Firewall erlaubt keinen IPv6 Zugriff trotz "exposed host"

[sf3978]

Wie kann ich nun dem ddclient sagen, dass er die "richtige" öffentliche IPv6 übermitteln soll?

Wie ist die Ausgabe von:

sysctl net.ipv6.conf.all.use_tempaddr

?

 

[pcfann]

net.ipv6.conf.all.use_tempaddr = 0

EDIT:
komischerweise jedoch auch:

sysctl net.ipv6.conf.enp0s3.use_tempaddr
net.ipv6.conf.enp0s3.use_tempaddr = 1

enp0s3 ist mein Standard-Interface und abgesehen von "lo" auch das einzige. Die Verbindung soll über "enp0s3" laufen.

 

[PeterPawn]

In meiner Welt entscheidet aber immer noch ein Client, mit welchem Protokoll (IPv4 oder IPv6) er einen DNS-Server befragt, nach welchem Adresstyp (oder "any") er dort fragt und welche Adresse aus der erhaltenen Antwort er am Ende verwendet, um die Verbindung zum Ziel aufzunehmen. Deshalb verstehe ich den Zusammenhang zur MyFRITZ!-Freigabe auch nur halb ... die ist ja nur ein Mittel zum Zweck, damit hinter dem (MyFritz!-)DNS-Namen für diese Freigabe auch die richtige IPv6-Adresse steht und - mehr oder weniger als "Abfallprodukt" - auch noch diese eine Portweiterleitung funktioniert (bei mehr als einem Service würde ja eine reine IPv6-Portfreigabe dann wieder für jeden zusätzlichen Service ausreichen). Oder willst Du hier tatsächlich über irgendeine MyFRITZ!-Freigabe zugreifen und wenn ja, wie sieht diese Adresse dann konkret aus und womit soll so ein Zugriff erfolgen? Dieser ganze Zinnober mit "Schema" und "Pfad" ist zwar sicherlich auch fürchterlich interessant, wird aber eigentlich gar nicht benötigt - das wirklich spannende Detail wäre die Aktualisierung der IPv6-Adresse für solche freigegebenen Clients durch die Box selbst ... man kann ja auch nicht auf jedem Client unbedingt irgendetwas zum Update einer DynDNS-Adresse installieren und da ist es ganz praktisch, wenn die Box das selbst erledigt - zumal ohne die laufende Box dann auch keine Zugriffe funktionieren würden, während durchaus ein solcher Client beim Wechsel des Präfixes durch die Box mal "absent" sein könnte (was dann Updates wieder verkompliziert, wenn man keine unnötigen Updates machen will, was einige Provider auch nicht wirklich lustig finden).

Es ist zwar bereits "traurig", wenn da der Provider anstelle von "DS lite" irgendwelche anderen IPv4-Adressen verwendet, die dann per CGN umgesetzt werden (bei "DS lite" gibt es den AFTR-Server als Gateway) ... wenn das aber die FRITZ!Box zu allem Überfluß auch noch falsch macht (wobei mich schon interessieren würde, was das für Adressen sind und wofür die Box ihre Zugangskonfiguration dann hält) und diese IPv4-Adresse beim MyFRITZ!-Service registriert und der dann auf Abfragen mit einer solchen Adresse antwortet (bei diesem DNS-Server könnte man ja dann auch noch ansetzen und dafür sorgen, daß er solche IPv4-Einträge gar nicht in Antworten einbezieht), dann wird es tatsächlich etwas absurd. Selbst für den Bereich 100.64.0.0/10 nach RFC 6598 würde ich erwarten, daß AVM solche Adressen nicht als Antwort auf öffentliche Abfragen bereithält und wenn entweder die Box solche Adressen nicht aktualisiert oder AVM die Antworten unterdrückt, ist ja wieder alles in Ordnung.

Wobei das hier ja auch nur eine Vermutung bzgl. der IP-Adressen ist ... wenn der Provider tatsächlich intern andere verwenden sollte und die stammen weder aus RFC 1918 noch aus RFC 6598, dann wäre eher der Provider schuld. Wobei dieser "Vorwurf" an AVM sich auch nur auf die Aktualisierung von MyFRITZ!-Adressen beziehen würde (andere DynDNS-Services kann der Kunde ja besser/anders steuern über den Aufbau der Update-URL), weil da AVM selbst diejenige ist, die den DNS-Server für "myfritz.net" betreibt und dann (immer noch unter der Voraussetzung, daß das tatsächlich reservierte IPv4-Adressen sind, mit denen der Provider da arbeitet) munter mit privaten IPv4-Adressen auf öffentliche Abfragen (und andere kann "myfritz.net" für die Kunden nicht kennen) reagiert. Das ist normalerweise in einem Firmennetz ein "no go", weil es auch interne Informationen verraten könnte - das wäre es in meinen Augen beim MyFRITZ!-Service aber auch.

 

[sf3978]

komischerweise jedoch auch:

sysctl net.ipv6.conf.enp0s3.use_tempaddr
net.ipv6.conf.enp0s3.use_tempaddr = 1

enp0s3 ist mein Standard-Interface und abgesehen von "lo" auch das einzige. Die Verbindung soll über "enp0s3" laufen.

Dann schreibe in die "/etc/sysctl.conf"-Datei (oder gleichwertig), die Zeile:

net.ipv6.conf.enp0s3.use_tempaddr = 0

und führe "sudo sysctl -p" aus, oder reboote deinen Server.

- - - Aktualisiert - - -

..., aber für die IPv6 des Servers erhalte ich immernoch einen timeout.

Die v6-Namensauflösung mit den DNS-Servern deines Providers (nicht mit der IPv4/v6-Adresse der FritzBox), sollte jetzt funktionieren.
Siehe dazu auch die Ausgabe von:

host dns.fritz.box

oder die von:

host dns.fritz.box 192.168.178.1

 

[pcfann]

Ich habe in /etc/sysctl.conf nun

#ipphoneforum
net.ipv6.conf.enp0s3.use_tempaddr = 0

eingetragen.
Ausgabe:

sysctl net.ipv6.conf.enp0s3.use_tempaddr
net.ipv6.conf.enp0s3.use_tempaddr = 1

host dns.fritz.box
dns.fritz.box has address 185.22.x.x
dns.fritz.box has address 185.22.y.x
dns.fritz.box has IPv6 address 2a00:6020:100::1
dns.fritz.box has IPv6 address 2a00:6020:200::1

 host dns.fritz.box 192.168.178.1
Using domain server:
Name: 192.168.178.1
Address: 192.168.178.1#53
Aliases:

dns.fritz.box has address 185.22.x.x
dns.fritz.box has address 185.22.y.x
dns.fritz.box has IPv6 address 2a00:6020:100::1
dns.fritz.box has IPv6 address 2a00:6020:200::1

ifconfig hat immernoch mehrere IPv6 Adressen gelistet und der ddclient schickt noch immer die "falsche" IP an den Update-Service. Ein reboot wurde durchgeführt.

 

[sf3978]

Ausgabe:

sysctl net.ipv6.conf.enp0s3.use_tempaddr
net.ipv6.conf.enp0s3.use_tempaddr = 1

Vor oder nach dem reboot bzw. vor oder nach dem "sudo sysctl -p"?

ifconfig hat immernoch mehrere IPv6 Adressen gelistet ...

Mehrere globale IPv6-Adressen? ... d. h. mit dem IPv6-Präfix von deinem ISP?

Wie sind die Ausgaben von:

ps aux | grep -i [d]hc
sudo netstat -tulpena

?

 

[pcfann]

Nach dem Reboot und nach dem sysctl -p.
Ja, 5 Stück immoment mit dem Präfix meines ISP 2a00:6020:1.... (Nach einem erneuten Neustart nurnoch 4)
Nur die letzen 4 16-bit-Blöcke sind unterschiedlich.
Und zusätzlich die lokale fe80:..

Ausgaben von

ps aux | grep -i [d]hc

sind

root      1244  0.0  0.0   4672  1800 ?        Ss   13:07   0:00 /sbin/dhcpcd
root      1285  0.0  0.0  16120  3740 ?        S    13:07   0:00 /sbin/dhclient -d -q -sf /usr/lib/NetworkManager/nm-dhcp-helper -pf /var/run/dhclient-enp0s3.pid -lf /var/lib/NetworkManager/dhclient-12e2f26a-14d4-391c-b703-cfc89405d649-enp0s3.lease -cf /var/lib/NetworkManager/dhclient-enp0s3.conf enp0s3
ntp       1953  0.0  0.1  97960  4768 ?        Ssl  13:07   0:01 /usr/sbin/ntpd -p /var/run/ntpd.pid -g -c /run/ntp.conf.dhcp -u 129:136

sudo netstat -tulpena

gibt folgende Ausgabe:

Aktive Internetverbindungen (Server und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       Benutzer   Inode                                                                 PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      0          23921                                                                 1123/sshd
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      0          17001                                                                 771/cupsd
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      126        24534                                                                 1233/mysqld
tcp        0      0 0.0.0.0:5355            0.0.0.0:*               LISTEN      102        21130                                                                 1110/systemd-resolv
tcp        0     64 192.168.178.27:22       192.168.178.31:50541    VERBUNDEN   0          26816                                                                 2270/sshd: ubuntu [
tcp6       0      0 :::21                   :::*                    LISTEN      0          21261                                                                 1134/vsftpd
tcp6       0      0 :::22                   :::*                    LISTEN      0          23923                                                                 1123/sshd
tcp6       0      0 ::1:3350                :::*                    LISTEN      0          21711                                                                 1231/xrdp-sesman
tcp6       0      0 ::1:631                 :::*                    LISTEN      0          17000                                                                 771/cupsd
tcp6       0      0 :::3389                 :::*                    LISTEN      128        22485                                                                 1283/xrdp
tcp6       0      0 :::5355                 :::*                    LISTEN      102        21133                                                                 1110/systemd-resolv
tcp6       0      0 :::80                   :::*                    LISTEN      0          23165                                                                 1406/apache2
udp        0      0 0.0.0.0:36039           0.0.0.0:*                           120        17295                                                                 779/avahi-daemon: r
udp        0      0 127.0.0.53:53           0.0.0.0:*                           102        21128                                                                 1110/systemd-resolv
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          22414                                                                 1285/dhclient
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          22082                                                                 1244/dhcpcd
udp        0      0 192.168.178.27:123      0.0.0.0:*                           0          24858                                                                 1953/ntpd
udp        0      0 127.0.0.1:123           0.0.0.0:*                           0          24856                                                                 1953/ntpd
udp        0      0 0.0.0.0:123             0.0.0.0:*                           0          24852                                                                 1953/ntpd
udp        0      0 0.0.0.0:631             0.0.0.0:*                           0          20139                                                                 940/cups-browsed
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           120        17293                                                                 779/avahi-daemon: r
udp        0      0 0.0.0.0:5355            0.0.0.0:*                           102        21129                                                                 1110/systemd-resolv
udp6       0      0 :::56295                :::*                                120        17296                                                                 779/avahi-daemon: r
udp6       0      0 2a00:6020:X:X:123 :::*                                129        32318                                                                 1953/ntpd
udp6       0      0 2a00:6020:X:X:123 :::*                                129        31282                                                                 1953/ntpd
udp6       0      0 fe80::adc9:Y:Y:123 :::*                                0          24870                                                                 1953/ntpd
udp6       0      0 2a00:6020:X:X:123 :::*                                0          24868                                                                 1953/ntpd
udp6       0      0 2a00:6020:X:X:123 :::*                                0          24864                                                                 1953/ntpd
udp6       0      0 2a00:6020:X:X:123 :::*                                0          24862                                                                 1953/ntpd
udp6       0      0 ::1:123                 :::*                                0          24860                                                                 1953/ntpd
udp6       0      0 :::123                  :::*                                0          24849                                                                 1953/ntpd
udp6       0      0 :::546                  :::*                                0          23770                                                                 1244/dhcpcd
udp6       0      0 :::5353                 :::*                                120        17294                                                                 779/avahi-daemon: r
udp6       0      0 :::5355                 :::*                                102        21132                                                                 1110/systemd-resolv

Zur Info: Die IPv4 des Servers ist auf 192.168.178.27 gewechselt (in früheren Posts eventuell abweichend)

UPDATE:
jetzt gerade nach dem 2. Neustart sehe ich, dass die richtige IPv6 dem Dyn-Dns Update Dienst übermittelt wurde.
Ist das in diesem Fall Zufall oder hängt das mit den Einstellungen, zu denen du mir geraten hast, zusammen? Wenn ja, wieso musste ich komplett neustarten? reicht ein "reboot now" eventuell doch nicht?
Ich bin nur etwas verwundert, da die anderen globalen Adressen ja immernoch bestehen, aber nun der ddclient die "richtige" übermittelt.
Leider besthet auf anderen Systemen im Netzwerk und auf dem Ubuntu Server selbst auch noch das Problem mit dem Auflösen der Domain. -> Dns Timeout.
Über online tools wie z.b. subnet online klappt ein ping6 einwandfrei.

UPDATE 2:
Lösung zur Erreichbarkeit der DNS-Server: DNS-Rebindschutz in der Fritzbox (Heimnetz->Netzwerkeinstellungen->DNS-Rebind Schutz) für die betroffenen Domains deaktivieren.

Somit müsste mein Problem vorerst gelöst sein. Mal schauen, ob das Domain-Update bei einem neuen Prefix dann auch klappt, wenn wir ein neues zugewiesen bekommen.

 

[sf3978]

root      1244  0.0  0.0   4672  1800 ?        Ss   13:07   0:00 /sbin/dhcpcd
root      1285  0.0  0.0  16120  3740 ?        S    13:07   0:00 /sbin/dhclient -d -q -sf /usr/lib/NetworkManager/nm-dhcp-helper -pf /var/run/dhclient-enp0s3.pid -lf /var/lib/NetworkManager/dhclient-12e2f26a-14d4-391c-b703-cfc89405d649-enp0s3.lease -cf /var/lib/NetworkManager/dhclient-enp0s3.conf enp0s3
ntp       1953  0.0  0.1  97960  4768 ?        Ssl  13:07   0:01 /usr/sbin/ntpd -p /var/run/ntpd.pid -g -c /run/ntp.conf.dhcp -u 129:136

Warum benutzt Du dhcpcd _und_ dhclient (und auch noch mit dem NM) auf deinem Server?

Konfiguriere den ntpd so, dass dieser nur IPv4 verwendet. Brauchst Du den ahavi-daemon auf deinem Server.

Das mit z. Zt. der "richtigen" IPv6-Adresse, durch den dclient, wird m. E. Zufall sein.

 

[pcfann]

Warum benutzt Du dhcpcd _und_ dhclient (und auch noch mit dem NM) auf deinem Server?

Ich habe an den Einstellungen eigentlich nichts verstellt, das müsste standardmäßig so gewesen sein. Eventuell wurde dhcpcd mal von einem anderen Programm mitinstalliert? Soll ich dann eins von den beiden wieder entfernen? Wenn ja, welches?

Konfiguriere den ntpd so, dass dieser nur IPv4 verwendet. Brauchst Du den ahavi-daemon auf deinem Server.

 ps aux | grep -i [d]hc
root      1240  0.0  0.0   4672  1728 ?        Ss   16:09   0:00 /sbin/dhcpcd
root      1354  0.0  0.0  16124  3676 ?        S    16:09   0:00 /sbin/dhclient -d -q -sf /usr/lib/NetworkManager/nm-dhcp-helper -pf /var/run/dhclient-enp0s3.pid -lf /var/lib/NetworkManager/dhclient-12e2f26a-14d4-391c-b703-cfc89405d649-enp0s3.lease -cf /var/lib/NetworkManager/dhclient-enp0s3.conf enp0s3
ntp       5278  0.0  0.1  97960  4764 ?        Ssl  21:50   0:00 /usr/sbin/ntpd -p /var/run/ntpd.pid -4 -g -c /run/ntp.conf.dhcp -u 129:136

So besser? Habe in /etc/default/ntp

NTPD_OPTS='-g'

in

  NTPD_OPTS='-4 -g'

geändert.

 service ntp status
● ntp.service - LSB: Start NTP daemon
   Loaded: loaded (/etc/init.d/ntp; generated; vendor preset: enabled)
   Active: active (running) since Wed 2017-05-10 21:58:09 CEST; 2s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 6965 ExecStop=/etc/init.d/ntp stop (code=exited, status=0/SUCCESS)
  Process: 6978 ExecStart=/etc/init.d/ntp start (code=exited, status=0/SUCCESS)
    Tasks: 2 (limit: 4915)
   CGroup: /system.slice/ntp.service
           └─6989 /usr/sbin/ntpd -p /var/run/ntpd.pid -4 -g -c /run/ntp.conf.dhcp -u 129:136

Mai 10 21:58:09 ubuntuvm ntpd[6986]: ntpd [email protected] Fri Dec 16 07:29:13 UTC 2016 (1): Starting
Mai 10 21:58:09 ubuntuvm ntpd[6986]: Command line: /usr/sbin/ntpd -p /var/run/ntpd.pid -4 -g -c /run/ntp.conf.dhcp -u 129:136
Mai 10 21:58:09 ubuntuvm ntp[6978]:    ...done.
Mai 10 21:58:09 ubuntuvm systemd[1]: Started LSB: Start NTP daemon.
Mai 10 21:58:09 ubuntuvm ntpd[6989]: proto: precision = 0.048 usec (-24)
Mai 10 21:58:09 ubuntuvm ntpd[6989]: restrict: ignoring line 39, mask '::' unusable.
Mai 10 21:58:09 ubuntuvm ntpd[6989]: Listen and drop on 0 v4wildcard 0.0.0.0:123
Mai 10 21:58:09 ubuntuvm ntpd[6989]: Listen normally on 1 lo 127.0.0.1:123
Mai 10 21:58:09 ubuntuvm ntpd[6989]: Listen normally on 2 enp0s3 192.168.178.27:123
Mai 10 21:58:09 ubuntuvm ntpd[6989]: Listening on routing socket on fd #19 for interface updates

Brauchst Du den ahavi-daemon auf deinem Server.

Nein, den avahi-daemon benötige ich nicht. Habe ihn nun entfernt.

Das mit z. Zt. der "richtigen" IPv6-Adresse, durch den dclient, wird m. E. Zufall sein.

Und wie ändere ich dies, sodass es kein Zufall mehr ist?

 

[sf3978]

Soll ich dann eins von den beiden wieder entfernen? Wenn ja, welches?

Das ist von deinem Wissen und Können abhängig. Ich würde auf einem Server, den NetworkManager nicht benutzen und statt dhclient, den dhcpcd verwenden.

So besser? Habe in /etc/default/ntp

NTPD_OPTS='-g'

in

  NTPD_OPTS='-4 -g'

geändert.

M. E. wäre es so:

NTPD_OPTS='-4 -g -U 0'

besser.

Und wie ändere ich dies, sodass es kein Zufall mehr ist?

Naja, eine Konfiguration, so dass dein Server eine einzige globale IPv6-Adresse hat. Ich denke, das wird so funktionieren, wenn Du nicht mehr 2 dhcp-Clients (gleichzeitig) verwendest.

 

[pcfann]

Danke, das hat funktioniert. Ich habe in ipconfig nun nurnoch eine globale IPv6 Adresse.
Vielen Dank für deine/eure detaillierte Hilfe und eure Geduld mit mir

Jedoch stellt sich mir immernoch die Frage, wieso ich z.B. über mobile Daten am Handy die Website nicht aufrufen kann. Bekomme dort ebenfalls einen DNS-Error bzw. Timeout im Browser. Über online-Tools zum Testen der Website-Erreichbarkeit klappt jedoch zur Zeit alles.

 

[sf3978]

..., wieso ich z.B. über mobile Daten am Handy die Website nicht aufrufen kann. Bekomme dort ebenfalls einen DNS-Error bzw. Timeout im Browser. Über online-Tools zum Testen der Website-Erreichbarkeit klappt jedoch zur Zeit alles.

Welche DNS-Server sind in deinem Handy konfiguriert? "Schnell" sind z. B. die DNS-Server von google, OpenDNS, CCC und andere "alternative" DNS-Server. "Langsam" sind i. d. R. die DNS-Server der ISP. Versuch mal 12 oder 24 Stunden nach dem v6-update (den dein ddclient gemacht hat), mit den DNS-Servern deiner ISP.

- - - Aktualisiert - - -

Meine /etc/ddclient.conf:

  GNU nano 2.7.4                                          Datei: /etc/ddclient.conf

# Configuration file for ddclient generated by debconf
#
# /etc/ddclient.conf

protocol=dyndns2
use[color=red]v6[/color]=if, if=enp0s3
server=update.spdyn.de
login=domain.spdns.de
password='TOKEN'
domain.spdns.de

Frage am Rande: Welche Version von ddclient hast Du auf deinem Server?

apt-cache policy ddclient

?

... denn die Versionen 3.8.1 bzw. 3.8.2 kennen das "usev6" (noch) nicht:

cat $(which ddclient) | grep -i v6

Oder hast Du den ddclient, den Du auf dem Server hast, gepatcht? Siehe z. B.: http://www.forum-raspberrypi.de/Thread-tutorial-raspberry-pi-spdns-de-ddclient-dyndns

EDIT:

BTW: In der "ddclient.conf" kann man auch "ssl=yes" (für eine HTTPS-Verbindung über den Port 443) verwenden:

# Configuration file for ddclient generated by debconf
#
# /etc/ddclient.conf

protocol=dyndns2
usev6=if, if=enp0s3
[color=red]ssl=yes[/color]
server=update[color=red]6[/color].spdyn.de
login=domain.spdns.de
password='TOKEN'
domain.spdns.de

 

[pcfann]

3.8.3-1.1ubuntu1 500

cat $(which ddclient) | grep -i v6
sub T_USEV6     {'ipv6 strategy'}
        'usev6'               => setv(T_USEV6, 0, 0, 1, undef,                un                                               def),
        'usev6'               => setv(T_USE,   0, 0, 1, undef,                un                                               def),
    [ "usev6",       "=s", "-usev6 which          : how should the IPv6 address                                                be obtained." ],
                my $ipv6 = 0;
                        $ipv6 = 1 if (defined $config{$h}{'usev6'});
                        if ($ipv6) {
                                $use = opt('usev6', $h);
                                $ip = get_ip($use, $h) if !$ipv6;
                                $ip = get_ipv6($use, $h) if $ipv6;
                                if (!$ipv6 and $ip !~ /^\d{1,3}\.\d{1,3}\.\d{1,3                                               }\.\d{1,3}$/) {
                                if ($ipv6 and $ip !~ /^[0-9a-f:]+$/) {
                                        warning("malformed IPv6 address (%s)", $                                               ip);
    ## infer the IPv6 strategy if possible
    $opt{'usev6'} = 'ip'  if !define($opt{'usev6'}) && defined($opt{'ip'});
    $opt{'usev6'} = 'if'  if !define($opt{'usev6'}) && defined($opt{'if'});
    $opt{'usev6'} = 'web' if !define($opt{'usev6'}) && defined($opt{'web'});
    } elsif ($type eq T_USEV6) {
## get_ipv6
sub get_ipv6 {

SSL ist nun aktivert und die Update-Domain auf update6.spdyn.de umgestellt.

Wie stelle ich denn auf meinem alten Samsung Ace 3 die DNS Server für mobile Daten ein? Die Einstellung für Wifi habe ich gefunden, aber es müsste noch eine andere geben, oder? Netzbetreiber ist E-Plus

 

[pcfann]

Das Problem scheint doch noch nicht ganz gelöst zu sein...
Ich habe heute mal von einem anderen Netzwerk versucht, meine Cloud zu öffnen. "Der Server konnte nicht gefunden werden".
Was mich nun sehr verwundert sind die Resulte einiger Online-Tools:
1. http://ready.chair6.net/

       [SIZE=4][B]  DNS (IPv6 NS)
         WARN         Could not resolve nameservers for hostname domain.spdns.de[/B][/SIZE].    
              

  DNS (IPv6 TLD NS)
         PASS
         Hostname top-level domain (de.) does have IPv6-addressed nameservers defined.
        

 DNS (IPv4 A Record)
         WARN
         Hostname does not have an IPv4 A record.
      

   DNS (IPv6 AAAA Record)
        PASS   Hostname domain.spdns.de does have an IPv6 AAAA record (2a00:6020:X:X:X:X:X:15b3).
      

  DNS (MX Record)
        WARN
        Hostname domain.spdns.de does not have MX records.
       

[SIZE=4] [B]DNS (Glue)
    WARN
    Could not resolve nameservers for hostname domain.spdns.de.[/B][/SIZE]



    IPv4 Connectivity
        WARN
         Could not connect to domain.spdns.de on port 80 over IPv4.

       
       

         IPv6 Connectivity
        PASS
         Successfully connected to domain.spdns.de on port 80 over IPv6.

       
     

           IPv4 Literals
         PASS
         Did not locate any IPv4 literals within HTML content.

2. www.mythic-beasts.com/ipv6/health-check?domain=domain.spdns.de

[B]IPv6 addresses for nameservers [/B]
                Only one nameserver out of 3 has an IPv6 address [[URL="https://www.mythic-beasts.com/ipv6/health-check?domain=cloudwolff.spdns.de#test-details-nameserver-addresses"]details[/URL]]

details:
[B]IPv6 addresses for nameservers[/B]
ns.secondary-dns.de
 62.245.150.232
dyndns.securepoint.de
 2001:868:100:901:53:0:0:1
 213.128.147.60
mhwserv01.mhw.de
 62.116.166.70




                                           [B]Nameserver IPv6 connectivity [/B]
                1 out of 1 IPv6 nameservers failed to respond [[URL="https://www.mythic-beasts.com/ipv6/health-check?domain=cloudwolff.spdns.de#test-details-nameserver-connectivity"]details[/URL]]

details:
[B]Nameserver IPv6 connectivity[/B]
Trying [URL="http://www.domain.spdns.de"]www.domain.spdns.de[/URL] @ dyndns.securepoint.de [ 2001:868:100:901:53:0:0:1 ]...
  Error contacting server:query timed out
No IPv6 addresses found



[B]IPv6 address(es) for web server(s)[/B]
Didn't find any AAAA records from v6 nameservers.  Trying v4 nameservers.



[B]IPv6 address(es) for bare domain name[/B]
Getting IPv6 addresses for domain.spdns.de
  2a00:6020:X:X:X:X:X:15b3

IPv6 nameserver delegation and glue trace (experimental)

Using www.domain.spdns.de...
[www.[B]domain[/B].spdns.de] www.[B]domain[/B].spdns.de is delegated to de with nameservers:
[www.[B]domain[/B].spdns.de]   n.de.net (2001:67c:1011:1:0:0:0:53)
[www.[B]domain[/B].spdns.de]   s.de.net 
[www.[B]domain[/B].spdns.de]   f.nic.de (2a02:568:0:2:0:0:0:53)
[www.[B]domain[/B].spdns.de]   a.nic.de (2001:678:2:0:0:0:0:53)
[www.[B]domain[/B].spdns.de]   l.de.net (2001:668:1f:11:0:0:0:105)
[www.[B]domain[/B].spdns.de]   z.nic.de 
[www.[B]domain[/B].spdns.de]    de has IPv6 addresses for 4 out of 6 nameservers 
[www.[B]domain[/B].spdns.de] www.[B]domain[/B].spdns.de is delegated to spdns.de with nameservers:
[www.[B]domain[/B].spdns.de]   ns.secondary-dns.de 
[www.[B]domain[/B].spdns.de]   dyndns.securepoint.de 
[www.[B]domain[/B].spdns.de]   mhwserv01.mhw.de 
[www.[B]domain[/B].spdns.de]      Resolving IPv6 addresses for nameservers for spdns.de
  [ns.secondary-dns.de] ns.secondary-dns.de is delegated to de with nameservers:
  [ns.secondary-dns.de]    de has IPv6 addresses for 4 out of 6 nameservers (cached).
  [ns.secondary-dns.de] ns.secondary-dns.de is delegated to secondary-dns.de with nameservers:
  [ns.secondary-dns.de]   ns1.m-online.net 
  [ns.secondary-dns.de]   ns2.m-online.net 
  [ns.secondary-dns.de]   ns3.m-online.net 
  [ns.secondary-dns.de]   ns4.m-online.net 
  [ns.secondary-dns.de]      Resolving IPv6 addresses for nameservers for secondary-dns.de
    [ns1.m-online.net] ns1.m-online.net is delegated to net with nameservers:
    [ns1.m-online.net]   e.gtld-servers.net 
    [ns1.m-online.net]   j.gtld-servers.net 
    [ns1.m-online.net]   g.gtld-servers.net 
    [ns1.m-online.net]   c.gtld-servers.net 
    [ns1.m-online.net]   h.gtld-servers.net 
    [ns1.m-online.net]   f.gtld-servers.net 
    [ns1.m-online.net]   a.gtld-servers.net (2001:503:a83e:0:0:0:2:30)
    [ns1.m-online.net]   d.gtld-servers.net 
    [ns1.m-online.net]   k.gtld-servers.net 
    [ns1.m-online.net]   i.gtld-servers.net 
    [ns1.m-online.net]   l.gtld-servers.net 
    [ns1.m-online.net]   b.gtld-servers.net (2001:503:231d:0:0:0:2:30)
    [ns1.m-online.net]   m.gtld-servers.net 
    [ns1.m-online.net]    net has IPv6 addresses for 2 out of 13 nameservers 
    [ns1.m-online.net] ns1.m-online.net is delegated to m-online.net with nameservers:
    [ns1.m-online.net]   ns2.m-online.net 
    [ns1.m-online.net]   ns1.m-online.net (2001:a60:0:11:0:0:0:53)
    [ns1.m-online.net]   ns3.m-online.net 
    [ns1.m-online.net]   ns4.m-online.net (2001:a60:0:20:0:0:0:53)
    [ns1.m-online.net]    m-online.net has IPv6 addresses for 2 out of 4 nameservers 
    [ns2.m-online.net] ns2.m-online.net is delegated to net with nameservers:
    [ns2.m-online.net]    net has IPv6 addresses for 2 out of 13 nameservers (cached).
    [ns2.m-online.net] ns2.m-online.net is delegated to m-online.net with nameservers:
    [ns2.m-online.net]    m-online.net has IPv6 addresses for 2 out of 4 nameservers (cached).
    [ns3.m-online.net] ns3.m-online.net is delegated to net with nameservers:
    [ns3.m-online.net]    net has IPv6 addresses for 2 out of 13 nameservers (cached).
    [ns3.m-online.net] ns3.m-online.net is delegated to m-online.net with nameservers:
    [ns3.m-online.net]    m-online.net has IPv6 addresses for 2 out of 4 nameservers (cached).
    [ns4.m-online.net] ns4.m-online.net is delegated to net with nameservers:
    [ns4.m-online.net]    net has IPv6 addresses for 2 out of 13 nameservers (cached).
    [ns4.m-online.net] ns4.m-online.net is delegated to m-online.net with nameservers:
    [ns4.m-online.net]    m-online.net has IPv6 addresses for 2 out of 4 nameservers (cached).
  [ns.secondary-dns.de]    secondary-dns.de has IPv6 addresses for 3 out of 4 nameservers 
  [dyndns.securepoint.de] dyndns.securepoint.de is delegated to de with nameservers:
  [dyndns.securepoint.de]    de has IPv6 addresses for 4 out of 6 nameservers (cached).
  [dyndns.securepoint.de] dyndns.securepoint.de is delegated to securepoint.de with nameservers:
  [dyndns.securepoint.de]   ns.secondary-dns.de 
  [dyndns.securepoint.de]   mhwserv01.mhw.de 
  [dyndns.securepoint.de]      Resolving IPv6 addresses for nameservers for securepoint.de
    [ns.secondary-dns.de] ns.secondary-dns.de is delegated to de with nameservers:
    [ns.secondary-dns.de]    de has IPv6 addresses for 4 out of 6 nameservers (cached).
    [ns.secondary-dns.de] ns.secondary-dns.de is delegated to secondary-dns.de with nameservers:
    [ns.secondary-dns.de]    secondary-dns.de has IPv6 addresses for 3 out of 4 nameservers (cached).
    [mhwserv01.mhw.de] mhwserv01.mhw.de is delegated to de with nameservers:
    [mhwserv01.mhw.de]    de has IPv6 addresses for 4 out of 6 nameservers (cached).
    [mhwserv01.mhw.de] mhwserv01.mhw.de is delegated to mhw.de with nameservers:
    [mhwserv01.mhw.de]   ns1.ecotel.net 
    [mhwserv01.mhw.de]   ns2.ecotel.net 
    [mhwserv01.mhw.de]   ns3.ecotel.net 
    [mhwserv01.mhw.de]   mhwserv01.mhw.de 
    [mhwserv01.mhw.de]      Resolving IPv6 addresses for nameservers for mhw.de
      [ns1.ecotel.net] ns1.ecotel.net is delegated to net with nameservers:
      [ns1.ecotel.net]    net has IPv6 addresses for 2 out of 13 nameservers (cached).
      [ns1.ecotel.net] ns1.ecotel.net is delegated to ecotel.net with nameservers:
      [ns1.ecotel.net]   ns1.ecotel.net 
      [ns1.ecotel.net]   ns2.ecotel.net 
      [ns1.ecotel.net]   ns3.ecotel.net 
      [ns1.ecotel.net]      Resolving IPv6 addresses for nameservers for ecotel.net
      [ns1.ecotel.net]    ecotel.net has IPv6 addresses for 0 out of 3 nameservers 
      [ns1.ecotel.net] Could not find any nameservers to continue query
      [ns2.ecotel.net] ns2.ecotel.net is delegated to net with nameservers:
      [ns2.ecotel.net]    net has IPv6 addresses for 2 out of 13 nameservers (cached).
      [ns2.ecotel.net] ns2.ecotel.net is delegated to ecotel.net with nameservers:
      [ns2.ecotel.net]    ecotel.net has IPv6 addresses for 0 out of 3 nameservers (cached).
      [ns2.ecotel.net] Could not find any nameservers to continue query
      [ns3.ecotel.net] ns3.ecotel.net is delegated to net with nameservers:
      [ns3.ecotel.net]    net has IPv6 addresses for 2 out of 13 nameservers (cached).
      [ns3.ecotel.net] ns3.ecotel.net is delegated to ecotel.net with nameservers:
      [ns3.ecotel.net]    ecotel.net has IPv6 addresses for 0 out of 3 nameservers (cached).
      [ns3.ecotel.net] Could not find any nameservers to continue query
    [mhwserv01.mhw.de]    mhw.de has IPv6 addresses for 0 out of 4 nameservers 
    [mhwserv01.mhw.de] Could not find any nameservers to continue query
  [dyndns.securepoint.de]    securepoint.de has IPv6 addresses for 0 out of 2 nameservers 
  [dyndns.securepoint.de] Could not find any nameservers to continue query
  [mhwserv01.mhw.de] mhwserv01.mhw.de is delegated to de with nameservers:
  [mhwserv01.mhw.de]    de has IPv6 addresses for 4 out of 6 nameservers (cached).
  [mhwserv01.mhw.de] mhwserv01.mhw.de is delegated to mhw.de with nameservers:
  [mhwserv01.mhw.de]    mhw.de has IPv6 addresses for 0 out of 4 nameservers (cached).
  [mhwserv01.mhw.de] Could not find any nameservers to continue query
[www.[B]domain[/B].spdns.de]    spdns.de has IPv6 addresses for 0 out of 3 nameservers 
[www.[B]domain[/B].spdns.de] Could not find any nameservers to continue query

Wenn ich das richtig interpretiere, weist dies doch auf eine Fehlkonfiguration auf der Seite des DNS-Anbieters hin, oder?
Oder habe ich etwas falsch eingestellt?
Die IPv6 mit 15b3 am Ende ist die korrekte Server-IP. Mich wundert, dass manche Online-Tools die Domain auflösen können und andere wiederum nicht. Die 24 Stunden für das Updaten der Domain sollten jetzt auch schon lange verstrichen sein.

 

[PeterPawn]

www.domain.spdns.de ≠ domain.spdns.de

 

[pcfann]

Das verstehe ich noch nicht so ganz.
Wenn ich www.domain.spdns.de eingebe, bekomme ich das gleiche Ergebnis bei diesen Online-Tests wie bei domain.spdns.de .
Dieser glue trace zeigt doch am Ende, dass keine Nameserver mehr gefunden wurden, richtig? Das www. wurde von dem Tool automatisch hinzugefügt, ich habe es beim ersten Versuch nicht eingegeben.
Irgendwie kann ich gerade nicht nachvollziehen, ob das Problem nun an mir oder eventuell am DNS-Anbieter liegt, bzw. was ich falsch gemacht haben könnte.

 

[PeterPawn]

Diese Tests gehen davon aus, daß sie die korrekte Konfiguration eines DNS-Servers für IPv6 testen würden. Der Server ist hier aber der für "spdns.de" (wobei das ja auch nur eine weitere Domain auf drei anderen NS ist) und Dein "domain.spdns.de" ist lediglich/bereits ein Host-Eintrag dort, den über einen A- und einen AAAA-Eintrag verfügen kann, und nicht etwa eine delegierte Zone für "domain.spdns.de" (auf einem anderen NS) ... oder ich hätte etwas fundamental mißverstanden, was den Service von spdns.de betrifft.

Vielleicht liefert der tatsächlich noch für "www.domain.spdns.de" dieselbe Adresse aus wie für "domain.spdns.de" (oder sogar für sämtliche auf "domain.spdns.de" endenden Abfragen) - das ist entweder eine um sich greifende Unsitte oder irgendein mir unbekannter RFC, der davon ausgeht, daß "domain.tld" mit "www.domain.tld" gleichzusetzen wäre (oder irgendeinem anderen Präfix) ... oder es ist am Ende doch nur ein Browser (was hätte der aber in diesem Testszenario überhaupt zu suchen), der bei einer Antwort "NXDOMAIN" bei der Frage nach einem A-, AAAA- oder CNAME-Eintrag für eine Domain dann eben hingeht und (reiner "Service" für den Benutzer, durch nichts wirklich begründbar) noch ein "www" vor eine solche Adresse packt, wenn er eine erneute Abfrage startet.

Wenn irgendein DNS-Client aber seinerseits nach "domain.spdns.de" mit "type=any" fragt, dann wäre es wieder korrekt, wenn er dafür passende Typen (A, AAAA, CNAME) erhält ... nur muß der dann halt auch noch auseinanderhalten, was das nun für eine Antwort war und auf eine A-Anfrage nach einem nichtexistierenden Namen sollte nun mal ein "NXDOMAIN" kommen und nicht der A-Eintrag des "nächstkleineren" Namens.

Was genau z.B. der Test bei mythic-beasts.com macht (der auch eher für deren Server-Kunden gedacht ist), steht eben auf der dazugehörigen Info-Seite ... vielleicht solltest Du diese einmal lesen. Auch DNS-Grundlagen sind vielleicht keine vollkommen abwegige Literatur-Empfehlung, wenn meine Einschätzung bzgl. Deines Denkfehlers korrekt sein sollte.

 

[pcfann]

Ich bin ja immernoch der Überzeugung, dass irgendetwas bei spdns nicht stimmt:
Habe jetzt mal auf http://dnscheck.ripe.net/ die Domain spdns.de (ohne die Subdomain) prüfen lassen. Dort erhalte ich folgende Fehler:

[LIST]
[*]Name server dyndns.securepoint.de (2001:868:100:901:53:0:0:1) does not answer queries over UDP.


[*]The  name server failed to answer queries sent over UDP.  This is probably  due to the name server not correctly set up or due to misconfigured  filtering in a firewall.

und

[LIST]
[*]Name server dyndns.securepoint.de (2001:868:100:901:53:0:0:1) does not answer queries over TCP.

[*]The  name server failed to answer queries sent over TCP.  This is probably  due to the [B]name server not correctly set up[/B] or due to misconfgured  filtering in a firewall. It is a rather common misconception that DNS  does not need TCP unless they provide zone transfers - perhaps the name  server administrator is not aware that TCP usually is a requiremen

[/LIST]

Und dieser dyndns.securepoint.de Nameserver ist ja nun auch, wenn ich das richtig verstanden habe, für meinedomain.spdns.de zuständig, da ich auf IPv6 angewiesen bin, richtig?
Die anderen beiden Nameserver von spdns.de haben keine IPv6 Adressen.

advanced view von dem Test:

[LIST]
[*]Begin testing delegation for spdns.de.

[*]Name servers listed at parent: dyndns.securepoint.de,mhwserv01.mhw.de,ns.secondary-dns.de

[*]Name servers listed at child: dyndns.securepoint.de,mhwserv01.mhw.de,ns.secondary-dns.de

[*][U][B]Too few IPv6 name servers (1).[/B][/U]


[*]Parent glue for spdns.de found: mhwserv01.mhw.de (62.116.166.70)

[*]Checking glue for mhwserv01.mhw.de (62.116.166.70).

[*]Parent glue for spdns.de found: mhwserv01.mhw.de (62.116.166.70)


[*][U][B]DNS lookup error (query timed out).
[/B][/U]

[*][U][B]DNS lookup error (query timed out).[/B][/U]


[*]It is possible to build a referral packet for spdns.de that works without EDNS0.

[*]Previously used name servers for spdns.de: 

[*]Done testing delegation for spdns.de.

[/LIST]

[/LIST]

 

[sf3978]

..., da ich auf IPv6 angewiesen bin, richtig?

Naja, Du musst aber nicht zwingend irgendwelche v6-DNS-Server von securepoint.de verwenden.

Versuch mal mit den v6-DNS-Server von OpenDNS (oder gleichwertig). Z. B. (udp und tcp per ipv6):

dig -6 aaaa heise.de @2620:0:ccc::2 +short
dig -6 aaaa +tcp heise.de @2620:0:ccc::2 +short
dig -6 aaaa heise.de @2620:0:ccd::2 +short
dig -6 aaaa +tcp heise.de @2620:0:ccd::2 +short

 

[PeterPawn]

Ein NS muß gar keine IPv6-Adressen haben ... es gibt nun einmal einen fundamentalen Unterschied zwischen einer DNS-Abfrage (präziser dem dafür verwendeten IP-Protokoll auf L3), dem dort abgefragten Typ einer Adresse und dem am Ende von einem "Client" dann aus einer DNS-Antwort selektierten Typ einer IP-Adresse (sofern für den angefragten Namen sowohl A- als auch AAAA-Einträge existieren), über die ein Dienst angesprochen werden soll.

Wo steht denn geschrieben, daß die DNS-Server von spdns.de unbedingt über IPv6 erreichbar sein müßten? Nirgends und das ist auch keinesfalls "Pflicht".

Die Vorgaben des DeNIC legen nur fest (2.1.2, Unterpunkt 1, Satz 1), daß mindestens einer der NS über eine IPv4-Adresse verfügen muß, von einem über IPv6 erreichbaren NS steht da nichts.

Selbst wenn ein NS-Server für eine Domain eine IPv6-Adresse haben sollte und dort ist kein Service zu erreichen, ist das eine normale Situation (der kann nämlich auch mal ausgefallen sein), mit der jeder Resolver umgehen können sollte - ansonsten ist ebenfalls wieder der Resolver der Schwachpunkt.