Follow

Kleine Info für die die hier rum toben.

Wenn Ihre für euren Server für die s2s Verbidungen priorisieren wollt, dann haut mal das hier in eure config, irgendwo in den globalen Part:

haste.tchncs.de/wokerizibe.val

Danke an @holger für den Hinweis darauf!

@holger @nuron Ich habe derzeit Probleme mit #ejabberd , dass dieser ueberhaupt keine Verbindung nach Aussen aufbekommt. Hier eine immer wiederkommende Meldung: bka.li: Connection failed: can't assign requested address; bouncing for 89 seconds. Kann mal wer teweise sich mit dem Jabber-Server unter f.haeder.net verbinden?

@roland @nuron Ausgehende Verbindung zu Deinem Server tut, eingehend kommt von Deinem Server nix. Vermutlich Foo mit dem Netzwerk-/Routing-Setup Deines Servers.

@holger @nuron Welche Ports muessen von der Firewall zugelassen sein?

# netstat -lnp |grep beam tcp 0 0 188.138.90.169:5269 0.0.0.0:* LISTEN 3762/beam.smp tcp 0 0 0.0.0.0:3478 0.0.0.0:* LISTEN 3762/beam.smp tcp 0 0 0.0.0.0:34269 0.0.0.0:* LISTEN 3762/beam.smp tcp 0 0 127.0.0.1:5280 0.0.0.0:* LISTEN 3762/beam.smp tcp 0 0 0.0.0.0:5284 0.0.0.0:* LISTEN 3762/beam.smp tcp 0 0 188.138.90.169:5222 0.0.0.0:* LISTEN 3762/beam.smp tcp6 0 0 :::5223 :::* LISTEN 3762/beam.smp udp 0 0 0.0.0.0:3478 0.0.0.0:* 3762/beam.smp #



Welche davon sind noetig nach aussen?

@roland @nuron Du filterst auch *ausgehende* Verbindungen? Das willst Du nicht, schon gar nicht auf einem Server. Source-Ports sind random, Destination-Ports können für jeden Remote-Server unterschiedlich sein.

@holger @nuron Oh, Mistverstaendnis! Die Firewall filtert nur eingehende Verbindungen. Ausgehend ist sie "offen".

@roland @nuron Dann war Deine Frage unabhängig vom oben erwähnten s2s-Problem?

Man muss von außen je nach Setup mind. auf 5222/tcp und 5269/tcp zugreifen können, plus ggf. weitere Ports für XMPPS, mod_proxy65, HTTP-Upload, STUN/TURN, usw. Das lässt sich aus dem netstat-Output nicht unbedingt (vollständig) ablesen.

@nuron @holger nicht direkt mit IPv6. Danke erstmal soweit fuer die Infos. TCP-Ports 5222,5269 und UDP 3478 sind nach aussen offen und hatte auch immer geklappt.

@roland @nuron Was ich meinte war, dass Deine Probleme ja offenbar nur ausgehende Verbindungen betreffen und daher nichts mit der Firewall zu tun haben können, wenn die nur eingehende blockiert.

(Nebenbei, weil Du UDP 3478 erwähnst: Für TURN muss zusätzlich eine weitere UDP-Portrange offen sein, defaultmäßig 49152-65535).

@holger @nuron Okay, ich bin dann hier raus (weil IPv6 nicht relevante Frage). Danke dennoch!

@nuron @holger sollte Ejabberd nicht eh IPv6 vorziehen, wenn getaddrinfo das vorsieht (und das tut es ja im Normalfall per default)?

Oder verhält es sich Erlang da irgendwie anders, sodass man das explizit konfigurieren muss?

@thomas @nuron Müsste man nicht explizit konfigurieren, nein. Defaultmäßig bevorzugt ejabberd bewusst IPv4 (wie ja auch z.B. Conversations). In der Annahme, dass das unterm Strich weniger Probleme macht. Vermutlich trifft die Annahme heute nicht mehr so eindeutig wie vor einigen Jahren zu, als der Default gesetzt wurde. Mein persönlicher Eindruck ist aber immernoch, dass IPv6-Routen tendenziell wackeliger sind. Zumindest scheint's mir nicht andersrum zu sein.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!