Security Group für IPv6 / Wie 64er-Netz eingeben

S

Stefan_Malte_Schumacher

Member
Proxmox Subscriber
May 4, 2021
91
2
13
43
Hallo liebe Proxmox-Community,

ich versuche gerade herauszufinden wieso die neuen Agents von CheckMK 2.1 auf meinen VMs nicht funktionieren. Ich glaube ich habe mich dem Kern des Problems genähert: Laut nmap ist Port 8000 bei Verwendung von IPv6 filtered, bei IPv4 aber open. Offensichtlich versucht es der Client aber primär über IPv6, wenn beide Stacks zur Verfügung stehen. Wie muss ich mein 64er-Netz als Source eingeben, damit aller Traffic von dort aus akzeptiert wird? Ich habe dort im Moment "2a01:130:YYYY:XXXX::/64" stehen, aber das funktioniert offensichtlich nicht.

Viele Grüße
Stefan
 
Funktioniert es wenn du am Ende noch eine 0 angibst, also die erste IP Adresse in diesem Bereich?
2a01:130:YYYY:XXXX::0/64
 
Wie sieht denn der komplette Eintrag aus?
 
Hallo Mira. Ich habe weiter rumprobiert und Port 22 / 80 / 443 sind via IPv6 von einer anderen VM aus erreichbar. Ich glaube daher, daß das Problem doch keine Firewall-Regel ist sondern daß der TLS-Agent von Checkmk per Default nicht auf IPv6 hört. Trotzdem vielen Dank für die schnelle Antwort.
Viele Grüße
Stefan
 
  • Like
Reactions: mira
Das Problem das der Agent nicht auf IPv6 hört hatte ich auch.

Hierzu einfach die Datei "/opt/omd/sites/<deinesite>/etc/init.d/agent-receiver" um eine Listen Anweisung auf deine IPv6 Adresse ergänzen.

Im Original sieht das so aus:
Code: 
[....]
        gunicorn -D -p $PIDFILE  \
                --error-logfile $OMD_ROOT/var/log/agent-receiver/error.log \
                --access-logfile $OMD_ROOT/var/log/agent-receiver/access.log \
                --keyfile "$KEY_AND_CERT_FILE" \
                --certfile "$KEY_AND_CERT_FILE" \
                --ca-certs "${OMD_ROOT}/etc/ssl/ca.pem" \
                --cert-reqs 1 \
                -b 0.0.0.0:$CONFIG_AGENT_RECEIVER_PORT \
                -k agent_receiver.worker.ClientCertWorker 'agent_receiver.apps:main_app()'
[....]

Und es sollte dann so aussehen:
Code: 
[....]
       gunicorn -D -p $PIDFILE  \
                --error-logfile $OMD_ROOT/var/log/agent-receiver/error.log \
                --access-logfile $OMD_ROOT/var/log/agent-receiver/access.log \
                --keyfile "$KEY_AND_CERT_FILE" \
                --certfile "$KEY_AND_CERT_FILE" \
                --ca-certs "${OMD_ROOT}/etc/ssl/ca.pem" \
                --cert-reqs 1 \
                -b 0.0.0.0:$CONFIG_AGENT_RECEIVER_PORT \
                -b [DEINE-IPv6 ADRESSE]:$CONFIG_AGENT_RECEIVER_PORT \
                -k agent_receiver.worker.ClientCertWorker 'agent_receiver.apps:main_app()'
[....]

Nach dem Neustart von checkmk sollte der Agent dann auch auf IPv6 hören.
Bei mir funktioniert es mit reinen IPv6 VMs.
 
Last edited:
  • Like
Reactions: Vengance, mira and Stefan_Malte_Schumacher
bfal said:
Das Problem das der Agent nicht auf IPv6 hört hatte ich auch.

Hierzu einfach die Datei "/opt/omd/sites/<deinesite>/etc/init.d/agent-receiver" um eine Listen Anweisung auf deine IPv6 Adresse ergänzen.

Im Original sieht das so aus:
Code: 
[....]
        gunicorn -D -p $PIDFILE  \
                --error-logfile $OMD_ROOT/var/log/agent-receiver/error.log \
                --access-logfile $OMD_ROOT/var/log/agent-receiver/access.log \
                --keyfile "$KEY_AND_CERT_FILE" \
                --certfile "$KEY_AND_CERT_FILE" \
                --ca-certs "${OMD_ROOT}/etc/ssl/ca.pem" \
                --cert-reqs 1 \
                -b 0.0.0.0:$CONFIG_AGENT_RECEIVER_PORT \
                -k agent_receiver.worker.ClientCertWorker 'agent_receiver.apps:main_app()'
[....]

Und es sollte dann so aussehen:
Code: 
[....]
       gunicorn -D -p $PIDFILE  \
                --error-logfile $OMD_ROOT/var/log/agent-receiver/error.log \
                --access-logfile $OMD_ROOT/var/log/agent-receiver/access.log \
                --keyfile "$KEY_AND_CERT_FILE" \
                --certfile "$KEY_AND_CERT_FILE" \
                --ca-certs "${OMD_ROOT}/etc/ssl/ca.pem" \
                --cert-reqs 1 \
                -b 0.0.0.0:$CONFIG_AGENT_RECEIVER_PORT \
                -b [DEINE-IPv6 ADRESSE]:$CONFIG_AGENT_RECEIVER_PORT \
                -k agent_receiver.worker.ClientCertWorker 'agent_receiver.apps:main_app()'
[....]

Nach dem Neustart von checkmk sollte der Agent dann auch auf IPv6 hören.
Bei mir funktioniert es mit reinen IPv6 VMs.
Click to expand...
Super. Das habe ich gebraucht, vielen Dank @bfal!
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom