7
PFSense auf Proxmox. VM hat Internet, VM-Host nicht?
Hallo zusammen,
auf einem Test-System habe ich mir Proxmox VE installiert und als VM PFSense. Für das Netwerk auf dem VM-Host habe ich zwei Bridges eingerichtet und an die jeweilige Schnittstelle gebunden.
Was diese tap100i0 und tap100i1 sind ist mir ein Rätsel.
vmbr0 zeigt ins LAN und vmbr1 hängt am GF-Anschluss.
Anschließend habe ich PFSense installiert, die Schnittstellen konfiguriert und die VDSL-Einwahl. Per Shell auf der PF-Sense funktioniert alles. ich erreiche alle lokalen Hosts sowohl unter ihrer IP wie auch unter ihrem Hostnamen. Ich kann auch vom PFSense aus der Shell externe Hosts unter Ihrem Namen erreichen.
Was nicht geht ist:
- Den PFSense aus den Proxmox-Host unter dem seinem Namen pingen (IP geht)
- Vom Proxmox-Host aus raus ins WAN pingen (egal ob Name oder IP)
Was mich verwundert ist die Ausgabe der routen auf dem Proxmox-Host:
Da fehlt das Dehault Gateway damit mein loakel Netz 192.168.24.0 raus kommt über die 192.168.24.253
Im Webinterface habe ich in der vmbr0 dieses Default-Gateway eingetragen.
Ich finde nicht heraus ob es am Proxmox oder PFSense liegt. Hat jemand einen Tipp für mich?
Viele Grüße
pixel24
auf einem Test-System habe ich mir Proxmox VE installiert und als VM PFSense. Für das Netwerk auf dem VM-Host habe ich zwei Bridges eingerichtet und an die jeweilige Schnittstelle gebunden.
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master vmbr0 state UP group default qlen 1000
link/ether 90:2b:34:a7:8d:26 brd ff:ff:ff:ff:ff:ff
3: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master vmbr1 state UP group default qlen 1000
link/ether 68:05:ca:27:61:22 brd ff:ff:ff:ff:ff:ff
4: vmbr0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 90:2b:34:a7:8d:26 brd ff:ff:ff:ff:ff:ff
inet 192.168.24.2/24 brd 192.168.24.255 scope global vmbr0
valid_lft forever preferred_lft forever
inet6 fe80::922b:34ff:fea7:8d26/64 scope link
valid_lft forever preferred_lft forever
5: vmbr1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 68:05:ca:27:61:22 brd ff:ff:ff:ff:ff:ff
inet6 fe80::6a05:caff:fe27:6122/64 scope link
valid_lft forever preferred_lft forever
10: tap100i0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master vmbr0 state UNKNOWN group default qlen 1000
link/ether 9e:d2:f8:5e:03:00 brd ff:ff:ff:ff:ff:ff
11: tap100i1: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master vmbr1 state UNKNOWN group default qlen 1000
link/ether 8e:8c:e3:4a:07:ba brd ff:ff:ff:ff:ff:ffroot@vmhost02:~# brctl show
bridge name bridge id STP enabled interfaces
vmbr0 8000.902b34a78d26 no enp3s0
tap100i0
vmbr1 8000.6805ca276122 no enp1s0
tap100i1vmbr0 zeigt ins LAN und vmbr1 hängt am GF-Anschluss.
Anschließend habe ich PFSense installiert, die Schnittstellen konfiguriert und die VDSL-Einwahl. Per Shell auf der PF-Sense funktioniert alles. ich erreiche alle lokalen Hosts sowohl unter ihrer IP wie auch unter ihrem Hostnamen. Ich kann auch vom PFSense aus der Shell externe Hosts unter Ihrem Namen erreichen.
Was nicht geht ist:
- Den PFSense aus den Proxmox-Host unter dem seinem Namen pingen (IP geht)
- Vom Proxmox-Host aus raus ins WAN pingen (egal ob Name oder IP)
Was mich verwundert ist die Ausgabe der routen auf dem Proxmox-Host:
root@vmhost02:~# routel
target gateway source proto scope dev tbl
192.168.24.0 24 192.168.24.2 kernel link vmbr0
127.0.0.0 broadcast 127.0.0.1 kernel link lo local
127.0.0.0 8 local 127.0.0.1 kernel host lo local
127.0.0.1 local 127.0.0.1 kernel host lo local
127.255.255.255 broadcast 127.0.0.1 kernel link lo local
192.168.24.0 broadcast 192.168.24.2 kernel link vmbr0 local
192.168.24.2 local 192.168.24.2 kernel host vmbr0 local
192.168.24.255 broadcast 192.168.24.2 kernel link vmbr0 local
::1 kernel lo
fe80:: 64 kernel vmbr0
fe80:: 64 kernel vmbr1
::1 local kernel lo local
fe80::6a05:caff:fe27:6122 local kernel vmbr1 local
fe80::922b:34ff:fea7:8d26 local kernel vmbr0 local
ff00:: 8 vmbr0 local
ff00:: 8 vmbr1 localIm Webinterface habe ich in der vmbr0 dieses Default-Gateway eingetragen.
Ich finde nicht heraus ob es am Proxmox oder PFSense liegt. Hat jemand einen Tipp für mich?
Viele Grüße
pixel24
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 525636
Url: https://administrator.de/contentid/525636
Printed on: April 20, 2024 at 00:04 o'clock
7 Comments
Latest comment
Anschließend habe ich PFSense installiert, die Schnittstellen konfiguriert und die VDSL-Einwahl
Sprich du nutzt ein reines Modem dann an dem WAN Bridge Port und machst direkt PPPoE von der pfSense ?Oder nutzt du dort eine Router Kaskade mit einem vor dem WAN Port kaskadierten NAT Internet Router ?? Das ist leider recht unklar wegen der oberflächlichen Beschreibung.
Kannst du vom Firewall Menü Diagnostics --> Ping denn eine nackte Internet IP wie 8.8.8.8 mit Source Interface "WAN" pingen ?
Wenn ja, kannst du auch einen Hostnamen z.B. www.heise.de aus dem Diagnostics Menü pingen ?
Erst wenn das geht zeigt es das du eine funktionierende Internet Verbindung hast !
Dann kannst du aus dem gleichen Menü die beiden o.a. Adressen nochmal pingen dann aber mit dem LAN Interface als Source !
Das pingt dann mit der LAN IP über das Firewall NAT ins Internet. Ein Traceroute wäre auch hilfreich sofern der Ping scheitert.
Erst wenn das fehlerfrei klappt hast du eine funktionierende Internet Verbindung. Soweit solltest du also kommen.
Eigentlich kommt man auf solche simplen Basics auch von selber zuerst und prüft diese Basis Connectivity BEVOR man hier einen Thread eröffnet !
Der Proxmox Host müsste also mit seinen Management Interface an der LAN Port Bridge der pfSense hängen und das natürlich im gleichen IP Netz des LAN Ports der pfSense.
Du nutzt hier ja NICHT das Default IP Netz der FW 192.168.1.0/24 wie man unschwer erkennen kann und wir können dann davon ausgehen das du den pfSense LAN Port umkonfiguriert hast.
Das bedeutet aber das dann die dortige Default LAN Regel ebenfalls gelöscht wird die den Zugriff aus dem LAN Netz erlaubt.
Wenn du dann keine entsprechend neue LAN Port Scheunentor Regel ala:
PASS Prot.: IP, Source: LANnet, Destination: ANY, Port: ANY
auf der Firewall einrichtest wird sämtlicher ! Traffic, wie es bei einer Firewall bekanntermaßen generell üblich ist, per Default geblockt. Logisch, ohne Regel.
Ein entspr. Screenshot fehlt hier leider so das man nur raten kann.
Wenn also der Host selber im LAN Net ist, sich selber pingen kann, dann sollte er auch das pfSense LAN Interface pingen können. Obige Regel am FW LAN Port vorausgesetzt !
Die Ping Checks oben und das Regelwerk würden helfen für eine zielführende Hilfe.
Sprich du nutzt ein reines Modem dann an dem WAN Bridge Port und machst direkt PPPoE von der pfSense ?
Vom WAN-Bridge-Port geht es direkt zum MEdia-Konverter des Glasfaser-Anschluss. PPPoE-Einwahl macht PFSense und am PFSense loakl komme ich raus (unter Name & IP)
Kannst du vom Firewall Menü Diagnostics --> Ping denn eine nackte Internet IP wie 8.8.8.8 mit Source Interface "WAN" pingen ?
Wenn ja, kannst du auch einen Hostnamen z.B. www.heise.de aus dem Diagnostics Menü pingen ?
Erst wenn das geht zeigt es das du eine funktionierende Internet Verbindung hast !
Ja, hatte ich ja geschrieben. Vom PFSense aus geht Diagnostig DNS, Ping.
Dann kannst du aus dem gleichen Menü die beiden o.a. Adressen nochmal pingen dann aber mit dem LAN Interface als Source !
Mit LAN-Schnittstelle als Source geht es nicht mehr.
Ein Traceroute wäre auch hilfreich sofern der Ping scheitert.
[Mit Quell-Adresse = alle]
[Mit Qeúell-Adresse = LAN]
Vom WAN-Bridge-Port geht es direkt zum MEdia-Konverter des Glasfaser-Anschluss. PPPoE-Einwahl macht PFSense und am PFSense loakl komme ich raus (unter Name & IP)
Kannst du vom Firewall Menü Diagnostics --> Ping denn eine nackte Internet IP wie 8.8.8.8 mit Source Interface "WAN" pingen ?
Wenn ja, kannst du auch einen Hostnamen z.B. www.heise.de aus dem Diagnostics Menü pingen ?
Erst wenn das geht zeigt es das du eine funktionierende Internet Verbindung hast !
Ja, hatte ich ja geschrieben. Vom PFSense aus geht Diagnostig DNS, Ping.
Dann kannst du aus dem gleichen Menü die beiden o.a. Adressen nochmal pingen dann aber mit dem LAN Interface als Source !
Mit LAN-Schnittstelle als Source geht es nicht mehr.
Ein Traceroute wäre auch hilfreich sofern der Ping scheitert.
[Mit Quell-Adresse = alle]
1 10.175.7.253 0.553 ms 0.503 ms 0.438 ms
2 10.2.2.1 0.646 ms 0.592 ms 0.548 ms
3 37.16.68.145 2.964 ms 1.826 ms 1.977 ms
4 81.26.160.149 2.636 ms 2.454 ms 2.491 ms
5 81.26.160.50 4.135 ms 2.124 ms 2.032 ms
6 81.26.160.202 3.944 ms 3.878 ms 3.854 ms
7 85.115.3.50 4.040 ms 3.951 ms 3.970 ms
8 108.170.251.193 3.989 ms
108.170.252.65 5.154 ms 5.087 ms
9 72.14.234.227 4.105 ms
216.239.47.247 4.209 ms
72.14.234.227 3.946 ms
10 8.8.8.8 4.164 ms 4.137 ms 4.190 ms[Mit Qeúell-Adresse = LAN]
Ergebnisse
1 192.168.24.253 0.251 ms 0.075 ms 0.037 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *Zitat von @aqui:
Der Proxmox Host müsste also mit seinen Management Interface an der LAN Port Bridge der pfSense hängen und das natürlich im gleichen IP Netz des LAN Ports der pfSense.
Der Proxmox Host müsste also mit seinen Management Interface an der LAN Port Bridge der pfSense hängen und das natürlich im gleichen IP Netz des LAN Ports der pfSense.
Ja, den habe ich wie zuvor meine Ubunt-KVM-Hosts an die Bridge für's LAN:
auto lo
iface lo inet loopback
iface enp3s0 inet manual
iface enp1s0 inet manual
auto vmbr0
iface vmbr0 inet static
address 192.168.24.2
netmask 24
gateway 192.168.24.253
bridge-ports enp3s0
bridge-stp off
bridge-fd 0
auto vmbr1
iface vmbr1 inet manual
bridge-ports enp1s0
bridge-stp off
bridge-fd 0Zitat von @aqui:
Du nutzt hier ja NICHT das Default IP Netz der FW 192.168.1.0/24 wie man unschwer erkennen kann und wir können dann davon ausgehen das du den pfSense LAN Port umkonfiguriert hast.
Das bedeutet aber das dann die dortige Default LAN Regel ebenfalls gelöscht wird die den Zugriff aus dem LAN Netz erlaubt.
Wenn du dann keine entsprechend neue LAN Port Scheunentor Regel ala:
PASS Prot.: IP, Source: LANnet, Destination: ANY, Port: ANY
auf der Firewall einrichtest wird sämtlicher ! Traffic, wie es bei einer Firewall bekanntermaßen generell üblich ist, per Default geblockt. Logisch, ohne Regel.
Ein entspr. Screenshot fehlt hier leider so das man nur raten kann.
Du nutzt hier ja NICHT das Default IP Netz der FW 192.168.1.0/24 wie man unschwer erkennen kann und wir können dann davon ausgehen das du den pfSense LAN Port umkonfiguriert hast.
Das bedeutet aber das dann die dortige Default LAN Regel ebenfalls gelöscht wird die den Zugriff aus dem LAN Netz erlaubt.
Wenn du dann keine entsprechend neue LAN Port Scheunentor Regel ala:
PASS Prot.: IP, Source: LANnet, Destination: ANY, Port: ANY
auf der Firewall einrichtest wird sämtlicher ! Traffic, wie es bei einer Firewall bekanntermaßen generell üblich ist, per Default geblockt. Logisch, ohne Regel.
Ein entspr. Screenshot fehlt hier leider so das man nur raten kann.
Nein, die LAN IP ändere ich ja immer dass Sie zum vorhanden Netz passt, also in dem Fall 192.168.24.253. Eine Firewall-Regel habe ich erzeugt da ich das bisher bei IPFire bei gleicher vorgehensweise nicht gebraucht habe und es wie gesagt mein PFSense-Erstkontakt ist. Das wusste ich schlichtweg nicht.
Habe nun eine LAN-Regel "Erlauben, Quelle=LAN, Dest=Any" eingichtet was die o.g. Diagnostig Ping mit Source=LAN - Problematik jedoch nicht behebt.
Regel gab es aber schon. Siehe Bild
Dann stimmt die internet Zuordnung zwischen den virtuellen Bridge Interfaces und den physischen Interfaces der Firewall nicht.
Dadurch das es dort keine Bridging Verbindung gibt, kannst du dann logischerweise nicht pingen.
Sprich das Management IP Interface des VM Hosts und das LAN Interface der Firewall sind nicht an eine gemeinsame Bridge gebunden.
Vermutlich dann auch der WAN Port der Firewall auch nicht an den Internet Router !
Eins sollte dir auch klar sein.
Der Management Port des VM Hosts und der Internet Router dürfen sich logischerweise nicht in einem gemeinsamen IP Netz befinden !
Klar, denn sonst überbrückt man ja die Firewall und macht sie völlig sinnfrei.
Grob skizziert sähe die logische Zuordnung so aus (NIC 1 ist das Management Interface des VM Hosts):
(Druckfehler: Rechte vBridge muss natürlich "vBridge-2" heissen !)
Dadurch das es dort keine Bridging Verbindung gibt, kannst du dann logischerweise nicht pingen.
Sprich das Management IP Interface des VM Hosts und das LAN Interface der Firewall sind nicht an eine gemeinsame Bridge gebunden.
Vermutlich dann auch der WAN Port der Firewall auch nicht an den Internet Router !
Eins sollte dir auch klar sein.
Der Management Port des VM Hosts und der Internet Router dürfen sich logischerweise nicht in einem gemeinsamen IP Netz befinden !
Klar, denn sonst überbrückt man ja die Firewall und macht sie völlig sinnfrei.
Grob skizziert sähe die logische Zuordnung so aus (NIC 1 ist das Management Interface des VM Hosts):
(Druckfehler: Rechte vBridge muss natürlich "vBridge-2" heissen !)
Hallo zusammen,
also am Proxmox-Host lag keine Fehlkonfiguration vor. Ich habe die VM mit PFSense nochmal neu gemacht und wieder auf dem Terminal, nach dem ersten Reboot gleich die Zuordnung der Schnittstellen gemacht und die LAN IP wieder auf die 192.168.24.253 gesetzt. Anschließend den Assistenten im Web-UI, Einwahldaten rein.
Kleiner Hinweis: Durch diese Änderung werden keine Default-Regeln gelöscht wie oben gesagt. Danach hat vom PFSense aus (Diagnose) der Ping (unter Hostname & IP) funktioniert und auch wenn dieser mit Quelle = LAN abgesetzt wird. Dann ging auch ohne Zutun gleich auch alles andere. Somit hat sich das erledigt.
Warum er beim ersten mal nicht funktionierte kann ich nicht dagen.
Viele Grüße
pixel24
also am Proxmox-Host lag keine Fehlkonfiguration vor. Ich habe die VM mit PFSense nochmal neu gemacht und wieder auf dem Terminal, nach dem ersten Reboot gleich die Zuordnung der Schnittstellen gemacht und die LAN IP wieder auf die 192.168.24.253 gesetzt. Anschließend den Assistenten im Web-UI, Einwahldaten rein.
Kleiner Hinweis: Durch diese Änderung werden keine Default-Regeln gelöscht wie oben gesagt. Danach hat vom PFSense aus (Diagnose) der Ping (unter Hostname & IP) funktioniert und auch wenn dieser mit Quelle = LAN abgesetzt wird. Dann ging auch ohne Zutun gleich auch alles andere. Somit hat sich das erledigt.
Warum er beim ersten mal nicht funktionierte kann ich nicht dagen.
Viele Grüße
pixel24
Gut wenn nun alles klappt wie es soll !
Case closed !
Bitte dann auch
How can I mark a post as solved?
nicht vergessen !
Case closed !
Bitte dann auch
How can I mark a post as solved?
nicht vergessen !
