Proxmox IPv6 an PFsense weiterleiten für Container

bigmac062429 · 4. August 2024 um 10:37

Ich habe ein Server gemietet auf dem Proxmox läuft. IPv4 ist dabei genatet. In meiner PFsense kann ich auch IPv4 Adressen anpingen, jedoch keine IPv6 Adressen. Der Proxmox selber ist per IPv4 und IPv6 erreichbar. In der Shell von PFsense versuche ich ipv6.google.com anzupingen, jedoch bekomme ich die Meldung „cannot resolve ipv6.google.com: Unknow server error“. Ich möchte das die PFsense wie bei IPv4 auch, die IPv6 Adressen per DHCP an die Container vergibt. Spich jederContainer hat eine IPv4 und IPv6 Adresse. Bei IPv4 kann ich mittels Portweiterleitung die einzelnen Container von außen erreichbar machen. Das gleiche möchte ich auch mit IPv6 so haben. Anbei die interfaces config:

source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback
iface lo inet6 loopback

⁠Kein Zugriffet IPv4
auto eth0
iface eth0 inet static
        address IPv4/32
        gateway 10.255.255.1
#NAT
        post-up echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport ! --dport 22,8006 -j DNAT --to 10.10.10.2
        post-up iptables -t nat -A PREROUTING -i eth0 -p udp -j DNAT --to 10.10.10.2

⁠Kein Zugriffet Ipv6
iface eth0 inet6 static
        address 2a01:xxx❌xxxx::2/128
        gateway fe80::1
        post-up sysctl -w net.ipv6.conf.all.forwarding=1

#Opensense WAN
auto vmbr1
iface vmbr1 inet manual
       address 10.10.10.1/24
       bridge-ports none
       bridge-stp off
       bridge-fd 0
       post-up iptables -t nat -A POSTROUTING -s '10.10.10.0/24' -o eth0 -j MASQUERADE
       post-down iptables -t nat -D POSTROUTING -s '10.10.10.0/24' -o eth0 -j MASQUERADE
iface vmbr1 inet6 static
       address 2a01:xxx❌xxxx::3/127
       gateway 2a01:xxx❌xxxx::2
       up ip -6 route add 2a01:xxx❌xxxx::/64 via 2a01:xxxx❌xxxx::4 dev vmbr0

#Opensense WAN
auto vmbr2
iface vmbr2 inet manual
        bridge-ports none
        bridge-stp off
        bridge-fd 0

(die möglichkeit text zu formatieren wurde nicht umsonst erfunden! der hausmeister)

aibix · 4. August 2024 um 12:49

Keine v6 Adresse auf dem Proxmox vergeben.
Keine v6 Adresse auf dem WAN Interface der OPNsense vergeben.
Das v6-Prefix das mit dem Server kommt auf dem LAN Interface der OPNsense konfigurieren.
auf dem Proxmox v6-Forwarding anmachen (hattest du schon richtig).
auf dem Proxmox als default-GW für v6 fe80::1%eth0 vergeben (hattest du auch schon richtig).
auf dem Proxmox das v6-Prefix auf die link-local Adresse des OPNsense WAN Interfaces routen.

entweder:
7a) auf der OPNsense ein v6-WAN-GW bauen mit der link-local des Proxmox auf der Bridge vmbr1 kondigurieren.

oder
7b) auf dem Proxmox auf dem vmbr1 fe80::1/64 als Adresse vergeben und dann in der OPNsense das v6-WAN-GW auf fe80::1 einstellen.

DHCPv6 konfigurieren oder (wenn das nicht zwingend sein muss) SLAAC verwenden → router advertisement auf unmanaged stellen (bzw. auf assisted wenn DHCPv6 verwendet werden soll)

Fertig.

bigmac062429 · 4. August 2024 um 13:14

  [1/1]                                                                                     /etc/network/interfaces                                                                                               
# network interface settings; autogenerated
# Please do NOT modify this file directly, unless you know what
# you're doing.
#
# If you want to manage parts of the network configuration manually,
# please utilize the 'source' or 'source-directory' directives to do
# so.
# PVE will preserve these directives, but will NOT read its network
# configuration from sourced files, so do not attempt to move any of
# the PVE managed interfaces into external files!

source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback
iface lo inet6 loopback
#Internet IPv4
auto eth0
iface eth0 inet static
        address 85.215.104.181/32
        gateway 10.255.255.1
#NAT
        post-up echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport ! --dport 22,8006,5666 -j DNAT --to 10.10.10.2
        post-up iptables -t nat -A PREROUTING -i eth0 -p udp -j DNAT --to 10.10.10.2

#Internet Ipv6
iface eth0 inet6 static
        address 2a01:239:0:80a0::2/128
        gateway fe80::1
        post-up echo 1 > /proc/sys/net/ipv6/conf/all/forwarding
        post-up route -A inet6 add default gw fe80::1 dev eth0
auto vmbr1
iface vmbr1 inet manual
       address 10.10.10.1/24
       bridge-ports none
       bridge-stp off
       bridge-fd 0
       post-up iptables -t nat -A POSTROUTING -s '10.10.10.0/24' -o eth0 -j MASQUERADE
       post-down iptables -t nat -D POSTROUTING -s '10.10.10.0/24' -o eth0 -j MASQUERADE
iface vmbr1 inet6 manual
       address fdf6:ada2:226a::1/64
       route -A inet6 add 2a01:239:0:80a0::/64 gw fdf6:ada2:226a::2
#Opensense WAN
auto vmbr2
iface vmbr2 inet manual
        bridge-ports none
        bridge-stp off
        bridge-fd 0
#Opensense LAN1

Also So?

bigmac062429 · 4. August 2024 um 13:16

Hab ich jetzt so nach deinem YT Video gemacht
(230) IPv6 /64-Prefix hinter virtualisierter pfSense - YouTube

aibix · 4. August 2024 um 13:48

Ja, da hab ich noch ULAs benutzt, geht so auch.
Kannst trotzdem die IPv6 vom eth0 wegnehmen, einfach nur das GW setzen.

bigmac062429 · 4. August 2024 um 13:50

  [1/1]                                                         /etc/network/interfaces                                                                  
auto eth0
iface eth0 inet static
        address 85.215.104.181/32
        gateway 10.255.255.1
#NAT
        post-up echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport ! --dport 22,8006,5666 -j DNAT --to 10.10.10.2
        post-up iptables -t nat -A PREROUTING -i eth0 -p udp -j DNAT --to 10.10.10.2

#Internet Ipv6
iface eth0 inet6 static
        gateway fe80::1
        post-up echo 1 > /proc/sys/net/ipv6/conf/all/forwarding
        post-up route -A inet6 add default gw fe80::1 dev eth0
auto vmbr1
iface vmbr1 inet manual
       address 10.10.10.1/24
       bridge-ports none
       bridge-stp off
       bridge-fd 0
       post-up iptables -t nat -A POSTROUTING -s '10.10.10.0/24' -o eth0 -j MASQUERADE
       post-down iptables -t nat -D POSTROUTING -s '10.10.10.0/24' -o eth0 -j MASQUERADE
iface vmbr1 inet6 manual
       address fdf6:ada2:226a::1/64
       route -A inet6 add 2a01:239:0:80a0::/64 gw fdf6:ada2:226a::2
#Opensense WAN
auto vmbr2
iface vmbr2 inet manual
        bridge-ports none
        bridge-stp off
        bridge-fd 0
#Opensense LAN1

bigmac062429 · 4. August 2024 um 13:50

Also einfach so oder wie müsste der Code aussehen. Weil jetzt ist Proxmox nicht mehr per IPv6 erreichbar

bigmac062429 · 4. August 2024 um 14:06

Jetzt ist nichts mehr erreichbar. Ich belasse das auf IPv4 da weiß ich was ich hab. Trotzdem danke

aibix · 4. August 2024 um 15:15

Muss denn der Proxmox per v6 erreichbar sein?
Reicht es nicht wenn die Clients hinter der OPNsense v6 haben?
Wenn der Proxmox auch erreichbar sein soll, klar dann geb ihm die Adresse …