Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Anleitung für Hetzner IPv6 mit PfSense als Router VM auf ESXi Server

    Scheduled Pinned Locked Moved
    Deutsch
    4
    8
    5.9k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      Parsec
      last edited by

      Nachdem ich mir bei Hetzner einen ESXi Server bestellt habe, stellte sich mir die Aufgabe dort IPv6 zum laufen zu bringen. ImInternet finden sich zahlreiche Horrorgeschichten zu diesem Thema, da Hetzner eine ungewöhnliche Routingstrategie verfolgt in dem sie Subnetze auf MAC Adressen routet.

      Hinsichtlich IPv6 gehen die Meinungen von geht gar nicht, bis "ist umständlich" nur mit zweitem IPv6 Subnetz mit der PfSense zu realisieren.

      Nach nunmehr 6 Stunden rumprobieren, kann ich sagen, es ist eigentlich super einfach und funktioniert prima.

      Hier das Setup für das WAN Interface:
      IPv6 Configuration Type: DHCPv6
      Use IPv4 connectivity as parent interface:X
      Request only an IPv6 prefix:x
      DHCPv6 Prefix Delegation size: 64
      Send IPv6 prefix hint: x

      Nach dem speichern erhält man ein LINK-Lokale IPv6 auf dem WAN Interface:
      Z.B: fe80::250:56ff:fe00:6c67%em0
      das Gateway fe80::0 wird automatisch gesetzt.
      Auf diese Linklokale Addresse wird das IPv6 Netz geroutet, wenn man dieses im Hetzner Robot auf die MAC der zweiten IPv4 Adresse umgebogen wurde.

      Das Hetzner delegierte IPv6 Netz trägt man nun im LAN INTERFACE EIN:
      IPv6 Configuration Type: Static
      IPv6 address: 2a01:xxxx:xxx:xxx::1 / 64

      Das wars, auch schon.

      IPv4 Adressen, waren dann nur noch Fleiß Arbeit

      Hoffe, dies hilft jemanden.

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Hallo Parsec,

        würde mich interessieren wenn du dahinter dann eine VM mit v6 hast (am Besten ohne v4) ob die dann von extern sauber erreichbar ist und bleibt. Es ist zwar jetzt nicht komplett absonderlich, nur link-local Adressen auf dem WAN zu haben, schön ist es aber jetzt auch nicht.

        IPv4 Adressen, waren dann nur noch Fleiß Arbeit: virtuelle auf dem WAN Interface einzeln als IP-Alias anlegen, 1:1 NAT und fertig

        Warum das? Ich hatte aus dem Text rausgelesen, dass du ne zweite IP für die pfSense Instanz hast. Dann müsst dein v4 Subnetz doch auch geroutet sein? Dann musst du das auch nicht auf der pfSense mit IP-Aliasen oder VIPs auflegen, sondern einfach nur entweder weiter routen oder ein 1:1 NAT anlegen, Alias ist unnötig, da die IPs so oder so bei der pfSense ankommen (weil sie ja hingeroutet werden). Das wäre nur nötig, wenn die pfSense selbst die IP sonst nicht abbekommen würde. Außerdem kannst du bei so geroutetem Netz auch hergehen (wenn schon dreckig ;) ) und eine von den Boundary IPs (Netzmaske oder Netz) für abgehendes NAT nutzen von Maschinen die bspw. keine public IP bekommen sollen. Somit sparst du dir die echten IPs dann für die VMs auf, die sie auch wirklich brauchen :)

        Grüße

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • P
          Parsec
          last edited by

          Hallo JeGr,

          bin ja noch im Testbetrieb und seit gestern Nachmittag pinge ich eine VM über IPv6 und transferiere auch eine kleine Datei über SCP sowohl ein als auch ausgehend. Bis jetzt keine Ausfälle. Das link-lokale Netz ist ja nur das Transfernetz - soll dann halt so sein.

          bzgl der IPv4 hast du recht, die virtuellen IP's kann man sich sparen. ist ein Fragment eines Artikels den ich im Internet gefunden hatte. Danke für den Hinweis, habe sie gerade entfernt.

          1 Reply Last reply Reply Quote 0
          • T
            Techos
            last edited by

            Hi Parsec,
            also ich komme da irgendwie nicht ganz mit.

            Ich habe die Schritte einfach mal nachgemacht und komme zum Ergebnis das ich kein Positives Ergebnis bekomme. Die VM kommt wohl im WAN an aber das WAN nicht bei der VM. So scheint es jedenfall. Pings gehen Positiv raus aber anscheinend kommt es zu keiner Antwort.

            Ich habe jetzt folgendes:
            WAN:
            IPv4: DHCP
            IPv6: DHCP6

            DHCP6 Client Config:
            Options: [ ]
            Use IPv4 connectivity as parent interface: [X]
            Request only an IPv6 prefix: [X]
            DHCPv6 Prefix Delegation size: 64
            Send IPv6 prefix hint: [X]
            Debug: [ ]

            Reserved Networks:
            Block private networks and loopback addresses: [X]
            Block bogon networks: [X]

            Dann bekomme ich die Zusatz IP als IPv4 und die Angesprochene Link-Lokale als IPv6… passend zu MAC. soweit so gut.

            Nun zum LAN Interface:
            IPv4: Static IPv4
            IPv6: Static IPv6

            IPv6 address: 2a01:xxxx:xxxx:xxxx::1 /64
            IPv6 Upstream gateway: None

            Reserved Networks:
            Block private networks and loopback addresses: [ ]
            Block bogon networks: [ ]

            Die VM bekommt dann folgendes:
            iface ens160 inet6 static
            address 2a01:xxxx:xxxx:xxxx::2
            netmask 64
            gateway 2a01:xxxx:xxxx:xxxx::1 # Wobei ich auch mal fe80::1 und die WAN address aus probiert habe.

            In den Firewall Rules habe ich WAN <-> LAN IPv6 anyall freigeben. Nur um auf Nummer sicher zu gehen :)
            Habe ich irgendeinen Schritt vergessen? 1:1 NAT sollte bezüglich IPv6 doch keine rolle spielen oder?

            Vielen Dank

            1 Reply Last reply Reply Quote 0
            • P
              Parsec
              last edited by

              Hast du ein Gateway angelegt?
              Unter System –> Routing

              bei mir laufen nun 3 Systeme bei Hetzner mit perfekter IPv6 Erreichbarkeit ;)

              IMG_0460.PNG
              IMG_0460.PNG_thumb

              1 Reply Last reply Reply Quote 0
              • T
                Techos
                last edited by

                Oh mein Gott… ich bin so dumm.... Du kennst das mit den Bäumen und dem Wald oder? ^^
                Ich hatte es nicht als Default GW markiert... Danke.

                Scheint alles zu laufen. Ich teste das mal ein paar tage und gebe dann gern nochmal feedback. Es ist ja fast schon zu einfach :)

                Vielen Dank nochmal

                1 Reply Last reply Reply Quote 0
                • P
                  Parsec
                  last edited by

                  Das mit den Bäumen kenne ich genau –schön, dass es funktioniert ;)

                  1 Reply Last reply Reply Quote 0
                  • S
                    schubter
                    last edited by

                    Hey,

                    auch wenn der thread schon eine weile alt ist vielleicht liest es ja doch noch wer :D

                    ich hab alles so weit wie in der Anleitung eingerichtet und sehe auf dem dashboard das wan neben der ipv4 er nun auch eine ipv6 adresse genau so im lan
                    zugriff per wan ipv6 bekomme ich nicht und sehe im firewall log

                    Apr 28 13:30:21 lo0 [ipv6wan-adress]:443 [meine-ipv6]:59411 TCP:SA

                    was mich wundert ist lo0 statt WAN

                    ich habe einen extra gateway mit gateway fe80::1

                    wenn ich die firewall komplett deaktiviere geht auch ipv6, spezielle block regeln sind keine eingerichtet
                    hat wer eine idee?

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post