Dotaz: IPv6 adresy

Dobrý den, dostal jsem k dedikovanému serveru následující informace o IPv6: --------------------------------------------------------------------- adresa (address): 2001:15e8:104:4::d85f prefix sítě: /64 defaultní brána (gateway): 2001:15e8:104:4::1 routovaná síť: 2001:15E8:10B:F00::/56 2001:15e8:104:4::d85f ---------------------------------------------------------------------

Jelikož se bude jednat pouze o testovací server, tak chci využívat pouze IPv6 adres na KVM hostech a tady jsem narazil na problém, nedaří se mi dostat se ani na virtuálky a z nich. Virtuálce jsem přidělil IPv6 adresu 2001:15E8:10B:F00::1/56 a jako bránu jsem zkoušel jak 2001:15e8:104:4::1, tak i hodnotu hostitele 2001:15e8:104:4::d85f. Síťové rozhraní mám konfigurované jako bridge s eth0.

Kde dělám chybu?

Předem děkuji za rady.

Z tvého popisu jsem trochu nepochopil jaké adresy jsi dostal a jak ty servery máš.....

Pokud máš veřejné IPv4 tak bych je tam nechal a na síťovce bych v IPv6 nechal autokonfiguraci ve firewallu nechal povolené ICMPv6 které je třeba a po restartu bych skontroloval jaké IPv6 budeš mít na rozhraní z autokonfigurace.

Zda tam bude 2001:15e8:104:4:: nebo 2001:15E8:10B:F00::

Podle mě jsi dostal rozsah 2001:15e8:104:4::/64 takže na PC musíš nastavit 2001:15e8:104:4::xxxxx gateway 2001:15e8:104:4::1

Nebo jsi fakt dostal celý příděl 2001:15E8:10B:F00::/56

Další zrada může být u koho máš ten server u wedosu si musíš příslušné IPv6 povolit nebo z důvodu ochran jsou ty IPv6 na firewallu zakázány.

Hostitel musí fungovat jako router, tj. na rozhraní směřujícím do internetu bude mít adresu 2001:15e8:104:4::d85f, a na rozhraní směřujícím k virtuálům bude mít nějakou adresu z rozsahu 2001:15E8:10B:F00::/56 (obvykle se pro přehlednost dává první IP adresa z rozsahu) a ta bude fungovat jako výchozí brána pro ty virtuály. Takže hostiteli dejte tu 2001:15E8:10B:F00::1/56, virtuálce třeba 2001:15E8:10B:F00::10/56 a bránu 2001:15E8:10B:F00::1/56.

Jeste muzes zkusit, jestli ve virtualu neprojde nastaveni nejake adresy ze site 2001:15e8:104::/64 (samozrejme krome ::1 a ::d85f) a gw 2001:15e8:104:4::1. S bridge interfacem by ti to teoreticky melo slapat.

Kde dělám chybu?

Podle mě přesně tady:

Síťové rozhraní mám konfigurované jako bridge s eth0.

To, co máš, je naprosto standardní konfigurace, jakou používají prakticky všichni operátoři — tvůj přidělený rozsah s prefixem kratším než /64 je zcela disjunktní s tvou vnější adresou z jiného rozsahu v síti operátora. K tomu se bridge přes všechna rozhraní prostě nehodí; musel bys explicitně nadefinovat u všech strojů, že příslušné rozsahy jsou taky „on link“.

Konfigurace, kterou potřebuješ, je asi tak tohle:

• Ethernet k operátorovi je samostatné rozhraní s tou externí adresou a s default route.
• Vnitřní virtuální switch / bridge je samostatné rozhraní, na kterém má fyzický server nějakou adresu z toho interního /56 rozsahu a slouží tam jako default route.
• Virtuálky mají adresy z toho /56 rozsahu a adresu fyzického serveru (tu vnitřní!) nastavenou jako default route.
• Pak budou všechny stroje, virtuální i fyzické, vědět, kudy a kam se routuje.

Jo a nezapomeň zkontrolovat sysctl -a | grep forwarding — častá chyba je, že to není povolené.

Jestli tam máš nftables nebo zastaralé iptables, je dobré je (čistě pro zjištění či vyloučení možné příčiny problému) při debuggování na chvíli vypnout — a pak doladit, co v nich mohlo být špatně.

Další tip na závěr: Můj operátor například vyžaduje, abych si sjednal DHCPv6 prefix delegation — a to i přesto, že můj prefix je stálý a předem známý. Prostě pokud nemám platný DHCPv6 lease a dohodnutý /48 prefix, operátor do mojí přidělené podsítě velikosti /48 vůbec neroutuje! To může být při přístupu zvenku matoucí. U tvého operátora to může být samozřejmě jinak.

Používám DHCPv6 klienta Dibbler, protože žádný jiný klient neumí dohodnout prefix delegation — spousta jich to sice slibuje, ale sliby chyby a bugy nakonec převládnou nad dobrými úmysly. Takhle vypadá moje konfigurace:

log-mode short
log-level 7
downlink-prefix-ifaces "none"
iface "eth1" {
  pd
}

Tedy nic se tam ve skutečnosti nenastavuje — protože jak vnější adresa v síti operátora, tak i všechny vnitřní adresy v mém /48 rozsahu jsou stálé a předem známé. Jediné, co tohle opravdu dělá, je oznámení operátorovi, že má ke mně routovat a že můj server funguje. Prefix, který to vrátí (i adresu, na kterou se vůbec neptám) znám předem a nastavuji fixně.