Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Hetzner IPv6 Subnetz

    Deutsch
    2
    12
    3841
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • V
      vitafit last edited by

      Hallo zusammen,

      vorab: Das hier hat nichts mit meinem anderen Thread im IPv6-Forum zutun, da es hier um Hetzner geht.
      Hetzner stellt mir folgendes Subnetz zur Verfügung:
      2a01:4f8:130:724b:: / 64 mit dem GW fe80::1.

      Grundsätzlich betreibe ich mein pfSense innerhalb eines ESXi bereits erfolgreich via IPv4 mit mehreren WAN-Adressen, die maskiert werden. Der entsprechende Aufbau ist wie folgt:
      ESXi -> Routing-VM (pfsense)
                        > WAN (Interface)
                            LAN  (Interface) < VM1
                                                        VM2
                                                        usw.

      Das IPv6-Subnetz wird von Hetzner auf die MAC-Adresse des WAN-Interfaces der Routing-VM geroutet. Daher hab ich mein WAN und LAN-Interface wie folgt konfiguriert:

      WAN: 2a01:4f8:130:724b:1:0:0:2/64 mit GW fe80::1
      LAN: 2a01:4f8:130:724b:2:0:0:2 ohne GW

      Wie der ICMP-Test beweißt: Beide IPs sind extern erreichbar. Meine Idee: Das zweite Subnetz 2a01:4f8:130:724b:2:0:0:: würde ich gerne für die hinter dem LAN-Interface liegenden VMs verweden, sprich routen. Gebe ich einer meiner Test-VMs nun zum Beispiel die Adresse 2a01:4f8:130:724b:2:0:0:5 und das GW 2a01:4f8:130:724b:2:0:0:2, kommt leider überhaupt keine Kommunikation zwischen dem LAN-Interface und der VM (die sich logischerweise im gleichen LAN-Segment befindet) zu stande.

      Ich vermute ich mache hier einen grundsätzlichen Denkfehler - vielleicht kann mir jemand auf die Sprünge helfen.

      Vielen Dank.
      Gruß

      vitafit

      1 Reply Last reply Reply Quote 0
      • JeGr
        JeGr LAYER 8 Moderator last edited by

        Ja du machst einen Denkfehler. Du hast IPs aus dem gleichen /64er Netz auf beide Seiten der pfSense konfiguriert und das klappt nicht. Gleiches Spiel wie IPv4 Adressen aus dem gleichen Netz auf beiden Seiten. Das geht nicht.

        Das IPv6-Subnetz wird von Hetzner auf die MAC-Adresse des WAN-Interfaces der Routing-VM geroutet.

        v4 oder v6, das IPv6 Subnetz muss irgendwo hin geroutet werden. Auf eine MAC zu "routen" ist schlecht. Dann kleben dir die IPs auf dem WAN was niemand hilft. Ich würde eher sagen, du lässt dir ein Transfernetz geben für WAN und das /64er dann auf eine IP des Transfernetzes routen. Dann kannst du auch ganz regulär auf dem LAN dein komplettes /64 Netz nutzen. Anders wird das ein einziges Gefrickel werden.
        Oder sie geben dir eine größere Netzmaske oder ein zweites Netz, welches dann auf eine IP des ersten geroutet wird.

        Dass das was Hetzner da macht großer Mist ist, ist leider hinlänglich bekannt:

        Beispiel: https://blog.knut.me/warum-man-bei-hetzner-kein-ipv6-nutzen-moechte.html

        Dass es dann über Umwege doch geht (zweites /64er Netz bestellen):

        https://blog.knut.me/wie-man-bei-hetzner-doch-ipv6-nutzen-kann.html

        Hier wird genau das gemacht, was ich oben beschreibe, da es das einzig sinnvolle ist, bei v6 auf jeden Zwischenschritt zu verzichten (kein Proxy, kein NAT, kein sonstiger Mist, reines Routing).
        Zweites Netz ordern, erstes Netz (wie dus getan hast) auf der Routing VM konfigurieren und TESTEN (ping6 ipv6.google.com bspw.) und dann das zweite /64er auf die konfigurierte IPv6 zeigen lassen. Dann kannst du im Anschluß das zweite Netz problemlos auf dem LAN Interface eintragen und in den Kisten bei Bedarf auch SLAAC und Co nutzen.

        Grüße Jens

        1 Reply Last reply Reply Quote 0
        • V
          vitafit last edited by

          Guten Morgen Jens,

          danke für deine schnelle Rückmeldung.

          Ich würde eher sagen, du lässt dir ein Transfernetz geben

          Hatte ich angefragt, Hetzner möchte dafür unverschämte 49€ Einrichtungsgebühr + 15€ Flexi-Pack monatlich, daher hatte ich versucht es mit dem /64er Netz zu lösen. Das ist mir die Sache (noch) nicht wert. Problem hab ich grundsätzlich verstanden, ich stimme dir zu alles zu routen und kein NAT oder ähnliches zu benutzen, das macht keinen Sinn.

          Hast du eine Empfehlung für einen besseren Provider als Hetzner? Ich war vorher bei Webtropia, da war es auch nicht viel besser…

          Im übrigen lässt es sich scheinbar grundsätzlich auch mit nur einem Subnetz sprich ohne Transfernetz lösen:
          https://www.sysorchestra.com/2014/11/08/hetzner-root-server-with-kvm-ipv4-and-ipv6-networking/

          Ich denke aber nicht, dass ich die Sache auf pfSense übertragen kann.

          1 Reply Last reply Reply Quote 0
          • JeGr
            JeGr LAYER 8 Moderator last edited by

            alles zu routen und kein NAT oder ähnliches zu benutzen, das macht keinen Sinn.

            Nicht ganz. Davon abgesehen, dass es keinen Sinn macht, GEHT es schlichtweg NICHT. Es gibt kein NAT mehr für IPv6 weil das ganze Protokoll auf der Basis gebaut wurde, dass man solchen Schrott nicht mehr will. Und viele andere Techniken hängen da mit dran (SLAAC, RA, etc.)

            Ein zweites /64er Netz zu bekommen sollte doch kein Problem sein? Wofür wollen die dann gleich das Flexi Pack verkaufen, das niemand braucht? Ich würde Sie da beim Wort nehmen und drauf bestehen, dass ich ein zweites Netz bekomme, da man das /64er einfach nicht sinnvoll mit einem ESXi Setup nutzen kann. Das ist denen auch bekannt, deshalb sollte das als Argument eigentlich ziehen.

            1 Reply Last reply Reply Quote 0
            • V
              vitafit last edited by

              Leider scheint Hetzner hier alles andere als flexibel zu sein, ich hab auf entsprechende Einschränkungen hingewiesen und bestanden. Die Rückmeldung war wie geschrieben eindeutig sehr kommerziell orientiert… daher meine Frage nach anderen Anbietern, sowas ärgert mich einfach.

              Ich muss mal schauen, ob ich diese Lösen irgendwie in pfSense adaptieren kann:
              https://www.sysorchestra.com/2014/11/08/hetzner-root-server-with-kvm-ipv4-and-ipv6-networking/

              1 Reply Last reply Reply Quote 0
              • JeGr
                JeGr LAYER 8 Moderator last edited by

                Nein kannst du sehr wahrscheinlich nicht. Das funktioniert schon mit dem Ansatz ESXi zusammen mit pfSense nicht. Zumindest nicht dass ich wüsste, da hier gebridget wird und dann noch wegen Hetzners Spezialsetup auf MACs gebunden wird. Ich bin außerdem irritiert, da er in dem Setup eine zweite IPv6 benutzt, die ein anderes Subnetz ist, als das /64er dass er konfiguriert. Kann ein Schreibfehler sein, aber so macht es keinen Sinn.

                Grüße

                1 Reply Last reply Reply Quote 0
                • V
                  vitafit last edited by

                  Ich muss dich nochmal um deine Meinung bitten, folgende Antwort hab ich eben vom Support erhalten:

                  Nein. Er muß nur auf der Router-VM die v6 IP auf dem externen Interface
                  kleiner als /64 konfigurieren. In der Regel wird man da nur eine als /128
                  konfigurieren und das /64 auf dem internen Interface. Man könnte es aber in
                  Teilen auch an verschiedene VMs routen (über die Link-Local-Adressen).

                  http://wiki.hetzner.de/index.php/Zusaetzliche_IP-Adressen#Subnetze
                  http://wiki.hetzner.de/index.php/Netzkonfiguration_Debian#Routed_.28brouter.29

                  Was ist deine Meinung dazu?

                  //Edit: Ich bin überrascht, so hat es funktioniert. Wow!

                  1 Reply Last reply Reply Quote 0
                  • JeGr
                    JeGr LAYER 8 Moderator last edited by

                    Ich kann da nur auf den Anfang der Doku verweisen bei Hetzner, wo erwähnt wird:

                    Für Systeme wie FreeBSD ist eine andere Konfiguration notwendig.

                    pfSense = FreeBSD. Diverse Konfigurationen (gerade bei IPv4) von Hetzner sind teils recht krude Verrenkungen und böse Hacks um IPs direkt irgendwo Point2Point hinzurouten, was aber BSD nicht alles mitmacht.
                    Wenn das mit v6 tatsächlich funktioniert - lucky accident :D So konfiguriert ist es zumindest für jeden Netzwerker ein kleines Gräuel. Und die Aussage "das macht man so" ist BS-Bingo vom Feinsten ;)

                    Fakt ist, dass ISPs wie Hetzner und Co. ein derart großes IPv6 Netz haben, dass sie den Endkunden locker ein /60 oder ein /56er Netz zuweisen können und sollten Ihnen die Netze dann ausgehen (SEHR unwahrscheinlich) noch welche gern bei RIPE und Co bestellen dürfen. Ich vermute auch Hetzner hat da ein /29er oder größer bekommen. Dann für den Endkunden nur ein /64er rauszurücken, wenn man solche krude Netzwerkkonfig wie die Jungs auf den Switchen fährt, ist einfach nur Knauserei und Geldmacherei. Leider.

                    Jeder Telco ISP vergibt an seine Einwahlgeräte ja bereits mind. ein /60er Netz (häufig ein /56er), damit der Kunde intern ein bis zwei /64er sauber durchreichen kann. Und da viele Mechanismen von IPv6 nur mit einem /64er Netz als Minimum ordentlich funktionieren, ist das auch gut so.

                    Grüße

                    1 Reply Last reply Reply Quote 0
                    • V
                      vitafit last edited by

                      Danke für deine Einschätzung - ich kann dir in allen Punkten nur zustimmen, bin aber erstmal froh dass es so jetzt läuft. Im Prinzip war der ganze Witz an der Sache, dem WAN-Interface nur eine IPv6-Adresse zuzuweisen /128 und dem LAN-Interface (welches letztendlich für die VMs als GW dient) das /64er Netz zu geben. Sooo extrem krumm ist es dann eigentlich nicht mehr.

                      Wie würde es den optimal aussehen - also was wäre von deinem Gefühl her "richtiger" - Würdest du (wie gesagt mal angenommen es ginge) ein Transfernetz vorziehen? Würde mich mal sehr interessieren wie du die Sache siehst.

                      Dann nochmal die Frage für die Zukunft: Hast du Erfahrungswerte bzgl. eines Providers != Hetzner der die IPv6-Sache bisher besser löst?

                      1 Reply Last reply Reply Quote 0
                      • JeGr
                        JeGr LAYER 8 Moderator last edited by

                        Sooo extrem krumm ist es dann eigentlich nicht mehr.
                        Doch, weil du auf beide Seiten der Gateway VM das gleiche Subnetz klebst - was eben nicht normal geschweige denn sinnvoll ist. Das widerspricht einfach Routing und funktioniert da auch nur, weil dann doch via fe80:: geroutet wird. Da wird aber wieder mit einem Workaround gefrickelt anstatt es gleich richtig zu machen. Zudem die RIPE Vergaberichtlinien hat, die definieren, dass einem Kunden genau deshalb min. ein /56er Netz zugewiesen werden soll (man spricht sogar von bis zu /48). Deshalb mein "Groll" ;)

                        Wie würde es den optimal aussehen - also was wäre von deinem Gefühl her "richtiger" - Würdest du (wie gesagt mal angenommen es ginge) ein Transfernetz vorziehen? Würde mich mal sehr interessieren wie du die Sache siehst.
                        Siehe oben. Der Hack funktioniert in dieser Situation wegen der Nutzung durch Link-Local, ist aber pure Geldschneiderei/Faulheit um dem Kunden kein zweites Netz geben zu müssen.

                        Anderes Beispiel: Jeder Tunnelbroker für v6 löst das jetzt schon so, dass der "Kunde" ein /64er für sein LAN bekommt, die Aufschaltung läuft wie GIF/Tunnel und hat auf dem Tunnelendpunkt ein zweites /64er Netz als Transfernetz. So läuft Routing. Netz in Netz. Wenn ich das gleiche Netz auf verschiedene Interfaces konfiguriere irritiere ich immer den Netzwerkstack. Und da dann zu mogeln um das zu umgehen indem ich einfach eine Seite auf /128 force (was nicht korrekt ist), ist eben ein Workaround.

                        Ansonsten kann/darf ich bei anderen Hostern wenig sagen. Aber nach div. Erfahrungsberichten bzw. Netzwerk-Setups für Hoster xy zu googlen gibt da meist ein ganz gutes Bild. Gerüchteweise soll OVH solchen Schnickschnack nicht machen, aber da ich selten fremd hoste, habe ich da keinen Querschnitt, wer da gut/schlecht ist ;)

                        Disclaimer: Ich arbeite selbst bei einem (kleinen und spezialisierten) Hoster - hauptsächlich managed hosting, keine root Server oder derlei.

                        1 Reply Last reply Reply Quote 0
                        • V
                          vitafit last edited by

                          Hi,

                          danke für die Rückmeldung und die Mühe, die du dir gemacht hast. Problem verstanden, wieder eine Menge dazu gelernt.

                          Danke.

                          1 Reply Last reply Reply Quote 0
                          • JeGr
                            JeGr LAYER 8 Moderator last edited by

                            Gern und danke :)

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post

                            Products

                            • Platform Overview
                            • TNSR
                            • pfSense
                            • Appliances

                            Services

                            • Training
                            • Professional Services

                            Support

                            • Subscription Plans
                            • Contact Support
                            • Product Lifecycle
                            • Documentation

                            News

                            • Media Coverage
                            • Press
                            • Events

                            Resources

                            • Blog
                            • FAQ
                            • Find a Partner
                            • Resource Library
                            • Security Information

                            Company

                            • About Us
                            • Careers
                            • Partners
                            • Contact Us
                            • Legal
                            Our Mission

                            We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                            Subscribe to our Newsletter

                            Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                            © 2021 Rubicon Communications, LLC | Privacy Policy