web-dev-qa-db-ja.com

IPv6ゲートウェイ外部ネットワーク(OVH)

2001:41d0:a:72xx ::/64が割り当てられたOVHの専用サーバー

ホストからの仮想マシンのIPv6パブリックルーティング に従って、WANにブリッジされたセグメント上のマシンを設定しました

ゲートウェイは2001:41d0:a:72ff:ff:ff:ff:ffで、ネットワークの外部にあります

多数の仮想debianサーバーを実行しています。

私たちの(古い)サーバーのいくつかは、ipv6をゲートウェイにルーティングすることに満足していますが、セットアップしようとしている新しいサーバーは、gwにpingを実行すると、「宛先に到達できません。アドレスに到達できません」と言っています。

ファイアウォールは同等に設定され(ホストレベルではなく/ 64のルール)、/ etc/network/interfacesは同等です。 ipv6は静的に設定されます。 (原因の異なるアドレス)

稼働しているマシンと稼働していないマシンの両方で、netstat -rn6 | grep eth1 show

2001:41d0:a:72xx::/64          ::                         U    256 2    40 eth1
2001:41d0:a:7200::/56          ::                         UAe  256 2    71 eth1
2001:41d0:a1:72xx::/64         ::                         UAe  256 0     0 eth1
2000::/3                       2001:41d0:a:72ff:ff:ff:ff:ff UG   1024 2 63479 eth1
fe80::/64                      ::                         U    256 0     0 eth1
::/0                           fe80::205:73ff:fea0:1      UGDAe 1024 1     2 eth1
::/0                           fe80::20c:29ff:fe22:60f8   UGDAe 1024 0     0 eth1
ff00::/8                       ::                         U    256 2108951 eth1

非稼働マシンで、gwまたはworkdにpingを実行すると、「Destination unreachable」が返されます。

マシンはすべてローカルLANで相互に到達できます。

適切かどうかはわかりませんが

ping -c3 ff02::2%eth1
64 bytes from fe80::20c:29ff:fedb:a137%eth1: icmp_seq=1 ttl=64 time=0.240 ms
64 bytes from fe80::20c:29ff:fe22:60f8%eth1: icmp_seq=1 ttl=64 time=0.250 ms (DUP!)
64 bytes from fe80::2ff:ffff:feff:fffd%eth1: icmp_seq=1 ttl=64 time=3.57 ms (DUP!)
64 bytes from fe80::2ff:ffff:feff:fffe%eth1: icmp_seq=1 ttl=64 time=5.97 ms (DUP!)

非稼働中

ping -c3 ff02::2%ens34
PING ff02::2%ens34(ff02::2%ens34) 56 data bytes
64 bytes from fe80::20c:29ff:fedb:a137%ens34: icmp_seq=1 ttl=64 time=0.130 ms
64 bytes from fe80::20c:29ff:fe22:60f8%ens34: icmp_seq=1 ttl=64 time=0.138 ms (DUP!)

:fffd AMD:fffeが欠落しています。

すべてのipv6-addressesはOVHコントロールパネルで割り当てられています。

TL; DR:古いサーバーと新しいサーバーでは何かが異なる必要がありますが、見つかりません。

更新:稼働中のマシンのクローンが機能しません。

ブリッジとして設定されたpfsenseの外側で、マシンはこれを送信します。

12:33:23.087778 IP6 test1.example.org > fe80::2ff:ffff:feff:fffe: ICMP6, neighbor advertisement, tgt is test1.example.org, length 32 12:33:24.106302 IP6 test1.example.org > par10s28-in-x0e.1e100.net: ICMP6, echo request, seq 451, length 64

しかし、何も戻らない。外部からのpingも通過しません。

マシンはIPアドレスを除いて、稼働中のマシンの完全なクローンであるため、OVHでの上流の問題である必要があります。

UPDATE 2OVHは、IPv6にルーティングされるデータを取得するには、MacをIPv4アドレスに関連付ける必要があると主張しています。 [〜#〜] omg [〜#〜]動作しているIPv6はそうではありません。

debianipv6ovh
4
Lenne

OVHはIPv6を適切に実行する方法を認識していません。それらの設定は特定の状況でのみ機能し、どこにでも適用できるわけではありません。

サーバーが世界に公開されており、パブリックIPv4アドレスも持っている場合にのみ、特別なフープジャンプなしで機能します。

1つのパブリックipv6とそれにルーティングされるサブネットを提供することはできません。これは、独自のファイアウォールの背後でVMを実行する場合に必要です。

それらが機能するまでは、IPv6に関心がある場合は、他の場所を調べることをお勧めします。

2
Lenne

OVHはスイッチでスイッチポートセキュリティを実行するため、ホワイトリストに登録されたMACアドレスのみが特定のポートを使用できます。これはvRackには適用されません。スイッチポートのセキュリティはvRackでは無効になっています。ただし、OVHではIPv6サブネットをvRackにルーティングできません。また、フェイルオーバー別のサーバーへのIPv6サブネットもできません。これは重要な監視です。これらの機能が両方とも存在するようになるまで、OVHのIPv6サポートはlimitedと見なされます。

これが、数十の仮想マシンを実行するOVHサーバーをセットアップする方法です。

ホストサーバーでは、br3はeno3と、IPv6をルーティングする仮想ネットワークインターフェイスを含むブリッジです。ホストは次のように構成されています。

# cat /etc/sysconfig/network-scripts/ifcfg-br3
DEVICE="br3"
TYPE="Bridge"
STP="yes"
IPV4_FAILURE_FATAL="no"
IPV6INIT="yes"
IPV6_FAILURE_FATAL="no"
NAME="br3"
ONBOOT="yes"
ZONE="public"
BOOTPROTO="static"
IPADDR="203.0.113.24"
PREFIX="24"
GATEWAY="203.0.113.1"
IPV6_AUTOCONF="no"
IPV6ADDR="2001:db8:1f3:c187::/64"

そのように構成された静的ルートがあります:

# cat /etc/sysconfig/network-scripts/route6-br3 
2001:db8:1f3:c187::/64 dev br3
2001:db8:1f3:c1ff:ff:ff:ff:ff dev br3
default via 2001:db8:1f3:c1ff:ff:ff:ff:ff dev br3

次に、ndppdを実行します。これにより、/ 64内の任意のアドレスに対するNDPネイバー請求クエリに応答します。それはそのように構成されています:

# cat /etc/ndppd.conf 
route-ttl 30000
proxy br3 {
   router yes
   timeout 500   
   ttl 30000
   rule 2001:db8:1f3:c187::/64 {
      static
   }
}

これにより、ホストのMACアドレスがサブネット内のすべてのIPv6アドレスに使用され、それが次にlibvirtの仮想インターフェースにルーティングされ、/ 80ネットワークに分割されます。その一例は次のように構成されています。

# cat /etc/libvirt/qemu/networks/v6bridge_1.xml 
<!--
WARNING: THIS IS AN AUTO-GENERATED FILE. CHANGES TO IT ARE LIKELY TO BE
OVERWRITTEN AND LOST. Changes to this xml configuration should be made using:
  virsh net-edit v6bridge_1
or other application using the libvirt API.
-->

<network>
  <name>v6bridge_1</name>
  <uuid>7007a2b2-08b8-4cd5-a4aa-49654ae0829b</uuid>
  <forward mode='route'/>
  <bridge name='v6bridge_1' stp='on' delay='0'/>
  <mac address='52:54:00:fc:d4:da'/>
  <ip family='ipv6' address='2001:db8:1f3:c187:1::' prefix='80'>
  </ip>
</network>

この特定のネットワーク内のすべてのVMには手動IPv6アドレスが割り当てられていますが、必要に応じてDHCPv6を設定することもできます。それは次のようになります:

  <ip family='ipv6' address='2001:db8:1f3:c187:1::' prefix='80'>
    <dhcp>
      <range start="2001:db8:1f3:c187:1::100" end="2001:db8:1f3:c187:1::1ff"/>
    </dhcp>
  </ip>

次に、IPv4フェイルオーバーアドレスをvRackにルーティングします。vRackは単一のブリッジにブリッジされますbr4 オン eno4すべてのVMはsecond virtual NIC fromを取得します。したがって、あるインターフェイスにIPv6があり、別のインターフェイスにIPv4があります。これはオプションです。IPv4のままにすることもできます。メインインターフェイスのフェールオーバーアドレス(たとえば、vRackがない場合)。

1
Michael Hampton