Định tuyến IPv6 cho VNET bị bỏ tù trên FreeBSD 13-RELEASE

Tôi có một khối địa chỉ IPv6 có kích thước tiền tố là 64. Trên máy tính chủ của tôi đang chạy FreeBSD 13-RELEASE, tôi có ba nhà tù:

jls

   Đường dẫn tên máy chủ địa chỉ IP JID
     1 svcfw /usr/nhà tù/svcfw
     2 www /usr/nhà tù/www
     3 ifee /usr/jail/ifee

Bộ điều hợp mạng máy chủ được kết nối với Internet toàn cầu:

ifconfig vtnet0

vtnet0: flags=8863<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> chỉ số 0 mtu 1500
    options=4804bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,LRO,LINKSTATE,TXCSUM_IPV6>
    ête 56:00:03:7a:2c:a1
    inet 192.248.184.48 netmask 0xffffffe00 phát sóng 192.248.185.255
    inet6 fe80::5400:3ff:fe7a:2ca1%vtnet0 tiền tốlen 64 scopeid 0x1
    inet6 2001:19f0:6c01:2033::2 tiền tốlen 65
    phương tiện: Ethernet autoselect (10Gbase-T <full-duplex>)
    Trạng thái: Đang hoạt động
    tùy chọn thứ 6=21<PERFORMNUD,AUTO_LINKLOCAL>

nội dung của tôi /etc/rc.conf:

tên máy chủ = "đăng nhập"

clear_tmp_enable="CÓ"
syslogd_flags="-ss"
sendmail_enable="KHÔNG CÓ"
static_routes="linklocal"

route_linklocal="-net 169.254.0.0/16 -giao diện vtnet0"
ifconfig_vtnet0="inet 192.248.184.48 mặt nạ mạng 255.255.254.0"
defaultrouter="192.248.184.1"
ifconfig_vtnet0_ipv6="inet6 2001:19f0:6c01:2033::2 tiền tốlen 65"
ipv6_default_interface="vtnet0"
# XXX:
# - https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=233283#c4
# - https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=233283#c16
ipv6_defaultrouter="fe80::fc00:3ff:fe7a:2ca1%vtnet0"
cloned_interfaces="bridge0 epair0"
ifconfig_epair0a_ipv6="inet6 2001:19f0:6c01:2033:8000::1 tiền tốlen 65"
ifconfig_epair0a="inet 10.22.0.1 mặt nạ mạng 255.255.0.0"

# Mạng riêng: net5ab50b04a6b66
ifconfig_vtnet1="inet 10.9.96.5 mặt nạ mạng 255.255.240.0 mtu 1450"

#pf_enable="CÓ"
#pf_rules="/etc/pf.conf"
#pflog_enable="CÓ"
#pflog_logfile="/var/log/pflog"

sshd_enable="CÓ"

dumpdev = "KHÔNG"
zfs_enable="CÓ"
devmatch_blacklist="virtio_random.ko"
gateway_enable="CÓ"
ipv6_gateway_enable="CÓ"
wireguard_enable="CÓ"
wireguard_interfaces="wg0"
giam_enable="CÓ"

Mạng từ máy chủ đang hoạt động bình thường:

tìm nạp -6 -o /dev/null http://example.com

/dev/null 1256 B 10 MBps 00s

ping6 -c 4 google.com

PING6(56=40+8+8 byte) 2001:19f0:6c01:2033::2 --> 2a00:1450:4001:802::200e
16 byte từ 2a00:1450:4001:802::200e, icmp_seq=0 hlim=119 time=0,832 ms
16 byte từ 2a00:1450:4001:802::200e, icmp_seq=1 hlim=119 time=0,793 ms
16 byte từ 2a00:1450:4001:802::200e, icmp_seq=2 hlim=119 time=0,867 ms
16 byte từ 2a00:1450:4001:802::200e, icmp_seq=3 hlim=119 time=0,827 ms
--- thống kê ping6 của google.com ---
Truyền 4 gói, nhận 4 gói, mất gói 0,0%
khứ hồi tối thiểu/trung bình/tối đa/std-dev = 0,793/0,830/0,867/0,026 mili giây

Bộ điều hợp mạng chính của nhà tù đầu tiên:

doas jexec svcfw ifconfig bridge0

bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> chỉ số 0 mtu 1500
    ether 58:9c:fc:10:e2:24
    inet6 2001:19f0:6c01:2033:8000::2 tiền tốlen 65
    inet 10.22.0.2 netmask 0xffff0000 phát sóng 10.22.255.255
    id 00:00:00:00:00:00 ưu tiên 32768 hellotime 2 fwddelay 15
    tối đa 20 holdcnt 6 proto rstp maxaddr 2000 hết thời gian chờ 1200
    id gốc 00:00:00:00:00:00 ưu tiên 32768 ifcost 0 cổng 0
    thành viên: epair2a flags=143<LEARNING,KHÁM PHÁ,AUTOEDGE,AUTOPTP>
            ifmaxaddr 0 cổng 5 ưu tiên 128 đường dẫn chi phí 2000
    thành viên: epair1a flags=143<LEARNING,KHÁM PHÁ,AUTOEDGE,AUTOPTP>
            ifmaxaddr 0 cổng 4 ưu tiên 128 đường dẫn chi phí 2000
    thành viên: epair0b flags=143<LEARNING,KHÁM PHÁ,AUTOEDGE,AUTOPTP>
            ifmaxaddr 0 cổng 3 ưu tiên 128 đường dẫn chi phí 2000
    nhóm: cây cầu
    tùy chọn thứ 6=8001<PERFORMNUD,DEFAULTIF>

Ping tù từ máy chủ hoạt động như bình thường:

ping6 -c 4 2001:19f0:6c01:2033:8000::2

PING6(56=40+8+8 byte) 2001:19f0:6c01:2033:8000::1 --> 2001:19f0:6c01:2033:8000::2
16 byte từ 2001:19f0:6c01:2033:8000::2, icmp_seq=0 hlim=64 time=0,077 ms
16 byte từ 2001:19f0:6c01:2033:8000::2, icmp_seq=1 hlim=64 time=0,062 ms
16 byte từ 2001:19f0:6c01:2033:8000::2, icmp_seq=2 hlim=64 time=0,080 ms
16 byte từ 2001:19f0:6c01:2033:8000::2, icmp_seq=3 hlim=64 time=0,062 ms
--- Thống kê ping6 2001:19f0:6c01:2033:8000::2 ---
Truyền 4 gói, nhận 4 gói, mất gói 0,0%
khứ hồi tối thiểu/trung bình/tối đa/std-dev = 0,062/0,070/0,080/0,008 ms

Máy chủ Ping từ nhà tù cũng hoạt động như bình thường:

doas jexec svcfw ping6 -c 4 2001:19f0:6c01:2033:8000::1

PING6(56=40+8+8 byte) 2001:19f0:6c01:2033:8000::2 --> 2001:19f0:6c01:2033:8000::1
16 byte từ 2001:19f0:6c01:2033:8000::1, icmp_seq=0 hlim=64 time=0,068 ms
16 byte từ 2001:19f0:6c01:2033:8000::1, icmp_seq=1 hlim=64 time=0,064 ms
16 byte từ 2001:19f0:6c01:2033:8000::1, icmp_seq=2 hlim=64 time=0,059 ms
16 byte từ 2001:19f0:6c01:2033:8000::1, icmp_seq=3 hlim=64 time=0,060 ms
--- 2001:19f0:6c01:2033:8000::1 thống kê ping6 ---
Truyền 4 gói, nhận 4 gói, mất gói 0,0%
khứ hồi tối thiểu/trung bình/tối đa/std-dev = 0,059/0,063/0,068/0,004 mili giây

Cấu hình của cặp phía máy chủ được kết nối với cầu nối:

ifconfig epair0a

epair0a: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> chỉ số 0 mtu 1500
    tùy chọn=8<VLAN_MTU>
    ête 02:a8:b4:85:57:0a
    inet 10.22.0.1 netmask 0xffff0000 phát sóng 10.22.255.255
    inet6 fe80::a8:b4ff:fe85:570a%epair0a tiền tốlen 64 scopeid 0x5
    inet6 2001:19f0:6c01:2033:8000::1 tiền tốlen 65
    nhóm: cặp đôi
    phương tiện: Ethernet 10Gbase-T (10Gbase-T <song công hoàn toàn>)
    Trạng thái: Đang hoạt động
    tùy chọn thứ 6=21<PERFORMNUD,AUTO_LINKLOCAL>

Thông thường, pf đang thực hiện NAT cho IPv4. Hiện tại tôi đã tắt pf để pf không chạy trong khi tôi đang cố gắng để IPv6 toàn cầu hoạt động cho các nhà tù.

Máy chủ được định cấu hình để định tuyến lưu lượng IPv6, cf /etc/rc.conf mà tôi đã bao gồm trước đó trong tin nhắn này.

Đây là những gì nhà tù nói về tuyến đường đến địa chỉ IPv6 trên internet:

tuyến đường doas jexec svcfw -6 nhận 2a00:1450:400f:802::200e

   định tuyến đến: 2a00:1450:400f:802::200e
điểm đến: mặc định
       mặt nạ: mặc định
    cổng: 2001:19f0:6c01:2033:8000::1
        sợi: 0
  giao diện: cầu0
      cờ: <UP,GATEWAY,DONE,STATIC>
 recvpipe sendpipe ssthresh rtt,msec mtu trọng lượng hết hạn
       0 0 0 0 1500 1 0

Nên gửi đến cây cầu0, co vẻ tôt vơi tôi.

Đây là những gì người dẫn chương trình cho tôi biết về các tuyến đường tương ứng cho google.com và cho nhà tù:

lộ trình -6 tải google.com

   đường đến: fra24s01-in-x0e.1e100.net
điểm đến: mặc định
       mặt nạ: mặc định
    cổng: fe80::fc00:3ff:fe7a:2ca1%vtnet0
        sợi: 0
  giao diện: vtnet0
      cờ: <UP,GATEWAY,DONE,STATIC>
 recvpipe sendpipe ssthresh rtt,msec mtu trọng lượng hết hạn
       0 0 0 0 1500 1 0

lộ trình -6 nhận 2001:19f0:6c01:2033::2

   định tuyến đến: 2001:19f0:6c01:2033::2
đích: 2001:19f0:6c01:2033::2
        sợi: 0
  giao diện: lo0
      cờ: <LÊN,HOST,DONE,STATIC,PINNED>
 recvpipe sendpipe ssthresh rtt,msec mtu trọng lượng hết hạn
       0 0 0 0 16384 1 0

Có vẻ chủ yếu là tốt. Không biết tại sao tuyến đường sau nói giao diện loopback lo0 thay vì giao diện epair cặp0a. Đây co phải vân đê? Hoặc là một cái gì đó khác gây ra vấn đề?

Vấn đề là tôi không thể truy cập Internet công cộng bằng IPv6 từ nhà tù của mình, mặc dù định tuyến IPv6 trên máy chủ được bật và tường lửa máy chủ (pf) bị tắt và máy chủ có thể nói chuyện với Internet qua IPv6 bình thường còn tôi thì sử dụng các địa chỉ từ /64 được chỉ định của tôi. (Gán thêm địa chỉ từ/64 cho Máy chủ hoạt động tốt btw.)

Khi tôi cố gắng ping một cái gì đó trên Internet bằng IPv6 hoạt động tốt từ máy chủ, không hoạt động từ nhà tù:

doas jexec svcfw ping6 -c 4 2a00:1450:400f:802::200e

PING6(56=40+8+8 byte) 2001:19f0:6c01:2033:8000::2 --> 2a00:1450:400f:802::200e
--- 2a00:1450:400f:802::200e thống kê ping6 ---
Đã truyền 4 gói, nhận 0 gói, mất gói 100,0%

Không hoạt động.

Tôi đang thiếu gì? Tôi đang làm gì sai? Đã diễn ra ở đây trong nhiều giờ.