3
Hetzner FW Probleme
Hallo zusammen
Ich bin gerade dabei ein "Lab" bei Hetzner aufzubauen. Folgende Specs:
Server: AX101
NIC: 1 NIC
Public IPs: 2
Hypervisor: Hyper-V
FW: Hetzner Stateless + PfSense
Vorgehen:
Ich habe den Hyper-V auf dem Root Server installiert und zwei virtuelle Switches erstellt (Extern & Intern).
Testzweise habe ich zwei VMs erstellt, Windows Server 2022 und PfSense Appliance.
PfSense hat Zugriff auf beide vSwitches, Win2022 nur auf die interne vSwitch. PfSense hat Zugriff auf die externe vSwitch mit Mac Spoofing und bezieht somit die zweite Public IP.
Root-Server hat keine Probleme, kann pingen, auflösen, Updates beziehen usw. PfSense kann ebenfalls pingen und auflösen, z.b. 8.8.8.8 oder google.com - beides geht.
Eigentliches Problem:
Win2022 kann nur pingen und nichts auflösen, obwohl DNS eingetragen ist. Ich konnte das Problem auf die Hetzner FW eingrenzen, sobald die FW deaktiviert ist funktioniert die VM ohne Probleme.
Hetzner FW die im Bild dargestellten Regeln drin. Hetzner Support konnte mir nicht helfen und ich bin der Meinung, die FW wurde nach Hetzner "Empfehlungen" aufgebaut. Leider kann ich die FW nicht deaktivieren, da ansonsten der Root direkt im Internet stehen würde.
Tracert von der VM funktioniert, Ping funktioniert ebenfalls. Wenn die Hetzner FW deaktiviert ist geht auch surfen / DNS auflösung.
Meine Frage an euch, hat jemand eine Idee was ich falsch mache?
Danke für eure Zeit und Feedbacks.
Ich bin gerade dabei ein "Lab" bei Hetzner aufzubauen. Folgende Specs:
Server: AX101
NIC: 1 NIC
Public IPs: 2
Hypervisor: Hyper-V
FW: Hetzner Stateless + PfSense
Vorgehen:
Ich habe den Hyper-V auf dem Root Server installiert und zwei virtuelle Switches erstellt (Extern & Intern).
Testzweise habe ich zwei VMs erstellt, Windows Server 2022 und PfSense Appliance.
PfSense hat Zugriff auf beide vSwitches, Win2022 nur auf die interne vSwitch. PfSense hat Zugriff auf die externe vSwitch mit Mac Spoofing und bezieht somit die zweite Public IP.
Root-Server hat keine Probleme, kann pingen, auflösen, Updates beziehen usw. PfSense kann ebenfalls pingen und auflösen, z.b. 8.8.8.8 oder google.com - beides geht.
Eigentliches Problem:
Win2022 kann nur pingen und nichts auflösen, obwohl DNS eingetragen ist. Ich konnte das Problem auf die Hetzner FW eingrenzen, sobald die FW deaktiviert ist funktioniert die VM ohne Probleme.
Hetzner FW die im Bild dargestellten Regeln drin. Hetzner Support konnte mir nicht helfen und ich bin der Meinung, die FW wurde nach Hetzner "Empfehlungen" aufgebaut. Leider kann ich die FW nicht deaktivieren, da ansonsten der Root direkt im Internet stehen würde.
Tracert von der VM funktioniert, Ping funktioniert ebenfalls. Wenn die Hetzner FW deaktiviert ist geht auch surfen / DNS auflösung.
Meine Frage an euch, hat jemand eine Idee was ich falsch mache?
Danke für eure Zeit und Feedbacks.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2273756271
Url: https://administrator.de/contentid/2273756271
Printed on: April 27, 2024 at 01:04 o'clock
3 Comments
Latest comment
Guten Abend,
Welcher DNS Server ist da hinterlegt? Ich vermute mal nicht die Hetzner Resolver, oder?
Du musst bedenken, dass die Hetzner Firewall eine stateless Firewall ist, d.h. du musst den Rückweg (Antworten) berücksichtigen.
Du hast zwar eine solche ausgehende Regel aber eben nur für TCP. Für Namensauflösung (DNS) braucht es aber (auch) UDP.
MfG
Win2022 kann nur pingen und nichts auflösen, obwohl DNS eingetragen ist. Ich konnte das Problem auf die Hetzner FW eingrenzen, sobald die FW deaktiviert ist funktioniert die VM ohne Probleme.
Welcher DNS Server ist da hinterlegt? Ich vermute mal nicht die Hetzner Resolver, oder?
Du musst bedenken, dass die Hetzner Firewall eine stateless Firewall ist, d.h. du musst den Rückweg (Antworten) berücksichtigen.
Du hast zwar eine solche ausgehende Regel aber eben nur für TCP. Für Namensauflösung (DNS) braucht es aber (auch) UDP.
MfG
Hallo Brieftaube, vielen Dank für deinen Input.
Du hast insofern Recht, nachdem ich UDP hinzugefügt habe funktioniert es "einigermassen", ich kann jetzt Webseiten auflösen. Es sind tatsächlich die Hetzner DNS per DHCP eingetragen. Die könnte ich auch testweise überschreiben.
Was mich im Moment stutzig macht, die Leitung ist extrem langsam, Speedtest liegt meistens bei 12 / 1 Mbit, was lächerlich ist. Und das nur wenn ich die Hetzner FW deaktiviere, da ansonsten Speedtest trotzdem nicht funktioniert.
Sobald die Hetzner FW deaktiviert ist funktioniert Speedtest auch wieder normal, die Geschwindigkeit bleibt trotzdem schlecht. Habe erneut ein Ticket beim Support eröffnet, erhoffe mir aber nicht viel davon.
Gibt es eine vernünftige alternative zu Hetzner?
BG
Du hast insofern Recht, nachdem ich UDP hinzugefügt habe funktioniert es "einigermassen", ich kann jetzt Webseiten auflösen. Es sind tatsächlich die Hetzner DNS per DHCP eingetragen. Die könnte ich auch testweise überschreiben.
Was mich im Moment stutzig macht, die Leitung ist extrem langsam, Speedtest liegt meistens bei 12 / 1 Mbit, was lächerlich ist. Und das nur wenn ich die Hetzner FW deaktiviere, da ansonsten Speedtest trotzdem nicht funktioniert.
Sobald die Hetzner FW deaktiviert ist funktioniert Speedtest auch wieder normal, die Geschwindigkeit bleibt trotzdem schlecht. Habe erneut ein Ticket beim Support eröffnet, erhoffe mir aber nicht viel davon.
Gibt es eine vernünftige alternative zu Hetzner?
BG
So, ich habe eine Lösung gefunden. Ich fasse mal zusammen, vielleicht hilft es sonst noch jemandem weiter.
Hetzner FW
Die Firewall arbeitet die Regeln von oben nach unten ab, SSH und RDP sind direkt auf meine IP gebunden.
Speed Problem
Ich habe PfSense als zwei Public FW verwendet und alle VMs dort dran gehängt. Anscheinend hat PfSense ein Problem auf der vSwitch verursacht, was sich direkt auf die WAN Verbindung des Root Servers (Hyper-V) ausgewirkt hat. Teillösung:
https://docs.microsoft.com/en-us/windows-server/networking/technologies/ ...
Nachdem RSC deaktiviert wurde hat zumindest Download gut funktioniert. Irgendwann hatte ich keine Nerven mehr und bin auf OPNSense gewechselt - 0 Probleme seither.
Hetzner FW
Die Firewall arbeitet die Regeln von oben nach unten ab, SSH und RDP sind direkt auf meine IP gebunden.
Speed Problem
Ich habe PfSense als zwei Public FW verwendet und alle VMs dort dran gehängt. Anscheinend hat PfSense ein Problem auf der vSwitch verursacht, was sich direkt auf die WAN Verbindung des Root Servers (Hyper-V) ausgewirkt hat. Teillösung:
https://docs.microsoft.com/en-us/windows-server/networking/technologies/ ...
Nachdem RSC deaktiviert wurde hat zumindest Download gut funktioniert. Irgendwann hatte ich keine Nerven mehr und bin auf OPNSense gewechselt - 0 Probleme seither.