IPV6 /64 am WAN und jetzt?



  • Hallo Zusammen,

    ich betreibe PFsense an einem Anschluss wo ich vom Provider eine IPV6 /64 bekommen habe. Gateway ist fe80::1.
    Wie bekomme ich es hin das die Maschinen hinter der PFSense IPV6 nutzen können?

    Danke für Eure Hilfe IPV6 ist noch nicht so meins.

    Gruß Zero



  • @zerocuul:

    Danke für Eure Hilfe IPV6 ist noch nicht so meins.

    Hallo,
    das wäre kaum aufgefallen  ;)

    Die IP hast du nicht vom Provider bekommen, es handelt sich um eine Link Local Adresse, siehe dort > http://www.ipv6-portal.de/informationen/einfuehrung/adressbereiche.html

    LG



  • Ok dann habe ich mich leider nicht klar genug ausgedrückt.
    Der Provider ist Hetzner und ich habe ein IPv6  /64 Subnetz zugeordnet bekommen.
    Jetzt läuft auf dem Server (VMware) PFSense und ich möchte das die Maschinen dahinter ebenfalls per v6 arbeiten können.

    Lieben Dank



  • Guten Morgen,
    System -> Advanced -> Networking

    Dort schon die Haken bei "Allow IPv6" gesetzt und bei "Prefer to use IPv4 even if IPv6 is available" rausgenommen?


  • LAYER 8 Moderator

    Der Provider ist Hetzner und ich habe ein IPv6  /64 Subnetz zugeordnet bekommen.

    Dann mach doch da ein Ticket auf, sag, dass du Hardware/Software im Einsatz hast, die mit dem FE80::1 Crap nicht klar kommen und sie sollen doch bitteschön noch ein zweites /64 adressieren und das erste da rauf routen. Hetzner hat eine Sch… Unsitte (sorry, anders kann man das nicht ausdrücken), IPs zu sparen, was bei Legacy v4 ja noch klar ist weshalb, aber die Vergaberichtlinien für v6 sehen ganz klar vor, dass der Kunde Anspruch auf bis zu /60 oder sogar /56 hat um ordentlich mit seiner Hardware/Software arbeiten zu können, da viele Soft-/Hardware Kombinationen fest auf /64 verdrahtet sind bzw. eben damit am Besten umgehen können. Und wenn du das /64 auf der LAN Seite brauchst, können Sie dir entweder ein Transfernetz geben wo das raufgeroutet ist oder noch ein /64er locker machen und das ordentlich routen. Machen Sie das nicht - so wie sies in Ihrem Wiki verschwurbeln mit RouterVM Blablabla, dann hast du den ganzen Mist mit Router vornedran und 1:1 Adresszuweisung wieder. Wozu mache ich aber v6 wenn ich wieder NATten oder rumschaukeln muss.
    Deshalb würde ich da ein Ticket aufmachen und Tacheles reden. Wenn schon v6 dann bitte richtig und keine halbgare Babygrütze.

    Sorry für den Rant, aber der Umgang mit v6 von ISPs und Hostern macht mich in letzter Zeit wirklich kirre. Ich bin momentan soweit, dass ich bei einem RZ Anbieter jetzt nen v6 Tunnel habe, weil die es nicht gebacken bekommen ordentliches v6 reinzurouten. Da haut man sich doch vorn Kopp...



  • Hi Zero,

    wir sieht denn dein /64 Netz aus oder wie fängt es an (erste 4 Zeichen)?
    Es ist nicht ganz unüblich, dass das Gareway eine Link local address ist.

    VG
    Sven



  • Hallo Zusammen,

    danke für die Antworten.
    Mein Netz fängt mit 2a01:4f8: an.
    Also kann ich mein Problem nur lösen wenn ich Hetzner nen Ticket schreibe?
    Oder geht es mit dem Subnetz doch?

    Gruß Zero



  • Hier die Antwort von Hetzner

    Sehr geehrter Herr ,

    Sie können das bestehende IPv6 Subnetz für die VMs benutzen:

    http://wiki.hetzner.de/index.php/VMware_ESXi

    Falls Sie trotzdem ein weiteres Subnetz wünschen, dann kostet es 41,18 € (exkl. USt) einmalig und es wird auch auf fe80::1 geroutet. Bitte bestätigen Sie die Kosten.

    Mit freundlichen Grüßen / Kind regards

    :-\ :-\



  • Hi

    mit dem Netz klappt es auf jeden Fall ohne extra Ticket oder Kosten von Hetzner.
    Du sagst das Gateway ist fe80::1.

    Kannst du kurz dein Setup beschreiben?
    Ist das ein virtueller Server und die pfSense eine VM darauf, die das Netz von WAN nach LAN Routen soll?



  • Ja gerne.
    Aktuell habe ich 3 einzelne IPV4 und das IPV6 Subnetz.
    Das ist alles auf einen Root-Server gerootet.
    Auf dem Root-Server läuft ESXI6 und dort drin eine PFSense VM. Auf diese zeigt die Haupt IPV4, diese VM hat dementsprechend eine MAC von Hetzner auf der Wan Seite.
    Der PFSense VM ist also WAN und Lan seitig mit einem VSwitch angeschlossen. An dem VSwitch Lan hängen die ganzen anderen VMs.
    Diese VMs sollen jetzt auch über IPV6 arbeiten können.

    Gruß Zero



  • Also du hast grundsätzlich das Problem, dass Hetzner das /64 Netz nicht weiter routet.

    Du hast also 3 Optionen:

    1. Hetzner fragen ob sie aus dem /64 Netz ein /56 Netz weiter zu deiner pfsense Routen können.
    2. Du musst dein WAN und LAN bridgen, damit die IPv6 Adressen direkt geroutet werden können
    3. Die IPv6 Adressen mit 1:1 NAT benutzen

    Du musst auf jeden Fall in deinem WAN Interface IPv6 anstellen und eine statische IP aus dem Bereich dem Interface zuweisen. Als Gatway kannst du dort das genannte ebenfalls anlegen.

    Welche Option willst du denn versuchen?



  • Also Punkt 1 wird glaube ich ohne Geld nichts werden.

    Bleiben Punkt 2+3 über.
    Ziel soll es sein das unter anderem Webserver per IPV4 und auch V6 erreichbar sein sollen.
    Habe zwar nicht viel Ahnung von IPV6 aber beide Punkten könnten das lösen denke ich.
    Mangels wissen fehlt mir die Abschätzung welche Variante die geringsten Nachteile hat und die einfachere Variante ist.
    Generell bin ich ein Freund es richtig zu machen auch wenn es mehr arbeit ist.

    Gruß Zero

    schon mal an alle einen guten Rutsch ins neue Jahr



  • Hi,

    also bei Punkt 2 hast du den Nachteil, dass deine IPv4 Adressen dann auch durchgebridged werden, wenn du die vorhandenen LAN und WAN benutzt.
    Das heißt, sie werden den VMs direkt zugewiesen.
    Ausser du machst jeweils ein zweites LAN und WAN Interface. Dann hast du aber 2 interfaces auf jeder VM uns der pfSense.
    Eines für IPv4 und eines für IPv6.

    Mit 1:1 NAT kannst du die Interfaces so lassen, hast aber mehr "Arbeit".
    Dafür musst du deinem vorhandenen WAN eine IPv6 statisch aus dem Bereich zuordnen.
    Dann den DHCP v6 aktivieren und dieser muss private Adressen ausgeben also aus dem Bereich fd00::/8 z.b. fd00::/64.
    Dann musst du NAT aktiveren für IPv6 und alle Verbindungen aus dem fd00::/64 mit der WAN IPv6 Natten.
    Anschließend musst du die 1:1 NATs setzen, dass jeweils eine public IPv6 auf eine private IPv6 gemappt werden.

    Beide Methoden sind nicht ganz sauber und eher Geschmacksache.

    1. wäre die saubere Methode ;)

    Wenn du mir sagst, welche Methode du nehmen willst, kann ich noch etwas spezifischer werden.


  • LAYER 8 Moderator

    Hallo Voleatech / Sven (vermute ich) ;)

    zu "1) wäre die saubere Methode ;)"

    1. Hetzner fragen ob sie aus dem /64 Netz ein /56 Netz weiter zu deiner pfsense Routen können.

    Da hast du dann aber was durcheinander gebracht, oder? ;) Wenn Zero von Hetzner (wie eigentlich immer) nur ein /64er Netz bekommt, dann kann Hetzner ihm daraus kein /56er rausschneiden ;) Das ist ja größer, nicht kleiner :D
    Umgekehrt, müssten Sie ihm eigentlich ein /60 oder /56er zuweisen und aus diesem wiederum ein /60 oder /64er dann auf eine andere Adresse routen. Da aber Hetzner (leider) bei seinen Einzelservern und IP Vergaben ein leidiger Sauhaufen ist (was nicht böse gemeint ist, ich kenn da viele Jungs aus der Technik, die können da auch nix für - und je nachdem an wen man gerät, bekommt man manchmal auch trotzdem Hilfe und IPs obwohl ein Kollege nein sagt ;)) wird das ohne K(r)ampf via Ticket Krieg wahrscheinlich nichts.

    Einzige Möglichkeit wäre @zero, dich via Ticket nochmals an Hetzner zu wenden und zu argumentieren, dass dir ein /64er IPv6 Netz für deine Zwecke der Virtualisierung mit dem Server nicht genügen und du mind. ein /60 Netz benötigst und dich dabei auf die RIPE Richtlinien für IPv6 Vergabe zu berufen. Dort wird u.a. für LIRs und RIPE Member vorgegeben, dass man für Endkunden ein /56 oder /60 für die Vergabe vorsehen soll, da hier durch Hardware Limitation auf /64 der Kunde sonst in unnötige Schwierigkeiten kommen kann (da z.B. SLAAC und Co. nur sauber mit /64 und größeren Netzen funktionieren).

    Wenn die sich da aber krumm stellen, wird das wohl bei einer von den anderen leidigen Methoden hängen bleiben. Hattest du auf dem WAN für IPv6 denn schonmal fe80::1 als Gateway eingetragen und getestet, ob die pfSense selbst damit raus kommt? Oder klappt das gar nicht?

    Grüße Jens



  • Hi Jens,

    ja ich bins Sven :)

    Da hast du natürlich recht, da bin ich glatt in die falsche Richtung gegangen mit meinem Subnetz.
    Ich meinte Hetzner fragen, ob Sie ein Subnetz aus dem /64 Netz auf die pfSense routen können, also z.b. /72.
    Das ist zwar sehr unsauber und unüblich aber wenn man nur ein /64 Netz hat und Hetzner sich sonst nicht bewegt, geht es nicht anders.

    Viele Grüße
    Sven



  • Hi Jens Hi Sven,

    danke für Eure Antworten.
    Also glaube wenn man mit Hetzner eine Ticketdiskussion anfängt wird es bestimmt irgendwann eine Lösung geben und bestimmt auch ein bisschen Geld nötig sein. Da fehlt mir momentan die Motivation zu  ;)

    Also ich habe am Wan eine Adresse aus meinem Subnetz mit dem Gateway fe80 vergeben und von PFSense aus kann ich ipv6 google und heise erreichen. Also läuft das erstmal.
    Womit ich mich ein bisschen schwer tue ist DHCPv6 Config bei pfsense. Vielleicht könnt Ihr mir da grob sagen wie ich das einstelle. Alternativ hätte ich sonst mal statisch versucht. Das mit dem Nat klingt für mich logisch aber vll habt Ihr da auch ein paar Konfig-Hinweise sonst probiere ich einfach weiter bis es geht :)

    Danke

    Gruß Zero


  • LAYER 8 Moderator

    Hi Sven :)

    Ich meinte Hetzner fragen, ob Sie ein Subnetz aus dem /64 Netz auf die pfSense routen können, also z.b. /72.

    Das wäre kontraproduktiv (leider), da die meisten v6 Features ja auf einem /64er aufbauen, weshalb wir von der RIPE ja auch explizit gesagt bekamen (beim Hosting bspw.) dass dem Kunden mind. ein /60 angedacht werden sollte, damit er ggf. intern wieder sauber ein /64 nutzen kann, selbst wenn wir es ihm am Anfang nicht direkt zuweisen. Warum sich Hetzner nicht an diese Vergaberichtlinien oder "best practices" hält, ist mir leider immer noch schleierhaft, auch wenn ich erst vor 3 Wochen noch persönlich bei den Jungs vor Ort in Nürnberg war. Aber leider können die Kollegen aus dem Netzwerk Team dort auch nur das machen, was sie vorgegeben bekommen :/

    Klar wäre es einen Versuch wert, allerdings wird das dann vom Setup her ziemlich bastelig, da sämtliche autodiscovery dann wegfällt. Und viel Erfolgswahrscheinlichkeit sehe ich leider auch nicht :/

    Viele Grüße
    Jens


Log in to reply