Webserver Port / ipv6 Probleme?

[DrStrike]

Hallo Forum,

ich habe einen RPI3 mit debian und möchte einen Webserver betreiben.
Mein Anbieter ist Unitymedia und habe deswegen ipv4 als DS-Lite und IPv6, deswegen möchte ich das auch mit IPv6 machen.
ich habe meine Domain bei Strato gekauft und in den Quad A-record die öffentliche Ipv6 Adresse vom RPI geschrieben.
Das Problem ist, dass ich lokal über die Öff. IPv6 adresse auf den Server komme aber über die Domain nicht.
Ich habe in der Fritzbox bei den Ipv6 portfreigaben den Port 80 freigegeben und für IPv4 auch. In der Firewall vom RPI (IPtables) ist der port 80 ebenfalls freigeben (ebenfalls für ipv4 und ipv6).
Ich habe über http://www.subnetonline.com/pages/netwo ... canner.php geprüft, ob der Port 80 freigeben ist aber da erscheint folgende Meldung:
Checked port 80 on Host/IP <meineipv6adresse>
The checked port (80, service http) is offline/unreachable
Reason: php_network_getaddresses: getaddrinfo failed: Name or service not known (0)
Leider weiß ich nicht mehr weiter und wende mich deswegen auch an dieses Forum.

[thomasschaefer]

Firewall in der Fritzbox geöffnet?
DNS-Rebind-Schutz in der Fritzbox für Deine Domain aufgehoben?
Tippfehler?
Kontrolle mit host, ping6, traceroute6, netstat -anp ?

[DrStrike]

Firewall in der Fritzbox geöffnet?
DNS-Rebind-Schutz in der Fritzbox für Deine Domain aufgehoben?
Tippfehler?
Kontrolle mit host, ping6, traceroute6, netstat -anp ?

--Wo finde ich die Firewall in der Fritzbox?
--Den DNS-Rebins-Schutz habe ich jetzt aufgehoben. Ich kann lokal über meine Domain zugreifen, aber ausserhalb funktioniert die Domain immer noch nicht.
--Vorrausichtlich gibt es keine Tippfehler.
--Mit ping6 empfängt der alle pakete. Bei Host wird mir die richtige IPv6 von der Domain angezeigt.
Bei netstat -anp steht bei tcp 22 die ipv4 adresse meines RPI und "established", vermutlich weil ich über putty drauf zugreife.
bei tcp6 80 steht nur :::* LISTEN

[thomasschaefer]

Sorry, ich war vorhin nur mit dem Smartphone online. Deshalb auch nur so kurz.

Firewall entspricht natürlich den (ipv6)Port-Freigaben.

Wenn Du Tippfehler ausschließt, wird es schwierig. Du hast wirklich die IPv6-Adresse("IPv6 Interface-ID") des Raspberry Pi freigeben und nicht versehentlich die des Routers?

Frage mal fremde DNS-Resolver, ob die die Adresse zu Deiner Domain auch kennen:

z.B.

Code: Select all

host deinrechner.deinedomain.tld 2001:4860:4860::8888

Hast Du einen eigenen Rechner, mit dem Du von außen testen kannst? z.B. von der Uni aus, von Freifunk aus oder vom Nachbarn?

[DrStrike]

In der IPv6 freigabe habe ich port 80 freigegeben und die InterfaceID hat er automatisch ausgewählt, aber da bei jedem gerät eine andere steht wenn ich es auswähle nehme ich an, dass das die richtige ist.
Ich nehme an, das ich zum testen einen anderen linux pc brauche? den habe ich leider nicht auch nicht ausserhalb von meinem netzwerk.

EDIT:
Habe es über http://www.dnsqueries.com/en/dns_lookup.php geprüft und er hat auch die ipv6 adresse erkannt

[thomasschaefer]

Für ein Webservertest reicht natürlich auch ein beliebiger Browser auf jedem Betriebssystem. Das Gerät (PC/Smartphone) muss aber selbst auch mit IPv6 angebunden sein.

Funktioniert dieser Test?

http://ipv6-test.com/validate.php

[DrStrike]

Nein leider nicht. Ich habe ein bild gemacht (anhang)

[lbog]

Nein leider nicht.

Wie sind auf deinem PI, die Ausgaben von:

Code: Select all

cat /etc/dhcpcd.conf | grep slaac
sysctl net.ipv6.conf.all.use_tempaddr net.ipv6.conf.default.use_tempaddr
host -t AAAA $(hostname).fritz.box
ip -6 a

? (evtl. richtig bzw. brauchbar anonymisiert).

Welche Interface-ID hast Du in deiner FritzBox, für den PI freigegeben?

Aus dem Internet kannst Du z. B. mit: https://centralops.net/co/Ping.aspx (oder gleichwertig), betr. IPv6-Freigabe testen.

Evtl. vorher auf deinem PI,

Code: Select all

sudo tcpdump -c 100 -vvveni <Interface> icmp6

starten.

[smartifahrer]

Das Problem ist, dass ich lokal über die Öff. IPv6 adresse auf den Server komme aber über die Domain nicht.

Da du über die IP auf den Server kommst würde ich mal sagen dort ist alles ok. Ich tippe eher auf ein Problem mit dem DNS Eintrag. Prüfe mal ob eine DNS Anfrage überhaupt deine IPv6 Adresse liefert. Mit dem Befehl Dig geht das z.B.
dig google.de ANY

Benutzt du Virtuele Hosts auf deinem Webserver? Vielleicht ist die Serversoftware nicht richtig konfiguriert.

[DrStrike]

Ich werde es morgen ausprobieren. Bin heute nicht zuhause, gerade nur mit dem Handy dran. Trotzdem schon mal vielen Dank für die Antwort.

[lbog]

Ich werde es morgen ausprobieren.

Siehe z. B. auch diesen Thread: http://www.unitymediaforum.de/viewtopic ... 11#p359613

[DrStrike]

ich habe jetzt ein neues problem. ich kann nicht Mal mehr lokal über die ipv4 / ipv6 adresse auf meinen Webserver zugreifen. Es kommt die Fehlermeldung 192.168.X.X hat die verbindung abgelehnt
Ich habe seit vorgestern nichts dran verändert und da ging es noch.

EDIT
hab das problem gelöst werde jetzt alles ausprobieren

[DrStrike]

[quote="lbog"][quote]
Wie sind auf deinem PI, die Ausgaben von:
[code]
cat /etc/dhcpcd.conf | grep slaac
sysctl net.ipv6.conf.all.use_tempaddr net.ipv6.conf.default.use_tempaddr
host -t AAAA $(hostname).fritz.box
ip -6 a
[/code]
? (evtl. richtig bzw. brauchbar anonymisiert).[/quote]
Die Ausgabe ist habe ich als Bild hinzugefügt

[quote="lbog"][quote]
Welche Interface-ID hast Du in deiner FritzBox, für den PI freigegeben?[/quote]
Die letzten 4 Blöcke von der Öffentlichen IPv6 adresse.
[quote="lbog"][quote]
Aus dem Internet kannst Du z. B. mit: https://centralops.net/co/Ping.aspx (oder gleichwertig), betr. IPv6-Freigabe testen.

Evtl. vorher auf deinem PI,
[code]
sudo tcpdump -c 100 -vvveni <Interface> icmp6
[/code]
starten.[/quote]
Den Befehl kann er nicht ausführen. Was ist mit <Interface> gemeint?

[DrStrike]

Das Problem ist, dass ich lokal über die Öff. IPv6 adresse auf den Server komme aber über die Domain nicht.

Da du über die IP auf den Server kommst würde ich mal sagen dort ist alles ok. Ich tippe eher auf ein Problem mit dem DNS Eintrag. Prüfe mal ob eine DNS Anfrage überhaupt deine IPv6 Adresse liefert. Mit dem Befehl Dig geht das z.B.
dig google.de ANY

Benutzt du Virtuele Hosts auf deinem Webserver? Vielleicht ist die Serversoftware nicht richtig konfiguriert.

"dig: comand not found"
Nein, nicht das ich wüsste

[lbog]

Den Befehl kann er nicht ausführen. Was ist mit <Interface> gemeint?

Konfiguriere in der /etc/dhcpcd.conf:

Code: Select all

slaac hwaddr

statt

Code: Select all

slaac private

danach:

Code: Select all

sudo systemctl restart dhcpcd
ip -6 a

und erneute IPv6-Freigabe mit der geänderten Interface-ID für deinen PI, in deiner FritzBox.

Mit <Interface> ist in deinem Fall, eth0 gemeint.

Wegen dig und tcpdump, installiere:

Code: Select all

sudo apt-get install dnsutils tcpdump

[DrStrike]

terminalausgabe tcpdump.PNG (34.17 KiB) Viewed 6103 times

terminalausgabe dig.PNG (24.02 KiB) Viewed 6103 times

Ich habe jetzt alles gemacht und die Ausgaben von dig und tcpdump sind als Bild angefügt.

[lbog]

und die Ausgaben von dig und tcpdump sind als Bild angefügt.

Lesen kann ich das in den Bildern nicht, ...sieht aber nicht nach ping (request/reply) aus, eher nach RA (router advertisment). Zukünftig besser in code blocks, diese Ausgaben posten.

Hast Du einen Ping6 aus dem Internet gemacht?

Funktioniert die lokale IPv6-Namensauflösung für den PI jetzt?

Code: Select all

host -t AAAA raspberrypi.fritz.box

Ich habe mit der FritzBox die Erfahrung gemacht, dass wenn die lokale IPv6-Namensauflösung nicht möglich ist, auch die IPv6-Freigabe für diesen IPv6-"Client" nicht funktioniert. Deshalb update ich den AAAA record, immer mit nsupdate, vom PI aus mit einem cronjob bzw. mit einer verzögerten service-unit.

[DrStrike]

Hier ist der Ping6 output übers Internet. Habe das über Subnetonline geprüft.

Code: Select all

IPv6 Ping Output:
PING original-arts.de(2a02:908:1212:5200:4a0e:db10:de31:8b4a) 32 data bytes
40 bytes from 2a02:908:1212:5200:4a0e:db10:de31:8b4a: icmp_seq=0 ttl=54 time=24.0 ms
40 bytes from 2a02:908:1212:5200:4a0e:db10:de31:8b4a: icmp_seq=1 ttl=54 time=27.4 ms
40 bytes from 2a02:908:1212:5200:4a0e:db10:de31:8b4a: icmp_seq=2 ttl=54 time=23.6 ms
40 bytes from 2a02:908:1212:5200:4a0e:db10:de31:8b4a: icmp_seq=3 ttl=54 time=19.6 ms

--- original-arts.de ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3011ms
rtt min/avg/max/mdev = 19.634/23.687/27.477/2.781 ms, pipe 2

Das ist die Ausgabe vom

Code: Select all

host -t AAAA raspberrypi.fritz.box
Host raspberrypi.fritz.box not found: 2(SERVFAIL)

[lbog]

Hier ist der Ping6 output übers Internet.

OK, und der Port 80 ist mit dieser IPv6-Adresse, auch über das Internet erreichbar.

[DrStrike]

Ja, aber von ausserhalb meines Netzwerkes komme ich nicht rein. :/
wobei bei http://ipv6-test.com/validate.php sagt, das meine Website Ipv6 bereit ist

[lbog]

Ja, aber von ausserhalb meines Netzwerkes komme ich nicht rein. :/

Nun, dann stellt sich die Frage, ob Du es auch von "ausserhalb" versucht hast, oder lediglich aus deinem (W)LAN mit der globalen IPv6-Adresse. Denn aus dem Internet sieht es so aus:

Code: Select all

:~ $ host -t AAAA original-arts.de
original-arts.de has IPv6 address 2a02:908:1212:5200:4a0e:db10:de31:8b4a

Code: Select all

:~ $ nc -zv -6 original-arts.de 80
Connection to original-arts.de 80 port [tcp/http] succeeded!

Code: Select all

:~ $ nc -zv -6 2a02:908:1212:5200:4a0e:db10:de31:8b4a 80
Connection to 2a02:908:1212:5200:4a0e:db10:de31:8b4a 80 port [tcp/http] succeeded!

Code: Select all

:~ $ ping6 -c 3 2a02:908:1212:5200:4a0e:db10:de31:8b4a
PING 2a02:908:1212:5200:4a0e:db10:de31:8b4a(2a02:908:1212:5200:4a0e:db10:de31:8b4a) 56 data bytes
64 bytes from 2a02:908:1212:5200:4a0e:db10:de31:8b4a: icmp_seq=1 ttl=55 time=50.2 ms
64 bytes from 2a02:908:1212:5200:4a0e:db10:de31:8b4a: icmp_seq=2 ttl=55 time=40.7 ms
64 bytes from 2a02:908:1212:5200:4a0e:db10:de31:8b4a: icmp_seq=3 ttl=55 time=44.8 ms

--- 2a02:908:1212:5200:4a0e:db10:de31:8b4a ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 40.730/45.271/50.230/3.897 ms

Evtl. ist auch der Webserver nicht richtig konfiguriert?

[DrStrike]

Also, ich komme auf den Server, aber sehr begrenzt und zwar, komme ich mit meinem Handy nicht drauf, da kommt dann dns Server error oder so und mit einem anderen Handy kommt man wiederum drauf. Das gleiche gilt für PCs mein Bruder konnte von der Arbeit aus mit dem Mac auf den Server, aber mit seinem Windows PC nicht.
Wo kann denn da der Fehler liegen?

[lbog]

Wo kann denn da der Fehler liegen?

Der Internetanschluss der Gegenstelle muss den Zugang per IPv6 (d. h. DS, DS-lite oder einen IPv6-Tunnel) ermöglichen und das Gerät der Gegenstelle muss IPv6 können bzw. fähig sein (.... inkl. Namensauflösung/DNS per IPv6).

[DrStrike]

Okay, also brauche ich eine IPv4 adresse, damit jeder auf die Seite kommt?
Trotzdem vielen dank an alle die mir geholfen haben