Probleme mit ULA in VLANs

[Kornelius777]

Hallo zusammen!

Meiner opnsense habe ich mehrere virtuelle IP-Adressen verpasst - eine pro VLAN.
So habe ich z.B. im VLAN1 fdaa:bbbb:cccc:1::1/64, im VLAN2 fdaa:bbbb:cccc:2::1/64 und so weiter.

Manuell habe ich den Servern pro VLAN eine passende ULA zugeordnet.

Jetzt habe ich versucht, aus der Sense heraus eine Server-ULA zu erreichen (ping, traceroute... egal.). Ich konnte z.B. die Adresse fdaa:bbbb:cccc:8::8:56 nicht erreichen. Die Sense weiß einfach nicht, wie sie dort hinkommen soll. WEIRD!

Einer meiner Server stellt ein Gateway zu anderen Netzen dar. Die IPv4-Adresse des Gateways ist grün, die IPv6-(ULA) ist rot, weil die Sense die Route nicht kennt.

Ein Gateway mit einer dynamischen GUA anzulegen (auch mittels Alias) war mir nicht möglich. Kennt jemand die Lösung? Wie geht das?

Zwei Fragen also:
Wie kann die Sense Routen zu ULAs lernen?
Wie legt man ein IPv6-Gateway (GUA) mit dynamischer IP-Adress-Range an?

Herzlichen Dank für Eure Gedanken!

[Maurice]

Virtual IP-Mode ist "IP Alias"? Auf den Servern sind die ULAs ebenfalls als /64 angelegt?

Gateway-Adressen sind üblicherweise link-local, keine GUAs oder ULAs.

Grüße
Maurice

[Kornelius777]

Virtual IP-Mode ist "IP Alias"? Auf den Servern sind die ULAs ebenfalls als /64 angelegt?

Ja und ja.

Gateway-Adressen sind üblicherweise link-local, keine GUAs oder ULAs.

Darin sehe ich wenig Sinn. Route sollte Route sein.

[Patrick M. Hausen]

Es ist einfach sehr praktisch, besonders bei wechselnden Prefixen, wenn der Default-Gateway immer z.B. fe80::1 ist. Das klappt, weil das sendende System (der Client) bei jeder Route einen Scope berücksichtigt. fe80::1%igb0 ist ein anderer Gateway als fe80::1%igb1. Würde man manuell konfigurieren, müsste man den Scope mit angeben. OPNsense macht das automatisch, die kennt ja das Interface.

Auch üblich ist fe80::<VLAN ID>.

Und wenn Du CARP willst, evtl. mit wechselnden Prefixen, dann musst du sogar eine LLA als CARP-IP benutzen, damit das mit den Router Advertisements alles klappt wie es soll.

[meyergru]

Gateway-Adressen sind üblicherweise link-local, keine GUAs oder ULAs.

Darin sehe ich wenig Sinn. Route sollte Route sein.

Tja. Das ist allerdings wenig relevant dafür, wie es in der Realität aussieht (und das ist, was Maurice richtig gesagt hat).

Mach Dir folgendes klar: Ein Netzwerk-Gerät hat (wenn überhaupt) meistens mehrere IPv6-Adressen, mindestens eine Link-Local und eventuell noch weitere (ULA oder GUA). Ein Gateway muss aus der Sicht des Geräts direkt erreichbar sein - der Trick ist ja gerade, dass dieses (direkt erreichbare) Gateway weiß, wie es danach weitergeht (im Idealfall ist es ein Router, der dann bridged).

Wenn Du also die Wahl zwischen mehreren IPv6-Adressen für die Default-Route hast, warum dann nicht gleich die (direkt erreichbare) Link-Local-IPv6 nutzen? Die funktioniert nämlich immer, im Gegensatz zu einer GUA, die im Fall eines Endkunden-Anschlusses oft dynamisch ist. Oft genug ist es so, dass diese IPv6 per SLAAC bekannt gemacht wird oder dass sogar fe80::1 verwendet wird, z.B. bei Routern von Hosting-Providern wie Hetzner.

Es gibt unrühmliche Ausnahmen von diesem Ansatz, z.B. wenn Du erstmal lokale Routen, eventuell über mehrere Hops nutzt, um das eigentliche Gateway zu erreichen. Das ist aber ungeschickt, weil das Endgerät dann quasi die Topologie des äußeren Netzwerks kennen muss.