IPv6 via 6to4 bei T-Online?

Heute gab es ein Problem, das sich zuerst nach SSL-Fehlern anhörte, dann aber ganz andere Ursachen hatte:

Ein Kunde hatte Probleme, Confixx auf einem von uns betreuten Server aufzurufen – es erschien immer eine Fehlermeldung im Firefox:

Fehlercode: ssl_error_rx_record_too_long

Andere Webseiten waren problemlos zu erreichen, auf dem Server waren keinerlei Einträge in der zugehörigen Log-Datei.

Erst das globale Error-Log zeigte dann die genaue Ursache:

[Tue Jan 13 09:43:34 2009] [error] [client 2002:5b37:64a6:0:223:6cff:fe8b:ac81] Invalid method in request \x16\x03\x01

Die Client-IP ist nicht die gewohnte IPv4-Adresse, sondern eine IPv6-Adresse aus dem 6to4-Namespace. Laut Whois gehört die IP zum IP-Adress-Bereich der Deutschen Telekom, genauer T-Online, ein Traceroute (via IPv6) endete am Border-Router der DTAG in Frankfurt:

traceroute to 2002:5b37:64a6:0:223:6cff:fe8b:ac81 (2002:5b37:64a6:0:223:6cff:fe8b:ac81) from 2a01:138:a008::14:1, 30 hops max, 16 byte packets
1  gw.rtr2.colo1.NBG1.content-colo.net (2a01:138:a008::1)  0.945 ms  0.923 ms  0.965 ms
2  ge3-2.cr1.NBG1.content-core.net (2a01:138:0:1a0::1)  0.943 ms  0.94 ms  0.966 ms
3  Tenge1-3-57.cr2.FRA3.content-core.net (2a01:138:0:118::6)  3.934 ms  3.932 ms  3.966 ms
4  2002:5b37:64a6::1 (2002:5b37:64a6::1)  57.909 ms !S  56.906 ms !S  58.931 ms !S

Die Domain/URL für Confixx ist die gleiche, wie der Hostname des Servers – für den wir, soweit vorhanden, auch die IPv6-Adresse hinterlegen.

Google hat bisher zu dem Thema noch nicht gefunden – es bleibt also die Frage, wie der Kunde an eine IPv6-Adresse am DSL-Anschluss kommt, zumal das Problem nur am Macbook, nicht jedoch am Windows-PC auftritt.

Alles in allem sehr mysteriös – aber evntl. ein wichtiger Schritt zur weiteren Einführung von IPv6 bei den DSL-Providern?

Leider konnten wir das Phänomen nicht bei anderen DSL-Anschlüssen der T-Home feststellen – entweder nutzt der Kunde einen speziellen Router, oder dieses neue Feature ist noch nicht überall an den DSL-Anschlüssen aktiviert.

Das vermeintliche SSL-Problem des Kunden war dann auch schnell behoben: dem Webserver wurde die IPv6-Adresse beigebracht, nun ist Confixx auch über IPv6 nutzbar – und die SSL-Warnung weg.


neue SSL-Zertifikate

Nachdem auf dem 25. Chaos Communication Congress (25C3) demonstriert wurde, wie ein mit MD5 signiertes SSL-Zertifikat erfolgreich ausgenutzt werden konnte, um ein eigenes gültiges Zertifikat zu erhalten, haben wir die bei uns eingerichteten Zertifikate ebenfalls überprüft.

IPv6 bei T-Online – des Rätsels Lösung

Das kürzlich berichtete „Problem“ ist gelöst: Der Kunde verwendet einen Apple Airport Extreme als Router, welcher laut Feature-Liste IPv6 sowie 6to4-Gateways unterstützt.