Маршрутизация трафика от моста к определенному интерфейсу

Основной вопрос о маршрутизации в Ubuntu 20.04.

У меня есть базовая установка в Hetzner, у которой есть адрес 11.22.33.44/32 IPV4 вместе с выделенной ему подсетью 2a01:db8:30/64.

enp7s0 — это физический интерфейс с адресом 11.22.33.44/32.

У меня также есть baremetal-сервер, подключенный к vSwitch, для которого выделена публичная подсеть 2a01:1111:2222:3333::/64. шлюз для этой подсети 2a01:1111:2222:3333::1 и доступен через интерфейс vlan.4001 (подинтерфейс enp7s0 с идентификатором тега VLAN 4001)

В моей настройке мост создается на хосте br1 с IP-адресом 2a01:1111:2222:3333::10/64. На нем создано несколько виртуальных машин. мост, и каждая из виртуальных машин имеет адрес IPV6, выделенный из подсети 2a01:1111:2222:3333::/64 IPV6. Я должен использовать мост и нет другого варианта из-за различных требований.

Виртуальные машины на br1 могут общаться друг с другом и с br1. Я хочу направить весь трафик во внешний мир из br1 через vlan.4001. Я не хочу добавить интерфейс vlan.4001 к br1 (я не хочу, чтобы MAC-адреса виртуальных машин были открыты для vSWitch). я назначил адрес 2a01:1111:2222:3333::2/64 для vlan.4001, но изо всех сил пытался понять, как направить трафик с br1 на интерфейс vlan.4001.

Как я упоминал ранее, мне нужно использовать мост для подключения всех виртуальных машин на хосте с 2a01:1111:2222:3333::/64 (NAT не разрешен для виртуальных машин). и по-прежнему иметь доступ к внешнему Интернету через vlan.4001.

Возможна ли эта настройка даже с использованием Ubuntu 20.04?

я тоже буду нет иметь возможность использовать VRF или netns, оба они исключены из-за других требований.

Единственный вариант, который у меня есть, — использовать маршрутизацию на основе политик, но я не могу создать PBR для 2a01:1111:2222:3333::/64, чтобы использовать интерфейс vlan.4001. для внешнего трафика.

Мост не проходит. Мост происходит на уровне 2, маршрутизация на уровне 3. Вам нужно решить, хотите ли вы маршрутизировать или создать мост между вашей внутренней сетью, соединяющей виртуальные машины (реализованной br1), и вашим интернет-соединением (vlan.4001). Любой выбор имеет определенные последствия.

Если вы выберете мост, ваши виртуальные машины будут напрямую обращаться к шлюзу 2a01:1111:2222:3333::1, раскрывая свои MAC-адреса этому шлюзу и промежуточной сети уровня 2. С другой стороны, это решение очень простое и, следовательно, более безопасное и надежное.

Если вы выберете маршрутизацию, вам потребуется экземпляр маршрутизации между вашими виртуальными машинами и внешним интерфейсом, а также отдельный сегмент сети с собственным диапазоном адресов IPv6 для подключения этого экземпляра маршрутизации к маршрутизатору шлюза хостера. Таким образом, вам придется попросить у Hetzner еще один / 64, который они перенаправят на ваш внутренний маршрутизатор, или, альтернативно, / 56, который вы затем подсечете самостоятельно. Экземпляр маршрутизации может быть реализован как выделенная виртуальная машина с брандмауэром или с помощью ОС вашего baremetal-сервера.

Используете ли вы Ubuntu 20.04 или любую другую ОС, на этом уровне это не имеет значения. Какое бы решение вы ни выбрали, оно может быть реализовано как в Ubuntu, так и в любой другой ОС.