IPv6 /64-es subnet routolása

Hálózatok egyéb

Sziasztok!

 

Van egy dedikált szerverem az OVH-tól Debian 11-gyel, ami kap egy /64-es tartományt. Hivatalosan ez csak egy /128-as cím, de gyakorlatilag minden szerver kap egy saját /64-et, csak nem reklámozzák:D

 

A szerver címe xxxx::1/128.

 

Van egy bridge-em ezen túl (br0), privát IPv4 subnet-tel, a szerver egyetlen publikus IPv4 címére NAT-olom a forgalmat, így a bridge-re kötött KVM virtuális gépek képesek kimenni a netre IPv4-gyel.

Ami a célom lenne, hogy IPv6-ot is tudjanak használni. Az IPv6 NAT-tal a szerver xxxx::1/128 címére tudom NAT-olni a klienseket, de ha már van néhány IPv6 cím ebben a tartományban, jó volna, ha ezeket külön külön használhatnák a gépek.

 

Ennek érdekében a br0 kapott egy IPv6 címet

xxxx:1::1/80

és a mögötte lévő Windows vagy Debian gép (mindkettővel kipróbáltam) egy olyat, hogy

xxxx:1::2/80

A virtuális gép tudja pingelni a xxxx:1::1 címet, viszont a netre már nem tud kimenni.

 

Hogyan kéne felvennem a routing szabályokat? A sysctl-ben engedélyezve van az IPv6 forwarding. Mivel fel van véve a br0-ra a xxxx:1::1/80-as subnet, ezért automatikusan jön létre számára szabály a routing táblában.

Azt is kipróbáltam, hogy a xxxx:1::1 címet rárakom az eth0-ra, hogy egyáltalán engedi-e használni a szolgáltató, hozzám routolja-e. Természetesen engedi és hozzám routolja.

 

IPv4 routing-ot állítok rendszeresen, azzal eddig nem is volt gondom, de ez az IPv6 most nagyon kifogott rajtam. A tűzfal nem fogja, a teszt idejére minden irányba (input, output, forward) accept-et állítottam, hogy ez se kavarjon be.

 

Mit hibázhatok el? Nem tudok rájönni...

 

Előre is köszi!

  • 403 megtekintés

( Friczy v | 2023. 02. 18., szo – 13:06 )

Ha jól veszem ki a leírásból, akkor neked nem route-olási szabály kell, hanem megfelelő bridge-elés.

Az első kérdés, hogy amelyik gép eléri az internetet IPv6-on, annak mi az IPv6 gateway-e. A második, hogy ténylegesen mi a maszk. A /128 biztos nem, mert ez esetben semmit se érne el lokális hálón, még a gatewayt sem. Subnetelni (/80 és hasonlók) nem látom értelmét, mert a gatewayed nem fog tudni arról, hogy te csináltál magadnak egy /80-as subnetet és az xxxx:1::2 címet neki az xxxx::1 felé kéne route-olni.

( arpi_esp v | 2023. 02. 18., szo – 13:13 )

- attol hogy minden szervernek sajat /64 prefixe van, meg nem biztos, hogy hasznalni tudod az egeszet, van hogy szurik acl-el es csak a neked kiosztott 1db cimet engedik be. elso korbe le kene ezt tesztelni.

- brouter a szo amit keresel, ez olyan hack hogy ipv4-et route-olja ipv6-ot bridgeli.

- vagy lehet 1:1 nat-olni is az ipv6-ot, en ugy csinaltam hasonlo hostingos konfigban, felvettem az osszes v6 cimet amit elerhetove akarok tenni a net feloli if-re, belulre pedig osztok local v6 cimeket, es ossze vannak nat-olva. nem szep, sot, de mukodik.

( mauzi v | 2023. 02. 18., szo – 13:29 )

Szerkesztve: 2023. 02. 18., szo – 13:29

Szia,

a szolgáltató routerén a /64 arra a subnetre van felvéve, amiben a dedikált géped WAN interfésze van, tehát ha te ebből a prefixből osztasz címeket egy másik subnetben, az nem fog működni, mert a szolgáltató routere nem fogja odaadni a forgalmat a xxxx::1 végű gépednek, hanem a cél gépet a WAN subnetben fogja keresni. (ott pedig nem lesz benne a cél gép az NDP táblában)

Ahhoz, hogy ez működjön, a szolgáltató oldalán kellene módosítani a routingot.

Amit arpi_esp írt feljebb, az jó. Csinálhatsz brouter topológiát és stateless prefix translationt is (1:1 IPv6 NAT)

DE!

Mivel az IPv6 címek ~ingyen vannak, ezért jobban jársz, ha kérsz a szolgáltatótól egy másik /64-et is. Csodálkoznék, ha érdemben pénzt kérnének érte.

( theadam | 2023. 02. 18., szo – 14:57 )

Köszönöm mindenkinek! Sajnos új IPv6 tartományra nincs mód, mert ez nagyon low-end vonal, Kimsufi, emiatt a hosting cél is csak egy Windows-t jelent igazából KVM-ben, amin az fut ami nem kell ide a laptopomra. Azért kéne csak rá a v6, mert IPv4-en 100 Mbps-re limitálják a hálózatot, v6-on talán direkt, talán véletlenül, ezt a limitációt kb. mindenkinek elfelejtik az utóbbi időben, így ha a Windows-ból tudok építeni IPv6-os warp-ot, akkor van dual stack gigabitem:D

 

A leírtak alapján 1:1 NAT lesz a dologból, bár az benne van a pakliban, hogy tartósan nem fognak engedni két címet használni, ezt még ki kell tesztelnem. Ezesetben meg marad az, hogy a Warp a szerver fő címén megy ki (xxxx::1) és mást nem engedek.

 

Az IPv6 routing akkor mindenesetre nem rajtam múlik és nem én szúrtam el:D. A bridge nem játszik és azthiszem a több IPv6 cím sem, ugyanis némi gúglizás után találtam rá, hogy az NDP táblában kimsufi-nál nem szeretik a több címet ugyanazon gépről, emiatt egyszerre csak egy tud működni... Így akkor mindenképp marad az 1:1 NAT, mert alternatívának bridge-vel proxy-zni kell az IPv6 forgalmat ndppd-vel. De ennyit ez azért nem ér.:D

TheAdam

( Des | 2023. 02. 18., szo – 16:22 )

Az a baj hogy egy szál /64-el csak a szìvás lesz, persze lehet karácsonyfát építeni csak minek. Rackforestnél, Oracle-nél (free tierben is) kapsz /56-ot ingyen. Ezt utána úgy tunnelezed/routolod ahogy akarod. Rackforestnél lesz reverse DNS-ed is ha megadsz nekik 2 DNS szervert ami kiszolgálja a kapott tartományod. Talán Oracle-nél is, de ott nem próbáltam. 

Dedikált szerver és low-end. Az Oracle-t ismerem, ott valóban van /56, de az csak VPS. RackForest-nél és a hasonló nagy neveknél meg sima, de ez játszós hobbiprojekt szerver, azért ilyen legolcsóbb Kimsufi:D

sibike | 2023. 02. 18., szo – 16:27 ) Permalink

Igen, hivatalosan nennyit adnak. Nem hivatalosan felvehető a ::2 végű cím, viszont egyszerre csak az egyik képes működni az NDP-jük miatt. Megoldás - ahogy azt más is írta fenntebb - az ndp proxy-zás, de ilyen kisfelhasználóként amire nekem kell akkor már inkább NAT.

TheAdam

( sibike | 2023. 02. 18., szo – 16:27 )

xxxx::1/128. Ebben biztos vagy, hogy nem /64 a címe? Ha a xxxx::2-t veszed fel a ::1 helyett, az is működik?