Merrick Bonsoir,
Oui je suis en bridge, avec Hetzner il y'a des changements sur les netamask a prévoir.
Dans la configuration du serveur chez eux : IP principale (ipv4+ipv6), 2 subnets en /29 soit 6 ip par subnet donc 12 ip supplémentaire et l'utilisation du subnet /64 de l'ipv6 )
dans fichier de conf /etc/network/interfaces
auto lo
iface lo inet loopback
iface lo inet6 loopback
auto enp2s0
iface enp2s0 inet static
address 144.76.XXX.YYY # Correspond à ton IP principale du serveur
netmask 255.255.255.224
gateway 144.76.234.225 # Gateway du fournisseur
up route add -net 144.76.234.224 netmask 255.255.255.224 gw 144.76.234.225 dev enp2s0
# route 144.76.234.224/27 via 144.76.234.225
iface enp2s0 inet6 static
address 2a01:4f8:201:xxxx::2 # Premiere ipv6 que tu retrouve sur l'interface robot de chez hetzner
netmask 128 # le netmask est à mettre en 128 pour la bloquer sur cette ip la et pouvoir utiliser la totalité du pool
gateway fe80::1
# la section ci dessous est un VLAN utilisant les vswitch de chez hetzner qui me permet de faire un
# backup sur un autre serveur.
auto enp2s0.4000
iface enp2s0.4000 inet static
address 192.168.200.2
netmask 255.255.255.0
mtu 1400
vlan-raw-device enp2s0
# le premier bridge celui qui ramasse internet ( son ip doit etre la meme que celle de l'interface physique enp2s0)
auto vmbr0
iface vmbr0 inet static
address 144.76.XXX.YYY
netmask 255.255.255.255
bridge-ports none
bridge-stp off
bridge-fd 0
bridge_maxwait 0
pre-up brctl addbr vmbr0
# .32 .39 .176 .183 sont censé etre inutlisable gateway et broadcast du pool mais il m'a
# semblé pouvoir m'en servir quand meme. Le netmask est à mettre a /32 ici et dans la config du CT/VM
# petite bidouille trouvé chez hetzner
up ip route add 148.251.XXX.32/32 dev vmbr0
up ip route add 148.251.XXX.33/32 dev vmbr0
up ip route add 148.251.XXX.34/32 dev vmbr0
up ip route add 148.251.XXX.35/32 dev vmbr0
up ip route add 148.251.XXX.36/32 dev vmbr0
up ip route add 148.251.XXX.37/32 dev vmbr0
up ip route add 148.251.XXX.38/32 dev vmbr0
up ip route add 148.251.XXX.39/32 dev vmbr0
up ip route add 148.251.XXX.176/32 dev vmbr0
up ip route add 148.251.XXX.177/32 dev vmbr0
up ip route add 148.251.XXX.178/32 dev vmbr0
up ip route add 148.251.XXX.179/32 dev vmbr0
up ip route add 148.251.XXX.180/32 dev vmbr0
up ip route add 148.251.XXX.181/32 dev vmbr0
up ip route add 148.251.XXX.182/32 dev vmbr0
up ip route add 148.251.XXX.183/32 dev vmbr0
# ici ton bridge avec ton ipv6 principale mais a laquelle tu applique le netmask /64
iface vmbr0 inet6 static
address 2a01:4f8:201:XXXX::2
netmask 64
# ici un bridge qui permet ci besoin à toutes les VM/CT de communiquer entre elles sans aller sur le net
auto vmbr1
iface vmbr1 inet static
address 10.20.30.1
netmask 255.255.255.0
bridge-ports none
bridge-stp off
bridge-fd 0
post-up iptables -t nat -A POSTROUTING -s '10.20.30.0/24' -o vmbr0 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '10.20.30.0/24' -o vmbr0 -j MASQUERADE
# ici le bridge attribué a la patte LAN de pFsense la patte wan est collé quand à elle sur le vmbr0, en thérie on doit
# pouvoir collé aussi sur la patte IPV6 et attribué un pool ipv6 a pfsense pour qu'il les attribue automatiquement
# aux machines, c'est pas mon but. pfsense n'est simplement là que pour les machines qui ne necessite pas d'ip publique
# propre.
auto vmbr2
iface vmbr2 inet manual
bridge_ports none
bridge_stp off
bridge_fd 0
Pour finir pour que l'hote forward correctement en ipv4/ipv6 j'ai du utiliser cette astuce :
Créer un fichier /etc/sysctl.d/99-networking.conf
et insérer ceci : ( modifier enp2s0 par le nom de ton interface )
net.ipv4.ip_forward=1
net.ipv4.conf.enp2s0.send_redirects=0
net.ipv6.conf.all.forwarding=1
Un petit reboot, et si j'ai rien oublier tu peut attribuer les ip a tes CT directement avec donc ipdupool 148.251.XXX.33/32 pour la premiere ip du pool par exemple.
La gateway tu met l'ip de ton host : ici 144.76.XXX.YYY et dans la partie ipv6 tu part de la premiere ip que tu as ( à savoir que ca commence generalement par 2a01:4f8:xxxx::2).
et tu incremente : 2a01:4f8:XXXX::39/128 pour m'y retrouver j'ai foutu les derniers octets de l'ipv4 dans les derniers octects de l'ipv6 ( doit y'avoir moyen de faire plus propre mais j'apprend tout les jours 🙂 )
et pour la gateway ipv6 tu fais pareil que pour IPV4 la gateway c'est ton host donc : 2a01:10f4:XXXX::2
Je résumé au propre :
premier ct :
IPV4dupool1ereutilisable/32 gateway 144.76.XXX.YYY (ip du host)
IPV6dupool1ereutilisableaprestonhost/128 gateway 2a01:10f4:XXXX::2 (ip du host)
Là ton CT est publiquement accessible depuis l'exterieur et accede aux monde.
Pour les VM, c'est plus chiant : soit tu telecharge une ISO complete et tu installe sans acces au net et une fois installée tu parametre via son fichier /etc/network/interfaces
avec :
auto ens19 (exemple de nom attribué)
iface ens19 inet static
address ipv4dupool
netmask 32
gateway ipv4duhost
pointopoint ipv4duhost
iface ens19 inet6 static
address ipv6dupool
netmask 128
gateway ipv6duhost
sinon tu utilise pfsense tu colle ta vm sur la patte lan, elle lui attribue une ip local tu installe et une fois que c'est installé t modfie la config réseau. Le parametrage dans l'installateur ne passe pas a cause du netmask et si tu modifie ca marche pas ou alors j'ai pas trouvé comment.
Pour pfsense je te conseille d'installer une vm avec une interface graphique pour passer par la GUI, via la console j'ai jamais reussi a lui attribué une ip du pool, le netmask et la gateway sans que ca soit un probleme...
Voila la partie réseau de la machine fullstack ipv4/ipv6. je pense n'avoir rien oublié et si jamais j'ai commis des erreurs aux yeux des grands manitou de proxmox et des adressages reseaux je vous prie : 1) de bien vouloir m'excuser, 2) de répondre constructivement, pas avec des "moi j'aurias pas fait comme ca" mais sans apporter de réponses ou d'idées. 3) J'apprend tout seul 🙂
Je reste à dispo @Merrick
Cette machine tourne maintenant depuis le début de mon post avec :
- CT 01 : ntp1.matdesign-prod.com pool ntp europe pour le fun en IPV4/6
- CT 02 : un server DNS secondaire avec dnssec activé redondant avec mon serveur principal en IPV4/6
- CT 03 : un serveur mail IPV4/IPV6
- CT 04 et 05 sont des seedbox de test IPV4/6
- VM 01 : VM client 01 IPV4/6
- VM 02 : VM client 02 IPV4/6
- VM 03 : PFSENSE IPV4
- derriere cette derniere se trouve des VM / CT qui n'ont aucun besoin d'ip publique attribué entre autre un WINDOWS pour un ado a la maison qui veut se faire son serveur GTA5FiveM mais qui veut pas apprendre a le faire sous linux et un freenas de test.
Récemment j'ai fait l'acquisition d'un vieux DL380G5 ( 2 sockets 4 cores intel x5460 avec 64gb de ram).
Pour continuer d'apprendre, cette machine est posé dans un hotel, elle contient :
- une VM untangle pour le wifi de l'hotel,
- un freenas pour le backup du mac (beurk) et la mise en reseau des documents utilisable par les differents service, il est prévu d'ajouter une couche nextcloud avec collabora pour que la direction et les equipes managers puissent travailler sur des documents depuis leur maison avec des droits spécifique,
- une serveur FreePBX pour gerer les telephones SIP de la partie office (bar, office, bureau, reception et acces depuis l'exterieur),
- un résolveur local pour alleger les requetes dns, oublier les 8.8.8.8 et surtout oublier la Livebox.
- un CT qui s'occupe de fournir le flux rtsp en snapshot au site de l'hotel ( quand on aura la fibre on passera sur un flux direct )
le tout backuper sur un nas et un disque dur externe. sans oublier 2 raid0 materiel et 1 raid 5 materiel je ne sais pas encore s'il est mieux de le mettre en software mais il faudra que j'arrive a passer a travers la carte raid.
et à la maison un DL360g5 couplé à une baie M6412 en fibre vers 12 disques de 400gb, actuellement installé sur un Freenas je pense revenir vers un proxmox avec une vm freenas et les disques presenté directement dedans... pour pouvoir utiliser plus de service mais c'est à l'etude.
Voila voila 🙂
Allez les copains soyez pas trop dur....