IPv6 in LXC Container auf KVM Root Server mit Proxmox als Host Betriebssystem

3x3cut0r · Feb 24th 2023

Hallo

ich habe einen RS 4000 G9.5 und darauf Proxmox 7.3 installiert.

Ich betreibe mehrere LXC Container und möchte einigen eine GUA IPv6 Adresse verpassen.

Dazu habe ich mir über das SCP mehrere Adressen aus meinem 2a03:4000:xxxx:xxxx::/64 Präfix erzeugt und diese den LXC Containern zugewiesen.

Leider erreichen diese Adressen von den Containern nicht das Internet, der Proxmox Host jedoch schon.

Woran liegt das?

Gibt es da seitens Netcup eine Einschränkung? Eventuell auf Mac ebene?

/etc/sysctl.conf

Code

net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1
net.ipv6.conf.all.proxy_ndp=1

net.ipv6.conf.default.accept_ra=0
net.ipv6.conf.default.autoconf=0
net.ipv6.conf.all.accept_ra=0
net.ipv6.conf.all.autoconf=0
net.ipv6.conf.vmbr0.accept_ra=0
net.ipv6.conf.vmbr0.autoconf=0
net.ipv6.conf.ens3.accept_ra=0
net.ipv6.conf.ens3.autoconf=

Display More

/etc/network/interfaces (proxmox)

Code

iface lo inet loopback

iface ens3 inet manual

auto vmbr0
iface vmbr0 inet static
        address 202.x.x.x/22
        gateway 202.x.x.1
        bridge-ports ens3
        bridge-stp off
        bridge-fd 0
        post-up   /opt/scripts/network/post-up.sh
        post-down /opt/scripts/network/post-down.sh
#public net

iface vmbr0 inet6 static
        address 2a03:4000:x:x:x:x:0:1/128
        gateway 2a03:4000:x::2
#public net6

auto vmbr1
iface vmbr1 inet static
        address 10.0.0.1/24
        bridge-ports none
        bridge-stp off
        bridge-fd 0
#lxc net

iface vmbr1 inet6 static
        address 2a03:4000:x:x:x:x:1:1/112
#lxc net

Display More

/opt/scripts/network/post-up.sh

Bash

#!/bin/bash
# NAT
iptables -t raw -I PREROUTING -i fwbr+ -j CT --zone 1
iptables -t nat -A POSTROUTING -s '10.0.0.0/8' -o vmbr0 -j SNAT --to-source 202.x.x.x

# IPv6 routes
ip -6 route add 2a03:4000:x::2 dev vmbr0
ip -6 route add default via 2a03:4000:x::2 dev vmbr0

# IPv6 neighbor discovery protocol
ip -6 neigh add proxy 2a03:4000:x:x:x:x:1:2 dev vmbr0

Display More

/etc/network/interfaces (lxc container)

Code

iface lo inet loopback

auto eth0
iface eth0 inet static
        address 10.0.0.2/24
        gateway 10.0.0.2

iface eth0 inet6 static
        address 2a03:4000:x:x:x:x:1:2/112
        gateway 2a03:4000:x:x:x:x:1:1
        autoconf 0 
        accept_ra 0

Display More

traceroute6 aus dem lxc container heraus

Code

traceroute6 2606:4700:4700::1111
 1  lxc.meinedomain.de (2a03:4000:x:x:x:x:2:1)  0.078 ms  0.045 ms  0.012 ms
 2  * * *
...

Danke für Hilfe

H6G · Feb 24th 2023

Du brauchst für die IPv6 Adressen der Container einen Neighbor Discovery Proxy.

Entweder über Linux Boardmittel (ip -6 neigh proxy) oder ndppd auf dem Proxmox Host.

Bei einem zusätzlichem IPv6 Subnetz entfällt das. Die sind direkt geroutet.

frank_m · Feb 24th 2023

Quote from H6G

Du brauchst für die IPv6 Adressen der Container einen Neighbor Discovery Proxy.

Das allein reicht nicht.

IPv6: trotz Proxy NDP kommt kein Traffic an - netcup Kundenforum

Ich habe hier mal bei Github ein Ticket angelegt: https://github.com/containers/podman/issues/14407 Allerdings zweifel ich gerade daran, dass das überhaupt…

forum.netcup.de

Docker and ipv6 - netcup Kundenforum

Hi, nachdem ich heute viele Forenbeiträge durchforstet habe und es leider immer noch nicht klappt, würde ich hier gerne um Hilfe bitten. Ich versuche aktuell…

forum.netcup.de

IPv6 Paketverlust bei LXC und mitgeliefertem /64 Subnetz - netcup Kundenforum

Hey netcup-Forum! Ich habe mir vor kurzem LXC (nicht LXD!) auf Debian 10 eingerichtet und wollte nun neben dem IPv4 NAT (lxc-net) jedem Container eine eigene…

forum.netcup.de

3x3cut0r · Feb 24th 2023

H6G

In meiner /opt/scripts/network/post-up.sh (siehe oben in Zeile 11) habe ich statisch Neighbor Discovery Proxy auf den LXC Container eingetragen.

Ich war der Meinung ich könnte mir damit den ndppd auf dem Proxmox host sparen, weil dass das selbe macht. Bin ich da falsch?

frank_m

Danke für die Links. Aber diese sagen alle auch nur aus, das man das ndppd braucht.

Du meintest aber das alleine reicht nicht. Was denn noch? Das mit dem regelmäßigen ping als cron oder systemd.timer?

Danke schomal soweit.

frank_m · Feb 24th 2023

Quote from 3x3cut0r

Danke für die Links. Aber diese sagen alle auch nur aus, das man das ndppd braucht.

Nein, die beschreiben auch die Probleme, die es trotz ndppd noch gibt und was alles versucht wurde, um sie zu umgehen. In Kürze: Eine zuverlässige Lösung gibt es nicht, soll es stabil und ohne Paketverluste laufen, brauchst du ein 2. routebares IPv6 Netz.

H6G · Feb 24th 2023

Quote from frank_m

Das allein reicht nicht.

Es reicht, ist aber unzuverlässig.

Quote from 3x3cut0r

Ich war der Meinung ich könnte mir damit den ndppd auf dem Proxmox host sparen, weil dass das selbe macht. Bin ich da falsch?

Öhm nein, die Zeile ist ausreichend.

War nur davon ausgegangen, dass die /112 Adresse die des Proxmox Hostes ist. Mein Fehler.

Allerdings muss hinten vmbr0 statt vmbr1 stehen, da wir auf dem Interface vmbr0 die NDP Nachrichten annehmen wollen.

Generell vermeide ich es allerdings das Public Interface an vmbr0 zu binden und route sämtlichen Traffic.

Wenn das allerdings bei dir keine Probleme in der IPv6 Erreichbarkeit des Proxmox Hostes ergibt, sollte das so klappen.

3x3cut0r · Feb 25th 2023

Quote from H6G

Allerdings muss hinten vmbr0 statt vmbr1 stehen, da wir auf dem Interface vmbr0 die NDP Nachrichten annehmen wollen.

AHHH da liegt mein Fehler! Danke.

Ich hatte es so verstanden, das ich dort das Interface angeben muss mit welcher man die IP erreicht und nicht woher die Anfrage kommt.

Jetzt klappts.

// EDIT habs oben abgeändert

Tags