IPv6 Problem

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
8 messages Options
Reply | Threaded
Open this post in threaded view
|

IPv6 Problem

Günther J. Niederwimmer
Hallo Liste,
CentOS 7.3
Postfix 2.11.8

ich habe anscheinend ein IPv6 Problem bei meinem postfix ??

Ich komme einfach nicht per IPv6 auf Port 25

telnet 2001:470:1f0b:371::203 587
funktioniert,

aber
telnet 2001:470:1f0b:371::203 587 25
funktioniert nicht!!
telnet: connect to address 2001:470:1f0b:371::203: Connection refused
da weicht er auf IPv4 aus ?

Ich hänge mal meine postconf -n an

Ich hoffe jemand von Euch findet mein Problem oder kann mich in die richtige
Richtung schubsen... ;-)

Ich suche jetzt schon einige Tage :-(.
--
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer
Reply | Threaded
Open this post in threaded view
|

Re: IPv6 Problem

Heinrich Boeder-2
Hi Günther,
 
 
 
Am 2017-08-15 16:47, Günther J. Niederwimmer <[hidden email]> schrieb:
Ich komme einfach nicht per IPv6 auf Port 25

telnet 2001:470:1f0b:371::203 587
funktioniert,

aber
telnet 2001:470:1f0b:371::203 587 25
funktioniert nicht!!
Probier mal 
telnet 2001:470:1f0b:371::203 25
... also telnet <ip> <port>. Du hast zwei mal den Port angehängt (587 + 25)

LG

- heinrich
[hidden email]
key: 0x9BFD9B5F -- 13E7 8A3A DDA0 3E75 E0A8  BFB5 2C7A 506E 9BFD 9B5F 
Reply | Threaded
Open this post in threaded view
|

Re: IPv6 Problem

Günther J. Niederwimmer
Hallo Heinrich,

Am Dienstag, 15. August 2017, 16:50:13 CEST schrieb Heinrich Boeder:
> Hi Günther,
>
> Am 2017-08-15 16:47, Günther J. Niederwimmer<[hidden email]>schrieb:
> > Ich komme einfach nicht per IPv6 auf Port 25 telnet 2001:470:1f0b:371::203
> > 587 funktioniert, aber telnet 2001:470:1f0b:371::203 587 25 funktioniert
> > nicht!!
> Probier mal
> telnet 2001:470:1f0b:371::203 25
> ... also telnet<ip><port>. Du hast zwei mal den Port angehängt (587 + 25)

Das wrat ein Schreibfehler, ausserdem fehlt die postconf wird hirmit
nachgereicht ;-)
 
> LG
>
> - heinrich
> [hidden email]
> key: 0x9BFD9B5F -- 13E7 8A3A DDA0 3E75 E0A8 BFB5 2C7A 506E 9BFD 9B5F


--
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer

postconf.txt (5K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: IPv6 Problem

Bjoern Franke
In reply to this post by Günther J. Niederwimmer
Moin

> CentOS 7.3
> Postfix 2.11.8
>
> ich habe anscheinend ein IPv6 Problem bei meinem postfix ??
>
> Ich komme einfach nicht per IPv6 auf Port 25
>
> telnet 2001:470:1f0b:371::203 587
> funktioniert,
>

Du musst in den Einstellungen deines HE-IPv6-Tunnels erst SMTP
freischalten, damit Verbindungen auf Port 25/TCP möglich sind.

Viele Grüße
Björn
Reply | Threaded
Open this post in threaded view
|

Re: IPv6 Problem

Christian Bricart
In reply to this post by Günther J. Niederwimmer
DAS da ist Dein "Problem":
https://ipv6.he.net/certification/faq.php
...
| *I can't send email via IPv6. What's wrong?*
|
| Due to a high and persistent amount of abuse, we had to filter SMTP
(tcp/25)
| connections by default. If you're not providing email service
yourself, you
| should be able to use port 587 instead to your provider's email
server. If
| you are providing email services over your tunnel and need port 25
opened,
| please send an email to [hidden email] explaining your situation. We will
| normally require completion of the Sage level of the IPv6
certification
| prior to removing this filter. NOTE: this filtering does not affect
the
| SMTP-related tests on the IPv6 certification program.

Also: Sage-Level Certification bei HE.net erreichen und freischalten
lassen ;-)

Grüsse
   Christian


Am 2017-08-15 16:55, schrieb Günther J. Niederwimmer:

> Hallo Heinrich,
>
> Am Dienstag, 15. August 2017, 16:50:13 CEST schrieb Heinrich Boeder:
>> Hi Günther,
>>
>> Am 2017-08-15 16:47, Günther J. Niederwimmer<[hidden email]>schrieb:
>> > Ich komme einfach nicht per IPv6 auf Port 25 telnet 2001:470:1f0b:371::203
>> > 587 funktioniert, aber telnet 2001:470:1f0b:371::203 587 25 funktioniert
>> > nicht!!
>> Probier mal
>> telnet 2001:470:1f0b:371::203 25
>> ... also telnet<ip><port>. Du hast zwei mal den Port angehängt (587 +
>> 25)
>
> Das wrat ein Schreibfehler, ausserdem fehlt die postconf wird hirmit
> nachgereicht ;-)
>
>> LG
>>
>> - heinrich
>> [hidden email]
>> key: 0x9BFD9B5F -- 13E7 8A3A DDA0 3E75 E0A8 BFB5 2C7A 506E 9BFD 9B5F
Reply | Threaded
Open this post in threaded view
|

Re: IPv6 Problem

Bjoern Buerger
In reply to this post by Günther J. Niederwimmer
Moin Moin,

On 08/15/2017 04:55 PM, Günther J. Niederwimmer wrote:
>> telnet 2001:470:1f0b:371::203 25
> inet_interfaces = all
> inet_protocols = ipv6, ipv4

Das sieht schon sinnvoll aus. Du kannst noch ein
smtp_bind_address6 mit der richtigen Adresse
spendieren, aber das sollte auch so schon
funktionieren.

Ich vermute Dein Problem eher bei dem von Dir
verwendeten Tunnel-Provider: he-net blockt
per default port 25, um Missbrauch zu verhindern.

Du musst auf https://ipv6.he.net/certification/ gehen
und den Test bestehen ("sage"). Danach kannst Du über
das Tunnel-Webinterface auch Port 25 für Dich
freischalten lassen und alles wird funktionieren.


Siehe auch:
https://ipv6.he.net/certification/faq.php

Bjørn
Reply | Threaded
Open this post in threaded view
|

Re: IPv6 Problem

Günther J. Niederwimmer
Hallo Liste,

Am Dienstag, 15. August 2017, 17:14:58 CEST schrieb Bjoern Buerger:

> Moin Moin,
>
> On 08/15/2017 04:55 PM, Günther J. Niederwimmer wrote:
> >> telnet 2001:470:1f0b:371::203 25
> >
> > inet_interfaces = all
> > inet_protocols = ipv6, ipv4
>
> Das sieht schon sinnvoll aus. Du kannst noch ein
> smtp_bind_address6 mit der richtigen Adresse
> spendieren, aber das sollte auch so schon
> funktionieren.
>
> Ich vermute Dein Problem eher bei dem von Dir
> verwendeten Tunnel-Provider: he-net blockt
> per default port 25, um Missbrauch zu verhindern.
>
> Du musst auf https://ipv6.he.net/certification/ gehen
> und den Test bestehen ("sage"). Danach kannst Du über
> das Tunnel-Webinterface auch Port 25 für Dich
> freischalten lassen und alles wird funktionieren.
 
Danke für die Antwort, darauf muß man erst mal kommen !!!!

Dann muß ich erst mal mein Netzwerk umbaquen, da ich auf der Arbeitsmaschiene
kein IPv6 habe :-(.. Sondern nur im "Keller" bei den Servern ;-).

Nochmals DANKE!
 
> Siehe auch:
> https://ipv6.he.net/certification/faq.php
>
> Bjørn


--
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer
Reply | Threaded
Open this post in threaded view
|

Re: IPv6 Problem

Max Grobecker
Hallo Günter,

die Ursache ist inzwischen bekannt, der Vollständigeit halber noch das hier hinterher - vielleicht hilft das
in ähnlichen Situationen dir oder anderen Leuten weiter ;-)


Solche Probleme kannst du sehr leicht mit zwei Tools debuggen:

Von der Clientseite aus mit einem TCP-Traceroute auf (in deinem Fall) Port 25:

-------------------------
:~# traceroute -T -p 25 -6 -q 1 2001:470:1f0b:371::203
traceroute to 2001:470:1f0b:371::203 (2001:470:1f0b:371::203), 30 hops max, 80 byte packets
 1  2003:0:590c:202::1 (2003:0:590c:202::1)  18.281 ms
 2  2003:0:590c:220::2 (2003:0:590c:220::2)  18.954 ms
 3  2003:0:130b::1 (2003:0:130b::1)  23.614 ms
 4  2003:0:130b:2b::2 (2003:0:130b:2b::2)  23.822 ms
 5  tserv1.fra1.he.net (2001:470:0:69::2)  28.470 ms
 6  tserv1.fra1.he.net (2001:470:0:69::2)  32.182 ms
-------------------------


Und zum Vergleich ein anderer (funktionierender) Port:
-------------------------
:~# traceroute -T -p 22 -6 -q 1 2001:470:1f0b:371::203
traceroute to 2001:470:1f0b:371::203 (2001:470:1f0b:371::203), 30 hops max, 80 byte packets
 1  2003:0:590c:202::1 (2003:0:590c:202::1)  18.446 ms
 2  2003:0:590c:220::2 (2003:0:590c:220::2)  19.326 ms
 3  2003:0:130b::1 (2003:0:130b::1)  23.488 ms
 4  2003:0:130b:2b::2 (2003:0:130b:2b::2)  23.700 ms
 5  tserv1.fra1.he.net (2001:470:0:69::2)  27.899 ms
 6  HEGJN-1-pt.tunnel.tserv6.fra1.ipv6.he.net (2001:470:1f0a:374::2)  120.848 ms
 7  mx01.4gjn.com (2001:470:1f0b:371::203)  121.029 ms !X
-------------------------


Da sieht man dann schon recht deutlich, dass der Hop "tserv1.fra1.he.net" offenber die Pakete verschluckt resp. selbst die TCP-RST generiert
(das ist auch der Grund, warum der Hop zwei Mal auftaucht: Einmal regulär mit TTL 5 und einmal mit TTL 6, wo der TCP-RST gesendet wurde).

Beim zweiten, ungefilterten Traceroute, erkennst du dass erst da dein Tunnel mit auftaucht und offenbar vorher garkeine Pakete zu
ihm geroutet wurden - denn sonst hätte er ja antworten können.



Auf der Serverseite kann man derweil einfach mit tcpdump auf dem Interface horchen und schauen, ob überhaupt Pakete reinkommen:
-------------------------
:~# tcpdump -i he-tunnel -nn "ip6 && port 25"
-------------------------

Damit wird auf dem Interface "he-tunnel" gelauscht ob IPv6-Pakete auf Port 25 hereinkommen. Wenn dort nichts zu hören ist,
ist klar dass eine vorgelagerte Firewall die Pakete aufisst.



Am 16.08.2017 um 10:29 schrieb Günther J. Niederwimmer:
> Hallo Liste,
> Danke für die Antwort, darauf muß man erst mal kommen !!!!
>
> Dann muß ich erst mal mein Netzwerk umbaquen, da ich auf der Arbeitsmaschiene
> kein IPv6 habe :-(.. Sondern nur im "Keller" bei den Servern ;-).
>
> Nochmals DANKE!