Gibt es die Möglichkeit, sich sein Prefix generell auf den vServer routen zu lassen? (also eine feste Route, VServer als Gateway für das Prefix)
Hintergrund:
- LXC innerhalb des VServers, mit KVM ja kein Problem.
- bridge interface mit Subnetz für die Container
- eth des VServers nicht in Bridge: Muss ja, denn ich habe nur eine IPv4 und muss daher für IPv4 in die Container Masqueraden/NATen. (Via iptables in KVM auch kein Problem)
- Netzmaske des eth des VServers daher deutlich größer 64 -> netmask:128
- IPv4 funktioniert hierdurch
Problem bei IPv6:
- der VServer reagiert auf Router-Advertisements nur für seine eigene IP (Netmask=128), nicht für die IPs der Container
- die Netzmaske muss so ja sein, denn die Bridge braucht ihr eigens Subnetz, sonst können da ja vom VServer keine Pakete hin geroutet werden
- Folge: die IPs der Container sind dem Router bei Netcup nicht bekannt: somit keine IPv6-erreichbarkeit der Container
Hat jemand eine sinnvolle Idee?
Ich habe zwei mögliche Lösungen, die mich beide irgendwie noch nicht befriedigen:
- ndppd im Userspace
- proxy_ndp via Kernel
Probleme hierbei:
Beides hat bisher nur leidlich funktioniert. Ich nutze den VServer nur rein privat (bzw. teste aktuell sogar nur) und er hat damit kaum Traffic. Auf die regelmäßigen RA des Routers reagiert der VServer offensichtlich dabei nur mit seiner eigenen IP, nicht dem Subnetz der Bridge. Damit verfallen diese nach einer Zeit aus dem Router Cache. Neue Verbindungen gehen somit erst einmal schief. Das bedeutet, verbinde ich mich nach einer Zeit per SSH zu einem Container oder ruft jemand meine Seite auf, nachdem länger niemand drauf war, gibt es erst einmal keine Verbindung. Erst der zweite Versuch ein paar Sekunden später funktioniert. Das ist irgendwie nicht sonderlich befriedigend. Kann das noch wer beobachten oder hab ich mich vielleicht verkonfiguriert?
proxy_ndp bedeutet darüber hinaus noch, jede einzelne IP, die man nutzt, manuell einzutragen (via ip -6 neigh add proxy...).
Auch irgendwie nicht schön.
Ich werde weiter suchen...
PS: Die Problematik wird dort von kasperd sehr schön beschrieben: