Ich habe ein CDN Service eingerichtet der es mir ermöglicht mit IPv4 & IPv6 auf meinen IPv6 only Server zuzugreifen. Soweit so gut funktioniert der Service erstmal (full mode).
Wenn sich aber meine IPv6 des Servers ändert funktioniert der CDN nicht mehr obwohl im Interface auf der Website alles richtig angezeigt wird. Dort steht als Destination exakt meine IPv6 die auch verifiziert funktioniert. Wenn ich den CDN dann disable/enable funktioniert er wieder.
Edit: Nach ca. 30min scheint er doch wieder zu kommen. Ist diese lange Zeit so beabsichtigt bzw. zu begründen?
Wie und mit welchem Device aktualisierst du denn die IPv6-Adresse des Servers? Etwa per IPv6-Prefixupdate und dem Zusatz &onlyprefix? Dann kann es so nicht funktionieren. Bekanntes und von Dennis bestätigtes Problem.
Habe das gleiche Problem(?). Glasfaser mit ipv6 only. Fritz!Box meldet ipv6 über Dyndns. Nur IPs, nicht Prefix. CDN Full funktioniert auch für das Wireguard zur Fritz!Box. Aber nach der automatischen Trennung jede Nacht zwischen 3 und 4 Uhr wird zwar die IPv6 meines Zugangs korrekt an IPv64 übertragen. Healthcheck funktioniert weiterhin. Aber das Wireguard auf meinem Smartphone bekommt keine Verbindung mehr zur Fritz!Box. Kurz in IPV64 anmelden, CDN aus und wieder auf Full aktivieren → Wireguard geht wieder.
Habe das Problem auch und auch die Lösung nachvollziehen können. Dieses Problem kann noch nicht allzu lange bestehen. Vor einer Woche habe ich es noch nicht bemerkt.
An einer FritzBox kann es nicht liegen. Ich benutze die pfsense und den Domain Update-URL - Security Level 2 (Mid) recommended zum Update meiner IP-Adressen. Dennoch scheint das CDN neuerdings vom Update (was monatelang funktionierte) nichts mitzubekommen.
Daher vermute ich einen Zusammenhang mit den DDoS-Angriffen oder Änderungen seitens ipv64.
Ich habe es eben probiert. Hat funktioniert. Also zumindest die Trennung diese Nacht hat ipv64/CDN richtig mitbekommen. Mal sehen wie sich das entwickelt. Es ist mir tatsächlich auch erst diese Tage aufgefallen, könnte also tatsächlich mit dem DDoS zusammenhängen.
Danke Dennis für die hervorragende Arbeit übrigens.
Wenn du eine Trennung wegen Stromausfall und dieser nicht nur eng lokal begrenzt ist, können davon natürlich auch andere Systeme betroffen gewesen sein …
Vor einigen Wochen gab es mal größere Probleme bei NetCologne. ubuntuusers.de war dann deswegen ebenfalls lange Zeit down.
Ja, ich kann im Moment ipv64 auch nicht erreichen. Das könnte, muss aber eben auch nicht, mit einem Stromausfall in Verbindung stehen. Es könnte genau so gut an den DDoS-Angriffen liegen oder andere Ursachen haben.
Darüber können wir hier nur spekulieren, was wenig sinnstiftend ist.
Update von Heute: es hat wieder mal nicht geklappt. Nach der geplanten Trennung der Internet-Verbindung heute Nacht wurde die neue IPv6 ans DynDNS gemeldet. CDN im Full Proxy Mode hat noch die gleichen IP Adressen wie am Tag zuvor. Trotzdem: keine Wireguard Verbindung. Eingelogt bei IPv64, CDN Proxy deaktiviert und wieder im Full Mode aktiviert: Wireguard Verbindung geht wieder.
Das ist merkwürdig, denn bei mir hat es heute Morgen einwandfrei funktioniert. Genau so, wie die Monate zuvor auch schon.
Nachtrag: kenne deine genau Konfiguration nicht. Daher nur mal vorsorglich der Hinweis, dass das CDN keine Updates mitbekommt, die auf einem IPv6-Präfix-Update basieren. Im Zusammenhang mit dem CDN muss man stets die vollständige IPv6-Adresse aktualisieren und nicht nur den v6-Präfix.
Ja, ist mir inzwischen auch klar. Ich update schon die IP Adressen im Dyndns, also ohne Option “prefix_only”. Und dann filtere ich im IPv64 DynDNS noch die IPv4 Adresse mit der Option raus, weil ich ja keine habe (DS Lite). Im DynDNS steht auch die korrekte vollständige IPv6 Adresse meiner Fritz!Box drin. Daran sollte es nicht liegen.
Komisch ist auch, dass es mal funktioniert (von vorgestern auf gestern) und mal nicht. Aber die letzten Tage meistens nicht. Nach meiner Beobachtung aber erst als ich von “ipv4 only” auf “full” im CDN umgestellt habe. Das kann aber auch einfach daran liegen, dass O2 immer über IPv6 arbeitet und ich einfach nicht mitbekommen habe dass die vom CDN generierte IPv4 Adresse nicht funktioniert.
Ich habe die APN meines Smartphones eben eigens noch mal auf IPv4-only geändert um zu testen ob es bei mir Unterschiede zwischen IPv4 und IPv6 im CDN gibt. Mein CDN Portmapper für Wireguard läuft auch im Full-Mode,
Aber egal ob v6 oder v4 ich kann mich mit meiner pfsense verbinden. Vielleicht ist es ja zeitabhängig ob nach der nächtlichen Zwangstrennung das Update klappt. Damit meine ich ob gerade eine DDoS-Atacke läuft oder eben gerade mal nicht.
Im Gegensatz zu einer Fritte kann ich bei mir in der pfsense die Vorwegnahme der Zwangstrennung auf die Minute genau steuern. In Fritten kann man ja nur ein Zeitfenster von einer Stunde angeben, also z.B zwischen 2 und 3 Uhr. Vielleicht solltest du mal versuchen die Zwangstrennung in ein anderes Zeitfenster zu verlegen. Einfach mal in der Hoffnung, dass dann weniger los ist.
Jau, könnte ich mal versuchen. Ich habe aber den Rest meines Homelabs auf diese Zeit angepasst. Da müsste ich noch ein paar andere Sachen dann mit ändern. Ich lasse es erst mal so und beobachte weiter.
Ich glaube ich hatte im Wireguard Client auf meinem Smartphone das mit dem “IPv4 only” auch mal probiert. Hat aber nicht geholfen. Es waren immer v4 und v6 betroffen.
Hat sich erledigt. Komischerweise war der CDN-Service bei mir nicht mehr aktiv. Merkwürdig … bewusst habe ich ihn jedenfalls nicht deaktiviert. Habe ihn wieder eingerichtet und den Port gesetzt, jetzt klappt es wieder.
Also bei mir funktioniert der CDN (full Mode) mit einer IPv6 am Webserver überhaupt nicht mehr. Egal was ich disable/enable oder update.
Die IPv6 Adresse die angezeigt wird stimmt im DNS und auch im CDN und ein direkter Aufruf via IPv6 auf den Webserver funktioniert auch einwandfrei.
Update: heute läuft das WireGuard wieder nicht. Weder über die IPv4 noch über die IPv6 Adresse. Irgendwas ist also wieder schiefgegangen. DynDNS hat die richtige IPv6 nach der Zwangstrennung heute Nacht. Das hat also geklappt. CDN Proxy deaktiviert und wieder im Full Mode aktiviert → Wireguard geht wieder.
Wohlgemerkt: die von IPv64 dem CDN zugewiesenen IP Adressen (v4 und v6) sind vor der Deaktivierung und nach der erneuten Aktivierung gleich.
Ich update schon die IP Adressen im Dyndns, also ohne Option “prefix_only”. Und dann filtere ich im IPv64 DynDNS noch die IPv4 Adresse mit der Option raus, weil ich ja keine habe (DS Lite). Im DynDNS steht auch die korrekte vollständige IPv6 Adresse meiner Fritz!Box drin. Daran sollte es nicht liegen.