Pregunta fundamental sobre el enrutamiento en Ubuntu 20.04.
Tengo una configuración básica en Hetzner que tiene una dirección IPV4 11.22.33.44/32 junto con la subred 2a01:db8:30/64 asignada.
enp7s0 es la interfaz física que tiene la dirección 11.22.33.44/32.
También tengo el servidor baremetal conectado a un vSwitch que tiene una subred pública 2a01:1111:2222:3333::/64 asignada. La puerta de enlace para esta subred es 2a01:1111:2222:3333::1 y se puede acceder a ella a través de la interfaz vlan.4001 (una subinterfaz de enp7s0 con una identificación de etiqueta VLAN de 4001)
En mi configuración, se crea un puente en el host llamado br1 con una dirección IP 2a01:1111:2222:3333::10/64. Se crean varias máquinas virtuales en este puente y cada una de las máquinas virtuales tiene una dirección IPV6 asignada desde la subred IPV6 2a01:1111:2222:3333::/64. Tengo que usar un puente y no hay otra opción disponible debido a diversos requisitos.
Las máquinas virtuales que están en br1 pueden comunicarse entre sí y con br1. Quiero enrutar todo el tráfico al mundo externo desde br1 a través de vlan.4001. No quiero agregar la interfaz vlan.4001 al br1 (no quiero que las direcciones MAC de las máquinas virtuales queden expuestas al vSWitch). Asigné la dirección 2a01:1111:2222:3333::2/64 a vlan.4001 pero me cuesta descubrir cómo enrutar el tráfico desde la interfaz br1 a vlan.4001.
Como mencioné anteriormente, tengo que usar un puente para conectar todas las máquinas virtuales en un host con 2a01:1111:2222:3333::/64 (no se permite NAT para las máquinas virtuales) y aún poder acceder a Internet externo a través de VLAN. .4001.
¿Es posible esta configuración con Ubuntu 20.04?
yo también lo harénopoder utilizar VRF o netns, ambos quedan descartados por otros requisitos.
La única opción que tengo es usar el enrutamiento basado en políticas, pero no puedo crear el PBR para 2a01:1111:2222:3333::/64 para usar la interfaz vlan.4001 para el tráfico externo.
Respuesta1
Un puente no encamina. El puente ocurre en la capa 2, el enrutamiento en la capa 3. Tendrá que decidir si desea enrutar o hacer un puente entre su red interna que conecta las máquinas virtuales (implementada por br1) y su conexión a Internet (vlan.4001). Cualquiera de las opciones tiene consecuencias específicas.
Si elige el puente, sus máquinas virtuales se comunicarán directamente con la puerta de enlace 2a01:1111:2222:3333::1, exponiendo su dirección MAC a esa puerta de enlace y a la red de capa 2 intermedia. Por otro lado, esa solución es muy sencilla y, por tanto, más segura y fiable.
Si elige el enrutamiento, necesita una instancia de enrutamiento entre sus máquinas virtuales y la interfaz externa, y un segmento de red separado con su propio rango de direcciones IPv6 para conectar esa instancia de enrutamiento al enrutador de puerta de enlace del proveedor de alojamiento. Por lo tanto, tendrá que pedirle a Hetzner otro /64 que enrutarían a su enrutador interno o, alternativamente, un /56 que luego usted mismo crearía una subred. La instancia de enrutamiento se puede implementar como una máquina virtual dedicada que ejecuta un firewall o mediante el sistema operativo de su servidor baremetal.
Si usas Ubuntu 20.04 o cualquier otro sistema operativo no entra en juego en ese nivel. Cualquier solución que elija se puede implementar tanto con Ubuntu como con cualquier otro sistema operativo.