Problem mit IPv6 auf verschiedenen Interfaces

  • Moin,


    ich hätte mal gerne ein Problem. Ich hab einen (nein, gelogen, mehrere) vServer bei Netcup, davon (mindestens) einen mit mehreren Netzwerkkarten, realisiert durch die Cloud VLANs. Alles ganz schön, aber jetzt habe ich ein sehr interessantes Problem: Der Server ist von extern nicht per IPv6 erreichbar. Es scheint so, als ob der Server nicht weiß, auf welchem Interface er die Pakete rausschicken soll. Netplan sieht so aus:

    ip -6 route zeigt:

    Code
    2a03:4000:6:GGGG::/64 dev eth0 proto kernel metric 256 pref medium
    fe80::/64 dev eth1 proto kernel metric 256 pref medium
    fe80::/64 dev eth0 proto kernel metric 256 pref medium
    fe80::/64 dev cali08a21644be9 proto kernel metric 256 pref medium
    fe80::/64 dev cali59738a27c32 proto kernel metric 256 pref medium
    fe80::/64 dev cali9dbbf24c030 proto kernel metric 256 pref medium
    default proto static metric 1024 
        nexthop via fe80::1 dev eth0 weight 1 
        nexthop via fe80::1:1 dev eth1 weight 1

    Ne Idee, wie ich das in den Griff bekomme?


    Viele Grüße und vielen Dank
    Matthias

    Matthias Lohr Project Blog: https://mlohr.com/

    PGP: 0x8FC3060F80C31A0A

  • Deprecated address - damit kannst Du eine IP bevorzugt verwenden: an das ip -6 a a -Kommando wird preferred_lft 0 an die Adressen angehängt, von denen aus der Rechner nicht antworten soll. Sie sind aber erreichbar.

    Ansonsten hast Du eher das Problem, dass eine Anfrage von einer IP beantwortet wird, die auf dem Interface nicht routet (nicht zum Interface geroutet wird).

    Weiters könntest Du, wie bei allen multihomed-Servern mit policy based routing arbeiten.

    Eine andere Lösung könnte promiscuous mode in Verbindung mit Routingprotokollen sein - hier eher nicht, weil Du kaum einen der Prefices via OSPF o.ä. ankündigen wirst.


    Die beiden gleichgewichteten default-routen in Deinem Posting irritieren mich. Eventuell nimmst Du ja router advertisements an. Das solltest Du via sysctl abdrehen und den Gateway fe80::1 manuell setzen.

    Wie die Lösungen für netplan aussehen, muss ich erst noch recherchieren.

  • Wenn alle Stricke reißen: per ping -I eth0 fe80::1 oder traceroute die globale IP des Routers herausfinden und manuell eintragen.


    nexthop via fe80::1:1 dev eth1 weight 1 das Teil stört aber gewaltig.

  • nexthop via fe80::1:1 dev eth1 weight 1 das Teil stört aber gewaltig.

    Jup. Das ist der Punkt, weswegen ich hier schreibe ;)


    Eventuell nimmst Du ja router advertisements an.

    Das hat geholfen. War mir vorher gar nicht klar, ich dachte, ich hätte das abgedreht. An einem der anderen Ports in dem VLAN hängt eine pfSense herum. Der Port ist statisch konfiguriert - und jetzt wo du das erwähnt hast, ist mir aufgefallen, dass die pfSense noch munter Router Advertisements verteilt hat. Ich dachte eigentlich ich hätte das bereits deaktiviert, aber offensichtlich nicht.

    Abgestellt, Netzwerk auf dem fraglichen vServer neu gestartet - und siehe da, ich hab nur noch eine einzelne wunderschöne Default-Route und der ganze Kram klappt wieder wie gewünscht. Vielen Dank für die Hilfe!

    Matthias Lohr Project Blog: https://mlohr.com/

    PGP: 0x8FC3060F80C31A0A