IPv6 routed prefix

  • Gibt es die Möglichkeit, sich sein Prefix generell auf den vServer routen zu lassen? (also eine feste Route, VServer als Gateway für das Prefix)


    Hintergrund:

    - LXC innerhalb des VServers, mit KVM ja kein Problem.

    - bridge interface mit Subnetz für die Container

    - eth des VServers nicht in Bridge: Muss ja, denn ich habe nur eine IPv4 und muss daher für IPv4 in die Container Masqueraden/NATen. (Via iptables in KVM auch kein Problem)

    - Netzmaske des eth des VServers daher deutlich größer 64 -> netmask:128

    - IPv4 funktioniert hierdurch


    Problem bei IPv6:

    - der VServer reagiert auf Router-Advertisements nur für seine eigene IP (Netmask=128), nicht für die IPs der Container

    - die Netzmaske muss so ja sein, denn die Bridge braucht ihr eigens Subnetz, sonst können da ja vom VServer keine Pakete hin geroutet werden

    - Folge: die IPs der Container sind dem Router bei Netcup nicht bekannt: somit keine IPv6-erreichbarkeit der Container

    Hat jemand eine sinnvolle Idee?


    Ich habe zwei mögliche Lösungen, die mich beide irgendwie noch nicht befriedigen:

    - ndppd im Userspace

    - proxy_ndp via Kernel


    Probleme hierbei:

    Beides hat bisher nur leidlich funktioniert. Ich nutze den VServer nur rein privat (bzw. teste aktuell sogar nur) und er hat damit kaum Traffic. Auf die regelmäßigen RA des Routers reagiert der VServer offensichtlich dabei nur mit seiner eigenen IP, nicht dem Subnetz der Bridge. Damit verfallen diese nach einer Zeit aus dem Router Cache. Neue Verbindungen gehen somit erst einmal schief. Das bedeutet, verbinde ich mich nach einer Zeit per SSH zu einem Container oder ruft jemand meine Seite auf, nachdem länger niemand drauf war, gibt es erst einmal keine Verbindung. Erst der zweite Versuch ein paar Sekunden später funktioniert. Das ist irgendwie nicht sonderlich befriedigend. Kann das noch wer beobachten oder hab ich mich vielleicht verkonfiguriert?


    proxy_ndp bedeutet darüber hinaus noch, jede einzelne IP, die man nutzt, manuell einzutragen (via ip -6 neigh add proxy...).

    Auch irgendwie nicht schön.


    Ich werde weiter suchen...


    PS: Die Problematik wird dort von kasperd sehr schön beschrieben:

    https://serverfault.com/questi…ed-prefix-and-link-prefix

  • Aber die kannst Du (im Gegensatz zum zusätzlichen Subnetz) nicht auf einen anderen vServer mitnehmen.


    :D

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Danke für die Tipps; da steht aber nicht mehr drin, als ich schon hatte.


    Ich habe mir eine (bisher) relativ lag-freie Lösung mit proxy_ndp gebastelt. Via proxy_ndp muss man zwar jede IP einzeln eintragen und keine Subnetze, aber das lässt sich ja skripten. Das wird mir wohl so reichen. Und wenn ich mal über ein günstiges Subnetz stolpern sollte, kann ich ja noch immer zuschlagen.


    PS: Der verlinkte Beitrag, der mir helfen soll, endet übrigens mit "Es will einfach nicht funktionieren, ich leg das Ganze erstmal auf Eis..." ;)

  • Moin zusammen,


    ich stehe gerade vor exakt dem gleichen Problem, wie hier geschildert.

    Auf meinem Server läuft ein Docker Dienst mit IPv6 Containern und ein NDPPD. Auch hier ist zu beobachten, dass die Verbindung nach gewisser Zeit nur sehr verzögert aufgebaut werden kann.

    Gibt es beim Thema des Routings von IPv6 Subnetzen inzwischen ggf. etwas neues, oder besteht die Lösung weiterhin aus der Buchung eines weiteren Subnetzes?


    Viele Grüße

    Nils