SSL für Admin-Interface [SOLVED]

[tab-kh]

Desweiteren scheint es Probleme mit dem IPv6 Protokoll zu geben. AAAA-RR sind zwar im DNS vorhanden, der Mailserver ist über die zugewiesene IPv6 aber nicht erreichbar.

Genau das Szenario, was ich in der ersten Antwort in diesem Thread beschrieben hatte. Das hatte ich versehentlich auch mal, der AAAA-Record der Domain hat nicht zur IPv6-Adresse des Servers gepasst. Damit liess sich bei mir kein (LE)-Zertifikat für die Serverdienste erstellen, weil LE offenbar IPv6 benutzt für seine Abfrage, wenn ein AAAA-Record vorhanden ist.

Ist der Server grundsätzlich nicht über die angegebene IPv6 erreichbar oder betrifft es "nur" den Mailserver? Dann muss man bei Postfix und Dovecot eventuell IPv6 noch aktivieren, das war bei meinem Server damals auch so. Ich vermute mal, dass wenn während das Keyhelp-Installationsskripts läuft der Server nicht über die im AAAA-Record angegebene IPv6 erreichbar ist, dann wird IPv6 im Postfix und Dovecot disabled, was ja auch durchaus Sinn macht. Da hilft es dann auch nicht, den AAAA-Record (oder die IPv6 des Servers) hinterher richtig zu setzen, man muss IPv6 dann in den jeweiligen Konfigurationsdateien erst manuell wieder aktivieren.

[Jolinar]

Ist der Server grundsätzlich nicht über die angegebene IPv6 erreichbar oder betrifft es "nur" den Mailserver?

ICMP-Requests (Pings) laufen in beiden Protokollen (v4 und v6) ins Leere, deswegen auch meine Frage nach einer möglichen Firewall.
Der Mailserver ist nur über v4 erreichbar:

Code: Select all

telnet mail.eheringe-regensburg.info 25
Trying 2001:8d8:1800:86e3::1...
Trying 217.160.215.117...
Connected to mail.eheringe-regensburg.info.
Escape character is '^]'.
220 hyperbrain.hahnefeld.it ESMTP Postfix (Ubuntu)
quit
221 2.0.0 Bye
Connection closed by foreign host.

Webserver ist auch nur über v4 erreichbar.

[goldene-zeiten]

Vielen lieben Dank für eure Antworten. Da scheint ja einiges noch im Argen zu sein. Also aktiviert habe ich alle Protokolle. Auch die AAAA-Records habe ich gesetzt. Weswegen ist denn der Webserver dann nur über V4 erreichbar? Das verstehe ich nicht. Im Keyhelp kann man diesbezüglich nichts einstellen...

Das Thema mit dem Ping kann ich auch schon vorweg beantworten:

--
Für Cloud Server und Virtual Server Cloud

In der IONOS Cloud-Infrastruktur befinden sich alle Server hinter einen externen Hardware-Firewall. Diese können Sie über Ihr Cloud Panel mithilfe von Regelsätzen konfigurieren.

Wenn Sie einen Server neu erstellen, wird diesem automatisch ein vordefinierter (nicht konfigurierbaren) Systemregelsatz zugewiesen (Linux / Windows).
--

[Jolinar]

Was sagt denn ein:

Code: Select all

iptables -L

[goldene-zeiten]

Code: Select all

--
root@hyperbrain:~# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
f2b-sshd   tcp  --  anywhere             anywhere             multiport dports ssh
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
DROP       all  --  anywhere             anywhere             state INVALID
DROP       tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
DROP       tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
DROP       tcp  --  anywhere             anywhere             tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
DROP       tcp  --  anywhere             anywhere             tcp flags:FIN,SYN/FIN,SYN
DROP       tcp  --  anywhere             anywhere             tcp flags:SYN,RST/SYN,RST
DROP       all  --  localhost/8          anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3s
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imap2
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imaps
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submissions
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submission
DROP       tcp  --  anywhere             anywhere             tcp dpt:mysql
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ftp-data
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:30000:30500
ACCEPT     icmp --  anywhere             anywhere             icmptype 8 code 0
ACCEPT     icmp --  anywhere             anywhere             icmp any limit: avg 10/sec burst 20
DROP       icmp --  anywhere             anywhere             icmp any

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
DROP       all  --  localhost/8          anywhere
ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere

Chain f2b-sshd (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

--

[Jolinar]

Hmm...Die Firewall auf deinem System selbst ist korrekt eingestellt:

Code: Select all

ACCEPT     icmp --  anywhere             anywhere             icmptype 8 code 0
ACCEPT     icmp --  anywhere             anywhere             icmp any limit: avg 10/sec burst 20
DROP       icmp --  anywhere             anywhere             icmp any

Also muß irgendwo zwischen deiner Maschine und dem Internet noch was sein, was die ICMP-Requests blockiert, was dann auch die Vermutung nahelegt, daß auch der IPv6-Verkehr an derselben Stelle blockiert werden könnte...
Gibt es im Webinterface deines Hosters irgendwo Einstellmöglichkeiten für eine weitere Firewall, die im Netzwerk des Hosters hängt?

[tab-kh]

Das ist die Firewall auf deinem Server. Soweit ich weiss, ist da bei Ionos noch eine externe Firewall dazwischen. So muss man z.B. laut einen netcup-User, der dort einen kleinen Server als Mail-Relay für Microsoft und ähnliche Spezialisten laufen hat, ausgehend Port 25 durch den Support freischalten lassen. Also muss ja noch irgendwas dazwischen sein, sonst könnten die da keine Ports freigeben bzw sperren.

[goldene-zeiten]

Port 25 musste ich tatsächlich freischalten lassen. Das aber ist schon erledigt. Mail-Versand funktioniert. Und ich habe auch alle von KeyHelp benötigten Ports in der im Control Panel von Ionos freigeschaltet.

Bei KeyHelp kann man ja einstellen, ob der Mail-Verkehr auch mit v4 UND v6 funktionieren soll. Die Option habe ich angewählt. Und zudem verstehe ich nicht, warum die Webseiten nur über v4 und nicht v6 erreichbar sind. In der DNS-Zone habe ich doch beide Adressen eingegeben?

[Jolinar]

Und zudem verstehe ich nicht, warum die Webseiten nur über v4 und nicht v6 erreichbar sind. In der DNS-Zone habe ich doch beide Adressen eingegeben?

Was sagt ein:

Code: Select all

ip a

[goldene-zeiten]

Code: Select all

--
root@hyperbrain:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether d0:50:99:df:e5:60 brd ff:ff:ff:ff:ff:ff
    inet 217.160.215.117/32 scope global dynamic eth0
       valid_lft 42279sec preferred_lft 42279sec
    inet6 fe80::d250:99ff:fedf:e560/64 scope link
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether d0:50:99:df:e5:61 brd ff:ff:ff:ff:ff:ff
4: usb0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 46:82:c6:76:4a:5c brd ff:ff:ff:ff:ff:ff

--

[Jolinar]

Das hab ich vermutet:

Code: Select all

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether d0:50:99:df:e5:60 brd ff:ff:ff:ff:ff:ff
inet 217.160.215.117/32 scope global dynamic eth0
valid_lft 42279sec preferred_lft 42279sec
inet6 fe80::d250:99ff:fedf:e560/64 scope link
valid_lft forever preferred_lft forever

IPv6 ist nicht korrekt in deinem System konfiguriert. Die Netzwerkschnittstelle hat nur eine gültige v4 Adresse.

[goldene-zeiten]

Und wie hole ich das nach? Laut Oberfläche von KeyHelp sind ja angeblich beide IP-Adressen aktiv

[goldene-zeiten]

Ich meine, die IPv6 nun aktiv zu haben:

Code: Select all

--
root@hyperbrain:~# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether d0:50:99:df:e5:60 brd ff:ff:ff:ff:ff:ff
    inet 217.160.215.117/32 scope global dynamic eth0
       valid_lft 43022sec preferred_lft 43022sec
    inet6 2001:8d8:1800:86e3::1/128 scope global
       valid_lft forever preferred_lft forever
    inet6 fe80::d250:99ff:fedf:e560/64 scope link
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether d0:50:99:df:e5:61 brd ff:ff:ff:ff:ff:ff
4: usb0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 46:82:c6:76:4a:5c brd ff:ff:ff:ff:ff:ff
--

allerdings kommt mir jetzt die Latenzzeit länger vor, seit ich die Änderungen gemacht habe:

Code: Select all

--
# /etc/network/interfaces -- configuration file for ifup(8), ifdown(8)
# Generated by debian-installer.

# The loopback interface
#auto lo eth0
#iface lo inet loopback

#allow-hotplug eth0
#iface eth0 inet dhcp
#iface eth0 inet6 manual
#      pre-up sleep 5
#      up dhclient -6 -nw -v eth0
#      down dhclient -6 -r -v eth0

auto lo eth0
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
    address 217.160.215.117/32

auto eth0:0
iface eth0:0 inet6 static
    address 2001:8d8:1800:86e3::1/64
--

[goldene-zeiten]

Außerdem sieht es so aus, als ob bei mir zwei IPv6-Adressen hinterlegt wären?

[24unix]

Außerdem sieht es so aus, als ob bei mir zwei IPv6-Adressen hinterlegt wären?

Die mit fe80 am Anfang ist die Link Local.

Die 2001:8d8:1800:86e3::1 ist die globale, und die ist von aussen aus nicht erreichbar (ICMP und telnet auf Port 25 & 80 probiert).

ICMP Ping solltest Du auf jeden Fall in der Firewall freigeben, besonders für IPv6.