ComputerBase Menü
Aktuelles

IPv6 auf öffentl. Server - nix geht durch

Spike S.

Spike S.

Commander
🎅Rätsel-Elite ’24
Registriert
Feb. 2012
Beiträge
2.131
Mit IPv6 auf meinem vServer (Proxmox mit Firewall-VM und Server-LXCs) habe ich meine liebe Mühe, Ping6 von außen kommen nicht durch, von Innen ins Internet klappt ebenso wenig. Ich bekomme den Knoten in meinem Kopf nicht aufgelöst....

1)
Durch vieles Nachlesen hab ich jetzt begriffen, dass ich von meinem Hoster ein Präfix zugeteilt bekommen habe. Beispiel: ab:cd:ef:123::/64
Heißt, ich müsste jetzt eigentlich noch in den hinteren 4 Blöcken etwas erzeugen lassen oder mir ausdenken. Aber nach meinem Verständnis ist das doch direkt die erste gültige IP, also ab:cd:ef:123:0:0:0:0/128 unter "meinem" Präfix. Und ich kann in den letzten 4 Blöcken machen was ich will, solange ich eindeutig bleibe. Korrekt?

2)
Jetzt zu meinem richtigen Problem, die Verbindung über IPv6 klappt nicht. Ich möchte es gerne handhaben wie bei IPv4, eine Adresse nach außen, innerhalb meines Netzes kümmere ich mich, sprich erstmal durch eine Firewall leiten und die legt alles auf LAN Adressen. Bei IPv4 per DNAT und Masquerading kein Problem, klappt.
Das gleiche Vorgehen bei IPv6 klappt nicht, egal ob per DNAT oder Forwarding. Hatte das die letzten Tage mit nftables durch viel Probieren (Trial&Error) versucht, aber erfolglos. Bestenfalls bin ich von außen bis zur Firewall gekommen, die hat den Ping dann aber verworfen. Vermutlich weil das Paket mit der externen IP vom vServer selbst als Quelle ankommt, mir erscheint das merkwürdig.
Von Innen vom Webserver aus sehe ich den Ping noch ausgehend in der Firewall, auf dem vServer kommen aber keine Pakete an.
Ich wollte jetzt bewusst nicht zu sehr ins Detail gehen, weil ich gerne von euch eine Hilfestellung hätte, wie es denn "am richtigsten" eingerichtet werden müsste, was ich da vor habe. Mein IPv6-Vorhaben überdenken wäre aber auch eine Option (doch jedem Dienst eine eigene IP mit externem Präfix, also eine öffentliche IP, geben?).
Neben den Webserver sind noch andere Dienste die öffentlich erreichbar sein sollen. Die Firewall-VM soll den Zweck erfüllen den sie immer erfüllen soll, eine zentrale Stelle für die Filterung des Verkehrs bieten.

Hier eine vereinfachte nicht maßstabsgerechte Skizze. Unklar ist mir der Weg zwischen vmbr0 und vmbr1/em0 und was dazu gehört...

ipv6_endgegner.png
 
Spike S. schrieb:
Ich möchte es gerne handhaben wie bei IPv4, eine Adresse nach außen, innerhalb meines Netzes kümmere ich mich, sprich erstmal durch eine Firewall leiten und die legt alles auf LAN Adressen.
Zum Vergrößern anklicken....
Das ist - vorsichtig formuliert - bei IPv6 ungewöhnlich. Üblicherweise lässt man sich sich ein hinreichend großes Prefix zuweisen und macht dann DHCPv6 Prefix Delegation, so dass sich die Clients passenden IPs generieren können.
 
Ich habe gelesen, dass bei /64 schon kein PD mehr mögich ist. Warum auch immer, ist ja gerade die Hälfte. Stimmt das? PD hatte ich heute das erste mal gelesen....
 
Ja, das stimmt. Die übrigen 64 Bit bilden den Interface Identiifier und werden nicht als Netzadresse genutzt. Allerdings ist DHCPv6 PD in deinem Fall nicht zwingend nötig. Da du ein /64 hast, kannst du daraus einfach lustig IP-Adressen an deine Geräte vergeben, so es dir beliebt. Um in deinem Bespiel zu bleiben, kannst du aus dem Prefix ab:cd:ef:123::/64 problemlos, die IPs
ab:cd:ef:123::1/64
ab:cd:ef:123::2/64
ab:cd:ef:123::3/64
usw. bilden.
 
Ein /64er taugt nur für ein einzelnes Netz. Hier hat jemand so was hinbekommen. Viel Spaß beim Nachmachen.
 
Ein Netz reicht ja auch aus. Da es genügend Adressen gibt, die praktischerweise auch alle öffentlich erreichbar sind, kann man sich die ganze Hampelei mit privaten Netzen sparen.
 
Evil E-Lex schrieb:
so es dir beliebt
Zum Vergrößern anklicken....
Das hab ich am liebsten...
Nur zur Sicherheit des Verständnisses: ab:cd:ef:123:f:e:d:2/64 oder ab:cd:ef:123:ff:ee:dd:12/80 sind auch problemlos möglich? Also u.a. auch mit kleinerer Netzmaske.
Und die Adressen vergebe ich zusätzlich, meine fc00:... kann ich beibehalten?

Bob.Dig schrieb:
Ein /64er taugt nur für ein einzelnes Netz.
Zum Vergrößern anklicken....
Ganz ehrlich, das kapier ich nicht. Wenn ich das ausmultipliziere.....ein einzelnes /96er allein reicht rechnerich doch um v4 global abzulösen. Wie so komm ich dann mit einem /64er kaum für ein einzelnes LAN aus? :confused_alt:

Ok, also manuell öffentliche IPs vergeben. Jetzt fehlt nur noch die praktische Anwendung bei meinem vServer. Wie kommen damit dann die Pakete durch Proxmox und der FW zu den Diensten?
 
Spike S. schrieb:
Das hab ich am liebsten...
Nur zur Sicherheit des Verständnisses: ab:cd:ef:123:f:e:d:2/64 oder ab:cd:ef:123:ff:ee:dd:12/80 sind auch problemlos möglich? Also u.a. auch mit kleinerer Netzmaske.
Zum Vergrößern anklicken....
Hab ich noch nie ausprobiert. Ich hab bislang nur /64er Prefixe genutzt, der Rest ist Interface Identifier.
Spike S. schrieb:
Und die Adressen vergebe ich zusätzlich, meine fc00:... kann ich beibehalten?
Zum Vergrößern anklicken....
Du kannst so viele IP-Adresse an deine Interfaces binden, wie du magst. Ich sehe allerdings keine Notwendigkeit für die Adressen.
Spike S. schrieb:
Ok, also manuell öffentliche IPs vergeben. Jetzt fehlt nur noch die praktische Anwendung bei meinem vServer. Wie kommen damit dann die Pakete durch Proxmox und der FW zu den Diensten?
Zum Vergrößern anklicken....
Du darfst nicht den Fehler machen das alte IPv4-Netzdesign 1:1 auf IPv6 anzuwenden. IPv6 funktioniert halt anders. Du brauchst kein NAT und auch kein Routing. Den Paketfilter kannst du dir auch klemmen, wenn die einzelnen Hosts nur die Dienste anbieten, die sie anbieten sollen.
 
Ich merk schon, IPv6 ist für mich noch Neuland, denn "Paketfilter klemmen" klingt für mich unheimlich. Und wie sichere ich den jeweiligen Server dann ab, dass nur das genutzt was vorgesehen ist?
 
Indem du nur die Dienste aktivierst, die du haben möchtest? Ich hab vor langer Zeit auch einen eigenen Server im Internet betrieben. Der kam auch komplett ohne Paketfilter aus. Da liefen halt nur SMTP, SSH, IMAP, HTTPS und ein paar Gameserver drauf. Wozu brauche ich da einen Paketfilter?
 
Aber man verlässt sich doch nicht drauf, dass das Betriebssystem nach der Installation nix von Haus offen hat?
Der Gedanke, Zugriffe von außen direkt auf den Container und man startet einfach die Dienste nach belieben, ohne sonstiges zutun überfordert mich grad...
 
Evil E-Lex schrieb:
und auch kein Routing. Den Paketfilter kannst du dir auch klemmen, wenn die einzelnen Hosts nur die Dienste anbieten, die sie anbieten sollen.
Zum Vergrößern anklicken....
Klar brauchst Du Routing. Und auch ne Firewall, das hat sich nicht geändert.

@Spike S. Ich hatte ja bereits eine "Anleitung" verlinkt, schon angesehen? Kann aber sein, dass das nicht jeder Anbieter so erlaubt.
 
Bob.Dig schrieb:
Klar brauchst Du Routing. Und auch ne Firewall, das hat sich nicht geändert.
Zum Vergrößern anklicken....
Routing kommt sicher drauf an, wie viele Netzte man hat. Sind alle IPs ohnehin direkt erreichbar, braucht man kein Routing. Den Paketfilter brauche ich auch nicht. Wozu?

Das wird alles erst dann zum Thema, wenn man anfängt, die künstlich limitierten Resourcen (hier die IP-Adressen bzw. Netze), durch Gebastel nutzbar zu machen. Ich würde mir entweder ein IPv4-Subnetz und ein größeres Prefix zuteilen lassen oder schlicht die passende Anzahl vServer mieten und wäre dann fertig. Ich kann Komplexität nicht ausstehen.
Ergänzung ()

Spike S. schrieb:
Aber man verlässt sich doch nicht drauf, dass das Betriebssystem nach der Installation nix von Haus offen hat?
Zum Vergrößern anklicken....
Man hat das selbst unter Kontrolle. Wir reden hier schließlich von Linux, nehme ich an?
 
Meine verwirrte IPv4 Seele ist etwas beruhigt nach dem Video. Habe es jetzt mal angesehen, Videoanleitungen lasse ich gewöhnlich links liegen....

@Evil E-Lex In meinem Fall geht es um einen privat betriebenen vServer mit vielleicht ein oder zwei Händen voll Diensten die von außen erreichbar sein sollen. Da reicht eine IPv4 und 18 Trillionen IPv6 für den Anfang erstmal dicke aus :D

Und ein zentraler Paketfilter hat halt den Vorteil, dass der zentral Pakete filtert. Da muss ich nicht auf jeden Server separat nachschauen und konfigurieren...
 
Spike S. schrieb:
Da muss ich nicht auf jeden Server separat nachschauen und konfigurieren...
Zum Vergrößern anklicken....
Wenn der Server nur die die Dienste anbietet, die notwendig sind, gibt es exakt gar keinen Grund irgendetwas zu filtern. Weil alles was drauf läuft ohnehin erreichbar sein soll.

Das das Ganze ein privates Bastelprojekt werden soll, war mir irgendwie klar. Ansonsten hat nämlich niemand die Zeit, den ganzen Strauß an Software zu pflegen. Im Privaten wird halt gern gebastelt, weil man den Kram ja als Hobby betreibt und daher der Selbstzweck meist der einzige Zweck ist.
 
Evil E-Lex schrieb:
Wir reden hier schließlich von Linux, nehme ich an?
Zum Vergrößern anklicken....
Exakt, alles Debian und ein mal OPNsense (FreeBSD) halt.

Evil E-Lex schrieb:
privates Bastelprojekt
Zum Vergrößern anklicken....
Ja. Hätte ich das gelernt und würde damit mein Geld verdienen, würde ich wahrscheinlich nicht ganz so rudimentäre Fragen stellen^^

Evil E-Lex schrieb:
Strauß an Software zu pflegen
Zum Vergrößern anklicken....
Wie meinst du das? Durch Proxmox ist das alles ja schon sehr viel einfacher. Container anlegen, starten, Dienst installieren, Config anpassen, starten, Config korrigieren, nochmal starten, läuft. Bin nach all den Basteljahren kein blutiger Anfänger mehr^^

Und Basteln zum Selbstzweck ist es nicht, da läuft eine Nextcloud drauf die von mehreren Nutzern verwendet wird und eine Simplelogin Instanz die ich schon für die unsäglich vielen Logins nutze.

Und bei mir steht noch auf der Liste, mich mit Ansible zu beschäftigen, damit ich mich bei einer Runde Updates nicht wie ein Klickäffchen fühlen muss (Am Container anmelden, "apt update....", abmelden, nächster Container)...
 
Nun, ich bin da Fundamentalist. Je weniger Code auf einem System läuft, umso besser. Alles was nicht unbedingt nötig ist, wird nicht installiert. Ich käme beispielsweise niemals auf die Idee, privat Nextcloud zu betreiben. Würde ich das benötigen, würde ich mir das fertig mit Support und allem drum und dran bei einem Anbieter meiner Wahl hosten lassen. Ja, kostest mehr. Räumt mir aber Lebenszeit ein und befreit mich von Verantwortung.

Das ist auch der Grund, warum ein keinen eigenen Server mehr betriebe, obwohl ich das könnte. Es frisst mir schlicht zu viel Zeit und bürdet mir zu viel Verantwortung auf.

Edit: Um hier noch was On-Topic beizutragen:

Bei Hetzner wird das Netzwerksetup für Proxmox beispielhaft beschrieben:
Proxmox VE Installieren und Konfigurieren
Auch haben die dort eine Anleitung, wie du dein IPv6-Subnetz weiter aufteilen kannst:
Zusätzliche IP-Adressen (bis zum Punkt "Subnetze" scrollen)
Hier beachten, dass sich die Anleitung auf die Hetzner-spezifische Konfiguration bezieht. Möglicherweise musst du das für deinen Hoster anpassen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Bob.Dig
@Bob.Dig
Die Videoanleitung behandelt eigentlich ziemlich genau mein Setup. Leider klappt es nur nicht. Von außen sehe ich bei einem Ping auf dem Host nur eine Nachbarschaftsanfrage, kein request/reply. Andersherum vom Client "ganz hinten" ins Internet gepingt bleibe ich beim vmbr1 vom Host stecken, also Hop 2. Hop 3 ist dann nochmal die IP und Ende.
Hatte jetzt 20 mal alles kontrolliert, die IPs, die Routen, .... Entweder Tomaten in den Augen, nicht nur auf, oder bei mir ist etwas entscheidendes ganz anders...

Und was ich bisher überhaupt nicht kapiere ist, wieso ich nicht auf die Proxmox Web GUI komme, wenn ich nicht eine extra Route auf meinen public Gateway (IPv4) lege. Wo ich doch eine Ausnahme für den Port 8006 im Natting habe, exakt wie im Video. Dies ist aber von Anfang an schon so.

@Evil E-Lex
Das bevorzuge ich auch, getreu dem Motto "so viel wie nötig, so wenig wie möglich".

Ich hatte auch lange überlegt, Server ja/nein, Zuhause ja/nein .... Den bei einem Hoster zu betreiben war der Kompromiss, ich muss mich nicht um Strom, Hardware und Ausfälle kümmern, hab aber alles unter meiner Regie. Weil im Grunde kann man erstmal keinen Anbieter trauen, ganz nüchtern betrachtet.

Die Anleitungen kann ich noch nicht so richtig für mich bzw. mein Setup anwenden 🤔
 
Spike S. schrieb:
Ich merk schon, IPv6 ist für mich noch Neuland, denn "Paketfilter klemmen" klingt für mich unheimlich. Und wie sichere ich den jeweiligen Server dann ab, dass nur das genutzt was vorgesehen ist?
Zum Vergrößern anklicken....
Eine gewagte These. Dier Notwendigkeit des Packet Filtern ist doch nicht abhängig von der Version des Protokolls?
Die Systeme sind nicht fehlerfrei und mancher Bug kann sehr lange unentdeckt bleiben. Schaltet man ein Packet-Filter davor, schränkt dieser den Handlungsspielraum eines möglichen Angreifers ein.
Außerdem lassen Firewall-Systeme - die u.a. einen Packet-Filter breitstellen, noch weitere Schutzmaßnahmen wie das Abwehren von DoS Attacken zu.
Generell sollte man nur die Dienste installieren und laufen lassen, die man tatsächlich braucht. Gilt auch für alle Versionen.
Allerdings ist es richtig, dass NAT nicht mehr nötig ist um sich IP-Adressen zu sparen. Es ist aber auch nicht von Nachteil, wenn man sich dessen bedient. Möglicherweise möchte man gar nicht, dass von außen sichtbar ist, wie viele und welche Nodes aktiv sind.

Und richtig ist auch, das IPV6 sehr viele Dinge im Vergleich zu IPV4 anders handhabt. Ob die nun einfacher in der Handhabung sind als SNAT/DNAT, Routing usw. ist wohl Ansichtssache.
Interessant ist IPV6 schon. Im Kundenbereich findet man derzeit hauptsächlich IPV4 Netze.
 
Ich glaube der erste Teil deiner Antwort bezieht sich auf die Aussagen von Evil E-Lex, da ich ja schreibe, dass es mir nicht richtig vorkommt, auf einen zentralen Paketfilter zu verzichten.

Ja, die Handhabe von v6 ist an vielen Stellen sehr konträr zu v4. Aber das ist wohl auch eine Frage, wie sehr man dem alten Dogma verfangen ist. Ich wohl bisschen mehr...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Althir81
EDGEROUTER X-SFP – Keine öffentliche IPv6-IP an den Clients
2
Antworten
35
Aufrufe
10.409
Althir81
Althir81
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz