IPv6 / pfsense / Hetzner

FeLoN

Hallo zusammen,

bei dieser Anfrage um Hilfe, geht es um meine Herausforderung mit IPv6.

Vorweg: ich bin leider kein Netzwerk Profi. Versuch mit der Materie aber so gut wie möglich klar zu kommen.

die Herausforderung:
IPv6 IN den VMs und Containern zu nutzen.

was habe ich bisher geschafft:
Proxmox hat IPv6 und ping an google etc funktioniert.
PFsense hat IPv6 auf dem WAN Interface / ping an google über pfsens-wan funktioniert.

Über den pfsense-HAProxy funktioniert auch das ansteuern einer Test-Website in einem Container über IPv6 + IPv4.

Ich würde nun gerne auch IPv6 in den Instanzen haben.

Da ich gelesen hatte, dass ein zweites IPv6 Netzwerk hier helfen könnte, hab ich eines dazubestellt. (wie Ihr im Setup erkennen könnt)
Von hier aus komme ich irgendwie nicht wirklich weiter.
Ich habs zwar mal kurz geschafft, dass ich das zweite Netzwerk an die Container/VMs durchreichen konnte, aber dadurch umging ich dann die pfsense.
Und was ich mit Sicherheit nicht will, ist dass die PFsense umgangen wird.

Ich hoffe, dass mir hier jemand helfen kann, da ich schon einiges versucht habe mir zur "ergoogeln" aber nun nicht mehr weiterkomme.

Ich habe auch mal im Proxmox forum diesen Post hinterlassen, aber bisher ist leider noch keiner darüber gestolpert :)

Beste Grüße
Ralph

Hier die Infos zum Setup:

Hetzner / Dedicated Root Server
Proxmox 6.4-13 + Pfsense 2.5.2 als VM
weitere Container + VMs zum Testen.


PFSense WAN Interface:
IPv6 address: 2a01:eee:aaa:bbbb::3
IPv6 Upstream gateway: 2a01:eee:aaa:bbbb::2

Netzwerk1:
2a01:eee:aaa:bbbb::/64
Gateway: fe80::1

Netzwerk2
2a01:eee:aaa:cccc::/56
Gateway: fe80::1


auto lo
iface lo inet loopback
iface lo inet6 loopback
iface enp3s0 inet manual
iface enp3s0 inet6 manual

auto enp4s0
iface enp4s0 inet static
        address ERSTE_ÖFFENTLICHE_IPV4/32
        gateway GW_ERSTE_ÖFFENTLICHE_IPV4
        pointopoint GW_ERSTE_ÖFFENTLICHE_IPV4
        post-up /sbin/ethtool -K $IFACE rx off tx off sg off tso off ufo off gso off gro off lro off


iface enp4s0 inet6 static
        address 2a01:eee:aaa:bbbb::2/128
        gateway fe80::1

auto vmbr0
iface vmbr0 inet static
        address ERSTE_ÖFFENTLICHE_IPV4/32
        bridge-ports none
        bridge-stp off
        bridge-fd 0
        dns-nameservers 8.8.8.8 213.133.98.98 213.133.99.99 213.133.100.100
        pre-up brctl addbr vmbr0
        up ip route add ZWEITE_ÖFFENTLICHE_IPV4/32 dev vmbr0
        down ip route del ZWEITE_ÖFFENTLICHE_IPV4/32 dev vmbr0
        post-up /sbin/ethtool -K $IFACE rx off tx off sg off tso off ufo off gso off gro off lro off

iface vmbr0 inet6 static
        address 2a01:eee:aaa:bbbb::2/64

#iface vmbr0 inet6 static
#        address 2a01:eee:aaa:cccc::2/56


auto vmbr1
iface vmbr1 inet static
        address 192.168.xxx.254/24
        bridge-ports none
        bridge-stp off
        bridge-fd 0
        dns-nameservers 8.8.8.8 213.133.98.98 213.133.99.99 213.133.100.100
        post-up /sbin/ethtool -K $IFACE rx off tx off sg off tso off ufo off gso off gro off lro off

micneu

ist das privat oder für business?
ich empfehle dir professionelle unterstützung, bevor du dir noch löcher baust.

FeLoN

Hallo @micneu
dieser Server ist nur zum Testen und Üben. :)
Bei den produktiven Servern von der Firma, für die ich arbeite, ist bisher nur ipv4 im Einsatz. Mehr würde ich mich dort auch nicht trauen.

Hättest Du trotzdem einen Tipp, wie eine Lösung hier aussehen könnte? (ein Tipp für die richtige Richtung wäre schon echt super)
Ich würde ungerne einfach aufgeben...

schönen Gruß
Ralph

JeGr

@felon Was ist denn das für ein Host bei Hetzner? Dedi Server? Cloud Gedöns? Muss man wissen, damit klar ist, wie da ggf. die Netze aufliegen oder ankommen. Ansonsten müsste man für die Virtualisierung mal nachschlagen oder fragen, wie das /56er bspw. da aufliegt. Die fe80 als Route sagen ja leider nicht viel, das macht Hetzner ja immer so. Da wäre es dann wichtig zu wissen, ob man das /56 sich auch auf eine IP6 des /64ers einfach routen lassen kann, sonst wären die /56er ja sinnlos am WAN der Sense verbraten :)

FeLoN

@jegr
Hallo auch :) sorry, kam erst jetzt wieder dazu daran zu arbeiten.

es ist ein Dedicated Root Server bei Hetzner.
Auf Nachfrage bei Hetzner habe ich heute die Antwort bekommen, dass man das /56 sich NICHT auf eine IP6 des /64ers routen lassen kann.

Schade... das hätte dann vermutlich die Lösung sein können.
Hättest Du eine Idee wie ich das dann bewerkstelligen könnte?

schöne Grüße
Ralph

JeGr

@felon said in IPv6 / pfsense / Hetzner:

Hättest Du eine Idee wie ich das dann bewerkstelligen könnte?

Das ist dann komplett davon abhängig, wie Hetzner das v6 routet. Eventuell kann dir da der Support nochmals Auskunft geben. Wenn die alles hart zur MAC Adresse hinschicken könnte das schwierig werden, das muss irgendwie bei der pfSense Instanz ankommen, sonst bekommt man das schlecht hin. Früher mussten wir für ne halbwegs sinnvolle Virtualisierung bei Hetzner deshalb ne 2. Netzwerkkarte in Dedi Server ordern und dort drauf dann die IPs schalten lassen, dann konnte man die 2. Karte in der VM direkt zuweisen und hatten den ganzen Tanz und Zirkus nicht. Hetzner ist da leider ziemlich "Eisenbahnschiene" und weicht ja selten vom Kurs ab, den sie für alles ausrollen. :/

FeLoN

@jegr Danke für den Hint mit der Netzwerk-Karte! :) das wäre auch noch eine Idee.

Ich bin nun auch einen Ticken schlauer geworden.
Wenn ich es jetzt richtig verstanden habe muss ich mein Network Setup so umbauen, dass ich ein BRIDGED Setup habe. Dann kann ich eine neue MAC Adresse für die zusätzliche "IPv4" setzen UND DANN kann ich erst diesem Adapter mit der zusätzlichen IPv6 auch das neue IPv6 Netzwerk im Hetzner-Robot zuweisen. (so zumindest der plan)
Routing scheint nur über MAC Adressen zu klappen.

Was meinst Du dazu?

Schöne Grüße
Ralph