La mise à jour Debian, l’ipv6 et les conte­neurs lxc

Suite à la mise à jour vers Debian Wheezy, je me suis rendu compte grâce à un ami en full IPv6 que je n’avais plus IPv6 sur mes conte­neurs !

C’est simple et assez embê­tant. J’avais mis mes routes IPv6 dans le /etc/rc.local des conte­neurs (voir pourquoi dans ce billet) et il semble que ce fichier n’ait pas été joué lors du redé­mar­rage đŸ™

Il m’a suffit de jouer les instruc­tions qui étaient dedans pour que ça remarche. Il faudra que je regarde pourquoi ça n’a pas marché et comment régler le problème.

Bref, faites gaffe et véri­fiez que vous contac­tez bien vos conte­neurs en IPv6 depuis l’ex­té­rieur (ou tentez de contac­ter un serveur en IPv6 depuis un de vos conte­neurs).

IPv6 ready !

World_IPv6_launch_banner
World IPv6 launch !

Et ouais, j’ai profité de la migra­tion de serveur pour m’in­té­res­ser à IPv6, vu que c’est l’ave­nir et que ça permet quelques trucs bien cool (déjà déga­ger le NAT). Pis ça permet d’avoir la classe en s’ins­cri­vant sur http://www.worl­dipv6­launch.org/.

Et en fait, c’est pas si compliqué que ça à mettre en place (en tout cas, sur mon serveur qui, il est vrai, ne fait rien de bien compliqué).

Voyons voir comment mettre ça en place sur un serveur avec des contai­ners lxc dedans.

Situa­tion de départ

On va reprendre la situa­tion où elle en était à la fin de mon article sur la créa­tion de lxc :

  • un dom0 avec une inter­face eth0 qui donne sur inter­net et une inter­face bridge, br0 qui émule un réseau local.
  • des contai­ners, qui possèdent tous une inter­face eth0. On ne trai­tera qu’un contai­ner, la copie des mani­pu­la­tions étant sans piège.
  • un champ d’ip publiques IPv6, mettons 2001:B0E:42:42::/64, fourni par mon héber­geur/FAI/la nasa…
  • la commande ip, four­nie par le paquet iproute sous Debian

Choi­sir les ip

L’ip de la passe­relle, chez Ovh (chez qui je loue mon serveur), se déduit de votre champ d’ip. Dans le cas fictif qui nous occupe, ce sera 2001:B0E:42:ff:ff:ff:ff:ff/128 => on prend l’ip de son sous-réseau et on s’ar­range pour caler 5 « FF » à la fin. Voir ici pour plus de détails.

L’ip de l’in­ter­face eth0 du dom0 : 2001:B0E:42:42::1

L’ip de l’in­ter­face br0 du dom0 : 2001:B0E:42:42::2

L’ip de l’in­ter­face eth0 du contai­ner : 2001:B0E:42:42::3

J’ai pris 3 ip consé­cu­tives parce c’est plus simple à rete­nir mais vous faites comme vous voulez.

Quelques fichiers de conf

Dans le fichier /etc/sysctl.conf du dom0 (merci à Pierre-Philippe d’avoir remarqué cet oubli) :

net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.eth0.proxy_ndp = 1

Dans le fichier /etc/network/interfaces du dom0 :

iface eth0 inet6 static
    address 2001:B0E:42:42::1
    netmask 128
iface br0 inet6 static
    address 2001:B0E:42:42::2
    netmask 64

On ne s’oc­cupe pas de mettre la passe­relle (instruc­tion gateway) car… ça ne marche pas ! Je ne sais pas pourquoi, sans doute un bug passa­ger.

Dans celui du contai­ner :

iface eth0 inet6 static
    address 2001:B0E:42:42::3
    netmask 64

Dans le fichier de config du lxc (/var/lib/lxc/lxchostname/config) :

lxc.network.ipv6 = 2001:41d0:2:9c::3/64

 Mettre en place la passe­relle

À cause du bug mentionné au-dessus, j’ai du placer la confi­gu­ra­tion de la passe­relle dans le fichier /etc/rc.local.

C’est à ce moment que la commande ip devient utile. Faites des tests en ligne de commande avant d’écrire dans /etc/rc.local, c’est plus simple.

Quelques commande de bases :

ip -6 r(oute) l(ist)
=> affiche les routes ipv6 exis­tantes

ip -6 r(oute) a(dd) 2001:B0E:42:ff:ff:ff:ff:ff dev eth0
=> ajoute une route ipv6 sur eth0

ip -6 r(oute) d(elete) 2001:B0E:42:ff:ff:ff:ff:ff dev eth0
=> supprime la route ipv6

ip -6 neigh add proxy 2001:B0E:42:42::3 dev eth0
=> indique que eth0 doit trans­mettre (forwar­der) les requêtes adp à l’adresse suivante. On utili­sera cette commande pour chacune des ip des contai­ners.

Pour le dom0

ip -6 route add default via 2001:B0E:42:ff:ff:ff:ff:ff dev eth0
ip -6 neigh add proxy 2001:B0E:42:42::2 dev eth0
ip -6 neigh add proxy 2001:B0E:42:42::3 dev eth0

La première ligne est assez normale : par où faut-t’il passer pour aller vers le net.

La deuxième sert à assu­rer que la recherche de la machine ayant l’ip 2001:B0E:42:42::2 (br0 du dom0) sera bien trans­mise et que le contai­ner pourra bien répondre à cette solli­ci­ta­tion. Pareil pour la troi­sième ligne (eth0 du contai­ner).

On pourra voir avec ip –6 r l que les routes

2001:B0E:42:42::1 dev eth0  proto kernel  metric 256
2001:B0E:42:42::/64 dev br0  proto kernel  metric 256

ont été créées toutes seules comme des grandes (nécés­site peut-être un redé­mar­rage et pas juste une acti­va­tion des IPv6 sur les diffé­rentes inter­faces).

Pour le contai­ner

ip -6 route add 2001:B0E:42:42::1 via 2001:B0E:42:42::2 dev eth0
ip -6 route add default via 2001:B0E:42:42::2 dev eth0

Voilà qui peut sembler étrange de spéci­fier la route de 2001:B0E:42:42::1 (eth0 du dom0) en passant par 2001:B0E:42:42::2 (br0 du dom0). En fait, pas du tout. Comme l’in­ter­face eth0 du contai­ner fait partie du réseau 2001:B0E:42:42/64, le serveur pense qu’il peut accé­der à 2001:B0E:42:42::1 direc­te­ment, or il lui faut passer par br0.

Ce problème est évitable en mettant les inter­faces des contai­ners, ainsi que br0 dans un /65 (ou un réseau encore plus petit) distinct de celui de l’in­ter­face eth0 du dom0. Je ne l’ai pas fait au début et ensuite ça m’em­bê­tait de chan­ger toute ma confi­gu­ra­tion.

Fini

Voilà, norma­le­ment, c’est tout bon. Vous pouvez tester votre confi­gu­ra­tion à grands coups de

ping6 ipv6.google.com

ou n’im­porte quel autre serveur dont vous savez qu’il répond aux pings IPv6 (fiat-tux.fr ne répon­dra pas : je bloque le ping des ip que je ne connais pas, désolé) . Pensez à le faire depuis tous les contai­ners, on ne sait jamais.

Vous pouvez tester que le serveur choi­sit est bien censé répondre aux ping6 sur cette page.

Et si j’ai dit une bêtise ou que vous avez une ques­tion, je suis à votre dispo­si­tion !