IPv6-Probleme

[tab-kh]

Ich habe die Installation von Keyhep mit Debian 12 jetzt auch mal ausprobiert, allerdings nur mit einem Miniserver 1C/1GB von Strato. Das ist mein zweiter kleiner Server und der hat jetzt als erster und einziger meiner Strato-Server auch eine (1) IPv6-Adresse, also /128. Da es mir auf dem ersten Miniserver (ohne IPv6) gelungen war, Keyhelp auf Debian 11 zu installieren, war ich eigentlich halbwegs zuversichtlich. Aber leider gab es ein paar Probleme, deren Ursache ich nicht einordnen kann. Leider habe ich den Server zu schnell neu installieren lassen, so muss ich den Installationsversuch wohl nochmal wiederholen. In mindestens zwei Probleme bin ich jedenfalls reingelaufen

1) Bei der Installation lief bis fail2ban alles gut, alles OKAY. Bei fail2ban kam nach langer Zeit ERROR. Der fail2ban-Service hat sich nicht neu starten lassen, danach hat Keyhelp die fail2ban-Installation abgebrochen, der Rest lief dann wieder mit OKAY durch. Ich habe den fail2ban.service dann mal manuell neugestartet per systemctl, es standen da Fehlermeldungen drin, weil auth.log und noch eine weitere Logdatei(?) nicht gefunden wurden. Das war eigentlich auch erwartbar, weil rysylog nun mal nicht installiert war. Warum da also diese Probleme während der Installation auftraten ist mir schleierhaft, damit sollte fail2ban und offenbar auch der Keyhelp-Installer doch mittlerweile umgehen können. Vielleicht war ja doch das RAM zu knapp Bei fail2ban wurden jedenfalls auch die zusätzlichen Pakete wie bei Alexander mitinstalliert.

2) Nach der Installation und dem automatischen Neustart des Servers war die IPv6-Adresse weg und der Server dementsprechend nur noch per IPv4 erreichbar. Überschreibt Keyhelp da möglicherweise eine Konfigurationsdatei? Nach der nochmaligen Neuinstallation des Serversmt Debian 12 war die IPv6 jedenfalls wieder da.

Ich werde heute Abend nochmal eine Keyhelp-Installation versuchen. Kann es am fehlenden RAM gelegen haben? Ich habe zwar keine darauf hindeutende Fehlermeldung gesehen, aber möglich wäre es vielleicht. Ich spendiere dem Server vor dem nächsten Versuch mal ein paar GB Swap, vielleicht hilft es ja. Einen größeren Strato Server möchte ich momentan nicht neu installieren, die laufen ja bereits ganz prima mit Debian 11. Strato scheint da aber auch odentlich am Image geschraubt zu haben wenn man Debian 11 und 12 Images vergleicht. So läuft jetzt nach der Installation von Debian 12 bereits systemd-timesyncd (zuvor bei 11 Chrony) und systemd-resolved.

[Ralph]

Ein sehr netter Roman
Ich kann daher teilweise auch nicht ganz nachvollziehen worum es jetzt genau geht ...
Habe hier ebenfalls IPv4 und IPv6 aktiviert und die IPv6 Adresse verschwindet nicht nach einem reboot, da müsstest du dir die network configs einmal anschauen und ob in deiner DNS Zone die AAAA records für Servername und PTR-RR für die gewünschte IPv6 Adresse gesetzt sind.
Freut mich jedoch das bei Strato ebenfalls fail2ban Packages die als "empfohlen" markiert sind gleich mit installiert werden, allerdings wenn dies bei allen empfohlenen Packages so sein sollte würde ich mich vieleicht nicht mehr freuen.

[tab-kh]

Danke, vielleicht suche ich mir einen Verleger. Und nein am DNS liegt es nicht und die IPv6 verschwindet auch nicht nach einem normalen Reboot. Sie ist entweder während der Keyhelp-Installation oder beim automatischen Reboot nach der Installation verschwunden. Vor der Keyhelp-Installation war sie noch da, nach dem automatischen Reboot dann nicht mehr. Zwischendurch habe ich nicht geschaut, weil mir bisher noch nie eine funktionierende IPv6 einfach so abhanden gekommen ist.

[tab-kh]

hmm, die IPv6 funktioniert zwar, aber einen PTR für die IPv6 kann man nicht setzen. Ein nslookup auf die IPv6 ergibt schlicht NXDOMAIN. Könnte mir vorstellen, dass Keyhelp eventuell von so einer IPv6 nicht übermäßig begeistert ist. Ich auch nicht. Muss ich wohl schon wieder den Support nerven, dann können sie bei Strato bei ihren Überlegungen zur Umsetzung von IPv6 für "alte" Server das auch gleich berücksichtigen, irgendwann . Ansonsten können sie meinetwegen ihre IPv6 behalten.

[Ralph]

hmm, die IPv6 funktioniert zwar, aber einen PTR für die IPv6 kann man nicht setzen. Ein nslookup auf die IPv6 ergibt schlicht NXDOMAIN. Könnte mir vorstellen, dass Keyhelp eventuell von so einer IPv6 nicht übermäßig begeistert ist. Ich auch nicht. Muss ich wohl schon wieder den Support nerven, dann können sie bei Strato bei ihren Überlegungen zur Umsetzung von IPv6 für "alte" Server das auch gleich berücksichtigen, irgendwann . Ansonsten können sie meinetwegen ihre IPv6 behalten.

Der PTR (RR) für den Hostname wird beim IP Provider gesetzt, also in dem Fall bei Strato, jeweils für die zugewiesene IPv4 und IPv6 Adresse.
Falls eine Range für IPv6 per Default voreingestellt ist, müsstest du eine einzelne IP Adresse aus dieser Range auswählen und festlegen ...
explizit quasi

[tab-kh]

In dem Image wird die IPv6 ebenso wie die IPv4 per DHCP bezogen. Da läuft beim Boot auch jede Menge cloud-init Gedöns und z.B. /etc/network/ ist komplett leer. Die Infos kommen vom DHCP-Server. Das funktioniert auch alles ohne Keyhelp-Installation. Selbstverständlich wird der PTR beim Hoster gesetzt. Aber man kann ihn eben nur für die IPv4 setzen, was ja auch längst erledigt ist. Eine Anfrage diesbezüglich habe ich dem Strato Support geschickt. Ich habe auch nur eine einzelne IPv6 Adresse zur Verfügung, also /128.

Beim zweiten Versuch ist die Keyhelp-Installation laut Log ohne Fehler durchgelaufen und auch fail2ban funktioniert diesmal und bannt IPs. Diesmal habe ich vor der Keyhelp-Installation ein Swapfile eingerichtet, weiss aber nicht ob es daran lag. Ich komme auch ins Panel, dort werden mir die IPv4 und die IPv6 angezeigt, aber die LE-Zertifikate für die Dienste konnten nicht angelegt werden, weil LE es eben erst per IPv6 versucht, was aber nach der Installation und dem automatischen Reboot nicht mehr funktioniert. Dass IPv6 vor und während der Installation noch funktioniert haben muss ist eh klar, weil ich für die Installation per IPv6 mit der Konsole verbunden war.

Ich habe den Server jetzt gestoppt und komme erst nächste Woche wieder dazu, da weiterzumachen. Ich werde dann erst nochmal neu installieren, das Netzwerk statisch konfigurieren und cloud-init deaktivieren. Vielleicht kommt die Keyhelp-Installation damit dann besser zurecht bzw zerschiesst das nicht. Ich weiss eh nicht, was ich mit einem DHCP-Server soll und mit einem Client, der alle paar Miuten nachhause telefoniert. Wenn die IPs nicht fix sind, müsste ich die Domains ja alle per DynDNS einstellen. Dann kann sich Strato seine Linux VPS meinetwegen sonstwo hinstecken. Ich habe aber bisher nach über einem Monat nie eine Änderung der IPv4 gehabt und gehe davon aus, dass die eine zugeteilte IPv6 ebenfalls fest ist.

[Ralph]

Wenn die IPs nicht fix sind, müsste ich die Domains ja alle per DynDNS einstellen. Dann kann sich Strato seine Linux VPS meinetwegen sonstwo hinstecken. Ich habe aber bisher nach über einem Monat nie eine Änderung der IPv4 gehabt und gehe davon aus, dass die eine zugeteilte IPv6 ebenfalls fest ist.

Am besten wendest du dich an den Support des IP Anbieters, diese Sache hat jetzt mit dem Fail2ban Problem hier aus diesem Thread nichts zu tun.

[mhagge]

Ich hatte in ähnliches Problem mit der IONOS-Cloud (ex Profitbricks). Als dort IPv6 (endlich mal) eingeführt wurde, funktionierten unter Debian-Systemen dynamisch per DHCP zugewiesene IPv6-Adressen nicht. Direkt nach der Zuweisung klappte es, so etwa nach 20 Minuten ging die Zuweisung verloren - ich nehme an, Lease-Time abgelaufen, und das "Neu-Abholen" der IPv6 beim DHCP hat aus irgendeinen Grund nicht funktioniert.

Warum genau habe ich nie herausgefunden, auch der IONOS-Support konnte nicht weiterhelfen.

Ich habe dann die IPv6 statisch gesetzt, seitdem kein Problem mehr

Das alles hat aber mit Keyhelp sicher nichts zu tun (in meinem Fall war es auch kein Keyhelp verwalteter "Server")

[tab-kh]

Danke erst mal fürs Ausgliedern, gerade wollte ich darum bitten, dass das jemand macht.

Auch deine Probleme mit der IONOS-Cloud und IPv6 sind wohl ähnlich gelagert, zumal diese Strato VPS Linux wohl analog zu Servern aus der IONOS-Cloud per cloud-init eingerichtet werden. "ionos" kommt in den Dateinamen der Konfigdateien schon gelegentlich vor. Und auch deine Lösung des Problems werde ich wohl übernehmen. Zumal ich jetzt weiss, dass das bei dir funktioniert.

Trotzdem bin ich der Meinung, dass das Problem, zumindest meine Variante davon, schon etwas mit Keyhelp zu tun haben muss, oder zumindest mit einem der Pakete, die bei der Installation installiert werden. Zumindest direkt nach dem Reboot hätte die IPv6 ja noch zugewiesen sein sollen. War sie aber nicht. Und vor der Keyhelp-Installation gab es das Problem auch nicht. Werde mir das nächste Woche mal genauer anschauen auf einem frisch installierten Server. Einfach einige Stunden laufen lassen und schauen, ob die IPv6 danach noch funktioniert. Falls ja, werde ich es unter Fehler/Probleme gemäß der dortigen Vorlage melden. Obwohl, wenn es statisch konfiguriert funktioniert, dann wäre das eine unnötige Arbeitsbelastung für die Entwickler, also lasse ich das wohl besser bleiben.

[Ralph]

Danke erst mal fürs Ausgliedern, gerade wollte ich darum bitten, dass das jemand macht.

Auch deine Probleme mit der IONOS-Cloud und IPv6 sind wohl ähnlich gelagert, zumal diese Strato VPS Linux wohl analog zu Servern aus der IONOS-Cloud per cloud-init eingerichtet werden. "ionos" kommt in den Dateinamen der Konfigdateien schon gelegentlich vor. Und auch deine Lösung des Problems werde ich wohl übernehmen. Zumal ich jetzt weiss, dass das bei dir funktioniert.

Trotzdem bin ich der Meinung, dass das Problem, zumindest meine Variante davon, schon etwas mit Keyhelp zu tun haben muss, oder zumindest mit einem der Pakete, die bei der Installation installiert werden. Zumindest direkt nach dem Reboot hätte die IPv6 ja noch zugewiesen sein sollen. War sie aber nicht. Und vor der Keyhelp-Installation gab es das Problem auch nicht. Werde mir das nächste Woche mal genauer anschauen auf einem frisch installierten Server. Einfach einige Stunden laufen lassen und schauen, ob die IPv6 danach noch funktioniert. Falls ja, werde ich es unter Fehler/Probleme gemäß der dortigen Vorlage melden. Obwohl, wenn es statisch konfiguriert funktioniert, dann wäre das eine unnötige Arbeitsbelastung für die Entwickler, also lasse ich das wohl besser bleiben.

Nein hat nichts mit Keyhelp zu tun, ich habe vorhin mal ein Test System aufgesetzt, beides funktioniert DHCP basierend und auch Statisch.
Du mußt wie gesagt beim PTR eine einzelne IPv6 Adresse beim Provider setzen z.b. auf Endung ::2 (keine Range), diese IPv6 wird bei der Installation von KH erkannt und aktiviert. Wenn diese IPv6 wieder verschwindet ist es keine fixe IP Adresse und du mußt das mit dem Anbieter abklären.

[tab-kh]

Wie bereits mehrfach geschieben:

1.) Ich kann derzeit für die IPv6-Adresse beim Provider (Strato) keinen PTR setzen. Diese Möglichkeit ist dort derzeit einfach nicht vogesehen.
2.) Ich bin bereits dabei, das mit Strato zu klären und habe bereits nachgefragt, wie es mit einem PTR für die IPv6 von deren V-Server Linux aussieht.
3.) Ob die IPv6 auch ohne Installation von Keyhelp irgendwann verschwindet werde ich nächste Woche testen. Ich wollte jetzt nicht noch einmal die Leiche vor der Obduktion beseitigen . Aber ok, eine dritte Leiche ist im Zweifelsfall binnen 10 Minuten produziert. Ich sichere mal das Journal und die Keyhelp Install-Log und setze die Kiste heute noch neu auf. Dann weiss ich am Montag bereits woran ich bin.

Natürlich sollte es normalerweise mit normalem DHCP funktionieren. Deren Konfiguration scheint aber so krummgebohrt zu sein, dass irgendein Teil davon bei der Keyhelp-Installation abhanden kommt. Falls der Test von Punkt 3.) oben ergibt, dass die IPv6 auch ohne Keyhelp-Installation verschwindet, dann hat sich das erledigt und ich behaupte das glatte Gegenteil. Im Moment halte ich das für unwahrscheinlich, kann es aber noch nicht völlig ausschliessen

[tab-kh]

Bisher sieht es nicht so aus, dass ich das Gegenteil werde behaupten müssen. Die IPv6 ist noch immer vorhanden nach ca 1 Tag. Sieht so aus, als ob der Lease regelmäßig alle 1000 Sekunden erneuert wird, jedenfalls erhöht sich die Valid-Lifetime regelmäßig bei einem Wert von 3000 wieder auf 4000. Ich hatte den Server auch mal 2 Stunden abgeschaltet um zu sehen, ob die IPv6 auch bei Start nach Ablauf der Lifetime wieder korrekt neu zugewiesen wird. Auch das ging problemlos.

Mit dem Reverse DNS für die IPv6 wird sich wohl auch bald was tun. Der Support hat jedenfalls nicht rundweg abgelehnt, sondern man wird sich diesbezüglich bei mir melden und bittet um Supportfreigabe. Ich würde mir allerdings erhoffen, dass das dann in nächster Zeit im Strato Server-Panel implementiert wird. Mal nachfragen ...

[tab-kh]

Mit dem Reverse DNS für die IPv6 wird sich wohl auch bald was tun. Der Support hat jedenfalls nicht rundweg abgelehnt, sondern man wird sich diesbezüglich bei mir melden und bittet um Supportfreigabe. Ich würde mir allerdings erhoffen, dass das dann in nächster Zeit im Strato Server-Panel implementiert wird. Mal nachfragen ...

Dazu habe ich leider gerade schlechte Nachrichten bekommen:

Ein PTR-Record bieten wir zum aktuellen Zeitpunkt für IPv6 in der VC-Klasse nicht an. Ein Datum wann diese Funktion zur Verfügung steht können wir aktuell auch nicht mitteilen.

Das heißt dann wohl, wenn meine produktiven Server ihre IPv6 bekommen, werde ich in den Einstellungen des E-Mail-Servers im Keyhelp, mangels Reverse-DNS-Eintrag IPv6 erst einmal nicht aktivieren (dürfen). Aber das wird wohl eh noch dauern, wie so manches bei Strato.

[Jolinar]

Ein PTR-Record bieten wir zum aktuellen Zeitpunkt für IPv6 in der VC-Klasse nicht an. Ein Datum wann diese Funktion zur Verfügung steht können wir aktuell auch nicht mitteilen.

Das heißt dann wohl, wenn meine produktiven Server ihre IPv6 bekommen, werde ich in den Einstellungen des E-Mail-Servers im Keyhelp, mangels Reverse-DNS-Eintrag IPv6 erst einmal nicht aktivieren (dürfen). Aber das wird wohl eh noch dauern, wie so manches bei Strato.

Da muß man sich als Kunde doch irgendwie verarscht vorkommen...Wenn man bedenkt, daß es hier nur um einen ganz simplen Resource Record geht und einer der Bigplayer am Markt sieht sich nicht in der Kompetenz, das seinen Kunden zur Verfügung zu stellen...

Solche Sachen machen eben den Unterschied zwischen 08/15 Hostern und Anbietern, die wirklich ihr Geld wert sind...

[tab-kh]

Strato ist halt noch nicht so lang auf dem Markt, erst gerade mal 26 Jahre. Die üben noch . Warten wir mal noch 20 Jahre, dann klappt das schon alles. Aber ist klar, die Server sind für die Rechen- und Netzwerkleistung sehr günstig, alles Andere ist Glücksache - und Glück hat man meist keins. Immerhin, als ich meine Server gemietet habe, gab es da überhaupt noch kein IPv6. Jetzt gibt es IPv6, aber es funktioniert halt noch nicht so richtig . Der Schritt ging schon mal für Strato-Verhältnisse rasend schnell. Gerade mal ein paar Monate. Die spannende Frage ist, ob das jetzt so bleibt, ob sie an IPv6 weiterarbeiten oder ob sie es einfach wieder sterben lassen.