Hetzner IPv6 Subnetz

vitafit

Hallo zusammen,

vorab: Das hier hat nichts mit meinem anderen Thread im IPv6-Forum zutun, da es hier um Hetzner geht.
Hetzner stellt mir folgendes Subnetz zur Verfügung:
2a01:4f8:130:724b:: / 64 mit dem GW fe80::1.

Grundsätzlich betreibe ich mein pfSense innerhalb eines ESXi bereits erfolgreich via IPv4 mit mehreren WAN-Adressen, die maskiert werden. Der entsprechende Aufbau ist wie folgt:
ESXi -> Routing-VM (pfsense)
                  > WAN (Interface)
                      LAN  (Interface) < VM1
                                                  VM2
                                                  usw.

Das IPv6-Subnetz wird von Hetzner auf die MAC-Adresse des WAN-Interfaces der Routing-VM geroutet. Daher hab ich mein WAN und LAN-Interface wie folgt konfiguriert:

WAN: 2a01:4f8:130:724b:1:0:0:2/64 mit GW fe80::1
LAN: 2a01:4f8:130:724b:2:0:0:2 ohne GW

Wie der ICMP-Test beweißt: Beide IPs sind extern erreichbar. Meine Idee: Das zweite Subnetz 2a01:4f8:130:724b:2:0:0:: würde ich gerne für die hinter dem LAN-Interface liegenden VMs verweden, sprich routen. Gebe ich einer meiner Test-VMs nun zum Beispiel die Adresse 2a01:4f8:130:724b:2:0:0:5 und das GW 2a01:4f8:130:724b:2:0:0:2, kommt leider überhaupt keine Kommunikation zwischen dem LAN-Interface und der VM (die sich logischerweise im gleichen LAN-Segment befindet) zu stande.

Ich vermute ich mache hier einen grundsätzlichen Denkfehler - vielleicht kann mir jemand auf die Sprünge helfen.

Vielen Dank.
Gruß

vitafit

JeGr

Ja du machst einen Denkfehler. Du hast IPs aus dem gleichen /64er Netz auf beide Seiten der pfSense konfiguriert und das klappt nicht. Gleiches Spiel wie IPv4 Adressen aus dem gleichen Netz auf beiden Seiten. Das geht nicht.

Das IPv6-Subnetz wird von Hetzner auf die MAC-Adresse des WAN-Interfaces der Routing-VM geroutet.

v4 oder v6, das IPv6 Subnetz muss irgendwo hin geroutet werden. Auf eine MAC zu "routen" ist schlecht. Dann kleben dir die IPs auf dem WAN was niemand hilft. Ich würde eher sagen, du lässt dir ein Transfernetz geben für WAN und das /64er dann auf eine IP des Transfernetzes routen. Dann kannst du auch ganz regulär auf dem LAN dein komplettes /64 Netz nutzen. Anders wird das ein einziges Gefrickel werden.
Oder sie geben dir eine größere Netzmaske oder ein zweites Netz, welches dann auf eine IP des ersten geroutet wird.

Dass das was Hetzner da macht großer Mist ist, ist leider hinlänglich bekannt:

Beispiel: https://blog.knut.me/warum-man-bei-hetzner-kein-ipv6-nutzen-moechte.html

Dass es dann über Umwege doch geht (zweites /64er Netz bestellen):

https://blog.knut.me/wie-man-bei-hetzner-doch-ipv6-nutzen-kann.html

Hier wird genau das gemacht, was ich oben beschreibe, da es das einzig sinnvolle ist, bei v6 auf jeden Zwischenschritt zu verzichten (kein Proxy, kein NAT, kein sonstiger Mist, reines Routing).
Zweites Netz ordern, erstes Netz (wie dus getan hast) auf der Routing VM konfigurieren und TESTEN (ping6 ipv6.google.com bspw.) und dann das zweite /64er auf die konfigurierte IPv6 zeigen lassen. Dann kannst du im Anschluß das zweite Netz problemlos auf dem LAN Interface eintragen und in den Kisten bei Bedarf auch SLAAC und Co nutzen.

Grüße Jens

vitafit

Guten Morgen Jens,

danke für deine schnelle Rückmeldung.

Ich würde eher sagen, du lässt dir ein Transfernetz geben

Hatte ich angefragt, Hetzner möchte dafür unverschämte 49€ Einrichtungsgebühr + 15€ Flexi-Pack monatlich, daher hatte ich versucht es mit dem /64er Netz zu lösen. Das ist mir die Sache (noch) nicht wert. Problem hab ich grundsätzlich verstanden, ich stimme dir zu alles zu routen und kein NAT oder ähnliches zu benutzen, das macht keinen Sinn.

Hast du eine Empfehlung für einen besseren Provider als Hetzner? Ich war vorher bei Webtropia, da war es auch nicht viel besser…

Im übrigen lässt es sich scheinbar grundsätzlich auch mit nur einem Subnetz sprich ohne Transfernetz lösen:
https://www.sysorchestra.com/2014/11/08/hetzner-root-server-with-kvm-ipv4-and-ipv6-networking/

Ich denke aber nicht, dass ich die Sache auf pfSense übertragen kann.

JeGr

alles zu routen und kein NAT oder ähnliches zu benutzen, das macht keinen Sinn.

Nicht ganz. Davon abgesehen, dass es keinen Sinn macht, GEHT es schlichtweg NICHT. Es gibt kein NAT mehr für IPv6 weil das ganze Protokoll auf der Basis gebaut wurde, dass man solchen Schrott nicht mehr will. Und viele andere Techniken hängen da mit dran (SLAAC, RA, etc.)

Ein zweites /64er Netz zu bekommen sollte doch kein Problem sein? Wofür wollen die dann gleich das Flexi Pack verkaufen, das niemand braucht? Ich würde Sie da beim Wort nehmen und drauf bestehen, dass ich ein zweites Netz bekomme, da man das /64er einfach nicht sinnvoll mit einem ESXi Setup nutzen kann. Das ist denen auch bekannt, deshalb sollte das als Argument eigentlich ziehen.

vitafit

Leider scheint Hetzner hier alles andere als flexibel zu sein, ich hab auf entsprechende Einschränkungen hingewiesen und bestanden. Die Rückmeldung war wie geschrieben eindeutig sehr kommerziell orientiert… daher meine Frage nach anderen Anbietern, sowas ärgert mich einfach.

Ich muss mal schauen, ob ich diese Lösen irgendwie in pfSense adaptieren kann:
https://www.sysorchestra.com/2014/11/08/hetzner-root-server-with-kvm-ipv4-and-ipv6-networking/

JeGr

Nein kannst du sehr wahrscheinlich nicht. Das funktioniert schon mit dem Ansatz ESXi zusammen mit pfSense nicht. Zumindest nicht dass ich wüsste, da hier gebridget wird und dann noch wegen Hetzners Spezialsetup auf MACs gebunden wird. Ich bin außerdem irritiert, da er in dem Setup eine zweite IPv6 benutzt, die ein anderes Subnetz ist, als das /64er dass er konfiguriert. Kann ein Schreibfehler sein, aber so macht es keinen Sinn.

Grüße

vitafit

Ich muss dich nochmal um deine Meinung bitten, folgende Antwort hab ich eben vom Support erhalten:

Nein. Er muß nur auf der Router-VM die v6 IP auf dem externen Interface
kleiner als /64 konfigurieren. In der Regel wird man da nur eine als /128
konfigurieren und das /64 auf dem internen Interface. Man könnte es aber in
Teilen auch an verschiedene VMs routen (über die Link-Local-Adressen).

http://wiki.hetzner.de/index.php/Zusaetzliche_IP-Adressen#Subnetze
http://wiki.hetzner.de/index.php/Netzkonfiguration_Debian#Routed_.28brouter.29

Was ist deine Meinung dazu?

//Edit: Ich bin überrascht, so hat es funktioniert. Wow!

JeGr

Ich kann da nur auf den Anfang der Doku verweisen bei Hetzner, wo erwähnt wird:

Für Systeme wie FreeBSD ist eine andere Konfiguration notwendig.

pfSense = FreeBSD. Diverse Konfigurationen (gerade bei IPv4) von Hetzner sind teils recht krude Verrenkungen und böse Hacks um IPs direkt irgendwo Point2Point hinzurouten, was aber BSD nicht alles mitmacht.
Wenn das mit v6 tatsächlich funktioniert - lucky accident :D So konfiguriert ist es zumindest für jeden Netzwerker ein kleines Gräuel. Und die Aussage "das macht man so" ist BS-Bingo vom Feinsten ;)

Fakt ist, dass ISPs wie Hetzner und Co. ein derart großes IPv6 Netz haben, dass sie den Endkunden locker ein /60 oder ein /56er Netz zuweisen können und sollten Ihnen die Netze dann ausgehen (SEHR unwahrscheinlich) noch welche gern bei RIPE und Co bestellen dürfen. Ich vermute auch Hetzner hat da ein /29er oder größer bekommen. Dann für den Endkunden nur ein /64er rauszurücken, wenn man solche krude Netzwerkkonfig wie die Jungs auf den Switchen fährt, ist einfach nur Knauserei und Geldmacherei. Leider.

Jeder Telco ISP vergibt an seine Einwahlgeräte ja bereits mind. ein /60er Netz (häufig ein /56er), damit der Kunde intern ein bis zwei /64er sauber durchreichen kann. Und da viele Mechanismen von IPv6 nur mit einem /64er Netz als Minimum ordentlich funktionieren, ist das auch gut so.

Grüße

vitafit

Danke für deine Einschätzung - ich kann dir in allen Punkten nur zustimmen, bin aber erstmal froh dass es so jetzt läuft. Im Prinzip war der ganze Witz an der Sache, dem WAN-Interface nur eine IPv6-Adresse zuzuweisen /128 und dem LAN-Interface (welches letztendlich für die VMs als GW dient) das /64er Netz zu geben. Sooo extrem krumm ist es dann eigentlich nicht mehr.

Wie würde es den optimal aussehen - also was wäre von deinem Gefühl her "richtiger" - Würdest du (wie gesagt mal angenommen es ginge) ein Transfernetz vorziehen? Würde mich mal sehr interessieren wie du die Sache siehst.

Dann nochmal die Frage für die Zukunft: Hast du Erfahrungswerte bzgl. eines Providers != Hetzner der die IPv6-Sache bisher besser löst?

JeGr

Sooo extrem krumm ist es dann eigentlich nicht mehr.
Doch, weil du auf beide Seiten der Gateway VM das gleiche Subnetz klebst - was eben nicht normal geschweige denn sinnvoll ist. Das widerspricht einfach Routing und funktioniert da auch nur, weil dann doch via fe80:: geroutet wird. Da wird aber wieder mit einem Workaround gefrickelt anstatt es gleich richtig zu machen. Zudem die RIPE Vergaberichtlinien hat, die definieren, dass einem Kunden genau deshalb min. ein /56er Netz zugewiesen werden soll (man spricht sogar von bis zu /48). Deshalb mein "Groll" ;)

Wie würde es den optimal aussehen - also was wäre von deinem Gefühl her "richtiger" - Würdest du (wie gesagt mal angenommen es ginge) ein Transfernetz vorziehen? Würde mich mal sehr interessieren wie du die Sache siehst.
Siehe oben. Der Hack funktioniert in dieser Situation wegen der Nutzung durch Link-Local, ist aber pure Geldschneiderei/Faulheit um dem Kunden kein zweites Netz geben zu müssen.

Anderes Beispiel: Jeder Tunnelbroker für v6 löst das jetzt schon so, dass der "Kunde" ein /64er für sein LAN bekommt, die Aufschaltung läuft wie GIF/Tunnel und hat auf dem Tunnelendpunkt ein zweites /64er Netz als Transfernetz. So läuft Routing. Netz in Netz. Wenn ich das gleiche Netz auf verschiedene Interfaces konfiguriere irritiere ich immer den Netzwerkstack. Und da dann zu mogeln um das zu umgehen indem ich einfach eine Seite auf /128 force (was nicht korrekt ist), ist eben ein Workaround.

Ansonsten kann/darf ich bei anderen Hostern wenig sagen. Aber nach div. Erfahrungsberichten bzw. Netzwerk-Setups für Hoster xy zu googlen gibt da meist ein ganz gutes Bild. Gerüchteweise soll OVH solchen Schnickschnack nicht machen, aber da ich selten fremd hoste, habe ich da keinen Querschnitt, wer da gut/schlecht ist ;)

Disclaimer: Ich arbeite selbst bei einem (kleinen und spezialisierten) Hoster - hauptsächlich managed hosting, keine root Server oder derlei.

vitafit

Hi,

danke für die Rückmeldung und die Mühe, die du dir gemacht hast. Problem verstanden, wieder eine Menge dazu gelernt.

Danke.

JeGr

Gern und danke :)