Anleitung für Hetzner IPv6 mit PfSense als Router VM auf ESXi Server
-
Nachdem ich mir bei Hetzner einen ESXi Server bestellt habe, stellte sich mir die Aufgabe dort IPv6 zum laufen zu bringen. ImInternet finden sich zahlreiche Horrorgeschichten zu diesem Thema, da Hetzner eine ungewöhnliche Routingstrategie verfolgt in dem sie Subnetze auf MAC Adressen routet.
Hinsichtlich IPv6 gehen die Meinungen von geht gar nicht, bis "ist umständlich" nur mit zweitem IPv6 Subnetz mit der PfSense zu realisieren.
Nach nunmehr 6 Stunden rumprobieren, kann ich sagen, es ist eigentlich super einfach und funktioniert prima.
Hier das Setup für das WAN Interface:
IPv6 Configuration Type: DHCPv6
Use IPv4 connectivity as parent interface:X
Request only an IPv6 prefix:x
DHCPv6 Prefix Delegation size: 64
Send IPv6 prefix hint: xNach dem speichern erhält man ein LINK-Lokale IPv6 auf dem WAN Interface:
Z.B: fe80::250:56ff:fe00:6c67%em0
das Gateway fe80::0 wird automatisch gesetzt.
Auf diese Linklokale Addresse wird das IPv6 Netz geroutet, wenn man dieses im Hetzner Robot auf die MAC der zweiten IPv4 Adresse umgebogen wurde.Das Hetzner delegierte IPv6 Netz trägt man nun im LAN INTERFACE EIN:
IPv6 Configuration Type: Static
IPv6 address: 2a01:xxxx:xxx:xxx::1 / 64Das wars, auch schon.
IPv4 Adressen, waren dann nur noch Fleiß Arbeit
Hoffe, dies hilft jemanden.
-
Hallo Parsec,
würde mich interessieren wenn du dahinter dann eine VM mit v6 hast (am Besten ohne v4) ob die dann von extern sauber erreichbar ist und bleibt. Es ist zwar jetzt nicht komplett absonderlich, nur link-local Adressen auf dem WAN zu haben, schön ist es aber jetzt auch nicht.
IPv4 Adressen, waren dann nur noch Fleiß Arbeit: virtuelle auf dem WAN Interface einzeln als IP-Alias anlegen, 1:1 NAT und fertig
Warum das? Ich hatte aus dem Text rausgelesen, dass du ne zweite IP für die pfSense Instanz hast. Dann müsst dein v4 Subnetz doch auch geroutet sein? Dann musst du das auch nicht auf der pfSense mit IP-Aliasen oder VIPs auflegen, sondern einfach nur entweder weiter routen oder ein 1:1 NAT anlegen, Alias ist unnötig, da die IPs so oder so bei der pfSense ankommen (weil sie ja hingeroutet werden). Das wäre nur nötig, wenn die pfSense selbst die IP sonst nicht abbekommen würde. Außerdem kannst du bei so geroutetem Netz auch hergehen (wenn schon dreckig ;) ) und eine von den Boundary IPs (Netzmaske oder Netz) für abgehendes NAT nutzen von Maschinen die bspw. keine public IP bekommen sollen. Somit sparst du dir die echten IPs dann für die VMs auf, die sie auch wirklich brauchen :)
Grüße
-
Hallo JeGr,
bin ja noch im Testbetrieb und seit gestern Nachmittag pinge ich eine VM über IPv6 und transferiere auch eine kleine Datei über SCP sowohl ein als auch ausgehend. Bis jetzt keine Ausfälle. Das link-lokale Netz ist ja nur das Transfernetz - soll dann halt so sein.
bzgl der IPv4 hast du recht, die virtuellen IP's kann man sich sparen. ist ein Fragment eines Artikels den ich im Internet gefunden hatte. Danke für den Hinweis, habe sie gerade entfernt.
-
Hi Parsec,
also ich komme da irgendwie nicht ganz mit.Ich habe die Schritte einfach mal nachgemacht und komme zum Ergebnis das ich kein Positives Ergebnis bekomme. Die VM kommt wohl im WAN an aber das WAN nicht bei der VM. So scheint es jedenfall. Pings gehen Positiv raus aber anscheinend kommt es zu keiner Antwort.
Ich habe jetzt folgendes:
WAN:
IPv4: DHCP
IPv6: DHCP6
DHCP6 Client Config:
Options: [ ]
Use IPv4 connectivity as parent interface: [X]
Request only an IPv6 prefix: [X]
DHCPv6 Prefix Delegation size: 64
Send IPv6 prefix hint: [X]
Debug: [ ]
Reserved Networks:
Block private networks and loopback addresses: [X]
Block bogon networks: [X]Dann bekomme ich die Zusatz IP als IPv4 und die Angesprochene Link-Lokale als IPv6… passend zu MAC. soweit so gut.
Nun zum LAN Interface:
IPv4: Static IPv4
IPv6: Static IPv6
IPv6 address: 2a01:xxxx:xxxx:xxxx::1 /64
IPv6 Upstream gateway: None
Reserved Networks:
Block private networks and loopback addresses: [ ]
Block bogon networks: [ ]Die VM bekommt dann folgendes:
iface ens160 inet6 static
address 2a01:xxxx:xxxx:xxxx::2
netmask 64
gateway 2a01:xxxx:xxxx:xxxx::1 # Wobei ich auch mal fe80::1 und die WAN address aus probiert habe.In den Firewall Rules habe ich WAN <-> LAN IPv6 anyall freigeben. Nur um auf Nummer sicher zu gehen :)
Habe ich irgendeinen Schritt vergessen? 1:1 NAT sollte bezüglich IPv6 doch keine rolle spielen oder?Vielen Dank
-
Hast du ein Gateway angelegt?
Unter System –> Routingbei mir laufen nun 3 Systeme bei Hetzner mit perfekter IPv6 Erreichbarkeit ;)
-
Oh mein Gott… ich bin so dumm.... Du kennst das mit den Bäumen und dem Wald oder? ^^
Ich hatte es nicht als Default GW markiert... Danke.Scheint alles zu laufen. Ich teste das mal ein paar tage und gebe dann gern nochmal feedback. Es ist ja fast schon zu einfach :)
Vielen Dank nochmal
-
Das mit den Bäumen kenne ich genau –schön, dass es funktioniert ;)
-
Hey,
auch wenn der thread schon eine weile alt ist vielleicht liest es ja doch noch wer :D
ich hab alles so weit wie in der Anleitung eingerichtet und sehe auf dem dashboard das wan neben der ipv4 er nun auch eine ipv6 adresse genau so im lan
zugriff per wan ipv6 bekomme ich nicht und sehe im firewall logApr 28 13:30:21 lo0 [ipv6wan-adress]:443 [meine-ipv6]:59411 TCP:SA
was mich wundert ist lo0 statt WAN
ich habe einen extra gateway mit gateway fe80::1
wenn ich die firewall komplett deaktiviere geht auch ipv6, spezielle block regeln sind keine eingerichtet
hat wer eine idee?
