IPV6 einrichten

[achim55]

Guten Morgen,
ich habe Debian 11 per DHCP am laufen die hinter einer PfSense hängt. Darauf läuft mailcow.
Jetzt würde ich gerne IPV6 einrichten damit der Mailserver auch sauber läuft.

Den DHCP für IPV6 auf der PfSense habe mittlerweile eingerichtet, jedoch zieht Debina nicht die IP.

VG

[image][/image]

[image][/image]

Code: Alles auswählen

root@mail:~# root@mail:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 26:b0:4f:92:af:d8 brd ff:ff:ff:ff:ff:ff
    altname enp0s18
    inet 192.168.2.8/24 brd 192.168.2.255 scope global dynamic ens18
       valid_lft 6843sec preferred_lft 6843sec
    inet6 fe80::24b0:4fff:fe92:afd8/64 scope link
       valid_lft forever preferred_lft forever
3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default
    link/ether 02:42:a0:27:b1:66 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
4: br-mailcow: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
    link/ether 02:42:2e:b4:73:f0 brd ff:ff:ff:ff:ff:ff
    inet 172.22.1.1/24 brd 172.22.1.255 scope global br-mailcow
       valid_lft forever preferred_lft forever
    inet6 fd4d:6169:6c63:6f77::1/64 scope global
       valid_lft forever preferred_lft forever
    inet6 fe80::42:2eff:feb4:73f0/64 scope link
       valid_lft forever preferred_lft forever
    inet6 fe80::1/64 scope link
       valid_lft forever preferred_lft forever
6: veth332aa94@if5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-mailcow state UP group default
    link/ether e2:b1:ad:0f:d2:64 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet6 fe80::e0b1:adff:fe0f:d264/64 scope link
       valid_lft forever preferred_lft forever
8: veth6d80594@if7: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-mailcow state UP group default
    link/ether a6:d3:cc:ef:df:a5 brd ff:ff:ff:ff:ff:ff link-netnsid 1
    inet6 fe80::a4d3:ccff:feef:dfa5/64 scope link
       valid_lft forever preferred_lft forever
10: vethf5e0d76@if9: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-mailcow state UP group default
    link/ether 6e:5d:53:50:67:af brd ff:ff:ff:ff:ff:ff link-netnsid 2
    inet6 fe80::6c5d:53ff:fe50:67af/64 scope link
       valid_lft forever preferred_lft forever
12: veth78350eb@if11: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-mailcow state UP group default
    link/ether 72:06:de:5e:4f:30 brd ff:ff:ff:ff:ff:ff link-netnsid 3
    inet6 fe80::7006:deff:fe5e:4f30/64 scope link
       valid_lft forever preferred_lft forever
16: veth4e6b98c@if15: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-mailcow state UP group default
    link/ether 16:36:b3:85:88:5b brd ff:ff:ff:ff:ff:ff link-netnsid 4
    inet6 fe80::1436:b3ff:fe85:885b/64 scope link
       valid_lft forever preferred_lft forever
18: veth77b1524@if17: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-mailcow state UP group default
    link/ether 2a:53:fa:b0:1f:a2 brd ff:ff:ff:ff:ff:ff link-netnsid 13
    inet6 fe80::2853:faff:feb0:1fa2/64 scope link
       valid_lft forever preferred_lft forever
20: veth1c189ef@if19: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-mailcow state UP group default
    link/ether ea:16:28:3c:34:c1 brd ff:ff:ff:ff:ff:ff link-netnsid 5
    inet6 fe80::e816:28ff:fe3c:34c1/64 scope link
       valid_lft forever preferred_lft forever
22: vethd906ab0@if21: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-mailcow state UP group default
    link/ether de:ec:d9:57:d2:82 brd ff:ff:ff:ff:ff:ff link-netnsid 10
    inet6 fe80::dcec:d9ff:fe57:d282/64 scope link
       valid_lft forever preferred_lft forever
24: veth2389aea@if23: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-mailcow state UP group default
    link/ether 46:28:67:d3:19:bf brd ff:ff:ff:ff:ff:ff link-netnsid 7
    inet6 fe80::4428:67ff:fed3:19bf/64 scope link
       valid_lft forever preferred_lft forever
26: veth5d887db@if25: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-mailcow state UP group default
    link/ether 8e:42:dc:2d:ef:da brd ff:ff:ff:ff:ff:ff link-netnsid 8
    inet6 fe80::8c42:dcff:fe2d:efda/64 scope link
       valid_lft forever preferred_lft forever
28: veth87335c2@if27: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-mailcow state UP group default
    link/ether 56:2b:a0:cd:21:1d brd ff:ff:ff:ff:ff:ff link-netnsid 9
    inet6 fe80::542b:a0ff:fecd:211d/64 scope link
       valid_lft forever preferred_lft forever
30: veth034b99b@if29: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-mailcow state UP group default
    link/ether ca:fe:bd:c8:db:57 brd ff:ff:ff:ff:ff:ff link-netnsid 16
    inet6 fe80::c8fe:bdff:fec8:db57/64 scope link
       valid_lft forever preferred_lft forever
34: veth7c6bf3e@if33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-mailcow state UP group default
    link/ether a2:85:4f:5e:b3:76 brd ff:ff:ff:ff:ff:ff link-netnsid 11
    inet6 fe80::a085:4fff:fe5e:b376/64 scope link
       valid_lft forever preferred_lft forever
36: vethf0b43cc@if35: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-mailcow state UP group default
    link/ether 76:72:a2:0f:6f:74 brd ff:ff:ff:ff:ff:ff link-netnsid 15
    inet6 fe80::7472:a2ff:fe0f:6f74/64 scope link
       valid_lft forever preferred_lft forever
38: vethb485c41@if37: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-mailcow state UP group default
    link/ether 02:0d:1d:6e:b4:54 brd ff:ff:ff:ff:ff:ff link-netnsid 14
    inet6 fe80::d:1dff:fe6e:b454/64 scope link
       valid_lft forever preferred_lft forever
66: veth34a2c8c@if65: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-mailcow state UP group default
    link/ether 86:a7:62:3c:87:36 brd ff:ff:ff:ff:ff:ff link-netnsid 6
    inet6 fe80::84a7:62ff:fe3c:8736/64 scope link
       valid_lft forever preferred_lft forever
112: veth4e0c2fa@if111: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-mailcow state UP group default
    link/ether 12:59:46:d6:b4:94 brd ff:ff:ff:ff:ff:ff link-netnsid 12
    inet6 fe80::1059:46ff:fed6:b494/64 scope link
       valid_lft forever preferred_lft forever
root@mail:~#

Code: Alles auswählen

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug ens18
iface ens18 inet dhcp

[wanne]

Ich weiß du wirst nicht hören, weil du das vermutlich die Warnung schon auf 20 anderen Seiten gelesen hast. Aber: Lass das Krüppelsetup sein!
Private Adressen, NAT und DHCP waren Krücken, die IPv4 und IPv6 vor 10 Jahren brauchten, weil passende Funktionalitäten wie DNS-Server-Zuweisung Autokonfiguration und Prefix-Delegation fehlten. Das ist lange vorbei.
Irgend jemand hat für alle dieser Krücken mal ein IPv6 äquivalent geschrieben (ULA, NAT66, DHCPv6) niemand nutzt das sie sind meist widersprüchlich zu anderen Standards und keiner rechnet mit solchen krüppel-setups sodass nichts out of the Box funktioniert. (Bzw. im Normalfall halt IPv4 genutzt wird.) Wenn du unbedingt bei deinem IPv4-Setup bleiben willst. Nutze IPv4.
Wenn du Probleme mit "richtigem" IPv6 hast, frag nach. Es funktioniert ganz sicher ohne stateful DHCP und NAT66 ob dus glaubst oder nicht.
Sonst: Mach SLAAC, schalte in deinem Router RAs an und schreibe in deine /etc/network/interfaces.d/*:

Code: Alles auswählen

iface ens18 inet6 auto

Eventuell:

Code: Alles auswählen

iface ens18 inet6 auto
	privext 0
	dhcp 1

Wenn du eine feste IP haben willst und statless DHCP willst (vermutlich nicht).

Wenn du wirklich willst, dass nichts tut.. Told you so!
fc/8 ist für adressen die von einer "höheren Atorität" zugeteilt werden fd/8 für Adressen, die du dir selbst fürs Lokale Netzwerk vergibst. Auch wenn es technisch keinen Unterschied macht. Du meintest vermutlich eher letzteres und willst von fc00:... auf fdXX:... wechseln.
Sonst um stateful DHCP

Code: Alles auswählen

iface ens18 inet6 dhcp

Btw. du kannst auch hier ein klassisches stateless setup mit privacy extentions machen :

Code: Alles auswählen

iface ens18 inet6 dhcp
	autoconf 1
	hwaddress random

Stelle sicher dass dhclient installiert ist. Sollte aber wegen IPv4 eh der Fall sein.

[bluestar]

Ich weiß du wirst nicht hören, weil du das vermutlich die Warnung schon auf 20 anderen Seiten gelesen hast. Aber: Lass das Krüppelsetup sein!

Ich gehe hier noch einen Schritt weiter und sage dir, dass du gerade bei einem Mailserver ohne feste IPv4 mit korrektem Reverse-DNS-Eintrag ohnehin nicht weit kommst.

[achim55]

Ich habe den Maiserver einmal zu testen aufgesetzt und sicherlich ist eine feste IP sinnvoll.
Jedoch versteh ich nur die hälfte von dem was du geschrieben hast

Ich würde das jetzt so eintragen. Jedoch habe ich kein Plan von IPV6 was trage ich dort unter Gateway ein ?

Code: Alles auswählen

auto eth0
    iface ens18 inet static
        address 192.168.2.8/24
        gateway 192.168.2.255
iface ens18 inet6 static
        address fc00:a:b:100::2/64
        gateway fc00:a:b:100::1

Habe ich vergessen zu erwähnen:
die PfSense hängt im RZ und hat eine öffentliche Feste IP

[achim55]

Code: Alles auswählen

iface ens18 inet6 static
address fc00:a:b:100::2/64
gateway fc00:a:b:100::1

[bluestar]

Ich würde das jetzt so eintragen. Jedoch habe ich kein Plan von IPV6 was trage ich dort unter Gateway ein ?

Die IPv6 IP deiner PF-Sense

die PfSense hängt im RZ und hat eine öffentliche Feste IP

Mit einer festen IP wirst du nicht weit kommen.

[achim55]

Ich würde das jetzt so eintragen. Jedoch habe ich kein Plan von IPV6 was trage ich dort unter Gateway ein ?

Die IPv6 IP deiner PF-Sense

die PfSense hängt im RZ und hat eine öffentliche Feste IP

Mit einer festen IP wirst du nicht weit kommen.

Warum nicht ?

[bluestar]

Warum nicht ?

Eine IPv4 für pfSense, eine zweite für Mailcow oder willst du die Ports auch in der IPv4 Welt von extern auf die mailcow vm durchnatten? Für Mailserver ist das eine ganz ganz ganz schlechte Idee, wie du schon lesen durftest:

Lass das Krüppelsetup sein!

[achim55]

okay dachte mir schon das es nicht so einfach wird. Hatte bis jetzt den Mailserver bei Hetzner in der Cloud am laufen, ohne Probleme.
Aus " Langeweile " mal alles über Proxmox mit einer PfSense.

[bluestar]

Aus " Langeweile " mal alles über Proxmox mit einer PfSense.

So langsam ahne ich wo du hinwillst:
* Proxmox als Virtualisierungssystem
* PfSense als Firewall/ Router
* Internes "geschütztes" Netz für VMs (z.B. Mailcow)

Ich würde die PfSense da direkt rauslassen und das Firewalling in Proxmox machen und dann den Host als Router definieren und für das geschützte interne Netz ein eigenes IPv4 und IPv6 Subnetz beim Anbieter buchen und das Routing sauber auf dem Host (Proxmox) konfigurieren.

Mit der PfSense dazwischen geht es natürlich auch, dann brauchst du ein privates Transfernetz (jeweils IPv4 und IPv6) zwischen Proxmox und PfSense worüber die die eigenen Netze (IPv4 und IPv6) an PfSense routest um sie dann aus dem internen Netz nutzen zu können.

[wanne]

Mit der PfSense dazwischen geht es natürlich auch, dann brauchst du ein privates Transfernetz (jeweils IPv4 und IPv6) zwischen Proxmox und PfSense worüber die die eigenen Netze (IPv4 und IPv6) an PfSense routest um sie dann aus dem internen Netz nutzen zu können.

Nein! Für IPv6 sind solche Krüppelsetups nicht nötig. Du kannst wunderbar einen Präfix aus deinem öffentlich zugewiesenen Netz als privates internes nutzen. Nur wenn du mit aller Gewalt IPv4-Setups nachbauen willst, geht das kaputt.

[bluestar]

Nein! Für IPv6 sind solche Krüppelsetups nicht nötig. Du kannst wunderbar einen Präfix aus deinem öffentlich zugewiesenen Netz als privates internes nutzen. Nur wenn du mit aller Gewalt IPv4-Setups nachbauen willst, geht das kaputt.

Asche auf mein Haupt, da habe ich tatsächlich das Transfernetz IPv6 "privat" gemacht, natürlich hast du Recht. In der IPv6 Welt nutzt man für das Transfernetz auch direkt öffentliche IPs, schließlich haben wir ja genügend davon.