+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Mgmt Lan с SLAAC из делегированного префикса, Proxmox Виртуальная Среда

pxm0x

Guest

10.03.2023 17:06:00

Я пытаюсь назначить IPv6-адрес моему интерфейсу управления. Код:
iface enp111s0 inet manual
# i210-AT (без поддержки VLAN)

auto vmbr0
iface vmbr0 inet static
address 192.168.199.4/24
gateway 192.168.199.1
bridge-ports enp111s0
bridge-stp off
bridge-fd 0
iface vmbr0 inet6 static
address fdee::4/64
accept_ra 2
bridge-ports enp111s0
bridge-stp off
bridge-fd 0
# Управляющая LAN: с такой конфигурацией я могу получить только fe80-адрес и статический fdee IPv6-адрес. SLAAC, который работает для других ПК в этой подсети, не активируется. Что мне сделать, чтобы назначить SLAAC IPv6-адрес для интерфейса управления LAN? Также пробовал разные варианты вроде iface vmbr0 inet6 auto, но безуспешно!

spirit

Guest

26.04.2023 23:13:00

Привет! Сейчас я работаю над добавлением поддержки в ifupdown2, потому что в данный момент он не работает с "inet6 static", а только с "inet6 dhcp". Планирую закончить через неделю или две. Пока можно временно использовать такой обход: в "pre-up" сделать sysctl -w net.ipv6.conf.vmbr0.accept_ra=2.

pxm0x Guest	#3 0 28.05.2023 11:05:00 Это уже исправлено в каком-нибудь из текущих релизов?

spirit Guest	#4 0 28.05.2023 13:49:00 Это исправлено в ifupdown2 версии 3.2 для предстоящего proxmox8. (Не знаю, будет ли это обратно портировано в proxmox7.) Могу предоставить .deb для proxmox7, если нужно.

pxm0x Guest	#5 0 28.05.2023 20:13:00 Да, было бы здорово. Но, скорее всего, я не смогу проверить это раньше середины июня. Если к тому времени выйдет Proxmox 8, то, наверное, это будет пустая трата времени. Спасибо!

spirit Guest	#6 0 29.05.2023 15:44:00 Хорошо, думаю, уже почти время выхода proxmox8. (не уверен насчёт плана выпуска, но скорее всего это будет после релиза debian12)

pxm0x Guest	#7 0 09.08.2023 18:04:00 Я обновился до версии 8.0.4, но SLAC всё равно не работает. Как правильно настроить файл interfaces? Спасибо!

spirit Guest	#8 0 09.08.2023 19:14:00 Это всё ещё мелкая ошибка, я отправил патч для её исправления, но он пока не применён.

spirit Guest	#9 0 09.08.2023 19:16:00 Можешь попробовать эту исправленную версию? wget https://mutulin1.odiso.net/ifupdown2_3.2.0-1+pmx2_all.deb dpkg -i ifupdown2_3.2.0-1+pmx2_all.deb

pxm0x

Guest

#10

09.08.2023 19:30:00

Очевидно, я ещё не пробовал эту обновлённую версию, но столкнулся с другим случаем, который нужно учитывать в настройках сети. Для ясности сначала немного предыстории: у меня есть устройство с 6 сетевыми интерфейсами, на котором, естественно, запущен PVE.

1 NIC-порт не используется.
1 NIC-порт подключен к vmbr0, который, в свою очередь, имеет статический IPv4-адрес. Этот интерфейс должен получить SLAAC-адрес (это предыдущая проблема).
4 NIC-порта подключены к 4 vmbr (10–13). Изначально у меня не было настроек для них (через GUI). Но теперь я обнаружил, что все эти 4 порта автоматически получают SLAAC-адреса, а это нежелательно!

Из этого я делаю вывод, что SLAAC, скорее всего, полезен только если мы можем назначать его на каждый интерфейс отдельно. По крайней мере, в моём случае эти 4 NIC-порта выделены для виртуальных машин с файрволом. Поэтому автоматическое получение IP-адресов от моего провайдера на любом из этих интерфейсов точно не нужно (будь то через SLAAC, PD или DHCPv6).

Понимаю, что всё немного запутанно, но сейчас я мучаюсь, пытаясь найти правильную конфигурацию /etc/network/interfaces для этого сценария. В качестве быстрого и грубого обходного пути я через GUI назначил адреса из fd:: этим 4 NIC-портам, чтобы они не получали SLAAC или другие IPv6-адреса.

Я провёл тесты и могу с уверенностью сказать, что в моей настройке с таким содержимым в /etc/network/interfaces я всё равно получаю SLAAC-адрес!

Код:
iface vmbr10 inet manual
bridge-ports enp111s0
bridge-stp off
bridge-fd 0

И, как мне кажется, так быть не должно, правильно?

pxm0x Guest	#11 0 11.08.2023 19:21:00 Хорошо, но у меня там нет никого на связи. Они вообще читают сообщения или как мы можем привлечь внимание к этой проблеме?

spirit

Guest

#12

09.08.2023 20:21:00

В proxmox8 сейчас SLAAC работает на физическом интерфейсе, но не на мосту vmbr. (именно это и исправляет эта патченная версия). SLAAC работает только если в sysctl выставлено accept_ra=1 и autoconf=1. Насколько я знаю, по умолчанию это не так:

sysctl -a | grep accept_ra | grep default
net.ipv6.conf.default.accept_ra = 0

sysctl -a | grep accept_ra | grep autoconf
net.ipv6.conf.default.autoconf = 0

SLAAC должен быть включен только с такими настройками:

iface eth0 inet auto

или

iface eth0 inet manual
accept_ra 1
autoconf 0

Можешь прислать свой файл /etc/network/interfaces и последний лог ifupdown2 из /var/log/ifupdown2/network_config_ifupdown2_*/?

pxm0x

Guest

#13

09.08.2023 20:31:00

Если ты имел в виду только физические интерфейсы, то, думаю, мы немного не поняли друг друга. В моём конфиге в начале темы показан файл /etc/network/interfaces, который использует мост vmbr. По моим наблюдениям, версия 8 ведёт себя немного непредсказуемо с vmbr-интерфейсами и IPv6. Если они вообще не должны работать, то в документации была бы полезная предупреждающая информация или какое-то разъяснение. В моей настройке (по умолчанию, после установки версии 7) физический сетевой интерфейс привязывается к мосту vmbr, а IP-адрес назначается именно этому vmbr-интерфейсу. Я взял эту рекомендованную конфигурацию и для остальных четырёх интерфейсов (которые в любом случае должны получать IP только внутри той виртуальной машины, которой они выделены).

Если vmbr настроен вручную так:

Code: iface vmbr10 inet manual

то на vmbr10 всё равно приходит IPv6-адрес через SLAAC, чего, как мне кажется, быть не должно, верно?

spirit

Guest

#14

09.08.2023 23:28:00

Как я уже говорил, если значения sysctl по умолчанию равны 0:
sysctl -a | grep accept_ra | grep default
net.ipv6.conf.default.accept_ra = 0
sysctl -a | grep accept_ra | grep autoconf
net.ipv6.conf.default.autoconf = 0

то вы не должны получать slaac. (В принципе, /etc/network/interfaces в фоновом режиме выполняет sysctl, чтобы включать или отключать эти параметры. Но если значение по умолчанию установлено в 1 и в /etc/network/interfaces нет никакой конфигурации, slaac будет включён.)

Лог ifupdown2 должен показывать, изменились ли accept_ra и autoconf с помощью ifupdown2.

Вы можете добавить в /etc/sysctl.conf:
net.ipv6.conf.default.accept_ra = 0
net.ipv6.conf.default.autoconf = 0

чтобы везде гарантированно отключить slaac. (А затем при необходимости включить его на конкретном интерфейсе в /etc/network/interfaces.)

pxm0x

Guest

#15

10.08.2023 11:42:00

Во-первых, спасибо за обновление выше. Это заставило меня пересмотреть подход, и, как ты и предложил, всё вполне логично. Поэтому я отключил IPv6 по умолчанию, добавив в /etc/sysctl.conf строки:
net.ipv6.conf.default.accept_ra = 0
net.ipv6.conf.default.autoconf = 0
а потом вручную включил IPv6 SLAAC только на том интерфейсе, где он мне был нужен, используя
iface vmbr0 inet static
в /etc/network/interfaces.
Теперь всё работает отлично!

Однако я проверил на обеих своих установках Proxmox (одна из них практически не тронута), и в обеих по умолчанию autoconf и accept_ra были установлены в 1, а не в 0, то есть изначально включены! Думаю, стоит перепроверить это с другими или на чистой установке версии 8, потому что если SLAAC включён по умолчанию (как на моих системах), и вы не назначаете IP через GUI, то всё равно могут прийти публичные IPv6-адреса, что может стать риском для безопасности, даже о котором люди могут не подозревать!

spirit Guest	#16 0 10.08.2023 11:59:00 Я проверил, похоже, что это по умолчанию включено в ядре Linux. (У меня в продакшене я отключаю это вручную через sysctl для безопасности). Возможно, было бы логично отключать это по умолчанию в sysctl, но это стоит обсудить с разработчиками Proxmox.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры