

Es funktioniert eindeutig die Namensauflösung nicht.
Egal welche Domain ich nutze.
IP habe ich bei allen Anbietern manuell eingetragen und sie ist noch aktuell.

Mit IP kann ich meinen Rechner erreichen, aber nicht über irgend eine Domain.