IPv6 Tunnel + Subnet - welches Interface?

[ed1949]

Hallo,

ich plane gerade meine nächstes IPv6 Installation und habe dazu eine Frage. Es geht um einen Server der nur eine v4 Adresse hat. Über einen gif Tunnel wird auf diesen Server nun ein v6 Subnet geroutet. Aus diesem Subnet soll die Maschine mehrere v6 Adressen bekommen, da die Maschine einige virtuelle Maschinen hosten soll. Nun frage ich mich an welches Interface ich die v6 Subnet Adressen binden soll: gif0 scheint mir falsch zu sein, auf em0 haben die Adressen nichts verloren. Was bleibt übrig? lo0?!

Tunnel Broker ist übrigens SixXS. Ach ja, ein paar /64 aus dem /48 Subnet würde ich gerne über eigene Tunnel verteilen. Idealerweise mit IPSec - vertragen sich gif Tunnel mit IPSec?

 

[Yamagi]

Wenn die Adressen nur lokal auf der Maschine genutzt werden sollen - zum Beispiel für Jails, die hinter einem NAT liegen - ist das / ein Loopbackinterface die richtige Wahl. Sollen die Adressen von außen erreichbar sein, müssen sie auf das entsprechende Interface. Sprich, für das LAN auf em0, für die Welt dortdraußen müsste es egal sein, ob sie auf em0 oder gif0 liegen, da die Pakete eh erstmal an den Tunnelendpunkt geroutet werden.

 

[ed1949]

Ist es für das Routing egal, an welches Interface die Adressen gebunden sind? Kann das System von gif0 Subnet Adressen über den gif0 Tunnel routen. Also etwa so:

gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1280
        tunnel inet A.A.A.A --> B.B.B.B
        inet6 fe80::XXX%gif0 prefixlen 64 scopeid 0x5
        inet6 2001:X:X::2 --> 2001:X:X::2 prefixlen 128
        inet6 2001:S:S::1 prefixlen 128
        inet6 2001:S:S::2 prefixlen 128
        inet6 2001:S:S::3 prefixlen 128
        inet6 2001:S:S::4 prefixlen 128

Wobei 2001:X:X:: der Tunnel ist und 2001:S:S:: ein Subnet. Die Adressen sind natürlich etwas vereinfacht. NAT sollte bei v6 keine Rolle spielen.

 

[Yamagi]

Ja, kann es. Dann wären sie vom LAN an em0 aus aber unter Umständen nicht mehr erreichbar. Grundsätzlich weiß FreeBSD, welche Adressen es hat. An welchem Interface sie liegen, ist egal. Kommt ein Paket an 2001:S:S::1 auf lo0 rein, wird er sagen "Ha, meine Adresse, nehme ich!". Aber das umgebende Netz muss auch wissen, wo die Adresse liegt. Auf ein ARP-Request an em0 zum Auflösen von 2001:S:S::1 würde er nicht antworten, da ja em0 diese Adresse nicht hat.

 

[ed1949]

Danke für die Antworten, Yamagi!

Es geht um einen Server der auf dem LAN eigentlich nur mit dem v4 Router spricht. Über em sollen keine v6 Packete reinkommen, ausser per Tunnel, da der Provider nur v4 kennt. Da mein Localdevice ungefiltert ist, werde ich das die Subnet Adressen an das gif-Device binden. Ich hoffe mal, die Jails nutzen die gebundene Adresse zum senden. Beim Host ist es immer ein Drama, festzulegen welche IP er beim senden nutzen soll.