6690 Cable - Webseiten von eigenem alfahosting Server nicht mehr erreichbar.

[auris]

Hallo zusammen,

ich habe ein sehr merkwürdiges Problem und hoffe hier Hilfe zu finden oder zumindest in die richtige Richtung gewiesen zu werden.

Folgende Situation:
Ich verwende eine 6690 cable (nicht zur Miete, daher bei Vodafone als "Fremdrouter" markiert) an einem Vodafone Kabelanschluss.
Ich habe bei alfahosting zwei Webserver gemietet worauf ich mehrere Webseiten von Kunden verwalte. (seit mehreren Jahren, nichts neues)

Seit nun drei Tagen ist keine der Webseiten die auf beiden gemieteten alfahosting Servern liegen erreichbar. (connection timed out)
(ansonsten keine mir bekannten Probleme - alle sonstigen Webseiten sind problemlos erreichbar)

Das aber NUR von meinem Internetanschluss/Netzwerk Zuhause aus. Wenn ich am Smartphone mobile Daten nutze, sind die Seiten problemlos erreichbar.
Ich habe bereits die Fritzbox auf Werkszustand zurückgesetzt, es auf verschiedenen Rechnern/Endgeräten versucht und stundenlang im Internet nach einer Lösung bzw. zumindest einem Ansatz gesucht wo das Problem liegen könnte.
Wenn ich per cmd die betreffenden Webseiten anpinge, bekomme ich auch eine Antwort. Aber egal über welchen Browser - connection timed out.
DNS ändern in der Fritzbox hat auch nichts gebracht.

Da es alle Geräte, die am Router hängen, gleichermaßen betrifft, gehe ich davon aus dass es ein Problem mit der Fritzbox ist... ?

Ich bin komplett Ratlos. Und je länger das Problem besteht desto mehr türmt sich die Arbeit auf.

Ich bin um jede noch so kleine Hilfestellung dankbar.

 

[blurrrr]

Mahlzeit!

Ich verwende eine 6690 cable

Meiner Erfahrung nach meist IPv6, also gehen wir davon erstmal aus.

zwei Webserver gemietet

Die (leider) meist noch via IPv4-only laufen.

Seit nun drei Tagen ist keine der Webseiten die auf beiden gemieteten alfahosting Servern liegen erreichbar.

Das aber NUR von meinem Internetanschluss/Netzwerk Zuhause aus.

IPv6 spricht nicht mit IPv4, ausser es geht über ein Gateway beim Provider. Schau mal hier rein, vielleicht ist Dir damit schon geholfen: https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-4060/573_IPv6-in-FRITZ-Box-einrichten/. Alternativ - und das solltest Du stets bedenken, wenn auf den Webservern Webseiten von Kunden liegen - fragst Du mal bei Deinem Anbieter nach, ob Du bei den Kisten Dualstack bekommen kannst (IPv4+IPv6), damit wären die Probleme auch für alle erledigt.

 

[auris]

Mahlzeit!

Meiner Erfahrung nach meist IPv6, also gehen wir davon erstmal aus.

Leider nicht. Mein Anschluss scheint (noch?) IPv4 zu sein. (Vodafone BaWü früher Unitymedia).
Zumindest ist in der Fritzbox unter Internet -> Zugansdaten -> IPv6 die Option "IPv6-Unterstützung aktiv" nicht gesetzt.
Auch in den Netzwerk Einstellungen von Windows -> Adapteroptionen steht bei IPv4 : "Internet" und bei IPv6: "No internet access".

Ich habe aber spaßeshalber trotzdem anhand der Anleitung deines Links IPv6 aktiviert. Leider ohne Erfolg.

Danke auch für den Hinweis beim Webhoster nach Dualstack zu fragen.

 

[blurrrr]

Najo, schau halt einfach nach:

https://www.wieistmeineip.de/ um nach den IPs zu schauen, mit welchen Du - von Deinem Standort aus - aussen in Erscheinung trittst. Als Gegenstück dazu in der Windows-Eingabeaufforderung (oder Linux/OSX-Terminal) nslookup <FQDN einer Deiner Server>, damit Du weisst, wie Deine Server konfiguriert sind. Danach schauste mal mit einem Traceroute, wie weit Du da überhaupt kommst (Windows: tracert <FQDN einer Deiner Server>, Linux/OSX traceroute <FQDN einer Deiner Server>).

Dualstack gehört heutzutage für "solche" Anwendungsfälle einfach dazu. Zwar ermöglichen die ISPs i.d.R. auch Möglichkeiten auf IPv4-Hosts von einem IPv6-Anschluss zuzugreifen, aber das ist dann auch wieder so eine krude Geschichte irgendwo, von daher... lieber besser direkt vernünftig aufstellen und jut ist. Ist ja nicht ausgeschlossen, dass Deinen Kunden ähnliches passiert

EDIT: Kleine Anmerkung am Rande... ModSecurity wirst Du ja vermutlich laufen haben, hast Dich aber nicht ausgesperrt und bist - warum auch immer - bei fail2ban auf der bösen Liste gelandet, oder?

 

[auris]

Kam eben auf die selbe Idee nachzuschauen mit welcher IP ich unterwegs bin . Ist tatsächlich IPv4.
nslookup auf einen meiner Server habe ich gemacht, scheint tatsächlich Dualstack zu sein? Das Ergebnis sieht so aus:

Server:  fritz.box
Address:   xxxx:xxxx:xxxx:x:xxx:xxx:xxx:xxx

Non-authoritative answer:
Name:    meineserveradresse
Address:  000.000.000.0

Traceroute habe ich eben auch gemacht, allerdings kann ich mit dem Ergebnis gar nichts anfangen, da fehlt mir schlicht das Wissen.
Er macht 11 hops (?) und landet bei dem 11. bei der IP-Adresse des Servers. Hilft das weiter?
(Sorry für mein Unwissen und evtl. doofe fragen. Bin nicht so Fit in dem Thema.)

EDIT: ModSecurity? fail2ban? sagt mir beides nicht wirklich was.

 

[blurrrr]

Die IP die Dir bei der Fritz!Box angezeigt wird (wie Dein Client sie gefragt hat) ist eine IPv"6"-Adresse, keine IPv4. Die Antwort, welche Du zurück bekommen hast, ist lediglich eine IPv"4"-Adresse. Heisst: intern hast Du die Fritz!Box via IPv6 befragt und es gab eine "nur IPv4"-Antwort zurück.

Wenn bei wieistmeineip.de keine IPv4 angezeigt wird, bist Du mit IPv6-only unterwegs und wenn der ISP nix entsprechendes bereitstellt, kannst nicht mit Servern kommunzieren, welches ausschliesslich IPv4 sprechen.

EDIT: Upsi, noch was vergessen:

Er macht 11 hops (?) und landet bei dem 11. bei der IP-Adresse des Servers. Hilft das weiter?

Das spricht eigentlich dafür, dass Du durchaus mit dem Server sprechen kannst, sonst würden die Pakete erst garnicht so weit kommen.

Auch sorry, aber...

(Sorry für mein Unwissen und evtl. doofe fragen. Bin nicht so Fit in dem Thema.)

EDIT: ModSecurity? fail2ban? sagt mir beides nicht wirklich was.

... wenn Du irgendwelche Hosting-Geschichten für Kunden machst, solltest Du das schon wissen ModSecurity ist eine WAF (Web Application Firewall), fail2ban sperrt Dinge nach gewissen Kriterien. Dazu gehören z.B. auch Verstösse gegen ModSecurity-Regeln, daraufhin springt fail2ban an und sperrt den Zugriff. Allerdings sollte der Zugriff dann in den meisten Fällen "generell" gelten und dann sollte "eigentlich" auch ein Traceroute nicht mehr funktionieren, da der Server dann normalerweise die komplette Kommunikation mit der entsprechenden Gegenstelle verweigert.

 

[auris]

Die IP die Dir bei der Fritz!Box angezeigt wird (wie Dein Client sie gefragt hat) ist eine IPv"6"-Adresse, keine IPv4. Die Antwort, welche Du zurück bekommen hast, ist lediglich eine IPv"4"-Adresse. Heisst: intern hast Du die Fritz!Box via IPv6 befragt und es gab eine "nur IPv4"-Antwort zurück.

Wenn bei wieistmeineip.de keine IPv4 angezeigt wird, bist Du mit IPv6-only unterwegs und wenn der ISP nix entsprechendes bereitstellt, kannst nicht mit Servern kommunzieren, welches ausschliesslich IPv4 sprechen.

Hm, das ist aber sehr merkwürdig. wieistmeineip.de gibt eindeutig IPv4 aus:

Ihre IP-Adresse lautet:
xx.x.xxx.xx
Ihre IPv6-Adresse lautet:
nicht vorhanden

(egal ob in der Fritzbox IPv6 aktiviert ist oder nicht. Habe es mehrmals überprüft um sicherzugehen.)

So, und gerade eben hatte ich einen kurzen disconnect meines Internets und wenn ich nun erneut nslookup auf einen meiner Server mache kommt:

DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown

Traceroute ist allerdings unverändert.

Das spricht eigentlich dafür, dass Du durchaus mit dem Server sprechen kannst, sonst würden die Pakete erst garnicht so weit kommen.

Verstehe. Würde auch erklären warum ein Ping eine Antwort gibt, richtig?

... wenn Du irgendwelche Hosting-Geschichten für Kunden machst, solltest Du das schon wissen ModSecurity ist eine WAF (Web Application Firewall), fail2ban sperrt Dinge nach gewissen Kriterien. Dazu gehören z.B. auch Verstösse gegen ModSecurity-Regeln, daraufhin springt fail2ban an und sperrt den Zugriff. Allerdings sollte der Zugriff dann in den meisten Fällen "generell" gelten und dann sollte "eigentlich" auch ein Traceroute nicht mehr funktionieren, da der Server dann normalerweise die komplette Kommunikation mit der entsprechenden Gegenstelle verweigert.

man könnte ja sagen meine 14 Jahre Freiberuflichkeit sprechen eine andere Sprache.
Spaß beiseite: Wahrscheinlich hast du Recht. Offen gesprochen hab/hatte ich auch nur so viel Ressourcen über, mir neues Wissen anzueignen. Dieses Thema ist unter den Tisch gefallen.
Vielen Dank für deine ausführliche Erklärung und deine Hilfe. Ich werde mich in Zukunft mehr mit dem Thema befassen.

 

[blurrrr]

Fängt die IPv4 mit 100. an?

Würde auch erklären warum ein Ping eine Antwort gibt, richtig?

Indeed.

Ich werde mich in Zukunft mehr mit dem Thema befassen.

Naja, wirst Du zwangsläufig müssen, denn wenn die ein oder anderen "Problemchen" auftreten und die Kunden Dir auf die Füsse treten, könnte es schon etwas schwieriger werden

Ihre IP-Adresse lautet:
xx.x.xxx.xx
Ihre IPv6-Adresse lautet:
nicht vorhanden

Also fassen wir nochmal kurz zusammen: Du hast die Fritz!Box via IPv6 bzgl. der Namensauflösung gefragt. Nach einem Disconnect scheint selbst das nicht mehr zu funktionieren. Nach aussen hin trittst Du (anscheinend) nur mit einer IPv4-Adresse auf. Ich würde einfach mal vorschlagen: Schau mal nach den IP-Adressen Deines lokalen Rechners. Unter Windows wäre das in der Eingabeaufforderung einfach "ipconfig".

Achte dabei auf den entsprechend genutzten Netzwerk-Adapter (nicht den falschen erwischen). Bei IPv4 sollte nur eine IP stehen (aus Deinem LAN) und bei IPv6 werden es vermutlich mehrere sein. IPv4 wird irgendwas mit 192.168. am Anfang sein, bei den IPv6-Adressen könntest Du mal die "ersten beiden Blöcke" (XXXX:XXXX.....) posten.

 

[auris]

Fängt die IPv4 mit 100. an?

Nein, mit 46.

Also fassen wir nochmal kurz zusammen: Du hast die Fritz!Box via IPv6 bzgl. der Namensauflösung gefragt. Nach einem Disconnect scheint selbst das nicht mehr zu funktionieren. Nach aussen hin trittst Du (anscheinend) nur mit einer IPv4-Adresse auf. Ich würde einfach mal vorschlagen: Schau mal nach den IP-Adressen Deines lokalen Rechners. Unter Windows wäre das in der Eingabeaufforderung einfach "ipconfig".

Achte dabei auf den entsprechend genutzten Netzwerk-Adapter (nicht den falschen erwischen). Bei IPv4 sollte nur eine IP stehen (aus Deinem LAN) und bei IPv6 werden es vermutlich mehrere sein. IPv4 wird irgendwas mit 192.168. am Anfang sein, bei den IPv6-Adressen könntest Du mal die "ersten beiden Blöcke" (XXXX:XXXX.....) posten.

Ja, IPv4 im LAN ist 192.168.178.20 wie schon immer seit ich den Router verwende. (Der Rechner meiner Frau ist auch unverändert mit der 21 und unser "Wohnzimmer-Rechner" ebenfalls mit der 111.)

IPv6:

   IPv6 Address. . . . . . . . . . . : 2002:2e05:...(Preferred)
   IPv6 Address. . . . . . . . . . . : fd9e:6845:...(Preferred)
   Temporary IPv6 Address. . . . . . : 2002:2e05:...(Preferred)
   Temporary IPv6 Address. . . . . . : fd9e:6845:...(Preferred)
   Link-local IPv6 Address . . . . . : fe80::8935:...(Preferred)

Naja, wirst Du zwangsläufig müssen, denn wenn die ein oder anderen "Problemchen" auftreten und die Kunden Dir auf die Füsse treten, könnte es schon etwas schwieriger werden

Das stimmt wohl.
Ehrlich gesagt mach ich das in 99% der Fälle nicht, die Webseiten von Kunden auf meinen Servern hosten. Die hier betreffenden waren Ausnahmen, welche ich zähneknirschend in kauf genommen habe.
Das ein oder andere "Problemchen" hatte ich schon zuhauf in den letzten 14 Jahren... daher war ich immer froh mich direkt an die Dienstleister/Hostinganbieter der Kunden wenden zu können und die die "Problemchen" aus der Welt schaffen zu lassen.
Entbindet mich allerdings nicht von der Pflicht mich selbst schlau zu machen. Da hast du schon Recht.

 

[blurrrr]

Nein, mit 46.

Das hört sich zumindestens erstmal nach regluärem IPv4 an.

IPv6 Address. . . . . . . . . . . : 2002:2e05:

Sieht auf den ersten Blick zumindestens erstmal so aus, als wärst Du mit Dualstack unterwegs, aber irgendwas davon scheint ja auch nicht wirklich zu funktionieren....

Machste mal folgendes: ping 2001:4860:4860::8888 + ping 8.8.8.8

Sollte theoretisch beides funktionieren, danach das ganze nochmal mit einem Traceroute ("tracert" unter Windows). Deine Webserver scheinen jedenfalls nur IPv4 zu sprechen. Falls Du da irgendwo etwas hast in Richtung "blockierte IP-Adressen" oder halt "fail2ban" kannste da mal reinschauen (ggf. via Smartphone), ob sich da eine Deiner externen IPs auf der Block-Liste befindet.

 

[auris]

Ping auf 8.8.8.8 geht:

ping 8.8.8.8

Pinging 8.8.8.8 with 32 bytes of data:
Reply from 8.8.8.8: bytes=32 time=26ms TTL=116
Reply from 8.8.8.8: bytes=32 time=25ms TTL=116
Reply from 8.8.8.8: bytes=32 time=26ms TTL=116
Reply from 8.8.8.8: bytes=32 time=25ms TTL=116

Ping statistics for 8.8.8.8:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 25ms, Maximum = 26ms, Average = 25ms

Ping auf 2001:4860:4860::8888 nicht:

ping 2001:4860:4860::8888

Pinging 2001:4860:4860::8888 with 32 bytes of data:
PING: transmit failed. General failure.
PING: transmit failed. General failure.
PING: transmit failed. General failure.
PING: transmit failed. General failure.

Ping statistics for 2001:4860:4860::8888:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

(Traceroute darauf natürlich auch nicht)

Traceroute auf 8.8.8.8:

Tracing route to dns.google [8.8.8.8]
over a maximum of 30 hops:

  1    <1 ms     1 ms     1 ms  fritz.box [192.168.178.1]
  2    12 ms    13 ms    15 ms  ip-046-xxx-xxx-xxx.um12.pools.vodafone-ip.de [46.x.xxx.x]
  3    12 ms    19 ms    13 ms  ip-081-xxx-xxx-xxx.um21.pools.vodafone-ip.de [81.xxx.xxx.xxx]
  4    60 ms    22 ms    18 ms  de-fra01b-rc2-ae-38-0.aorta.net [84.xxx.xxx.xxx]
  5    16 ms    18 ms    18 ms  de-bfe18a-rt01-lag-1.aorta.net [84.xxx.xxx.xx]
  6    34 ms    25 ms    58 ms  74.125.xx.xxx
  7    27 ms    28 ms    26 ms  142.251.xx.xx
  8    27 ms    24 ms    31 ms  142.250.xxx.xxx
  9    27 ms    26 ms    23 ms  dns.google [8.8.8.8]

Ich schaue mal bei fail2ban und gebe Rückmeldung sollte ich etwas finden.