IPv6 Netzwerk auf RS2000 G11

  • Moin moin,


    ich habe auf o.g. Rootserver Proxmox installiert und habe mir in den Kopf gesetzt, meinen LXC-Containern jeweils öffentliche IPv6-Adressen aus meinem /64er-Subnetz zu spendieren.

    Hat den Vorteil, dass ich dann später jedem einzelnen Container eine Subdomain verpassen kann (also so richtig, ohne reverse proxy).


    Dies war jedenfalls der Gedankengang der mich zu dieser Odyssee führte. Ich muss dazu sagen, dass Netzwerke bauen nicht mein täglich Brot ist, ich lerne es gerade (wieder). Dummerweise funktioniert es nicht so wie ich es mir denke, daher bitte ich nun euch um Hilfe.


    Ans Eingemachte:


    Mein ipv6-Subnet: 2a03:4000:6:711c::/64

    Unterteilt werden soll es in 80er Subnetze.

    Der Host bekommt 2a03:4000:6:711c:1::1


    Mein Testsubnetz:

    Subnetz: 2a03:4000:6:711c:2::/80

    Gateway: 2a03:4000:6:711c:2::1

    Testcontainer im Subnetz: 2a03:4000:6:711c:2::2


    Nach langem hin-und herprobieren bin ich noch auf diesen Artikel gestoßen: https://serverless.industries/…1/proxmox-lxc-netcup.html

    und versuchte meine Konfiguration daran zu orientieren.


    Der Inhalt meiner /etc/network/interfaces



    Wie man an den auskommentierten Zeilen am Schluss sieht habe ich mein Glück auch mit dem Hinzufügen von Routingeinträgen versucht. Ohne Erfolg.


    Meinen Testcontainer habe ich im Proxmox nun folgendermaßen eingerichtet:


    Interface eth0

    Bridge: vmbr1

    IP address: 2a03:4000:6:711c:2::2/80

    Gateway: 2a03:4000:6:711c:2::1


    Der Ping auf 2a03:4000:6:711c:1::1 läuft reibungslos.

    Der Ping auf meinen Container hingegen:

    Code
    ping 2a03:4000:6:711c:2::2
    
    PING 2a03:4000:6:711c:2::2(2a03:4000:6:711c:2::2) 56 data bytes
    
    From 2a00:11c0:47:3::121 icmp_seq=2 Destination unreachable: Address unreachable


    Vom Host aus hingegen klappt der Ping an 2a03:4000:6:711c:2::2 wunderbar.


    Hat vielleicht jemand einen Anhaltspunkt für mich?


    Vielen Dank für eure Zeit und Geduld im Voraus! :)

  • Das Thema hatten wir doch gerade erst. Siehe #2:

    VPS Docker IPv6 - netcup Kundenforum
    Hallo Netcup Gemeinde. Hab da "eigentlich" ein simples Problem, bei dem ich aber irgendwie auf dem Schlauch stehe. Auf einem VPS läuft Docker, dessen…
    forum.netcup.de


    IPv6 Paketverlust bei LXC und mitgeliefertem /64 Subnetz - netcup Kundenforum
    Hey netcup-Forum! Ich habe mir vor kurzem LXC (nicht LXD!) auf Debian 10 eingerichtet und wollte nun neben dem IPv4 NAT (lxc-net) jedem Container eine eigene…
    forum.netcup.de

  • Versuch es mal damit. Funktioniert bei mir sehr gut.



    https://forum.netcup.de/admini…s-docker-ipv6/#post228577

    Hi,


    nachdem ich gestern noch stundenlang das Forum durchstöberte stieß ich auch auf den von dir verlinkten Beitrag.

    Deine Lösung ist durchaus ein interessanter Ansatz, wenngleich das Problem mit dem ausgehenden Verkehr dann noch in Angriff genommen werden müsste.


    Eventuell werde ich darauf zurückgreifen, in dem Sinne: Vielen Dank für deinen Vorschlag :)


    Vorerst möchte ich aber meinen Host dazu kriegen, auf die Neighbour Solicitations mit einer Neighbour Advertisement zu antworten.

    Mir ist zumindest schon mal aufgefallen dass sich in meiner Konfiguration in der Zeile ip -v neigh add proxy gleich zwei Fehler eingeschlichen haben.


    Die Korrektur hat leider auch nichts an der Situation geändert.


    PS:

    net.ipv6.conf.all.proxy_ndp=1 hatte ich gesetzt. Daran liegt es also nicht.

  • So Leute, ich habe es gelöst. Vielleicht hat ja jemand das gleiche Problem wie ich, daher hier meine Lösung und mein Fazit.


    Ich hatte den neighbour-proxy ursprünglich auf vmbr1 gelegt, wohl auch in Unkenntnis darüber, wie ip neigh add proxy funktioniert. Leider fand ich auch nirgendwo eine anschauliche Beschreibung was der Befehl eigentlich konkret macht.


    Was ich gemacht habe:

    Nachdem ich ihn von vmbr1 auf vmbr0 legte, funktionierte es.


    Was ich daraus schließe:

    ip -v6 neigh add proxy [IP-Adresse] [Interface]


    Die IP-Adresse ist diejenige auf die reagiert werden soll, wenn Netcup die Neighbour Solicitations durchschickt: "Wem gehört IP xyz?"

    Das Interface ist dasjenige, über das als Antwort die Neighbour Advertisement verschickt werden soll.


    Zuvor hatte ich als Interface vmbr1 angegeben, das aber nicht "nach draußen" gebridged ist, sondern sein eigenes Layer2-Netz darstellt.

    Da NDP messages das lokale Netz nicht verlassen geht also auch nichts "raus".


    Falls das, was ich hier als Erklärung kredenze ungenau oder falsch sein sollte, freue ich mich über jede Korrektur.

  • Nur als Hinweis: Das wird nicht dauerhaft stabil funktionieren. Es wird immer wieder zwischendurch zu Paketverlusten kommen. Ich empfehle die verlinkten Threads für die Beschreibung weiterer Maßnahmen, die das Problem lindern, aber nicht vollständig lösen. 100% Zuverlässigkeit erreicht man nur mit einem zusätzlichen IPv6 Netz.

  • Nur als Hinweis: Das wird nicht dauerhaft stabil funktionieren. Es wird immer wieder zwischendurch zu Paketverlusten kommen. Ich empfehle die verlinkten Threads für die Beschreibung weiterer Maßnahmen, die das Problem lindern, aber nicht vollständig lösen. 100% Zuverlässigkeit erreicht man nur mit einem zusätzlichen IPv6 Netz.

    Ja, das dachte ich mir. Wirklich "fertig" ist mein Setup auch noch nicht. Bisher war das eher eine Spielerei zum Lernen. Ich denke ich werde mich da an der Lösung von DigitalClark orientieren (inklusive des Ping-Workarounds). Bis dahin erst mal vielen Dank für eure Hilfe! Oder ja, ich könnte auch gleich ein zusätzliches Subnet kaufen. Bei einem Euro im Monat ist das ja auch eine überschaubare Investition. Und vor allem muss ich mich dann nicht mehr mit NDP herumschlagen :)


    Was für mich aus den Beiträgen noch nicht so ganz klar geworden ist: Wie kommt es zu dem Paketverlust? Dauert das NDP-Frage-Antwort-Spiel zu lange als dass die ersten 100 Pakete zugestellt werden könnten?


    Auch eine interessante Frage, da ich die technischen Hintergründe noch nicht vollends durchschaut habe: Soweit ich gelesen habe, gibt es bei NDP keinerlei "Authentifizierung". Was würde einen anderen Netcup-Kunden daran hindern eine Solicitation nach meiner IP-Adresse als erstes zu beantworten?

  • Was für mich aus den Beiträgen noch nicht so ganz klar geworden ist: Wie kommt es zu dem Paketverlust?

    Das wissen wir leider nicht genau. Spätestens die Pings sollten die MAC Tabellen in den Switches aktuell halten.


    Was würde einen anderen Netcup-Kunden daran hindern eine Solicitation nach meiner IP-Adresse als erstes zu beantworten?

    Theoretisch ist das möglich. Inwiefern anschließend eine erfolgreiche Datenübertragung stattfindet, müsste man sich mal näher ansehen.