ubuntuusers.de

Hallo,

ich kann den Apache Webserver meines Raspi B+ nicht via IPv6 erreichen. In der port.conf steht "Listen 80" und ich habe in der FritzBox 7590 die Ports 80 und 443 für IPv4 und IPv6 freigegeben (MyFritz). Das letsencrypt-Zertifikat wurde erfolgreich erstellt. Auch bei SSLLABS wird bei der Server-Überprüfung bei der IPv6-Adresse "Unable to reach server" angegeben. Nur die IPv4-Adresse kann geprüft werden. Wisst ihr vielleicht an was das liegt? Danke.

Viele Grüße seba

Zeige

ip -6 a

auf dem Webserver und deinem PC. Dann prüfe, ob du den erreichen kannst. Prüfe dann mit nmap, ob auf dem Server der Dienst überhaupt auf der Adresse lauscht.

Das ist die Ausgabe vom PC:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

xxx@mars:~$ ip -6 a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp9s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 ipv6-addr/64 scope global temporary dynamic 
       valid_lft 7035sec preferred_lft 1635sec
    inet6 ipv6-addr/64 scope global dynamic mngtmpaddr noprefixroute 
       valid_lft 7035sec preferred_lft 1635sec
    inet6 ipv6-addr/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
xxx@mars:~$ 

Raspi und PC sind im selben LAN.

Mit einem

ss -6tulpena 

auf dem Webserver lässt sich auch feststellen, ob sich der Dienst wirklich an eine der IPv6-Adressen bindet. Bei der Ausgabe entspricht [::] grob dem vom IPv4 bekannten 0.0.0.0 - und [::1] 127.0.0.1.

Wie versuchst du deinen Webserver zu adressieren? Mit seiner tatsächlichen IPv6-Adresse oder mit der IPv6-Adresse der Fritz!Box? Ich kann zu Fritz!OS derzeit nicht viel sagen, allerdings habe ich beispielsweise beim Speedport der Telekom festgestellt, dass der bei IPv6-Portfreigaben eher wie beim klassischen NAT vorgeht.

seba schrieb:

Das ist die Ausgabe vom PC:

Durch die Anonymisierung hast du jegliche Information entfernt, die für dieses Thema relevant sein könnte.

Natürlich muss der Webserver auf der Ipv6 des Servers lauschen und nicht auf der des Routers, NAT ist bei ipv6 erfreulicherweise nicht vorgesehen.

Raspi B+ (Webserver):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10

pi@raspberrypi:~ $ ip -6 a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 2003:de:9f07:9300:2dff:6748:c9fb:4f37/64 scope global dynamic mngtmpaddr noprefixroute 
       valid_lft 7067sec preferred_lft 1193sec
    inet6 fe80::7a16:a4c4:ff6c:f1be/64 scope link 
       valid_lft forever preferred_lft forever
pi@raspberrypi:~ $ 

PC:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

xxx@mars:~$ ip -6 a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp9s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 2003:de:9f07:9300:b05e:6f00:495e:e49d/64 scope global temporary dynamic 
       valid_lft 7035sec preferred_lft 1635sec
    inet6 2003:de:9f07:9300:83af:2323:74d9:8a86/64 scope global dynamic mngtmpaddr noprefixroute 
       valid_lft 7035sec preferred_lft 1635sec
    inet6 fe80::1ae1:3880:5a9:ec6f/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
xxx@mars:~$ 

Cranvil schrieb:

Wie versuchst du deinen Webserver zu adressieren? Mit seiner tatsächlichen IPv6-Adresse oder mit der IPv6-Adresse der Fritz!Box? Ich kann zu Fritz!OS derzeit nicht viel sagen, allerdings habe ich beispielsweise beim Speedport der Telekom festgestellt, dass der bei IPv6-Portfreigaben eher wie beim klassischen NAT vorgeht.

Bei MyFritz bekommt das entsprechende Gerät eine Subdomain; dieses bekommt eine eigene IPv6-Adresse. Ich verstehe es nicht. Reicht es nicht, wenn in ports.conf "Listen 80" steht? Sorry, ich kenn mich da nicht aus und versuche gerade das alles zu lernen.

DJKUhpisse schrieb:

Natürlich muss der Webserver auf der Ipv6 des Servers lauschen und nicht auf der des Routers, NAT ist bei ipv6 erfreulicherweise nicht vorgesehen.

NAT war ursprünglich aus naheliegenden Gründen für IPv6 nicht vorgesehen (z.B. Verletzung des Ende-zu-Ende-Prinzips durch NAT, großer Adressraum durch 128-Bit-Adressierung, Abkehr von NAT als "Sicherheitsmechanismus" 🤣, Rückkehr zu richtigen Firewalls). Allerdings hat es die Menschheit nicht aufgehalten, NAT für IPv6 zu implementieren - im Linux-Kernel seit 3.7, wie die ip6tables-Manpage sagt.

ports.conf

# If you just change the port or add more ports here, you will likely also
# have to change the VirtualHost statement in
# /etc/apache2/sites-enabled/000-default.conf

Listen 80 

<IfModule ssl_module>
	Listen 443
</IfModule>

<IfModule mod_gnutls.c>
	Listen 443
</IfModule>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

Muss ich die IPv6-Adresse des Raspi noch in der Apache-Konfiguration irgendwo eingeben?

seba schrieb:

Bei MyFritz bekommt das entsprechende Gerät eine Subdomain; dieses bekommt eine eigene IPv6-Adresse. Ich verstehe es nicht.

Ich kenne derzeit nur einen MyFritz-Nutzer und der hat nur einen DNS-Namen für seine ganze Fritzbox. Du kannst den Namen mit

host $langezeichenkette.myfritz.net 

in IP-Adressen auflösen und überprüfen, ob die ausgegebene IPv6-Adresse deinem Webserver entspricht oder der öffentlichen IPv6-Adresse der FritzBox.

Zusätzlich solltest du in der FritzBox nochmal nachschauen, inwiefern die da von Port Mapping/Weiterleitung/Umleitung/Freigabe sprechen. Ggf. mal die integrierte Hilfe für den Konfigurationspunkt anschauen.

Reicht es nicht, wenn in ports.conf "Listen 80" steht?

Die von die gezeigte ss-Ausgabe sagt, dass da ein Prozess auf den Ports 80 und 443 lauscht, also können wir davon ausgehen, dass das reicht.

Kann mir niemand helfen?