[GELÖST] Aufruf auf ipv4 intern auf ipv6 umleiten

[mat6937]

... immer dieselbe ipv4.

Du kannst mit tcpdump sniffen, um zu sehen ob eine IPv4-Anfrage ankommt:

Code: Alles auswählen

tcpdump -c 30 -vvveni eth0 port 5027

(eth0 evtl. anpassen).

[heisenberg]

Wenn ich ss -tlpen ausführe (Also UDP mal weggelassen), dann bekomme ich da anscheinend doch die gesuchte Information:

Code: Alles auswählen

# ss -tlpen
State    Recv-Q    Send-Q            Local Address:Port        Peer Address:Port   Process                                                                                                                                                                                        
LISTEN   0         128                     0.0.0.0:22               0.0.0.0:*       users:(("sshd",pid=875,fd=3)) ino:17249 sk:42 cgroup:/system.slice/ssh.service <->                                                                                                            
LISTEN   0         128                   127.0.0.1:631              0.0.0.0:*       users:(("cupsd",pid=1028,fd=8)) ino:21523 sk:43 cgroup:/system.slice/cups.service <->                                                                                                         
LISTEN   0         50                            *:1716                   *:*       users:(("kdeconnectd",pid=1383,fd=16)) uid:1000 ino:15340 sk:44 cgroup:/user.slice/user-1000.slice/user@1000.service/app.slice/app-org.kde.kdeconnect.daemon@autostart.service v6only:0 <->   
LISTEN   0         128                        [::]:22                  [::]:*       users:(("sshd",pid=875,fd=4)) ino:17251 sk:45 cgroup:/system.slice/ssh.service v6only:1 <->                                                                                                   
LISTEN   0         511                           *:80                     *:*       users:(("apache2",pid=45525,fd=4),("apache2",pid=45524,fd=4),("apache2",pid=45523,fd=4)) ino:594171 sk:1002 cgroup:/system.slice/apache2.service v6only:0 <->                                 
LISTEN   0         128                       [::1]:631                 [::]:*       users:(("cupsd",pid=1028,fd=7)) ino:21522 sk:47 cgroup:/system.slice/cups.service v6only:1 <->                                                                                                
LISTEN   0         50           [::ffff:127.0.0.1]:44727                  *:*       users:(("java",pid=33843,fd=239)) uid:1000 ino:393966 sk:48 cgroup:/user.slice/user-1000.slice/user@1000.service/app.slice/app-org.kde.konsole-ac491856471a47b0883f85dee4262186.scope v6only:0

Da steht in der letzten Spalte (Process) v6only:0 oder v6only:1 drin. Ich habe spasseshalber nochmal kurz apache2 installiert. Da sehe ich also v6only:0 -> Dienst hört sowohl auf IPv4 als auch auf IPv6. Bei dem installierten CUPS steht v6only:1 und der Dienst hat aber selbst noch einen zweiten IPv4 Listener gestartet, der als separate Zeile auftaucht. Gleiches mit dem sshd. Ansonsten steht bei CUPS und beim sshd eine Adresse da. Anders als bei Apache. Da steht nämlich *. D. h. wenn da * steht, dann bedeutet es wohl: IPv4 + IPv6.

... und das heisst traccar hört jetzt sicher auf den IPv4- und den IPv6-Sockets (auch wenn da in der ss -tlpn - Ausgabe kein v6only-Wert drin steht! Ich vermute, das hat ss wegoptimiert, weil die Ausgabe zu lang war. Aber die Sternchen sind da.).

Bei netstat -tulpen wäre das entsprechende Anzeichen dann, wenn bei local address drei Doppelpunkte stehen - wovon vermutlich ein Doppelpunkt der Trenner zwischen IP-Adresse und Port ist und die zwei anderen für eine Wildcard-IPv6-Adresse:

Code: Alles auswählen

# netstat -nltp
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      875/sshd: /usr/sbin 
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1028/cupsd          
tcp6       0      0 :::1716                 :::*                    LISTEN      1383/kdeconnectd    
tcp6       0      0 :::22                   :::*                    LISTEN      875/sshd: /usr/sbin 
tcp6       0      0 ::1:631                 :::*                    LISTEN      1028/cupsd       

[Hakke]

Das Dingens stellt nur IPv6-Listener zur Verfügung.

Aber selbst wenn, sind denn IPv4-only-Geräte immer noch so stark verbreitet? Oder gehts um irgendwelche Enduser, die direkt aus dem Internet auf diesen Service zugreifen wollen, die aber bei einem Provider sind, der sich mit Händen und Füßen gegen IPv6 wehrt? Gibt ja noch so ein paar wie zB EWETEL

Das war mein Ansatz, weil manche Geräte durchkommen und manche nicht. Also habe ich nach dem kleinsten gemeinsamen Nenner gesucht. Curl auf den Host will direkt auf die v6. Also habe ich curl -ipv4 probiert und siehe da, da funktionierts nicht.

Es ist aber wohl tatsächlich so, dass die ipv6-Listener beide IP-Arten annehmen. Danke für die Anregung.

[Hakke]

... immer dieselbe ipv4.

Du kannst mit tcpdump sniffen, um zu sehen ob eine IPv4-Anfrage ankommt:

Code: Alles auswählen

tcpdump -c 30 -vvveni eth0 port 5027

(eth0 evtl. anpassen).

Danke, super Idee! Leider scheint da nichts anzukommen.Bei v6 natürlich schon.

[cosinus]

Danke, super Idee! Leider scheint da nichts anzukommen.Bei v6 natürlich schon.

Ist da irgendeine andere Firewall noch dazwischen?

[Hakke]

Ist da irgendeine andere Firewall noch dazwischen?

Ich werd wahnsinnig... Danke! Genau DAS war das Problem. Mein Provider hat nochmal eine Firewall laufen.

[TRex]

Dein Provider, d.h. du hast das immer mit deiner externen IP getestet statt mal intern anzufangen?

Weiterhin vermute ich mal DS-Lite, das ist dann keine Firewall, sondern ein NAT.

[Hakke]

Dein Provider, d.h. du hast das immer mit deiner externen IP getestet statt mal intern anzufangen?

Ich kann intern nur auf dem Server testen. Und lokal ging natürlich alles. Sinnvoll testen ging also nur von extern.

Weiterhin vermute ich mal DS-Lite, das ist dann keine Firewall, sondern ein NAT.

Nicht der Zugangsprovider, der Hoster.

[heisenberg]

Ich werd wahnsinnig... Danke! Genau DAS war das Problem. Mein Provider hat nochmal eine Firewall laufen.

Ist das jetzt eine Vermutung oder ist das die Aussage Deines Providers?

[Hakke]

Ist das jetzt eine Vermutung oder ist das die Aussage Deines Providers?

Ein Fakt. Ich musste den Port dort nur noch zusätzlich freischalten...

[cosinus]

Ich werd wahnsinnig... Danke! Genau DAS war das Problem. Mein Provider hat nochmal eine Firewall laufen.

Dein Provider? Ich dachte eher du hättest irgendwo noch was dazwischen oder an deinem Router was vergessen.
Wie muss man sich denn diese Provider-Firewall vorstellen?

[Hakke]

Dein Provider? Ich dachte eher du hättest irgendwo noch was dazwischen oder an deinem Router was vergessen.
Wie muss man sich denn diese Provider-Firewall vorstellen?

Was da softwaretechnisch konkret dahinter hängt, weiß ich nicht. Siehe https://docs.hetzner.com/de/robot/dedic ... /firewall/

[cosinus]

Ach du meinst deinen Hoster, nicht Provider

[Hakke]

Ach du meinst deinen Hoster, nicht Provider

Ich komme aus einer Zeit, da hieß das noch "Webspace-Provider"

[cosinus]

Ich komme aus einer Zeit, da hieß das noch "Webspace-Provider"

Provider ist für mich eine Firma, die mir Internet ermöglicht, ein Hoster stellte mir SaaS oder einen Sever zur Miete bereit. Aber wie dem auch sei. Wenn dieses Thema erledigt ist, bitte als GELÖST markieren im Thementitel.

[niemand]

Mein Provider hat nochmal eine Firewall laufen.

Das hätte ich dir mit unzensierten IPs schon weit früher als wahrscheinliche Möglichkeit nennen können, btw.

Warum glauben so viele Leute immer noch an „Security by Obscurity“?