Ronny Seffner ronny@seffner.de (Sa 27 Jan 2018 10:48:21 CET):
Rechner A hängt am Internet und arbeitet als Firewall und Proxy-Server. Dazu hat er zwei LAN-Ports. eth0 hat vom Provider eine IPv4-Adresse und einen IPv6-Block ( /64) erhalten.
Diesen IPv6 /64 hat er vermutlich auf der Außenseite. Auch wenn es da nur ein kleines Transfernetz ist.
Ich vermute hier eine Unschärfe in des OP Formulierung. Bei allen Providern, die ich bisher mit IPv6 sah, bekommt der Router eine IPv6 UND ein Subnetz. Meine Antworten bezogen sich dann auf die "Verteilung" der Subnetzdaten.
das sie über die IPv6-Adresse Deiner Außenseite routen wollen. Dann kannst Du Dir da eine /64 Scheibe rausschneiden und nach innen weiterreichen (radvd wäre Dein Freund).
...
Die Gegenseite Deiner Außenseite wird davon ausgehen, daß das komplette /64 zwischen ihr und Dir liegt, also ggf. die IPv6-Entsprechung von Arp-Requests (Neighbourhood Detection oder so) versuchen, wenn eine der Adressen angesprochen wird.
Warum sollte dann letztere Aussage zum 64er Netz nicht auch für das vorher erwähnte 48er oder 56er gelten?
Ich meine, diese /48 oder /56 sind so auf der Seite des Providers eingerichtet, daß er davon ausgeht, es über Deinen Router routen zu können. Er wird also für Adressen des /48 keine ND durchführen, sondern diese geradwegs zu Deinem Router schicken.
Wenn man aus dem dem einen Netz was schneidet und damit ARP und Co. aus dem Tritt bringt, warum dann nicht aus dem anderen?
s.o. Weil ich davon ausgehe:
provider ------------------- router --------------------- HOME 2001:db8:47:11::/64 2001:db8:8:15::/48
In des Providers Routing-Tabelle vermute ich
2001:db8:8:15::/48 via 2001:db8:47:11:<router-id>
Wenn man tatsächlich einen Proxy für NDP betreiben müsste, sollte das folgendermaßen gehen:
sysctl -w net.ipv6.conf.all.proxy_ndp=1 ip -6 neigh add proxy IPv6:of:routers:internal:side::interface dev ethX
Aha. Kannte ich nicht. Danke.