Hetzner Colocation mit statischen IPv6-Adressen mit Netzteilung

gadget_guy01

Hallo zusammen,

ich habe mal ein IPv6 Thema.

Paar Infos vorweg:
-> Colocation Rack bei Hetzer
-> Ein WAN Uplink
-> /56 IPv6 Netz

Die Netzdaten des IPv6 Subnetzes: (Angaben Hetzner)

Subnet: 2a01:4f8:ac:900:: /56
Gateway: fe80::1
Verwendbare IP-Adressen: 2a01:4f8:ac:900::2 bis 2a01:4f8:ac:9ff:ffff:ffff:ffff:ffff

System:

• Supermicro Server mit 4LAN Ports
• Aktuellste pfSense Version installiert

Mein Plan ist es, das /56 Netz von Hetzer in mehrere /64 Netze aufzuteilen und diese über mehrere VLANs via DHCPv6 zu verteilen. Ich habe mein /56 Netz über einen IPv6 Subnetzrechner laufen lassen, welcher mir das Netz in 256 /64 Netze aufgeteilt hat.

Nun folgendes Problem.

Gebe ich das erste /64 Netz auf der WAN-Seite ein (soll später für VPNs genutzt werden) ist die Firewall direkt per IPv6 erreichbar. Gebe ich nun das zweite Netz ohne Gateway auf der LAN-Seite ein und schalte DHCPv6 ein, werden die IPv6-Adressen korrekt zugewiesen aber es besteht keine Verbindung Richtung Internet.

Folgende Konfiguration habe ich bereits an der Firewall vorgenommen:

1. IPv6 traffic auf der Pfsense erlaubt (System -> Advanced -> Networking -> "Allow IPv6")
2. Firewall Regel Testweise umgestellt: Allow ANY -> ANY IPv6

WAN-Konfig:
Netz: 2a01:4f8:ac:900::/64
Adresse: 2a01:4f8:ac:900::2
Gateway: 2a01:4f8:ac:900::1 (mit Gateway fe80::1 von Hetzner läuft es nicht)

LAN-Konfig:
Netz: 2a01:4f8:ac:901::/64
Adresse: 2a01:4f8:ac:901::1
Gateway: none

Einstellung im DHCPv6:

Screenshot 2022-08-03 at 20.26.04.png

Ich hab wirklich keine Ahnung, was ich hier falsch mache. Brauche ich eventuell ein zusätzliche Netz, über dass mir dann Hetzner die einzelnen Netze routet? Muss ich da noch irgendwo Routen einbauen?

Hetzner bietet bei den Colocations meines Wissens kein DHCPv6 an, womit ich also nicht über Track Interface mir die Netze direkt ins LAN ziehen kann. Ich muss hier wirklich mit statischen Angaben arbeiten.

Ich freue mich sehr auf eure Antworten. Bin wirklich sehr gespannt, was ich nicht bedacht habe.

Beste Grüße und eine gute Woche!
Florian

JeGr

@gadget_guy01 said in Hetzner Colocation mit statischen IPv6-Adressen mit Netzteilung:

Subnet: 2a01:4f8:ac:900:: /56

Dein Problem steckt in der Angabe von Hetzner. Sie weisen dir das Subnetz zu. Das KOMPLETTE /56er. Da es dir aber nicht geroutet wird, kannst du nicht einfach Teile davon hinter die pfSense packen, weil diese Teile dann nicht an der pfSense ankommen, da der vorgelagerte Router davon nix weiß. Der Router davor weiß nur "das /56er besteht zwischen mir und dem Kundensystem", aber dass du das /56er kleinschlägst in /64 - das weiß er nicht.

Ich würde Hetzner anfragen - weil es ja Coloca ist und nicht nur Hosting - ob es möglich wäre dir das /56er auf eine Adresse im ersten Segment /64 zu routen. Also ob sie das ganze /56er bspw. auf 2a01:4f8:ac:900::2 / 64 routen können oder ob sie dir alternativ ein Transfernetz zuweisen können und dann auf deine IP6 dort das /56 draufrouten können. Das wäre natürlich noch besser. In der Colo sollten sie das eigentlich auf Nachfrage machen. Wenn einer nachfragt, kannst du ja angeben, dass du das Netz segmentieren willst und das sonst an deinem Router natürlich nicht ankommt.

Cheers

gadget_guy01

@jegr
Hi, danke dir für deine schnelle Antwort.
Ich habe mal eine Anfrage an Hetzner mit den zwei möglichen Lösungen gesendet und hoffe nun, dass die mir da schnell helfen können.
Was müsste ich dann in der pfSense einstellen, sollte ich ein Transfernetz von Hetzner bekommen.
Beste Grüße und nochmal vielen Dank für deine Antwort.

gadget_guy01

@jegr
Ich bekomme nun von Hetzner ein /64 Transfernetz kostenfrei zur Verfügung gestellt. Darüber soll mir dann das /56 Netz geroutet werden. Wo muss ich dann das Transfernetz eintragen, bzw. wie kann ich dann das Netz teilen und was muss ich beachten?

JeGr

@gadget_guy01 said in Hetzner Colocation mit statischen IPv6-Adressen mit Netzteilung:

Ich bekomme nun von Hetzner ein /64 Transfernetz kostenfrei zur Verfügung gestellt. Darüber soll mir dann das /56 Netz geroutet werden. Wo muss ich dann das Transfernetz eintragen, bzw. wie kann ich dann das Netz teilen und was muss ich beachten?

Super, so lob ich mir das. Das neue /64er legst du ganz normal STATT dem bisherigen Netz (/56) auf dem WAN auf. Also konfigurierst du so wie dus von Hetzner bekommst. Ich vermute mal dass du irgendwas bekommst bei dem ::2 dann dein Gerät ist. Ergo konfigurierst du dein v6 WAN der pfSense auf diese ::2 die du bekommst und schaust erstmal, dass du wieder sauber v6 nach draußen bekommst und umgekehrt von draußen die Zugriffe an der pfSense siehst. Wenn das Transfernetz sauber aufliegt, dann routet dir Hetzner das /56er auf die IP6 die sie dir vorgeben - also auf die ::2 z.B.
Wenn das sauber eingestellt ist kannst du danach einfach hergehen und wie du das angefangen hattest auf den inneren / LAN Interfaces der pfSense einfach diese Netze wie du Lust hast anfangen zu vergeben und aufzulegen. Da du bei deinem 900er IPv6 Netz Adressraum bis hoch zu 9ff drin hast, kannst du dir da passende /64er Segmente nehmen die auf deine LAN Netze passen und die dort vergeben.

Cheers

gadget_guy01

@JeGr
Hi, danke für deine super Antwort.
Wie du schon sagtest habe ich ein Transfer Netz bekommen, in dem Hetzner die XXX::1 und ich die XXX::2 habe. Das /56 Netz wird komplett über die ::2 Adresse des Transfernetzes geroutet.
Danke für die Erklärung, wie ich das nun in der pfSense eintragen muss. Ich werde das am Wochenende einrichten und bei Erfolg den Post schließen.

@JeGr Ich danke dir für die schnellen Antworten. Wirklich total super, dass du mir hier helfen konntest.

gadget_guy01

Nochmals vielen Dank für deine Antworten @JeGr. Es hat alles wunderbar geklappt.