]> git.proxmox.com Git - pve-docs.git/blobdiff - pveproxy.adoc
projects / pve-docs.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
repos: mention APT repo status gui
[pve-docs.git] / pveproxy.adoc
diff --git a/pveproxy.adoc b/pveproxy.adoc
index 2a5ce0eeb3a7e01efb0d5b99af5b3ef4d622fd28..4696d664aefd6fec71cf54df356230d6d8d5040e 100644 (file)
--- a/pveproxy.adoc
+++ b/pveproxy.adoc
@@ -45,7 +45,8 @@ POLICY="allow"
 ----
 
 IP addresses can be specified using any syntax understood by `Net::IP`. The
-name `all` is an alias for `0/0`.
+name `all` is an alias for `0/0` and `::/0` (meaning all IPv4 and IPv6
+addresses).
 
 The default policy is `allow`.
 
@@ -62,12 +63,22 @@ The default policy is `allow`.
 Listening IP
 ------------
 
+By default the `pveproxy` and `spiceproxy` daemons listen on the wildcard
+address and accept connections from both IPv4 and IPv6 clients.
+
+
 By setting `LISTEN_IP` in `/etc/default/pveproxy` you can control to which IP
 address the `pveproxy` and `spiceproxy` daemons bind. The IP-address needs to
 be configured on the system.
 
-This can be used to listen only to an internal interface and thus have less
-exposure to the public internet:
+Setting the `sysctl` `net.ipv6.bindv6only` to the non-default `1` will cause
+the daemons to only accept connection from IPv6 clients, while  usually also
+causing lots of other issues. If you set this configuration we recommend to
+either remove the `sysctl` setting, or set the `LISTEN_IP` to `0.0.0.0` (which
+will only allow IPv4 clients).
+
+`LISTEN_IP` can be used to only to restricting the socket to an internal
+interface and thus have less exposure to the public internet, for example:
 
 ----
 LISTEN_IP="192.0.2.1"
@@ -79,10 +90,30 @@ Similarly, you can also set an IPv6 address:
 LISTEN_IP="2001:db8:85a3::1"
 ----
 
+Note that if you want to specify a link-local IPv6 address, you need to provide
+the interface name itself. For example:
+
+----
+LISTEN_IP="fe80::c463:8cff:feb9:6a4e%vmbr0"
+----
+
 WARNING: The nodes in a cluster need access to `pveproxy` for communication,
 possibly on different sub-nets. It is **not recommended** to set `LISTEN_IP` on
 clustered systems.
 
+To apply the change you need to either reboot your node or fully restart the
+`pveproxy` and `spiceproxy` service:
+
+----
+systemctl restart pveproxy.service spiceproxy.service
+----
+
+NOTE: Unlike `reload`, a `restart` of the pveproxy service can interrupt some
+long-running worker processes, for example a running console or shell from a
+virtual guest. So, please use a maintenance window to bring this change in
+effect.
+
+
 SSL Cipher Suite
 ----------------
 
@@ -93,7 +124,7 @@ You can define the cipher list in `/etc/default/pveproxy`, for example
 Above is the default. See the ciphers(1) man page from the openssl
 package for a list of all available options.
 
-Additionally you can define that the client choses the used cipher in
+Additionally, you can set the client to choose the cipher used in
 `/etc/default/pveproxy` (default is the first cipher in the list available to
 both client and `pveproxy`):
 
PVE Documentation