ubuntuusers.de

Geht IPv6 in SSLH?

Status: Gelöst | Ubuntu-Version: Server 18.04 (Bionic Beaver)
Antworten |

Reihner

Anmeldungsdatum:
14. Juni 2017

Beiträge: 168

Wohnort: Klendathu

Weiß jemand ob SSLH (warum gibt es dafür keinen UUWiki-Eintrag?) mit IPv6 umghehen kann? Meine aktuelle Konfigutration sieht so aus:

DAEMON_OPTS="--user sslh --listen 192.168.X.X:443 --ssl 127.0.0.1:444 --openvpn 192.168.X.Y:1194 --pidfile /var/run/sslh/sslh.pid"

Ich hab nun versucht dies auf

DAEMON_OPTS="--user sslh --listen 192.168.X.X:443 --ssl 127.0.0.1:444 --openvpn 192.168.X.Y:1194 --pidfile /var/run/sslh/sslh.pid"
DAEMON_OPTS="--user sslh --listen fe80::X:X:X:X:443 --ssl ::1/128:444 --openvpn fe80::X:X:X:Y:1194 --pidfile /var/run/sslh/sslh.pid"

zu erweitern... dann geht aber gar nichts mehr.

Hat jemand eine Idee wie man SSLH dazu bringen könnte mit IPv6 umzugehen?

Moderiert von praseodym:

Dieses Thema ist verschoben worden. Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“)!

Reihner

(Themenstarter)

Anmeldungsdatum:
14. Juni 2017

Beiträge: 168

Wohnort: Klendathu

Ich bin jetzt auf dienst Beitrag gestossen, verstehe ihn aber nicht.

relativ weit unten bei "/etc/ipfw/sslh.rules" steht etwas, das bekomme ich aber nicht umgesetzt.

Cranvil

Anmeldungsdatum:
9. März 2019

Beiträge: 990

Laut der von dir verlinkten Dokumentation kann SSLH auch IPv6.

Die Anleitung macht den Eindruck, als wäre das Paket noch nicht ganz im systemd-Land angekommen. Ich hab's noch nicht prüfen können, aber vielleicht gibt's hier schon erste Schwierigkeiten.

Hast du auch ein richtiges IPv6-Präfix im Angebot oder nur die Link Local? Abgesehen davon ist "Geht gar nichts mehr" ziemlich ungenau. Was sollte gehen? Wie sollte es gehen? Auf welche Arten und Weisen geht es nicht? Wie sehen die Fehlermeldungen und Logs aus?

Reihner schrieb:

relativ weit unten bei "/etc/ipfw/sslh.rules" steht etwas, das bekomme ich aber nicht umgesetzt.

Wenn wir beide denselben Abschnitt meinen, dann ist der für FreeBSD. Wenn nicht, dann das "das" genauer angeben. Übrigens: Unterhalb dieser ipfw-Ecke für FreeBSD steht unter anderem, dass du keine Loopback-Adressen nehmen sollst. Das "Geht nicht"-Beispiel passt ziemlich gut zu deiner Konfiguration.

Das Wiki lebt von denen, die Zeit, Kenntnis und Mut haben, ihre eigenen Kenntnisse niederzuschreiben. Wenn du magst, kannst du dazu beitragen und dem nächsten SSLH-Anwender das Stellen derselben Frage ersparen. Wenn du nicht magst, denk darüber nach, ob es wirklich sinnvoll ist, sie überhaupt zu stellen. 😉

Edit: Der letzte Satz bezieht sich auf die Frage, warum es hier im Wiki keinen Artikel zu SSLH gibt.

Reihner

(Themenstarter)

Anmeldungsdatum:
14. Juni 2017

Beiträge: 168

Wohnort: Klendathu

Cranvil schrieb:

Hast du auch ein richtiges IPv6-Präfix im Angebot

Ja, das habe ich. Aber ich bin mir nicht sicher ob das "richtige" von Provider zugeordnete IPv6-Präfix irgendwann (24h-Zwangstrennung) ändern wird. Ein schneller Versuch hat auch keine Verbesserung der Situation erbrachtm zumal die Geräte/VMs ohnehin im LAN stehen.

Cranvil schrieb:

Abgesehen davon ist "Geht gar nichts mehr" ziemlich ungenau.

Es ist aber genau der Zustand. Die Website (in meinem Fall eine Nextcloud) ist nicht mehr zu erreichen (Verbindung fehlgeschlagen) der Portmutiplexer leitet nichts mehr (SSL SSH, OpenVPN) auf andere Ports oder Geräte um.

Cranvil schrieb:

Wie sehen die Fehlermeldungen und Logs aus?

emm .. wie und wo bekomme ich die ausgespuckt? Zumal der Server keine Fehlermeldungen für service nginx restart & service sslh restart ausgibt.

Cranvil schrieb:

Wenn wir beide denselben Abschnitt meinen, dann ist der für FreeBSD.

*Kopf → Tisch* das erklärt warum ich es nicht verstanden habe

Cranvil schrieb:

Das Wiki lebt von denen, die Zeit, Kenntnis und Mut haben, ihre eigenen Kenntnisse niederzuschreiben.

Leider bin ich nicht ansatzweise fähig, kundig und linguistisch genug um mich an eine derartige Aufgabe zu wagen. Dieser Beitrag ist leider auch Beleg für meien Unwissenheit.

Ich weis nicht ob das Hilfreich ist:

sslh: 1.18-1

nginx: 1.14.0-0ubuntu1.6

Description: Ubuntu 18.04.3 LTS

Cranvil

Anmeldungsdatum:
9. März 2019

Beiträge: 990

Reihner schrieb:

Ja, das habe ich. Aber ich bin mir nicht sicher ob das "richtige" von Provider zugeordnete IPv6-Präfix irgendwann (24h-Zwangstrennung) ändern wird.

Die 24h-Zwangstrennung ist bei IPv6 gar nicht mehr der bestimmende Faktor. Die Präfixe werden in der Regel bei (Privatkunden-)Anschlüssen geändert, weil Datenschützer sich beschwert haben, dass Tracking sonst zu leicht sei. Somit ist einer der größten Vorteile von IPv6 für die Füße. ☹

emm .. wie und wo bekomme ich die ausgespuckt? Zumal der Server keine Fehlermeldungen für service nginx restart & service sslh restart ausgibt.

service ist zur Dienststeuerung nicht mehr zeitgemäß. systemd ist momentan das Maß der (Ubuntu-)Dinge. Zur Dienststeuerung verwendet das systemctl. Fürs Logging kannst du dich mit journalctl beschäftigen. Vielleicht findest du noch in den Verzeichnissen /var/log/ und /var/lib/$Programmname etwas. Nachfolgend ein paar Beispiele. Abhängig von der Logkonfiguration der systemd/Service Units bzw. Programme kann es sein, dass die Meldungen nicht im Journal auftauchen.

systemctl start nginx # Starte Dienst nginx. Entsprechend: stop, restart, reload (letztere abhängig von Dienstkonfiguration
systemctl status nginx # Gebe Dienststatus aus. Allgemeine Infos aus systemd-Sicht und die letzten Zeilen von stdout/stderr
systemctl cat nginx # Gebe die Service Unit für nginx aus
journalctl # Zeigt Systemlog seit Beginn der Aufzeichnung
journalctl -b # Zeigt Systemlog seit letztem Boot
journalctl --unit nginx # Zeigt Log des nginx-Dienstes 

Eine weitere Option ist die Erweiterung der Konfiguration der beteiligten Programme um detailliertes Logging. Dazu bitte auch in die Dokumentation schauen (Wiki, Projektseiten, man / http://manpages.ubuntu.com/).

Leider bin ich nicht ansatzweise fähig, kundig und linguistisch genug um mich an eine derartige Aufgabe zu wagen.

Dann solltest du dich nicht an solchen Sätzen üben, da sie deiner Argumentation nicht dienlich sind. 😛

Ich bin der Meinung, dass jemand spätestens zum Zeitpunkt der Übertragung der Erkenntnisse von einer Test-/Schulungsumgebung in den produktiven Betrieb zumindest ansatzweise in der Lage sein sollte, die beweglichen Teile so zu beschreiben, dass man das Ergebnis ein paar Monate/Jahre später noch wiederholen kann. So etwas findet auch in der Praxis noch viel zu selten statt (zu wenig Zeit/Personal ist da beispielsweise bei mir auf Arbeit ein beliebtes Problem) und kostet nach hinten raus viel Geld, weil dauernd dieselben Probleme gelöst werden, anstatt die alten Lösungen schrittweise zu verbessern. ☹

Es geht mir hier auch gar nicht darum, Weltklasse-Niveau zu erreichen, sondern ein paar Befehle und Konfigurationsdateien mit ein wenig Text zur Erläuterung zu umrahmen. Im Optimalfall hast du auf deinem Weg ein paar gute Artikel gefunden, die du für Details verlinken kannst, und schon bist du raus aus der Nummer. ☺

Reihner

(Themenstarter)

Anmeldungsdatum:
14. Juni 2017

Beiträge: 168

Wohnort: Klendathu

Cranvil schrieb:

Reihner schrieb:

Ja, das habe ich. Aber ich bin mir nicht sicher ob das "richtige" von Provider zugeordnete IPv6-Präfix irgendwann (24h-Zwangstrennung) ändern wird.

Die 24h-Zwangstrennung ist bei IPv6 gar nicht mehr der bestimmende Faktor. Die Präfixe werden in der Regel bei (Privatkunden-)Anschlüssen geändert, weil Datenschützer sich beschwert haben, dass Tracking sonst zu leicht sei. Somit ist einer der größten Vorteile von IPv6 für die Füße. ☹

Es gibt also keine 24h-Neuzuordnung mehr?

Cranvil schrieb:

Ich bin der Meinung, dass jemand spätestens zum Zeitpunkt der Übertragung der Erkenntnisse von einer Test-/Schulungsumgebung in den produktiven Betrieb zumindest ansatzweise in der Lage sein sollte, die beweglichen Teile so zu beschreiben, dass man das Ergebnis ein paar Monate/Jahre später noch wiederholen kann.

Bei meinem Anliegen handelt es sich allein um Dinge für die privaten Einsatz.

Cranvil

Anmeldungsdatum:
9. März 2019

Beiträge: 990

Reihner schrieb:

Es gibt also keine 24h-Neuzuordnung mehr?

In der Wirkung auf deinen Anwendungsfall ist es unerheblich, aber eine tatsächliche Zwangstrennung kabelgebundener Internetzugänge (in Abgrenzung zu Funktechnologien) gab es technisch betrachtet nicht einmal bei ADSL. Eine Aufarbeitung dieser Details bringt dir hier aber nichts und um dich nicht länger mit Feinheiten zu verwirren: DynDNS-Dienste werden definitiv auch mit IPv6 nicht arbeitslos - der Anlass ist nur ein anderer.

Cranvil schrieb: Bei meinem Anliegen handelt es sich allein um Dinge für die privaten Einsatz.

Einen Versuch war es wert. Du kannst es dir ja nochmal überlegen. 😉

Bezüglich des Loggings habe ich dir bewusst viele Fingerzeige und wenige genaue Dateien genannt. Ich gehe davon aus, dass du für dein Problem deutlich am Loglevel der betroffenen Dienste schrauben musst. Und wenn du das machst, kannst du auf dem Weg gleich selbst definieren, wo die Dateien landen sollen. Darüber hinaus dürftest du bereits einige Informationen aus dem Journal erhalten.

Nutzen wir diesen Moment doch auch, um nicht nur auf die Logs, sondern auch auf die Konfiguration zu schauen. Hier ist es sinnvoll, wenn du nochmal darstellst, welche Hosts welchen Dienst bereitstellen, ob es Firewalls gibt und wie diese konfiguriert sind (z.B. mit iptables-save). Bitte vermeide dabei die Anonymisierung privater IP-Adressen. Das bringt keinen Zugewinn an Sicherheit oder Datenschutz, hat aber schon oft zu fehlerhaften Diagnosen geführt, weil mangels besseren Wissens falsch anonymisiert wurde.

Reihner

(Themenstarter)

Anmeldungsdatum:
14. Juni 2017

Beiträge: 168

Wohnort: Klendathu

Ok, einer Fehler hab ich beheben können. Es darf nicht

DAEMON_OPTS="--user sslh --listen fe80::X:X:X:X:443 --ssl ::1/128:444 --pidfile /var/run/sslh/sslh.pid"

heisen, sondern

DAEMON_OPTS="--user sslh --listen fe80::X:X:X:X:443 --ssl ::1:444 --pidfile /var/run/sslh/sslh.pid"

Allerdings geht das nur IPv6 und kein v4.

Ich werde mich aber erst einmal nach alternativen umsehen. Ich bin auf diesen Post gestoßen. Das klingt einfacher.

Cranvil

Anmeldungsdatum:
9. März 2019

Beiträge: 990

Reihner schrieb:

Ok, einer Fehler hab ich beheben können. Es darf nicht

DAEMON_OPTS="--user sslh --listen fe80::X:X:X:X:443 --ssl ::1/128:444 --pidfile /var/run/sslh/sslh.pid"

Oops, das hätte ich ruhig sehen dürfen. 😬

Allerdings geht das nur IPv6 und kein v4.

Seltsam.

Ich werde mich aber erst einmal nach alternativen umsehen. Ich bin auf diesen Post gestoßen. Das klingt einfacher.

Das klingt definitiv einfacher. Und wenn es doch nicht klappen sollte, machen wir hier einfach weiter. 😊

Antworten |