Hetzner IPv6 Subnetz
-
Guten Morgen Jens,
danke für deine schnelle Rückmeldung.
Ich würde eher sagen, du lässt dir ein Transfernetz geben
Hatte ich angefragt, Hetzner möchte dafür unverschämte 49€ Einrichtungsgebühr + 15€ Flexi-Pack monatlich, daher hatte ich versucht es mit dem /64er Netz zu lösen. Das ist mir die Sache (noch) nicht wert. Problem hab ich grundsätzlich verstanden, ich stimme dir zu alles zu routen und kein NAT oder ähnliches zu benutzen, das macht keinen Sinn.
Hast du eine Empfehlung für einen besseren Provider als Hetzner? Ich war vorher bei Webtropia, da war es auch nicht viel besser…
Im übrigen lässt es sich scheinbar grundsätzlich auch mit nur einem Subnetz sprich ohne Transfernetz lösen:
https://www.sysorchestra.com/2014/11/08/hetzner-root-server-with-kvm-ipv4-and-ipv6-networking/Ich denke aber nicht, dass ich die Sache auf pfSense übertragen kann.
-
alles zu routen und kein NAT oder ähnliches zu benutzen, das macht keinen Sinn.
Nicht ganz. Davon abgesehen, dass es keinen Sinn macht, GEHT es schlichtweg NICHT. Es gibt kein NAT mehr für IPv6 weil das ganze Protokoll auf der Basis gebaut wurde, dass man solchen Schrott nicht mehr will. Und viele andere Techniken hängen da mit dran (SLAAC, RA, etc.)
Ein zweites /64er Netz zu bekommen sollte doch kein Problem sein? Wofür wollen die dann gleich das Flexi Pack verkaufen, das niemand braucht? Ich würde Sie da beim Wort nehmen und drauf bestehen, dass ich ein zweites Netz bekomme, da man das /64er einfach nicht sinnvoll mit einem ESXi Setup nutzen kann. Das ist denen auch bekannt, deshalb sollte das als Argument eigentlich ziehen.
-
Leider scheint Hetzner hier alles andere als flexibel zu sein, ich hab auf entsprechende Einschränkungen hingewiesen und bestanden. Die Rückmeldung war wie geschrieben eindeutig sehr kommerziell orientiert… daher meine Frage nach anderen Anbietern, sowas ärgert mich einfach.
Ich muss mal schauen, ob ich diese Lösen irgendwie in pfSense adaptieren kann:
https://www.sysorchestra.com/2014/11/08/hetzner-root-server-with-kvm-ipv4-and-ipv6-networking/ -
Nein kannst du sehr wahrscheinlich nicht. Das funktioniert schon mit dem Ansatz ESXi zusammen mit pfSense nicht. Zumindest nicht dass ich wüsste, da hier gebridget wird und dann noch wegen Hetzners Spezialsetup auf MACs gebunden wird. Ich bin außerdem irritiert, da er in dem Setup eine zweite IPv6 benutzt, die ein anderes Subnetz ist, als das /64er dass er konfiguriert. Kann ein Schreibfehler sein, aber so macht es keinen Sinn.
Grüße
-
Ich muss dich nochmal um deine Meinung bitten, folgende Antwort hab ich eben vom Support erhalten:
Nein. Er muß nur auf der Router-VM die v6 IP auf dem externen Interface
kleiner als /64 konfigurieren. In der Regel wird man da nur eine als /128
konfigurieren und das /64 auf dem internen Interface. Man könnte es aber in
Teilen auch an verschiedene VMs routen (über die Link-Local-Adressen).http://wiki.hetzner.de/index.php/Zusaetzliche_IP-Adressen#Subnetze
http://wiki.hetzner.de/index.php/Netzkonfiguration_Debian#Routed_.28brouter.29Was ist deine Meinung dazu?
//Edit: Ich bin überrascht, so hat es funktioniert. Wow!
-
Ich kann da nur auf den Anfang der Doku verweisen bei Hetzner, wo erwähnt wird:
Für Systeme wie FreeBSD ist eine andere Konfiguration notwendig.
pfSense = FreeBSD. Diverse Konfigurationen (gerade bei IPv4) von Hetzner sind teils recht krude Verrenkungen und böse Hacks um IPs direkt irgendwo Point2Point hinzurouten, was aber BSD nicht alles mitmacht.
Wenn das mit v6 tatsächlich funktioniert - lucky accident :D So konfiguriert ist es zumindest für jeden Netzwerker ein kleines Gräuel. Und die Aussage "das macht man so" ist BS-Bingo vom Feinsten ;)Fakt ist, dass ISPs wie Hetzner und Co. ein derart großes IPv6 Netz haben, dass sie den Endkunden locker ein /60 oder ein /56er Netz zuweisen können und sollten Ihnen die Netze dann ausgehen (SEHR unwahrscheinlich) noch welche gern bei RIPE und Co bestellen dürfen. Ich vermute auch Hetzner hat da ein /29er oder größer bekommen. Dann für den Endkunden nur ein /64er rauszurücken, wenn man solche krude Netzwerkkonfig wie die Jungs auf den Switchen fährt, ist einfach nur Knauserei und Geldmacherei. Leider.
Jeder Telco ISP vergibt an seine Einwahlgeräte ja bereits mind. ein /60er Netz (häufig ein /56er), damit der Kunde intern ein bis zwei /64er sauber durchreichen kann. Und da viele Mechanismen von IPv6 nur mit einem /64er Netz als Minimum ordentlich funktionieren, ist das auch gut so.
Grüße
-
Danke für deine Einschätzung - ich kann dir in allen Punkten nur zustimmen, bin aber erstmal froh dass es so jetzt läuft. Im Prinzip war der ganze Witz an der Sache, dem WAN-Interface nur eine IPv6-Adresse zuzuweisen /128 und dem LAN-Interface (welches letztendlich für die VMs als GW dient) das /64er Netz zu geben. Sooo extrem krumm ist es dann eigentlich nicht mehr.
Wie würde es den optimal aussehen - also was wäre von deinem Gefühl her "richtiger" - Würdest du (wie gesagt mal angenommen es ginge) ein Transfernetz vorziehen? Würde mich mal sehr interessieren wie du die Sache siehst.
Dann nochmal die Frage für die Zukunft: Hast du Erfahrungswerte bzgl. eines Providers != Hetzner der die IPv6-Sache bisher besser löst?
-
Sooo extrem krumm ist es dann eigentlich nicht mehr.
Doch, weil du auf beide Seiten der Gateway VM das gleiche Subnetz klebst - was eben nicht normal geschweige denn sinnvoll ist. Das widerspricht einfach Routing und funktioniert da auch nur, weil dann doch via fe80:: geroutet wird. Da wird aber wieder mit einem Workaround gefrickelt anstatt es gleich richtig zu machen. Zudem die RIPE Vergaberichtlinien hat, die definieren, dass einem Kunden genau deshalb min. ein /56er Netz zugewiesen werden soll (man spricht sogar von bis zu /48). Deshalb mein "Groll" ;)Wie würde es den optimal aussehen - also was wäre von deinem Gefühl her "richtiger" - Würdest du (wie gesagt mal angenommen es ginge) ein Transfernetz vorziehen? Würde mich mal sehr interessieren wie du die Sache siehst.
Siehe oben. Der Hack funktioniert in dieser Situation wegen der Nutzung durch Link-Local, ist aber pure Geldschneiderei/Faulheit um dem Kunden kein zweites Netz geben zu müssen.Anderes Beispiel: Jeder Tunnelbroker für v6 löst das jetzt schon so, dass der "Kunde" ein /64er für sein LAN bekommt, die Aufschaltung läuft wie GIF/Tunnel und hat auf dem Tunnelendpunkt ein zweites /64er Netz als Transfernetz. So läuft Routing. Netz in Netz. Wenn ich das gleiche Netz auf verschiedene Interfaces konfiguriere irritiere ich immer den Netzwerkstack. Und da dann zu mogeln um das zu umgehen indem ich einfach eine Seite auf /128 force (was nicht korrekt ist), ist eben ein Workaround.
Ansonsten kann/darf ich bei anderen Hostern wenig sagen. Aber nach div. Erfahrungsberichten bzw. Netzwerk-Setups für Hoster xy zu googlen gibt da meist ein ganz gutes Bild. Gerüchteweise soll OVH solchen Schnickschnack nicht machen, aber da ich selten fremd hoste, habe ich da keinen Querschnitt, wer da gut/schlecht ist ;)
Disclaimer: Ich arbeite selbst bei einem (kleinen und spezialisierten) Hoster - hauptsächlich managed hosting, keine root Server oder derlei.
-
Hi,
danke für die Rückmeldung und die Mühe, die du dir gemacht hast. Problem verstanden, wieder eine Menge dazu gelernt.
Danke.
-
Gern und danke :)