IPv6, Seltsames Verhalten

Bratkartoffel

gebratene Kartoffel
Premium-User
Hi zusammen,

ich stehe gerade vor einem Problem, bei dem ich nicht mehr weiter weiss.

Ich habe einen Rootserver mit einem IPv6-64er Netz gemietet. Das 64er Netz route ich auf die Client-VMs durch, soweit so gut. Die Firewalls sowohl auf dem VM-Host, als auch in den VMs sind korrekt eingestellt, bzw. funktionieren soweit ohne Probleme.
Aber... Von meinem Homeserver aus kann ich alle VMs anpingen, ausser einer. Diese ist nicht anders konfiguriert und läuft ebenfalls wie alle anderen auf Debian Jessie.

Der folgende mtr-Trace ist von meinem Homeserver zu der einen VM die nicht geht:
Code:
                             My traceroute  [v0.85]
server (::)                                            Mon Jun 15 15:15:39 2015
Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                       Packets               Pings
 Host                                Loss%   Snt   Last   Avg  Best  Wrst StDev
 1. bratkartoffel-2.tunnel.tserv23.z 89.1%   304   37.9  38.5  36.8  46.5   1.7
 2. ge2-20.core1.zrh1.he.net          0.0%   304   42.3  37.5  33.3  53.1   4.0
 3. eqx.zur.ovh.net                   0.0%   304  105.7  52.5  33.2 232.0  46.0
 4. fra-5-6k.fr.eu                   55.6%   304   42.0  42.6  40.6  54.9   1.8
 5. rbx-g2-a9.fr.eu                  25.3%   304   51.2  51.8  49.4  62.2   1.9
 6. 2001:41d0::fb0                   26.6%   304   51.6  54.7  51.1  76.3   2.8
 7. obelix.xxxxxxxxxx.de              0.0%   304   54.9  51.4  49.3  58.2   1.6
 8. ???

Hier der Trace zu einer anderen VM auf dem selben Host:
Code:
                             My traceroute  [v0.85]
server (::)                                            Mon Jun 15 15:17:25 2015
Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                       Packets               Pings
 Host                                Loss%   Snt   Last   Avg  Best  Wrst StDev
 1. bratkartoffel-2.tunnel.tserv23.z  8.1%   409   37.9  38.1  36.0  51.5   1.6
 2. ge2-20.core1.zrh1.he.net          0.0%   409   34.4  37.8  33.1  51.4   3.9
 3. eqx.zur.ovh.net                   0.0%   409   35.9  49.6  33.2 247.1  41.5
 4. fra-5-6k.fr.eu                   56.4%   409   42.9  42.5  40.6  49.7   1.4
 5. rbx-g2-a9.fr.eu                  25.5%   408   53.2  53.9  51.9  70.9   2.1
 6. rbx-1b-a9.fr.eu                  61.5%   408   55.4  56.1  50.4  76.7   4.0
 7. obelix.xxxxxxxxxx.de              0.2%   408   49.6  51.3  49.0  79.0   2.4
 8. cloud.vnet.obelix.xxxxxxxxxx.de   0.2%   408   51.1  51.7  49.9  81.4   2.1

Das komische an der ganzen Sache ist aber, dass ich vom Homeserver eines Freundes (anderer Anschluss) ohne Probleme auf die von mir nicht erreichbare VM komme:
Code:
                             My traceroute  [v0.85]
asterix (::)                                           Mon Jun 15 15:19:56 2015
Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                       Packets               Pings
 Host                                Loss%   Snt   Last   Avg  Best  Wrst StDev
 1. fritz.box                         0.0%   562    0.9   0.8   0.7   7.0   0.3
 2. 2003:0:xxxx:xxx::1                0.0%   562   16.8  16.9  16.7  19.0   0.1
 3. 2003:0:xxxx:xxx::2                0.0%   562   17.7  17.8  17.3  25.0   0.5
    2003:0:xxxx:xxx::2
 4. 2003:0:1308:4000::1               0.0%   562   27.5  28.0  26.9  80.1   3.4
 5. ffm-b12-link.telia.net            0.0%   562   27.8  28.1  26.9  67.4   3.5
 6. prs-b7-v6.telia.net               0.0%   562   40.7  41.2  39.8  78.6   3.8
 7. ovh-ic-137243-prs-b4.c.telia.net 98.4%   562   41.1  47.4  39.8  77.8  12.4
 8. gsw-g1-a9.fr.eu                  57.4%   562   40.4  41.2  40.1  44.4   0.4
 9. rbx-g2-a9.fr.eu                  24.7%   562   45.2  45.0  44.0  53.1   0.6
10. rbx-1b-a9.fr.eu                  60.8%   561   45.1  48.2  44.4  61.3   2.5
11. obelix.xxxxxxxxxx.de              0.0%   561   44.2  44.6  43.4  88.5   2.5
12. mail.vnet.obelix.xxxxxxxxxx.de    0.0%   561   43.9  44.5  43.5  71.3   2.4

Völlig unverständlich für mich ist, dass von beiden Anschlüssen aus der VM-Host (obelix) voll erreichbar ist, und er nur von meinem Anschluss aus nicht weiter auf die VM durchroutet...

Hat jemand eine Idee, was da falsch laufen könnte?

Auf dem VM-Host läuft noch Debian Wheezy mit Proxmox, in den VMs überall Debian Jessie.

Grüsse,
BK

// Update 16.06.2015:
Jetzt wird es noch eigenartiger. Weder ping, noch SMTP gehen zu der VM. IMAP allerdings schon?

Code:
$> telnet mail.vnet.obelix.xxxxxxxxxx.de imap
Trying 2001:41d0:1:xxxx:xxxx:b7ff:fee4:e77e...
Connected to mail.vnet.obelix.xxxxxxxxxx.de.
Escape character is '^]'.
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS LOGINDISABLED] Dovecot ready.
^]
telnet> Connection closed.

Der Verbindungsversuch per SMTP kommt nicht weiter, nach 20 Sekunden habe ich abgebrochen:
Code:
$> telnet mail.vnet.obelix.xxxxxxxxxx.de smtp
Trying 2001:41d0:1:xxxx:xxxx:b7ff:fee4:e77e...
^C

Hier der ping:
Code:
$> ping6 -nc5 mail.vnet.xxxxxxxxxx.de
PING mail.vnet.obelix.wf-hosting.de(2001:41d0:1:xxxx:xxxx:b7ff:fee4:e77e) 56 data bytes

--- mail.vnet.obelix.xxxxxxxxxx.de ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4031ms
 
Zuletzt bearbeitet:

ikosaeder

Teekannen-Agnostiker
Ich habe jetzt keine konkrete Antwort für dein Problem, aber schau dir doch mal die Logfiles auf dem VM Host an.
Vielleicht gibt es da eine falsch konfigurierte Firewall oder einen Proxy.
 

Bratkartoffel

gebratene Kartoffel
Premium-User
Hi,

Danke für deine Antwort.

Bei den iptables bin ich mir ziemlich sicher, dass die so passen. Ich sage generell nur "alles" was reinkommt, nicht auf bestimmte Absenderadressen beschränkt.
Hier mal der Auszug aus der /etc/network/ip6tables:
Code:
-A FORWARD -p icmpv6 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vmbr0 -p tcp -d mail.vnet -m multiport --dports imap,imaps,smtp,submission -j ACCEPT

Wie man hier sieht gilt die selbe Regeln sowohl für IMAP, als auch SMTP. Das eine wird durchgestellt, das andere nicht... Pings erlaube ich grundsätzlich für alle VMs.

Grüsse,
BK
 

ikosaeder

Teekannen-Agnostiker
Hast du mal versucht, dich mit ssh auf der VM einzuloggen. Ich habe die Erfahrung gemacht, das in den Logfiles viel nützliches drin steht. Wichtig wäre vor allem herauszufinden, ob die Verbindung am VM-Host endet oder ob die VM den Verbindungsversuch ablehnt. Hast du denn die VM's einfach kopiert oder hast jede individuell erzeugt?
Vor allem wenn du auf den VM Host kommst, kannst du von da die VM anpingen?
Ich weiß nicht wieviel du konfiguriert hast, aber evt. ist es einfacher eine Kopie einer funktionierenden VM zu erzeugen und die nicht funktionierende zu verwerfen.
Du musst dann nur die IP-neu vergeben.
 

Bratkartoffel

gebratene Kartoffel
Premium-User
Hi,

laut tcpdump kommt bei der VM selbst nichts mehr an. Auf dem Host selbst muss ich das erst noch ausprobieren.
Die VMs habe ich individuell eingerichtet und nicht kopiert.
Vom Host aus habe ich keine Probleme auf die VMs zu kommen, von dort aus funktioniert alles einwandfrei.

Das mit der Kopie wird nicht so einfach, jede VM hat spezielle Dienste konfiguriert und auf der "kaputten" VM liegen ne Menge Daten (Mailserver). Zudem möchte ich nur ungern den Mailserver, der ja von anderen Hosts aus einwandfrei erreichbar ist, abschalten und umkonfigurieren.

Das mit dem tcpdump auf dem Host probiere ich heute noch aus, vielleicht hilft mir das weiter.
Vielen Dank für den Input.

Grüsse,
BK
 

Neue Beiträge