Hallo zusammen,
ich habe ein Problem mit dem Netzwerksetup auf einem Server, der bei Hetzner steht. Und zwar soll dort eine OPNsense VM die Firewall für ein paar andere VMs und LXC Container spielen. U.a. läuft auf der VM auch ein HAproxy für diverse Dienste. Das Webfrontend der VM ist auch von der WAN-Seite erreichbar, zur einfacheren Konfiguration.
Zur Einrichtung für IPv4 habe ich mich hier dran orientiert: https://pratt.is/hetzner-und-proxmox-pfsense-als-gateway/ - dies funktioniert soweit zufriedenstellend. Insgesamt sieht die Interface-Config des Hypervisors folgendermaßen aus: https://pastebin.com/xjcSUYpU
Zur IPv6-Config habe, zuerst erfolglos, auch den Weg von Dominic Pratt eingeschlagen, da ich das aber zu seltsam fand, habe ich letztendlich die WAN-Seite der VM statisch eingerichtet, und ihr die erste IPv6 aus dem /64-Subnet zugewiesen, was Hetzner mir zugeteilt hat. Auf der WAN-Seite habe ich eine andere IP aus diesem Subnet genommen, das Interface weiterhin auf /64 gestellt, und SLAAC aktiviert. Resultat: Die VMs bekommen eine IPv6 und erreichen das Internet.
Andersherum habe ich allerdings ein Problem. Natürlich habe ich für die ganze Konstellation einen entsprechenden AAAA-Record im DNS eingetragen. Ich habe zum Zugriff auf den HAproxy Firewall-Regeln eingerichtet, sodass er aus dem WAN erreichbar sein soll. Nun das Problem:
Obwohl die VM auf externe Pings auf die zum AAAA-Record gehörende FQDN reagiert, kann ich dennoch nicht von extern über IPv6 auf sie zugreifen. Weder auf das Webfrontend, noch auf den HAproxy (natürlich ist der HAproxy an die WAN-IP gebindet). Der Zugriff von einer der VMs aus funktioniert problemlos mit IPv6.
Seltsamerweise hat die Firewall ja doch durchaus die Rule, v6-Zugriff von außen zuzulassen. Ich sehe sogar die Requests, die ich mache im Firewall-Log - sie sind als "Pass" markiert. Ich sehe aber keinerlei Requests im Logfile des HAproxy. Das Webfrontend erreiche ich auch nicht über IPv6. Lediglich Pings, also ICMP kommen durch.
Wo ist mein Fehler? Hat meine Interface-Config eventuell noch irgendwo einen Fehler?
Am HAproxy kanns ja nicht liegen, der ist von intern erreichbar.
An der Firewall kanns ja nicht liegen, die sieht den Request ja, und lässt ihn durch.
An fehlendem IP forwarding kanns nicht liegen, die VMs können ja nach außen kommunizieren. Merkwürdigerweise konnten sie das allerdings auch, als ich vergessen hatte, net.ipv6.conf.all.forwarding im sysctl zu aktivieren.
Zur Info: Ich nutze Proxmox 6, die LXC-Container sind auch von einem Debian 10 Template sauber neu installiert worden.
Vielleicht hat ja jemand eine Idee.
ich habe ein Problem mit dem Netzwerksetup auf einem Server, der bei Hetzner steht. Und zwar soll dort eine OPNsense VM die Firewall für ein paar andere VMs und LXC Container spielen. U.a. läuft auf der VM auch ein HAproxy für diverse Dienste. Das Webfrontend der VM ist auch von der WAN-Seite erreichbar, zur einfacheren Konfiguration.
Zur Einrichtung für IPv4 habe ich mich hier dran orientiert: https://pratt.is/hetzner-und-proxmox-pfsense-als-gateway/ - dies funktioniert soweit zufriedenstellend. Insgesamt sieht die Interface-Config des Hypervisors folgendermaßen aus: https://pastebin.com/xjcSUYpU
Zur IPv6-Config habe, zuerst erfolglos, auch den Weg von Dominic Pratt eingeschlagen, da ich das aber zu seltsam fand, habe ich letztendlich die WAN-Seite der VM statisch eingerichtet, und ihr die erste IPv6 aus dem /64-Subnet zugewiesen, was Hetzner mir zugeteilt hat. Auf der WAN-Seite habe ich eine andere IP aus diesem Subnet genommen, das Interface weiterhin auf /64 gestellt, und SLAAC aktiviert. Resultat: Die VMs bekommen eine IPv6 und erreichen das Internet.
Andersherum habe ich allerdings ein Problem. Natürlich habe ich für die ganze Konstellation einen entsprechenden AAAA-Record im DNS eingetragen. Ich habe zum Zugriff auf den HAproxy Firewall-Regeln eingerichtet, sodass er aus dem WAN erreichbar sein soll. Nun das Problem:
Obwohl die VM auf externe Pings auf die zum AAAA-Record gehörende FQDN reagiert, kann ich dennoch nicht von extern über IPv6 auf sie zugreifen. Weder auf das Webfrontend, noch auf den HAproxy (natürlich ist der HAproxy an die WAN-IP gebindet). Der Zugriff von einer der VMs aus funktioniert problemlos mit IPv6.
Seltsamerweise hat die Firewall ja doch durchaus die Rule, v6-Zugriff von außen zuzulassen. Ich sehe sogar die Requests, die ich mache im Firewall-Log - sie sind als "Pass" markiert. Ich sehe aber keinerlei Requests im Logfile des HAproxy. Das Webfrontend erreiche ich auch nicht über IPv6. Lediglich Pings, also ICMP kommen durch.
Wo ist mein Fehler? Hat meine Interface-Config eventuell noch irgendwo einen Fehler?
Am HAproxy kanns ja nicht liegen, der ist von intern erreichbar.
An der Firewall kanns ja nicht liegen, die sieht den Request ja, und lässt ihn durch.
An fehlendem IP forwarding kanns nicht liegen, die VMs können ja nach außen kommunizieren. Merkwürdigerweise konnten sie das allerdings auch, als ich vergessen hatte, net.ipv6.conf.all.forwarding im sysctl zu aktivieren.
Zur Info: Ich nutze Proxmox 6, die LXC-Container sind auch von einem Debian 10 Template sauber neu installiert worden.
Vielleicht hat ja jemand eine Idee.