• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

Proxmox, IPv4 / 6 und Hetzner

xsara

New Member
Hallo Community,

ich habe ein nicht nachvollziehbares Problem mit Hetzner, IPv4 / 6 und Proxmox.

Vor nicht all zu langer Zeit wurde hier genau diesbezüglich schon mal gepostet, jedoch konnte ich anhand dieses posts mein Problem nicht lösen.

Problem: Server ist über IPv4 erreichbar, IPv6 jedoch nicht. Selbst ein standalone Server mit only IPv6 bekommt zum teufel keine Verbindung.

Host & Gast-System Debian 7.x

Host sysctl.conf:
#
# /etc/sysctl.conf - Configuration file for setting system variables
# See /etc/sysctl.d/ for additonal system variables
# See sysctl.conf (5) for information.
#

#kernel.domainname = example.com

# Uncomment the following to stop low-level messages on console
#kernel.printk = 3 4 1 3

##############################################################3
# Functions previously found in netbase
#

# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
#net.ipv4.conf.default.rp_filter=1
#net.ipv4.conf.all.rp_filter=1

# Uncomment the next line to enable TCP/IP SYN cookies
# See http://lwn.net/Articles/277146/
# Note: This may impact IPv6 TCP sessions too
#net.ipv4.tcp_syncookies=1

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

# Uncomment the next line to enable packet forwarding for IPv6
# Enabling this option disables Stateless Address Autoconfiguration
# based on Router Advertisements for this host
net.ipv6.conf.all.forwarding=1


###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0
#
# Do not accept IP source route packets (we are not a router)
#net.ipv4.conf.all.accept_source_route = 0
#net.ipv6.conf.all.accept_source_route = 0
#
# Log Martian Packets
#net.ipv4.conf.all.log_martians = 1
#

IPv6 forwarding entsprechend aktiviert.

Host vz.conf:
## Enable IPv6
IPV6="yes"

Host interfaces:
# Loopback device:
auto lo
iface lo inet loopback

# device: eth0
auto eth0
iface eth0 inet static
address 188.xxx.xxx.133
netmask 255.255.255.255
pointopoint 188.xxx.xxx.129
gateway 188.xxx.xxx.129

iface eth0 inet6 static
address 2a01:xxx:xxx:31c3::2
netmask 64
gateway fe80::1
up sysctl -p

auto vmbr0
iface vmbr0 inet static
address 188.xxx.xxx.133
netmask 255.255.255.255
bridge_ports none
bridge_stp off
bridge_fd 0
up ip route add 188.xxx.xxx.186/32 dev vmbr0
up ip route add 188.xxx.xxx.187/32 dev vmbr0
up ip route add 188.xxx.xxx.188/32 dev vmbr0

iface vmbr0 inet6 static
address 2a01:xxx:xxx:31c3::2
netmask 64

Gast_1 interfaces:
# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
#allow-hotplug eth0
#iface eth0 inet dhcp

auto eth0
iface eth0 inet static
address 188.xxx.xxx.186
netmask 255.255.255.255
pointopoint 188.xxx.xxx.133
gateway 188.xxx.xxx.133


iface eth0 inet6 static
address 2a01:xxx:xxx:31c3::3
netmask 64
gateway 2a01:xxx:xxx:31c3::2

Gast_2 interfaces
# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
#allow-hotplug eth0
#iface eth0 inet dhcp

auto eth0
iface eth0 inet6 static
address 2a01:xxx:xxx:31c3::4
netmask 64
gateway 2a01:xxx:xxx:31c3::2

Also Gast_1 ist problemlos per IPv4 erreichbar. IPv6 sowohl gast 1&2 restlos offline.

Netzwerkkarte im Proxmox Webinterface steht auf:
Bridged mode
Bridge: vmbr0
Modell: VMWare vmxnet3
MAC: Auto (selbst erstellen lassen - bei Hetzner sind KEINE hinterlegt!)
VLAN Tag: No
Rate Limit: Keins

Über Unterstützung wär ich sehr dankbar.

Grüße
 
Last edited by a moderator:
Ich hab ebenfalls Probleme mit IPv6 und Proxmox VE und konnte die bis heute nicht lösen. Hab es dann nach einigen Stunden aufgegeben. Mein Setup ist ähnlich... Hab eine virtualisierte Firewall (KVM) dazwischengeschaltet.

Im Grunde scheint bei mir IPv6 zu funktionieren... IPv6 Pings kommen rein, aber wenn ich nach außen welche schicke, kommen die niemals an.

Bin leider jetzt auch kein Profi wenn es um Linux und um das Netzwerkzeug geht, aber könntest du irgendwie testen, ob du - wie in meinem Fall - zwar Pings von außen erhältst, aber keine senden kannst?
 
@xsara Du darfst nicht die IP deines Wirtes angeben sondern die Link-Lokal Adresse sonst routet Hetzner das nicht raus.
Du musst bei beiden Gästen lediglich den GW ändern dann sollte IPv6 auch auf den Gästen funktionieren. Bei dem Wirt ist das bei mir leider nie Realität geworden, da damit die gesamte Maschine offline geht wenn ich das Bridged Setup reloade also ifdown && ifup da scheint was nicht zu stimmen aber es geht :)

gateway fe80::1

@Patschi

Ich vermute du verwendest Sophos UTM dort musst du dem Gast erst eine IPv6 zuweisen und keine Link-Lokal nehmen sonst blockt die utm das da sie ein Router ist und fe80 das blockiert => feff::a:b:c:d zb. geht ;)
Ansonsten wie oben mal per ssh auf die utm und versuchen dort zu pingen :)
Natürlich auch fe80::1 als GW in den Netzwerk Definitionen verwenden und NAT IPv6 aktivieren ;)
 
@Knight22 und danke für Deine Antwort.

Ich habe diese Option, also auf den Gästen das GW fe80::1 schon ausprobiert, ohne erfolg.

Hier fand ich dann den Beitrag vor wenigen Wochen:

https://serversupportforum.de/threads/hetzner-proxmox-ve-kvm-routed-netzwerkkonfiguration.53849/
Dort in den Final-Settings ist es so hinterlegt, dass das GW auf den Wirt verweißt, daher ist es aktuell so.

Unterm strich gesagt, habe ich das GW schon mit deinem genannten ausprobiert, leider ohne Erfolg.

Grüße

@Patschi
Bei mir kommt weder ein Ping an noch kann ich einen senden.


Du könntest ja mal deine Config Posten, evtl. können wir hier gemeinsam eine Lösung erarbeiten...?
Grüße
 
Last edited by a moderator:
@Knight22:
Ich lasse den Traffic direkt zur Firewall (VM) routen: Die VM hat die selbe MAC, welche Hetzner der ersten Zusatz-IP zugewiesen hat. Auch das IPv6 Subnetz geht direkt auf die selbe MAC, wie die erste Zusatz-IP. Ich hab auch versucht direkt von der Firewall zu pingen... Klappte leider auch nicht. Hab "fe80::1" als Gateway eingestellt gehabt. Werde es die nächsten Tage mal nochmal versuchen, vielleicht krieg ich das dieses Mal hin. Zur Firewall: Verwende WatchGuard XTMv Small Office.

@xsara:
Mich würde mal ein Traceroute interessieren, wie weit das IPv6-Paketchen kommt.
 
@Patschi
Bei mir kommt weder ein Ping an noch kann ich einen senden.


Du könntest ja mal deine Config Posten, evtl. können wir hier gemeinsam eine Lösung erarbeiten...?
Grüße

Hab das mit der Config erst nach dem Absenden meiner Beitrages gesehen. Das "Problem" ist, dass ich keine Konfiguration am Proxmox/Hostsystem vorgenommen habe, sondern nur direkt in den Einstellungen der Firewall - die lassen sich nur schwer zeigen. Zudem ich die wieder entfernt habe, damit meine Besucher mit IPv6 nicht ausgesperrt werden :) (Weil ja die IPv6 Pakete irgendwie ankamen, aber soweit ich mich noch erinnern kann, nie auf der Firewall.)
 
Habs nun endlich hinbekommen!

Erstens: eine eigene IPv6 Adresse im Interface von Hetzner anlegen für vmbr0 & 1. (ob das sein MUSS funktioniert es seit dem)

Host interfaces
# Loopback device:
auto lo
iface lo inet loopback
#
# device: eth0
auto eth0
iface eth0 inet static
address 188.xxx.xxx.133
netmask 255.255.255.255
pointopoint 188.xxx.xxx.129
gateway 188.xxx.xxx.129
#
iface eth0 inet6 static
address 2a01:xxx:xxx:31c3::2
netmask 128
gateway fe80::1
up sysctl -p
# fuer Einzel-IPs
auto vmbr0
iface vmbr0 inet static
address 188.xxx.xxx.133
netmask 255.255.255.255
bridge_ports none
bridge_stp off
bridge_fd 0
up ip route add 188.xxx.xxx.186/32 dev vmbr0
up ip route add 188.xxx.xxx.187/32 dev vmbr0
up ip route add 188.xxx.xxx.188/32 dev vmbr0
#
iface vmbr0 inet6 static
address 2a01:xxx:xxx:31c3::99
netmask 64
# fuer ein Subnet
auto vmbr1
iface vmbr1 inet static
address 2a01:xxx:xxx:31c3::98
netmask 64
bridge_ports none
bridge_stp off
bridge_fd 0

Gast_1 interfaces
# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
#allow-hotplug eth0
#iface eth0 inet dhcp

auto eth0
iface eth0 inet static
address 188.xxx.xxx.186
netmask 255.255.255.255
pointopoint 188.xxx.xxx.133
gateway 188.xxx.xxx.133


iface eth0 inet6 static
address 2a01:xxx:xxx:31c3::3
netmask 64
gateway 2a01:xxx:xxx:31c3::99

Gast_2 Interfaces
# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
#allow-hotplug eth0
#iface eth0 inet dhcp

auto eth0
iface eth0 inet static
address 188.xxx.xxx.188
netmask 255.255.255.255
pointopoint 188.xxx.xxx.133
gateway 188.xxx.xxx.133

iface eth0 inet6 static
address 2a01:xxx:xxx:31c3::5
netmask 64
gateway 2a01:xxx:xxx:31c3::99

Server sind sowohl über ipv4 als auch ipv6 erreichbar.

Was auch immer hier nun der Fehler war - es funktioniert!
 
Ich möchte oder muss mal an dieses Thema anschließen.
Wir haben auch einen Hetzner Root mit einem IPv6 /64 Subnetz.
Das Problem bei uns ist leider auch die IPv6 Adressen für die VM´s zu nutzen.
Unter Host sieht so aus:

Code:
# /etc/network/interfaces
### Hetzner Online AG - installimage
# Loopback device:
auto lo
iface lo inet loopback
#
# device: eth0
auto  eth0
iface eth0 inet static
       address   5.x.xxx.228
       netmask   255.255.255.224
       pointopoint   5.x.xxx.225
       gateway   5.x.xxx.225
#
iface eth0 inet6 static
       address   2a01:4f8:xxxx:xxxx::2
       netmask   64
       gateway   fe80::1
       up sysctl -p
# fuer Einzel-IPs
auto vmbr0
iface vmbr0 inet static
       address   5.x.xxx.228
       netmask   255.255.255.224
       bridge_ports none
       bridge_stp off
       bridge_fd 0
       up ip route add 2a01:4f8:xxx:xxx::4/32 dev vmbr0
       up ip route add 2a01:4f8:xxx:xxx::5/32 dev vmbr0
#
iface vmbr0 inet6 static
       address   2a01:4f8:xxx:xxx::99
       netmask   64
# fuer ein Subnet
auto vmbr1
iface vmbr1 inet static
       address   5.x.xxx.228
       netmask   64
       bridge_ports none
       bridge_stp off
       bridge_fd 0
       up ip route add 2a01:4f8:xxx:xxx::6/64 dev vmbr1
#
iface vmbr1 inet static
       address 2a01:4f8:xxx:xxx::98
       netmask 64


Bei einer Debian Neuinstallation benutze ich die IPv6 up ip route add 2a01:4f8:xxx:xxx::4 habe aber kein Netzwerk... Leider finde ich nicht viel zum Thema IPv6 und hoffe hier Hilfe zu bekommen.
 
Back
Top