Dirijarea traficului de la un pod către o interfață specifică

Întrebare fundamentală despre rutare în Ubuntu 20.04.

Am o configurație baremetal în Hetzner care are o adresă IPV4 11.22.33.44/32 împreună cu subrețeaua 2a01:db8:30/64 alocată.

enp7s0 este interfața fizică care are adresa 11.22.33.44/32.

Am și serverul baremetal conectat la un vSwitch care are o subrețea publică 2a01:1111:2222:3333::/64 alocată acestuia. The gateway-ul pentru această subrețea este 2a01:1111:2222:3333::1 și este accesibil prin interfața vlan.4001 (o subinterfață a enp7s0 cu ID-ul etichetei VLAN de 4001)

În configurația mea, se creează o punte pe gazdă numită br1 cu o adresă IP 2a01:1111:2222:3333::10/64. Mai multe VM-uri sunt create pe aceasta bridge și fiecare dintre VM-urile au o adresă IPV6 alocată din subrețeaua 2a01:1111:2222:3333::/64 IPV6. Trebuie să folosesc un pod și nu există altă opțiune disponibilă din cauza diferitelor cerințe.

VM-urile care sunt pe br1 pot vorbi între ele și cu br1. Vreau să direcționez tot traficul către lumea externă de la br1 prin vlan.4001. Eu nu vreau să adaug interfața vlan.4001 la br1 (nu vreau ca adresele MAC ale VM-urilor să fie expuse vSWitch-ului). eu a atribuit adresa 2a01:1111:2222:3333::2/64 lui vlan.4001, dar se străduia să-și dea seama cum să direcționeze traficul de la interfața br1 la vlan.4001.

După cum am menționat mai devreme, trebuie să folosesc un bridge pentru a conecta toate VM-urile de pe o gazdă cu 2a01:1111:2222:3333::/64 (nu este permis NAT pentru VM-uri) și încă să poată accesa internetul extern prin vlan.4001.

Este posibilă această configurare folosind Ubuntu 20.04?

o voi face si eu nu să poată utiliza VRF-uri sau netn-uri, ambele sunt excluse din cauza altor cerințe.

Singura opțiune pe care o am este să folosesc rutarea bazată pe politici, dar nu pot crea PBR pentru 2a01:1111:2222:3333::/64 pentru a utiliza interfața vlan.4001 pentru trafic extern.

Un pod nu trasează. Bridging-ul are loc la nivelul 2, rutarea la nivelul 3. Va trebui să vă decideți dacă doriți să rutați sau să faceți o punte între rețeaua internă care conectează VM-urile (implementată de br1) și conexiunea la Internet (vlan.4001). Oricare alegere are consecințe specifice.

Dacă alegeți crearea de punte, VM-urile dvs. vor vorbi direct cu gateway-ul 2a01:1111:2222:3333::1, expunându-și adresa MAC către acel gateway și rețeaua de nivel 2 intermediară. Pe de altă parte, această soluție este foarte simplă și, prin urmare, mai sigură și mai fiabilă.

Dacă alegeți rutarea, aveți nevoie de o instanță de rutare între VM-urile dvs. și interfața externă și un segment de rețea separat cu propriul interval de adrese IPv6 pentru a conecta acea instanță de rutare la routerul gateway-ului hosterului. Așa că va trebui să îi ceri lui Hetzner un alt /64 pe care l-ar direcționa către routerul tău intern sau, alternativ, un /56 pe care l-ar fi subrețea. Instanța de rutare poate fi implementată ca o VM dedicată care rulează un firewall sau de către sistemul de operare al serverului dvs. baremetal.

Indiferent dacă utilizați Ubuntu 20.04 sau orice alt sistem de operare, nu intră în joc la acel nivel. Orice soluție alegeți poate fi implementată cu Ubuntu, precum și cu orice alt sistem de operare.