IPv6 Routing Probleme / HA-Cluster: Backup ok, Master keine Verbindung zu UP-GW

[heedwr2]

Moin zusammen,

bin zwar schon länger dabei aber bislang konnte ich alle Hindernisse ohne eigene Beiträge lösen. Bei dem jetztigen Problem bin ich allerdings etwas überfragt und vielleicht kennt jemand das Problem...  ::)

Ich habe derzeit ein wirklich gut funktionierendes OpnSense-HA-Setup im Master / Backup-Betrieb auf einem Proxmox-Cluster über drei Hosts laufen. Allerdings alles mit IPv4.

Derzeitiges Setup:

Code Select Expand


          +----------------------------------------+
          |              WAN Provider              |
          |         WAN (vSwitch VLAN 4000)        |
          | Subnet: XXX.XXX.XXX.184/29             |
          | GW:     XXX.XXX.XXX.185                |
          ++--------------------------------------++
           |                 VIP                  |
           | .186 <----- WAN@1 .189  ------> .187 |
           |             WAN@3 .190               |
+----------+-----+                         +------+---------+
| OpnSense (fw1) |                         | OpnSense (fw2) |
+--+-----------+-+                         +-+-----------+--+
   |           | pfSync (vSwitch VLAN 4002)  |           |
   |           +-----------------------------+           |
   |         172.16.0.1                172.16.0.2        |
   |                                                     |
   |               LAN (vSwitch VLAN 4001)               |
   |                      VIP LAN@2                      |
   | 192.168.0.251 <---- 192.168.0.1 ----> 192.168.0.252 |
   |                                                     |


Jetzt habe ich mir ein 64er-IPv6-Subnetz bestellt und auf meinen WAN-vSwitch gelegt, IPv6-DNS beim Registrar registriert, die WAN-Schnittstellen in den OpnSense-Instanzen mit einer IPv6-Adresse (z.B. 2001:db8::1:1/64 und 2001:db8::1:2/64) belegt und das Gateway (z.B. 2001:db8::1) auf beiden Instanzen eingerichtet.

Interessanterweise meint meine Master-Instanz (2001:db8::1:1/64), dass das Gateway nicht erreichbar ist und schmeißt einen Gateway-Alarm. Meine Backup-Instanz (2001:db8::1:2/64) jedoch arbeitet perfekt damit. Schalte ich das Gatewaymonitoring aus, bleibt das Gateway auf den OpnSense zwar aktiv, Pakete werden jedoch weiterhin nicht groutet.

Master:
Code: [Select]
fw1:~ # traceroute6 google.de
traceroute6 to google.de (2a00:1450:4001:831::2003) from 2001:db8::1:1, 64 hops max, 20 byte packets
1  fw1  2994.211 ms !A  2995.835 ms !A  3010.859 ms !A

Backup:
Code: [Select]
fw2:~ # traceroute6 google.de
traceroute6 to google.de (2a00:1450:4001:831::2003) from 2001:db8::1:2, 64 hops max, 20 byte packets
1  2001:db8::1  0.427 ms  0.309 ms  0.298 ms
2  core11.nbg1.hetzner.com  4.314 ms  19.279 ms  20.785 ms
3  core5.fra.hetzner.com  5.584 ms  20.959 ms  31.662 ms
4  * * *
5  2a00:1450:8155::1  5.664 ms
    2a00:1450:8057::1  6.329 ms
    2a00:1450:814b::1  5.475 ms
6  2001:4860:0:1::500c  5.686 ms * *
7  2001:4860:0:11e2::3  6.223 ms  6.039 ms
    2001:4860:0:11e0::11  6.090 ms
8  fra24s12-in-x03.1e100.net  5.653 ms * *

Beide Instanzen habe ich bei diesen Tests übrigens auf dem selben Proxmox-Cluster-Node laufen. Am Node kann es eigentlich nicht liegen...

Kennt jemand das Phänomen?

VG

แทงบอลสด

[JeGr]

Da es Proxmox ist: fehlt in der primären Maschine ggf. noch eine Einstellung? Multicast? Promisc Mode? Irgendwas anders eingestellt als in der anderen VM? Oder ist die andere auf einem anderen Proxmox (du schreibst Cluster?) - da du das /64er bei Hetzner geordert hast, könnte es sein, dass das wieder mal nur auf einem Host ankommt und beim anderen nicht weil MAC gebunden.

Ansonsten sind es ein paar Infos zu wenig um was vermuten zu können :)

Cheers

[Patrick M. Hausen]

Hetzner routet /64 fix auf eine MAC-Adresse.