IPv6 DNAT Routing an LXD Container

  • Vielleicht habe ich mit der Kündigung etwas überreagiert, aber da der Root Server bis zum Ablauf der Kündigungsfrist eh noch vorhanden ist, habe ich beschlossen noch nicht aufzugeben. Ich finde den Root Server für meinen Zweck zu attraktiv.


    Inzwischen habe ich auch noch festgestellt, dass ich etwas überlesen habe *Haare ruft*:

    Dein Standard IPv6 Subnet ist kein geroutetes Subnet. D.h. es funktioniert nur auf dem Interface deines Hosts. näheres z.B. Wikipedia


    Entweder Du verwendest einen ND Proxy, oder Du brauchst ein geroutetes IPv6 Subnet (z.B. Failover IPv6)

    Da habe ich "geroutetes IPv6 Subnet" wohl mit "zusätzliches IPv6 Subnet" verwechselt. Erst jetzt ist mir klar geworden, dass dann wohl die einzige Option ausser einem ND Proxy, ein Failover IPv6 ist. Schade hab ich den Adventskalender verpasst :(


    Es bleibt dann immer noch die Frage offen, warum dieses zusätzlich bestellte IPv6 Subnet nicht funktioniert. Sobald ich eine Adresse aus diesem Netz zusätzlich dem Interface ens3 zuweise sind IPv6 Zugriffe ins Internet blockiert. Diese Adresse ist mit ping von aussen auch nicht erreichbar, die schon vorhandene IPv6 Adresse aus dem ersten IPv6 Subnet aber schon. Wenn ich da jetzt nicht wieder etwas durcheinander bringe, dann ist dies aber ein anderes Problem und hat für mich keine Priorität.

  • Hi, nein, das hast du schon richtig verstanden. Der einzige Unterschied zwischen Failover IPv6 und Zusatz IPv6 ist, dass du das Failover jederzeit ohne Zusatzkosten auf einen anderen Server routen kannst, wohingegen das Zusatzsubnet einmal einem Server zugewiesen wird. Willst du es anschließend auf einen anderen Server routen musst du eine Bearbeitungsgebühr bezahlen.


    Mal ein evtl. ganz dummer Hinweis: Die Zieladresse aus deinem Standard IPv6 hast du deinem Server als Zieladresse für das Routing zugewiesen oder? Ohne die funktioniert das Routing nämlich nicht:

    pasted-from-clipboard.png

  • Danke für den Hinweis, aber klar hab ich das :)


    Ich hatte ja nebst dem Root Server schon den vServer und da fragte ich mich schon bei der Bestellung, ob die denn wissen wohin sie die Zuweisung machen müssen. Also war die Zuweisung das Erste was ich machte und sie erscheint auch richtig im SCP (unter Allgemein und Netzwerk).


    Angenommen, ich habe einen neu aufgesetzten Server mit Ubuntu 18.04, ohne LXD oder irgendwas, kann ich dann eine Adresse aus dem zweiten IPv6 dem Interface ens3 einfach zuweisen oder muss ich noch was machen? Ich frage deshalb weil das nicht geht:


    Das ist meine /etc/netplan/01-netcfg.yaml:

    Das funktioniert. Ich kann von extern 2a03:4000:32:112::1 problemlos anpingen und in umgekehrter Richtung geht ein ping -6 auch.


    Entferne ich jetzt das Kommentarzeichen für die IPv6 Adresse aus dem zweiten Subnet, dann kann ich 2a03:4000:32:112::1 von extern immer noch anpingen. Hingegen kann ich von extern 2a03:4000:20:196::1 nicht anpingen und ping -6 vom Root Server nach aussen gehen auch nicht mehr.


    Dasselbe gilt wenn ich den Server im Rettungssystem starte und das Netzwerk entsprechend manuell mit ip konfiguriere. Und wie schon erwähnt, im tcpdump bekomme ich auch nie etwas aus diesem Subnet zu sehen (z.b. keine "neighbor solicitation, who has 2a03:4000:20:196::1" bei tcpdump icmp6 wenn extern dafür pings abgesetzt werden).


    Am externen Server sieht es dann so aus:

    Code
    # ping 2a03:4000:20:196::1
    PING 2a03:4000:20:196::1(2a03:4000:20:196::1) 56 data bytes
    From 2001:7f8:30:0:1:1:19:7540 icmp_seq=1 Destination unreachable: Address unreachable
    From 2001:7f8:30:0:1:1:19:7540 icmp_seq=2 Destination unreachable: Address unreachable
    From 2001:7f8:30:0:1:1:19:7540 icmp_seq=3 Destination unreachable: Address unreachable
    ...

    Ich bin mal gespannt. Ich hab auf morgen einen telefonischen Termin vereinbart. Ich bin nicht der, welcher zuerst mal nach dem Support schreit und ich erwarte ja auch nicht, dass mir der Support meine Kiste konfiguriert, aber hier läuft mit der Anbindung gerade einiges nicht so wie ich mich es von anderen Providern gewohnt bin und wer kann denn sonst helfen, wenn nicht der Support?

  • AHA, da haben wir den Fehler doch: Das Routing im SCP alleine reicht nicht aus, der Server selbst muss die Zieladresse auch konfiguriert haben. Du musst deinem Netzwerkinterface also noch die angegebene Adresse aus dem 2a03:4000:32:112:: Subnet zuweisen. Erst dann kommen die Pakete eben auf dieser Adresse an (Siehe die Adresse mit der roten Umrandung oben in meinem Screenshot).

  • :thumbup:Echt SUUUUUUUUUUUUUUUUUUUUPER!!!!! Das war's!

    Der Rest wird ein Klacks, da bin ich mir sicher. Das mach ich dann morgen. Ich hab mir gleich noch den "Neujahrskracher" (RS 2000 G8) bestellt.


    Ich dachte mir, dass es nur eine Kleinigkeit sein kann. Ich hatte das mit der Adresse auch schon mal versucht, aber dann war wahrscheinlich so viel durcheinander, dass es aus anderen Gründen nicht funktioniert hat.


    Danke dir und allen anderen in diesem Thread für eure Bemühungen.

  • Nur so als Feedback: ich wollte es jetzt genau wissen und konnte nicht mehr bis morgen warten. Der Tag ist gerettet. Ich habe mein gewünschtes Setup mit den zwei Containern, wie von mir beschrieben, jetzt realisiert. Es funktioniert perfekt und passt bis auf den zusätzlichen Eintrag mit der Zieladresse im Server zu meinen sonstigen Konfigurationen. Schade, dass ich es in der Doku im Wiki so nicht finden konnte.


    H6G: sorry, das habe ich in #11 dann nicht so verstanden.

  • Im Übrigen kannst du eine Kündigung auch wieder zurück ziehen. Sowas ist nicht in Stein gemeißelt.

    Ja, das werde ich morgen regeln. Oder das Subnet auf den "Neujahrskracher" legen, da ich zur Zeit eher zuviel ungenutzte Kapazitäten habe. Die Root-Server sind einfach eine geniale Ergänzung zu dem was ich sonst noch habe und ich überlege mir einen älteren dedizierten Server damit abzulösen.

  • Kurze Vorwarnung: wenn es kein FailOver Subnet ist, kostet es eine Bearbeitungsgebühr das ganze auf einen anderen Server legen zu lassen, meine ich.

    Ja, danke, das weiss ich schon. Aber das wird immer noch billiger als ein neues Subnet bestellen und das andere ein Jahr lang brach liegen lassen. Ich hab's doch bereits schon bezahlt.

  • 45€?? Das ist heftig. Wieso ist das so teuer?

    Gab da mal eine Diskussion dazu, der Sinn war das ein Failover-IP nicht durch eine zusätzliche IP ersetzt wird, das Failover kostet ja pro Monat 4€ mehr im Vergleich. Wenn der Wechsel z.B. nur 10€ kosten würde und man nicht oft tauscht, könnte man das wohl theoretisch ausnutzen, wenn auch die Umschaltung sehr träge wäre... :/ So lohnt sich eine Failover-IP erst wenn man öfters wie 1x im Jahr die IP tauschen will.


    Da bin ich doch froh das ich gegen Einmalgebühr mir einige IPv6 Failover-Netze besorgt habt die (auf alle Zeit) gratis sind 8) Auch wenn sie noch brach liegen ^^

  • Da bin ich doch froh das ich gegen Einmalgebühr mir einige IPv6 Failover-Netze besorgt habt die (auf alle Zeit) gratis sind 8)

    Verträge können übrigens von beiden Seiten gekündigt werden… :D *duckundwegrenn*


    Nein, ersthaft: Da konnte man sich damals mehrere nehmen? Wieso habe ich Depp dann nur eines? ^^


    Aber egal, Dank dem Cloud vLAN nicht mehr so wichtig.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)