IPv6-Probleme

[OlliTheDarkness]

BTW:
Hat die Keyweb AG eigentlich eigene public Nameserver, die ich in solchen Beispielen adressieren könnte? Weiß da jemand was...?

[Jolinar]

Ahh, danke Olli
Ist zwar nur ne v4, habs aber mal ergänzt.

[tab-kh]

IPv4 ist dann immer noch dynamisch per DHCP, aber das werde ich dann schon auch noch hinbekommen, man könnte es freilich auch so lassen

Hööh...
IPv4 solltest du doch im selben Konfigfile:

netplan-Konfigurationfile

definieren können.
Gib uns doch mal, was du bisher hast...

Ja, davon gehe ich auch aus. Bisher sieht das so aus

Code: Select all

root@minny:~# cat /etc/netplan/90-override.yaml
network:
    ethernets:
        all:
            addresses:
            - 2a02:247a:248:f00:1::1/128
            routes:
            - to: default
              via: fe80::1
    version: 2

Wobei in dem Verzeichnis /etc/netplan noch automatisch erstellte Konfigdatei exstiert

Code: Select all

root@minny:~# cat /etc/netplan/50-cloud-init.yaml
# This file is generated from information provided by the datasource.  Changes
# to it will not persist across an instance reboot.  To disable cloud-init's
# network configuration capabilities, write a file
# /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following:
# network: {config: disabled}
network:
    ethernets:
        all:
            dhcp4: true
            dhcp6: true
            match:
                name: en*
    version: 2

Ich habe das dumpfe Gefühl, wenn ich tatsächlich die oben erwähnte 99-disable-network-config.cfg anlege,wird eventuell gar nichts mehr funktionieren. Was andererseits kein Beinbruch wäre, es ist ja sowieso nur eine Testinstallation, die ich relativ schnell wieder neu einrichten könnte. Ich sehe schon, ich muss mir wohl erst einmal die Grundlagen der Netzwerkkonfiguration in Debian 12 beibringen. Vor allem die verschiedenen Möglichkeiten mit netplan, Networkmanager oder einfach "traditionell" mit der Hand arm Arm. Wobei ich das bisher gefundene so interpretiere, dass die Entwicklung in Richtung netplan geht.

Ich tendiere mittlerweile dazu, die Server mit Debian 12 direkt neu aufzusetzen. Nichts gegen die Updateskripte, haben bei mir bisher immer reibungslos funktioniert! Aber sie passen sich eben an die bisherige Konfiguration an und übernehmen einen Großteil der bisher verwendeten Konfigurationen. Und da gefällt mir halt von Strato das Debian 12 Image als Gundlage erheblich besser als das für Debian 11. Mag sein, dass das mittlerweile auch noch verbessert wurde, aber ich will ja zumindest mittelfristig sowieso auf Debian 12 wechseln.

Jetzt muss ich mir nur noch überlegen, wie ich das mit möglichst geringen Schmerzen mache. Da eigentlich momentan nur die zwei Clouds auf den derzeitigen Servern wirklich wichtig sind und laufen sollten, parke ich die vielleicht zwischenzeitlich auf einem anderen Server, bis die derzeitigen Server neu eingerichtet sind. Damit wäre die Sache deutlich entspannter.

[Jolinar]

Ich habe das dumpfe Gefühl, wenn ich tatsächlich die oben erwähnte 99-disable-network-config.cfg anlege,wird eventuell gar nichts mehr funktionieren.

Wenn du das im Comment genannte File anlegen und mit dem dort angegebenen Content füllen würdest:

Code: Select all

# /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following:
# network: {config: disabled}

dann würde das Netzwerk nicht mehr durch cloud-init eingerichtet oder aktualisiert werden (beachte hier speziell den Ablageort des Files unter /etc/cloud/cloud.cfg.d/).
Das File /etc/netplan/50-cloud-init.yaml würde dann beim reboot nicht mehr angelegt bzw. aktualisiert werden und die Netzwerkkonfiguration muß dann manuell in den entsprechenden Konfigurationsdateien (zB. in /etc/netplan/) verwaltet werden.

Das bedeutet in der Praxis:
Wenn du das File /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg mit entsprechendem Content anlegst, mußt du, um ein funktionierendes Netzwerk zu haben, ein eigenes Config File (i.e. /etc/netplan/01-netcfg.yaml) anlegen und analog zu der Beispielkonfiguration aus meinem vorhergehenden Post mit Content befüllen (IP Adressen natürlich noch individuell anpassen^^).
Dann funktioniert dein Netzwerk mit komplett statischer Adresskonfiguration.

[tab-kh]

Ich werde es ausprobieren auf dem Testserverchen Aber wohl erst morgen.

[tab-kh]

Ich werde es ausprobieren auf dem Testserverchen Aber wohl erst morgen.

Naja, probiert habe ich es, muss wohl bei IPv4 zumindest noch was gefehlt haben. So muss sich Goethes Zauberlehrling gefühlt haben. Ich warte jetzt erst mal mit dem Upgrade auf Debian 12. Habe einige andere Dinge erst mal zu tun, danach probiere ich es nochmal. Ist schon etwas frustrierend derzeit bei Strato, dass IPv6 nach Keyhelp-Installation tot ist. Keine Ahnung was die da gemacht haben oder was nach der Keyhelp-Installation irgendwie die Zuweisung der IPv6 per DHCP verhindert. Aber mit dem Workaround für die IPv6 funktioniert es ja bis auf weiteres erst mal.

[tab-kh]

Bin nun mehr oder weniger zufällig auf eine wahrscheinliche Erklärung des Problems gestoßen. Es liegt zu 99% an der Firewall (ip6tables). Für das letzte Prozent muss ich mir noch einen Testserver freimachen. Aber wenn ich mir die angelegten Regeln (nach Keyhelp-Installation, davor gibt es keine) ausgeben lasse, dann sieht das für mich nicht so aus, als ob DHCPv6 damit wirklich funktionieren kann, da in der INPUT chain lediglich ipv6-icmptype 128 und 129 akzeptiert und der Rest verworfen wird. Das heißt ping funktioniert zwar, aber sonst nicht viel, solange nicht alles statisch konfiguriert ist.

Code: Select all

root@mail:~# ip6tables --list
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all      anywhere             anywhere             state RELATED,ESTABLISHED
DROP       all      anywhere             anywhere             state INVALID
DROP       tcp      anywhere             anywhere             tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
DROP       tcp      anywhere             anywhere             tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
DROP       tcp      anywhere             anywhere             tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
DROP       tcp      anywhere             anywhere             tcp flags:FIN,SYN/FIN,SYN
DROP       tcp      anywhere             anywhere             tcp flags:SYN,RST/SYN,RST
DROP       all      ip6-localhost        anywhere
ACCEPT     all      anywhere             anywhere
ACCEPT     tcp      anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp      anywhere             anywhere             tcp dpt:domain
ACCEPT     udp      anywhere             anywhere             udp dpt:domain
ACCEPT     tcp      anywhere             anywhere             tcp dpt:http
ACCEPT     tcp      anywhere             anywhere             tcp dpt:https
ACCEPT     tcp      anywhere             anywhere             tcp dpt:pop3
ACCEPT     tcp      anywhere             anywhere             tcp dpt:pop3s
ACCEPT     tcp      anywhere             anywhere             tcp dpt:imap2
ACCEPT     tcp      anywhere             anywhere             tcp dpt:imaps
ACCEPT     tcp      anywhere             anywhere             tcp dpt:smtp
ACCEPT     tcp      anywhere             anywhere             tcp dpt:submissions
ACCEPT     tcp      anywhere             anywhere             tcp dpt:submission
DROP       tcp      anywhere             anywhere             tcp dpt:mysql
ACCEPT     tcp      anywhere             anywhere             tcp dpt:ftp-data
ACCEPT     tcp      anywhere             anywhere             tcp dpt:ftp
ACCEPT     tcp      anywhere             anywhere             tcp dpts:30000:30500
ACCEPT     ipv6-icmp    anywhere             anywhere             ipv6-icmptype 128 code 0
ACCEPT     ipv6-icmp    anywhere             anywhere             ipv6-icmptype 129 code 0
ACCEPT     ipv6-icmp    anywhere             anywhere             limit: avg 10/sec burst 20
DROP       ipv6-icmp    anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all      anywhere             anywhere             state RELATED,ESTABLISHED
DROP       all      ip6-localhost        anywhere
ACCEPT     all      anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all      anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all      anywhere             anywhere
root@mail:~#