seba
Anmeldungsdatum: 1. Juni 2005
Beiträge: 182
|
Hallo, ich kann den Apache Webserver meines Raspi B+ nicht via IPv6 erreichen. In der port.conf steht "Listen 80" und ich habe in der FritzBox 7590 die Ports 80 und 443 für IPv4 und IPv6 freigegeben (MyFritz). Das letsencrypt-Zertifikat wurde erfolgreich erstellt. Auch bei SSLLABS wird bei der Server-Überprüfung bei der IPv6-Adresse "Unable to reach server" angegeben. Nur die IPv4-Adresse kann geprüft werden. Wisst ihr vielleicht an was das liegt? Danke. Viele Grüße
seba
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17583
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Zeige ip -6 a auf dem Webserver und deinem PC.
Dann prüfe, ob du den erreichen kannst.
Prüfe dann mit nmap, ob auf dem Server der Dienst überhaupt auf der Adresse lauscht.
|
seba
(Themenstarter)
Anmeldungsdatum: 1. Juni 2005
Beiträge: 182
|
Das ist die Ausgabe vom PC: 1
2
3
4
5
6
7
8
9
10
11
12 | xxx@mars:~$ ip -6 a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp9s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 ipv6-addr/64 scope global temporary dynamic
valid_lft 7035sec preferred_lft 1635sec
inet6 ipv6-addr/64 scope global dynamic mngtmpaddr noprefixroute
valid_lft 7035sec preferred_lft 1635sec
inet6 ipv6-addr/64 scope link noprefixroute
valid_lft forever preferred_lft forever
xxx@mars:~$
|
Raspi und PC sind im selben LAN.
|
Cranvil
Anmeldungsdatum: 9. März 2019
Beiträge: 990
|
Mit einem
auf dem Webserver lässt sich auch feststellen, ob sich der Dienst wirklich an eine der IPv6-Adressen bindet. Bei der Ausgabe entspricht [::] grob dem vom IPv4 bekannten 0.0.0.0 - und [::1] 127.0.0.1 . Wie versuchst du deinen Webserver zu adressieren? Mit seiner tatsächlichen IPv6-Adresse oder mit der IPv6-Adresse der Fritz!Box? Ich kann zu Fritz!OS derzeit nicht viel sagen, allerdings habe ich beispielsweise beim Speedport der Telekom festgestellt, dass der bei IPv6-Portfreigaben eher wie beim klassischen NAT vorgeht.
|
Cranvil
Anmeldungsdatum: 9. März 2019
Beiträge: 990
|
seba schrieb: Das ist die Ausgabe vom PC:
Durch die Anonymisierung hast du jegliche Information entfernt, die für dieses Thema relevant sein könnte.
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17583
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Natürlich muss der Webserver auf der Ipv6 des Servers lauschen und nicht auf der des Routers, NAT ist bei ipv6 erfreulicherweise nicht vorgesehen.
|
seba
(Themenstarter)
Anmeldungsdatum: 1. Juni 2005
Beiträge: 182
|
Raspi B+ (Webserver): | pi@raspberrypi:~ $ ip -6 a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 2003:de:9f07:9300:2dff:6748:c9fb:4f37/64 scope global dynamic mngtmpaddr noprefixroute
valid_lft 7067sec preferred_lft 1193sec
inet6 fe80::7a16:a4c4:ff6c:f1be/64 scope link
valid_lft forever preferred_lft forever
pi@raspberrypi:~ $
|
|
seba
(Themenstarter)
Anmeldungsdatum: 1. Juni 2005
Beiträge: 182
|
PC: 1
2
3
4
5
6
7
8
9
10
11
12 | xxx@mars:~$ ip -6 a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp9s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 2003:de:9f07:9300:b05e:6f00:495e:e49d/64 scope global temporary dynamic
valid_lft 7035sec preferred_lft 1635sec
inet6 2003:de:9f07:9300:83af:2323:74d9:8a86/64 scope global dynamic mngtmpaddr noprefixroute
valid_lft 7035sec preferred_lft 1635sec
inet6 fe80::1ae1:3880:5a9:ec6f/64 scope link noprefixroute
valid_lft forever preferred_lft forever
xxx@mars:~$
|
|
seba
(Themenstarter)
Anmeldungsdatum: 1. Juni 2005
Beiträge: 182
|
| pi@raspberrypi:~ $ ss -6tulpena
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port
udp UNCONN 0 0 *:5353 *:*
udp UNCONN 0 0 *:546 *:*
udp UNCONN 0 0 *:41308 *:*
tcp LISTEN 0 128 *:443 *:* ino:13550 sk:1 v6only:0 <->
tcp LISTEN 0 128 *:80 *:* ino:13548 sk:2 v6only:0 <->
pi@raspberrypi:~ $
|
|
seba
(Themenstarter)
Anmeldungsdatum: 1. Juni 2005
Beiträge: 182
|
Cranvil schrieb: Wie versuchst du deinen Webserver zu adressieren? Mit seiner tatsächlichen IPv6-Adresse oder mit der IPv6-Adresse der Fritz!Box? Ich kann zu Fritz!OS derzeit nicht viel sagen, allerdings habe ich beispielsweise beim Speedport der Telekom festgestellt, dass der bei IPv6-Portfreigaben eher wie beim klassischen NAT vorgeht.
Bei MyFritz bekommt das entsprechende Gerät eine Subdomain; dieses bekommt eine eigene IPv6-Adresse. Ich verstehe es nicht. Reicht es nicht, wenn in ports.conf "Listen 80" steht? Sorry, ich kenn mich da nicht aus und versuche gerade das alles zu lernen.
|
Cranvil
Anmeldungsdatum: 9. März 2019
Beiträge: 990
|
DJKUhpisse schrieb: Natürlich muss der Webserver auf der Ipv6 des Servers lauschen und nicht auf der des Routers, NAT ist bei ipv6 erfreulicherweise nicht vorgesehen.
NAT war ursprünglich aus naheliegenden Gründen für IPv6 nicht vorgesehen (z.B. Verletzung des Ende-zu-Ende-Prinzips durch NAT, großer Adressraum durch 128-Bit-Adressierung, Abkehr von NAT als "Sicherheitsmechanismus" 🤣, Rückkehr zu richtigen Firewalls). Allerdings hat es die Menschheit nicht aufgehalten, NAT für IPv6 zu implementieren - im Linux-Kernel seit 3.7, wie die ip6tables-Manpage sagt.
|
seba
(Themenstarter)
Anmeldungsdatum: 1. Juni 2005
Beiträge: 182
|
ports.conf # If you just change the port or add more ports here, you will likely also
# have to change the VirtualHost statement in
# /etc/apache2/sites-enabled/000-default.conf
Listen 80
<IfModule ssl_module>
Listen 443
</IfModule>
<IfModule mod_gnutls.c>
Listen 443
</IfModule>
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet
|
seba
(Themenstarter)
Anmeldungsdatum: 1. Juni 2005
Beiträge: 182
|
Muss ich die IPv6-Adresse des Raspi noch in der Apache-Konfiguration irgendwo eingeben?
|
Cranvil
Anmeldungsdatum: 9. März 2019
Beiträge: 990
|
seba schrieb: Bei MyFritz bekommt das entsprechende Gerät eine Subdomain; dieses bekommt eine eigene IPv6-Adresse. Ich verstehe es nicht.
Ich kenne derzeit nur einen MyFritz-Nutzer und der hat nur einen DNS-Namen für seine ganze Fritzbox. Du kannst den Namen mit
host $langezeichenkette.myfritz.net
in IP-Adressen auflösen und überprüfen, ob die ausgegebene IPv6-Adresse deinem Webserver entspricht oder der öffentlichen IPv6-Adresse der FritzBox. Zusätzlich solltest du in der FritzBox nochmal nachschauen, inwiefern die da von Port Mapping/Weiterleitung/Umleitung/Freigabe sprechen. Ggf. mal die integrierte Hilfe für den Konfigurationspunkt anschauen.
Reicht es nicht, wenn in ports.conf "Listen 80" steht?
Die von die gezeigte ss-Ausgabe sagt, dass da ein Prozess auf den Ports 80 und 443 lauscht, also können wir davon ausgehen, dass das reicht.
|
seba
(Themenstarter)
Anmeldungsdatum: 1. Juni 2005
Beiträge: 182
|
|