Pergunta fundamental sobre roteamento no Ubuntu 20.04.
Eu tenho uma configuração baremetal no Hetzner que possui um endereço IPV4 11.22.33.44/32 junto com a sub-rede 2a01:db8:30/64 alocada para ele.
enp7s0 é a interface física que possui endereço 11.22.33.44/32.
Também tenho o servidor baremetal conectado a um vSwitch que possui uma sub-rede pública 2a01:1111:2222:3333::/64 alocada para ele. O gateway para esta sub-rede é 2a01:1111:2222:3333::1 e é acessível via interface vlan.4001 (uma subinterface de enp7s0 com ID de tag VLAN de 4001)
Na minha configuração, uma ponte é criada no host chamada br1 com um endereço IP 2a01:1111:2222:3333::10/64. Várias VMs são criadas nesta ponte e cada uma das VMs tem um endereço IPV6 alocado na sub-rede 2a01:1111:2222:3333::/64 IPV6. Tenho que usar uma ponte e não há outra opção disponível devido a vários requisitos.
As VMs que estão no br1 podem se comunicar entre si e com o br1. Quero rotear todo o tráfego para o mundo externo do br1 via vlan.4001. Não quero adicionar a interface vlan.4001 ao br1 (não quero que os endereços MAC das VMs sejam expostos ao vSWitch). Atribuí o endereço 2a01:1111:2222:3333::2/64 a vlan.4001, mas estou lutando para descobrir como rotear o tráfego da interface br1 para vlan.4001.
Como mencionei anteriormente, preciso usar uma ponte para conectar todas as VMs em um host com 2a01:1111:2222:3333::/64 (nenhum NAT permitido para as VMs) e ainda poder acessar a Internet externa via vlan .4001.
Esta configuração é possível usando o Ubuntu 20.04?
eu também vounãopoder utilizar VRFs ou netns, ambos estão descartados devido a outros requisitos.
A única opção que tenho é usar o roteamento baseado em política, mas não consigo criar o PBR para 2a01:1111:2222:3333::/64 para usar a interface vlan.4001 para tráfego externo.
Responder1
Uma ponte não direciona. A ponte acontece na camada 2, o roteamento na camada 3. Você terá que decidir se deseja rotear ou fazer uma ponte entre sua rede interna conectando as VMs (implementada por br1) e sua conexão com a Internet (vlan.4001). Qualquer escolha tem consequências específicas.
Se você escolher a ponte, suas VMs se comunicarão diretamente com o gateway 2a01:1111:2222:3333::1, expondo seu endereço MAC a esse gateway e à rede interveniente da camada 2. Por outro lado, esta solução é muito simples e, portanto, mais segura e confiável.
Se você escolher o roteamento, precisará de uma instância de roteamento entre suas VMs e a interface externa e um segmento de rede separado com seu próprio intervalo de endereços IPv6 para conectar essa instância de roteamento ao roteador de gateway do hoster. Portanto, você terá que pedir à Hetzner outro /64 que eles encaminhariam para o seu roteador interno ou, alternativamente, um /56 que você mesmo criaria em uma sub-rede. A instância de roteamento pode ser implementada como uma VM dedicada executando um firewall ou pelo sistema operacional do seu servidor baremetal.
Se você usa o Ubuntu 20.04 ou qualquer outro sistema operacional, isso não entra em jogo nesse nível. Qualquer solução que você escolher pode ser implementada tanto com o Ubuntu quanto com qualquer outro sistema operacional.