Erzwungenes IPv6 im DNS-Masq / Problem bei Firmwareupgrade

    Hallo zusammen,

    die neue early access 5.x-Firmware für mein UCG-Max wird mir in der GUI noch nicht angezeigt, daher wollte ich per SSH updaten. Wie schon bei meinen früheren Versuchen, auf 4.4.6 / 4.4.7 zu aktualisieren, schlug das Ganze fehl, obwohl ich früher Firmwareupdates fast immer per SSH durchgeführt hatte. Die Updates im 4er-Zweig hatte ich dann jeweils zwei Tage später über die GUI eingespielt.

    Nach

    Code
    ubnt-systool fwupdate <URL>

    probiert das UCG verschiedene IPv6-Adressen durch, läuft aber bei allen in einen Timeout. Das sieht dann so aus (mit wechselnden Adressen):

    Code
    Connecting to fw-download.ubnt.com (fw-download.ubnt.com)|2600:9000:2646:de00:14:e281:7700:93a1|:443... failed: Connection timed out.


    Ich hatte nun den Gedanken, dass Ubiquiti aktuell Probleme mit ihrer IPv6-Implementierung haben könnte und habe dashalb IPv6 auf meinem UCG abgeschaltet, das UCG plus das VDSL-Modem neu gestartet. Zu meiner Überraschung versucht fwupdate aber weiterhin, den Download-Server bei Ubiquiti per IPv6 zu erreichen und an der Fehlersituation änderte sich überhaupt nichts. Da auch weder ein 'pkill', noch ein 'killall' gegen den DNSmasq irgendetwas ändern, gehe ich mittlerweile davon aus, dass die Auflösungen für ubnt.com hartcodiert sein könnten - wobei es für mich keinen Sinn ergeben will, hier IPv4 außen vor zu lassen.

    Vielleicht kann jemand bei sich mal prüfen, inwieweit sich dieses Phänomen nachstellen lässt. Möglicherweise ist ja nur mein UCG doof...

    Mhh der dnsmasq (oder DNS CORE, oder jeglicher andere resolver)
    kann nichts dafür wenn ein Client "AAAA" abfragt.. Da macht der ggf. auch mit IPv4 und liefert IPv6 IP zurück.
    bzw. wenn das tool (schneller grep durch das systool script sagt wget oder curl) systemlos nutzt dann folgt halt erst IPv6
    dann IPv4 je nach "system" ("/etc/gai.conf" lässt da Präferenzen konfigurieren, hab ich noch nie gebraucht)

    Würde erwarten das beides geht, bzw. wenn kein IPv6 da ist das ding dann zu IPv4 wechselt..

    na ja

    sonst in /sbin/ubnt-systol.. da wird wohl erst WGET dann CURL versucht..(als wen kein wget auf dem system ist.)

    Da könnte man direkt editieren

    ${wget_cmd} -O "${file}" -t 5 -e dot_bytes=512k -e dots_in_line=20 "${fw}"
    ändern in ${wget_cmd} -O "${file}" -t 5 -e dot_bytes=512k -e dots_in_line=20 --inet4-only "${fw}"

    Stinkt aber oder ?

    Dann lieber ein :

    Code
    cd
touch .wgetec
echo "prefer_family =  IPv4" > .wgetrc

    das legt ne Config Datei für wget und den aktuellen user an, und sagt dem Burschen das es IPv4 zuerst versuchen soll...

    Code
    root@D0P3s-K33PSTAR:~# ubnt-systool fwupdate https://fw-download.ubnt.com
3050130
--2025-11-04 17:57:52--  https://fw-download.ubnt.com/
Resolving fw-download.ubnt.com (fw-download.ubnt.com)... 2600:9000:206e:2e00:14:e281:7700:93a1, 2600:9000:206e:a800:14:e281:7700:93a1, 2600:9000:206e:3200:14:e281:7700:93a1, ...
Connecting to fw-download.ubnt.com (fw-download.ubnt.com)|2600:9000:206e:2e00:14:e281:7700:93a1|:443... connected.
HTTP request sent, awaiting response... 403 Forbidden
2025-11-04 17:57:53 ERROR 403: Forbidden.

ERROR: Failed downloading firmware from https://fw-download.ubnt.com, rc: 8

    Also mit IPv6 siehts okay aus. Da die URL nicht vollständig ist gibt es halt den 403 - Muss dann mal IPv6 deaktivieren.

    So IPv6 aus dann siehts so aus wie ich erwarten würde.

    Code
    root@D0P3s-K33PSTAR:~# ubnt-systool fwupdate https://fw-download.ubnt.com
3092570
--2025-11-04 18:11:42--  https://fw-download.ubnt.com/
Resolving fw-download.ubnt.com (fw-download.ubnt.com)... 99.86.240.97, 99.86.240.26, 99.86.240.45, ...
Connecting to fw-download.ubnt.com (fw-download.ubnt.com)|99.86.240.97|:443... connected.
HTTP request sent, awaiting response... 403 Forbidden
2025-11-04 18:11:43 ERROR 403: Forbidden.

ERROR: Failed downloading firmware from https://fw-download.ubnt.com, rc: 8

    Dafür hab ich gerade gemerkt das mein Rechner hier irgendne fd: Adresse als DNS hat die sich nicht zuckt .... mal gucken wo der mist wieder her ist

    Edited once, last by DoPe (November 4, 2025 at 6:14 PM).

    Danke schon mal für Eure Antworten!

    Interessant finde ich, dass bei DoPe auf das v6-Präfix "2600:9000:206e" aufgelöst wird, bei mir ist es immer "2600:9000:2646"

    Code
    Resolving fw-download.ubnt.com (fw-download.ubnt.com)... 2600:9000:2646:8800:14:e281:7700:93a1, 2600:9000:2646:8e00:14:e281:7700:93a1, 2600:9000:2646:b800:14:e281:7700:93a1, ...
Connecting to fw-download.ubnt.com (fw-download.ubnt.com)|2600:9000:2646:8800:14:e281:7700:93a1|:443... failed: Connection timed out.
Connecting to fw-download.ubnt.com (fw-download.ubnt.com)|2600:9000:2646:8e00:14:e281:7700:93a1|:443... failed: Connection timed out.
Connecting to fw-download.ubnt.com (fw-download.ubnt.com)|2600:9000:2646:b800:14:e281:7700:93a1|:443... failed: Connection timed out.
Connecting to fw-download.ubnt.com (fw-download.ubnt.com)|2600:9000:2646:1c00:14:e281:7700:93a1|:443... failed: Connection timed out.
Connecting to fw-download.ubnt.com (fw-download.ubnt.com)|2600:9000:2646:8600:14:e281:7700:93a1|:443... failed: Connection timed out.
Connecting to fw-download.ubnt.com (fw-download.ubnt.com)|2600:9000:2646:4000:14:e281:7700:93a1|:443... failed: Connection timed out.

    Eine unvollständige URL führt bei mir nicht zum 403, sondern ebenfalls in Timeouts (was erstmal logisch erscheint, wenn man annimmt, dass mit der "4646" irgendetwas grundlegend nicht stimmt).


    Die beherzte Manipulation am wget gemäß gierig traue ich mich noch nicht so Recht. Mittlerweile wird die 5er-Firmware nun nämlich auch per GUI angeboten. 8o

    Wäre trotzdem interessant, zu diesem Phänomen hier noch mehr Hintergründe zu erfahren, auch wenn es wenig praktische Relevanz hat.

    Quote from Networker

    Interessant finde ich, dass bei DoPe auf das v6-Präfix "2600:9000:206e" aufgelöst wird, bei mir ist es immer "2600:9000:2646"

    Würde ich nichts drauf geben, aktuell bekomme ich auch nen Duzend AAAA records mit "2646" das dann auch über Quad9, Google, oder Clouflare.
    DNS. Ist halt nen CDN mit ein über tausend Edge Servern die den Kram ausliefern (Amazon Cloudfront)

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login