pixel24
Goto Top

Vodafone IPv6-DDCLIENT(Linux)-Strato

Hallo zusammen,

ich betreibe verschiedene VM's auf einem PVE hiter einem Vodavone-Anschluss (FB 6690 -> pfSense). Im LAN hinter der pfSense habe ich einen Dual-Stack. Alle Server-VM's habe einen IPv4-Adresse sowei eine IPv6-ULA und zusätzlich eine öffentliche IPv6 die via PD.

Die VM um die es geht bzw. mit der ich das gerade teste ist ein Debian 12. Dessen IP-Konfiguration stellt sich so dar:

2: ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether c6:0f:82:84:eb:56 brd ff:ff:ff:ff:ff:ff
    altname enp6s18
    inet 192.168.83.13/24 brd 192.168.83.255 scope global dynamic ens18
       valid_lft 42590sec preferred_lft 42590sec
    inet6 xxxx:xxxx:xxxx:8e1c:c40f:82ff:fe84:eb56/64 scope global dynamic mngtmpaddr 
       valid_lft 86380sec preferred_lft 14380sec
    inet6 fdd0:a044:f4c::f/64 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::c40f:82ff:fe84:eb56/64 scope link 
       valid_lft forever preferred_lft forever

Für diesen Host ist bei Strato eine Subdomain eingerichtet und Dynamisches DNS aktiviert. Ich habe ddclient installiert und folgende Konfiguration (/etc/ddclient.conf) erstellt:

protocol=dyndns2
daemon=3600
use=web, web=checkipv6.dyndns.com
usev6=ifv6, if=ens18
server=dyndns.strato.com/nic/update
login=media02.lan.example.de
password='**********'  
media02.lan.example.de

Es soll also nur der AAAA-Record gesetzt werden da die IPv4-Adresse die 'checkip' liefert das Gateway von Vodafone ist und nicht relevant.

Wenn ich die IP per Kommando ermittle wird diese korrekt angezeigt:

root@media02:~# curl checkipv6.dyndns.com
<html><head><title>Current IP Check</title></head><body>Current IP Address: xxxx:xxxx:xxxx:8e1c:c40f:82ff:fe84:eb56</body></html>

ddclient läuft als Dienst und im Log finde ich:

Mär 27 11:25:16 media02 ddclient[1062]: WARNING:  cannot connect to checkipv6.dyndns.com:80 socket: IO::Socket::INET: Bad hostname 'checkipv6.dyndns.com'  
Mär 27 11:25:16 media02 ddclient[1064]: WARNING:  found neither IPv4 nor IPv6 address
Mär 27 11:25:16 media02 ddclient[1072]: WARNING:  skipping update of media02.lan.gehr.club from 46.xxx.xxx.253 to .
Mär 27 11:25:16 media02 ddclient[1072]: WARNING:  last updated <never> but last attempt on Wed Mar 27 11:20:40 2024 failed.
Mär 27 11:25:16 media02 ddclient[1072]: WARNING:  Wait at least 5 minutes between update attempts.
Mär 27 11:25:16 media02 ddclient[1074]: WARNING:  IP address for media02.lan.gehr.club undefined. Warned 1 times, suppressing further warnings


Und in den A-Record bei Strato schreibt er mir die 46er IPv4 face-sad

Wo habe ich einen Fehler in der Konfiguration?

Beste Grüße
pixel24

Content-Key: 23950102256

Url: https://administrator.de/contentid/23950102256

Printed on: May 18, 2024 at 03:05 o'clock

Member: aqui
aqui Mar 27, 2024 updated at 11:10:58 (UTC)
Goto Top
Welchen Sinn hat dann noch die ULA fdd0:... Adresse im LAN?? Die ist ja dann völlig überflüssig und sicher auch ziemlich kontraproduktiv wenn dein Server diese IP als Absender verwendet wofür der Fehler spricht!
Ein schneller Check auf die Domain mit Port 80 und v6 Adresse zeigt das er erreichbar ist.
root@server:~# telnet checkipv6.dyndns.com 80
Trying 2603:C020:4000:BA00:906:2C31:7EF3:9A80, 80 ... Open
HTTP/1.1 400 Bad Request
Date: Wed, 27 Mar 2024 11:06:58 GMT
Content-Type: text/html
Content-Length: 145
Connection: close

<html>
<head><title>400 Bad Request</title></head>
<body>
<center><h1>400 Bad Request</h1></center>
<hr><center></center>
</body>
</html> 
IPv6 Connectivity ist generell also da!
Member: C.R.S.
C.R.S. Mar 27, 2024 at 11:24:39 (UTC)
Goto Top
Hallo,

das halte ich für zum Scheitern verurteilt, weil es diverse Szenarien gibt, in denen eine Adresse aus einem dynamischen Präfix nicht zeitnah erneuert wird, und die Verfügbarkeit gefährdet ist.

Wenn nur ein dynamisches Präfix verfügbar ist, und Endpunkte standortübergreifend (bzw. über andere Router als dem, an dem das dynamische Präfix anliegt) geroutet werden sollen, fährt man meines Erachtens mit einem ULA-Präfix und NPT besser. Analog auch hier, wo das DynDNS nur ein anderer Rattenschwanz an der Präfix-Erneuerung ist. Folglich kann dann auch DynDNS verzögerungsfrei auf der pfSense initiiert werden.

Grüße
Richard
Member: pixel24
pixel24 Mar 27, 2024 at 12:05:46 (UTC)
Goto Top
Welchen Sinn hat dann noch die ULA fdd0:... Adresse im LAN??

Ich hielt das einfach für sinnvoll lokal zusätzlich zu den delegierten öffentlichen Adressen auch fest vergebene ULA-Adressen zu konfigurieren. Die aus dann funktionieren wenn sich das delegierte Präfix ändert oder der Provider gewechselt wird.

Ich habe auf dem Host die ULA-Adresse zum testen raus genommen was aber an der Fehlermeldung nicht ändert.

sowohl der Telent-Aufruf als auch curl mit dem Host liefern direkt vom Host auch die korrekten Ergebnisse was ja auf ein Problem mit dem ddclient und nicht mit der Netzwerk-Konfiguration spricht.

Wenn nur ein dynamisches Präfix verfügbar ist, und Endpunkte standortübergreifend (bzw. über andere Router als dem, an dem das dynamische Präfix anliegt) geroutet werden sollen, fährt man meines Erachtens mit einem ULA-Präfix und NPT besser. Analog auch hier, wo das DynDNS nur ein anderer Rattenschwanz an der Präfix-Erneuerung ist. Folglich kann dann auch DynDNS verzögerungsfrei auf der pfSense initiiert werden.

So ähnlich ist ja die derzeitige Konfiguration hier. Media02 (um den es hier gerade geht) ist ein Testsystem. Alle anderen haben lediglich IPv4, ULA und link-local. Die pfSense schreibt seine IPv6-WAN bei Strato in den AAAA-Record und mittels HA-Proxy mappe ich den ankommenden Verkehr auf die internen Hosts.

Ich hatte aus anderen Beiträgen hier im Forum darauf geschlossen dass dies keine saubere IPv6-Lösung wäre da ich ja wieder NAT mache was ja genau der Punkt war der mit IPv6 wegfallen sollte.

Deshalb habe ich mich jetzt an diesem Setup versucht.

Wie gesagt, ULA raus ändert überhaupt nichts.
Member: pixel24
pixel24 Mar 27, 2024 at 12:48:39 (UTC)
Goto Top
Also zunächst einmal, es funktioniert. Auch mit zusätzlicher ULA-Adresse was für mich auch naheliegend ist da IPv6 doch genau diese Flexibilität bietet einer Schnittstelle mehrere IPv6-Adressen zuzuweisen.

Wie vermutet lag es einzig und allein an der /etc/ddclient.conf.

Obowhl ich in den letzten Tagen schon oft nach dem Problem gesucht habe habe ich in der Doku den Hinweis gefunden dass es neben use=web auch noch use=cmd gibt.

Hier die funktionierende Version:

protocol=dyndns2
daemon=3600
use=cmd, cmd='curl -k -s http://checkipv6.dyndns.com'  
usev6=ifv6, if=ens18
server=dyndns.strato.com/nic/update
login=media02.lan.example.de
password='************'  
media02.lan.example.de

Führt zu:

Mär 27 13:38:25 media02 ddclient[965]: SUCCESS:  updating media02.lan.example.de: good: IP address set to xxxx:xxxx:xxxxx:8e1c:c40f:82ff:fe84:eb56
Member: aqui
aqui Mar 27, 2024 at 13:00:54 (UTC)
Goto Top
Dann bleibt ja nur noch...
How can I mark a post as solved?
Member: C.R.S.
C.R.S. Mar 27, 2024 at 14:11:29 (UTC)
Goto Top
Quote from @pixel24:

Ich hatte aus anderen Beiträgen hier im Forum darauf geschlossen dass dies keine saubere IPv6-Lösung wäre da ich ja wieder NAT mache was ja genau der Punkt war der mit IPv6 wegfallen sollte.

Dass nun Provider alle 24 Stunden die Präfixe tauschen, entspricht auch nicht dem Idealbild von IPv6. Natürlich sind Instrumente vorgesehen, damit umzugehen, aber sie skalieren schlecht und sind nicht robust. Davon liest man wenig, weil das beim Fritzbox-Kunden funktioniert, und Organisationen mit komplexen Netzen statische Präfixe haben.

Ich sehe das vornehmlich aus dem Blickwinkel der Standortvernetzung, aber bezweifle, dass ich in diesem Szenario die Downtime zufriedenstellend fände (<3 Minuten), wenn nun
  • die Zwangstrennung geschieht,
  • die Firewall neu gestartet wird,
  • das Modem neu gestartet wird.

Die pfSense ist da leider etwas inkonsistent meiner Erfahrung nach, eine glückliche Woche heißt noch nichts.
Member: pixel24
pixel24 Apr 03, 2024 at 09:27:53 (UTC)
Goto Top
ok, ich werde das mal beobachten. Was ich definitiv sagen kann ist dass sich das Präfix hier seit dem 31.01.24 nicht verändert hat obwohl alle beteiligten mehrfach neu gestartet wurden. Da es sich hier um einen privater Anschluss ist ist es auch nicht so kritisch.

Die Aktionen der letzten Wochen/Monate in diesem Kontext haben mir persönlich viel gebracht bzw. zum Verständnis beigetragen. Ich habe jetzt zwei Optionen:

- Interne Server haben eine öffentliche IPv6 vom Provider und ich gebe diese je nach Bedarf an der Firewall frei
- Interne Server haben lediglich eine ULA-Adresse und ich mappe die WAN-IPv6 der pfSense mit HA-Proxy auf die ULA.

Bei letzterer Lösung habe ich es auch endlich geschafft dass die pfSense sich aus der Verschlüsselung raus hält (tcp modus) und die Verschlüsselung dem Zielhost überlässt der ja über ein gültiges Zertifikat verfügt.

Das Thema ddclient ist ein anderes dass ich mir bei Gelegenheit nochmal anschauen werde. Soweit ich die Doku interpretiere kennt dieser keine Option der es ermöglicht dass zuerst der öffentlichen AAAA-Record geprüft wird und mit der lokal gesetzten Adresse vergleicht und NUR dann, wenn es eine Veränderung gab, ein Update bei Strato durchführt.
Member: aqui
aqui Apr 03, 2024 at 09:41:30 (UTC)
Goto Top
ist es auch nicht so kritisch.
Ganz im Gegenteil! Das ist ja quasi wie ein Ritterschlag mit einer festen IP!! Freu dich also...wenn die Vodakafön Heinis das beim Einrichten verpeilt haben. face-wink Mal sehen wie lange das hält.
dass die pfSense sich aus der Verschlüsselung raus hält
Verschlüsselung?? ­čĄö Was meinst du mit dieser kryptischen Aussage?? Die Privacy Extensions?? Die haben mit "Verschlüsselung" soviel zu tun wie ein Fisch mit einem Fahrrad. face-wink