installer
Goto Top

NAS nur von Hyper-V Host nicht erreichbar

Hallo Kollegen,

Folgende Ausgangssituation:

1 x Windows Server - Hyper-V Host (Blech) - 192.168.100.2
1 x Windows Server - DC (VM) (DOMÄNE) - 192.168.100.3
1 x Windows Server - DATA (VM) (DOMÄNE) - 192.168.100.4
1 x Windows Server - SQL (VM) (DOMÄNE) - 192.168.100.5

1 x SYNOLOGY NAS - 192.168.130.230

... das 192.168.100.0/24 und das 192.168.130.0/24 Netz sind in der Firewall miteinander verknüpft. Von den VM's, welche in der Domäne sind, kann ich die NAS erreichen (Webinterface, Ping, SMB Freigabe).
Vom Hyper-V Host aus ist die NAS nicht erreichbar. Als die NAS noch im 192.168.100.0/24 Netz war, konnte ich diese problemlos erreichen.

Alle Server haben das selbe GW, selben DNS etc.
Auf dem Hyper-V Host hab ich mal testweise folgendest versucht:
Windows Firewall mal testweise auf dem Hyper-V Host deaktiviert
Netz auf "Privates Netz"
Dateifreigabe aktiviert

... leider ohne Erfolg. Kennt das Phänomen jemand?

Content-Key: 12865485836

Url: https://administrator.de/contentid/12865485836

Printed on: May 18, 2024 at 04:05 o'clock

Member: em-pie
em-pie Jan 16, 2024 at 08:27:32 (UTC)
Goto Top
Moin,

das 192.168.100.0/24 und das 192.168.130.0/24 Netz sind in der Firewall miteinander verknüpft
und wie genau?
ggf. gibt es ja eine Policy in der Firewall, die lautet
"Erlaube 192.168.100.3 - 192.168.100.5 zur 192.168.130.230 | vice versa"

Ich würde somit als erstes mal an der Firewall schauen, was da gedropped wird.
Member: MirkoKR
MirkoKR Jan 16, 2024 at 08:50:11 (UTC)
Goto Top
... gibt es einen "Router" in einer VM bzw. VM-Switch Konfiguration, der vom Host nicht erreichbar ist (Gateway) ?
Member: Tezzla
Tezzla Jan 16, 2024 at 08:55:26 (UTC)
Goto Top
Moin,

hast du IPs oder Subnetze in deiner Synology per Black-/Whitelist eingetragen, die kommunizieren dürfen?
Ansonsten kann es ja fast nur noch ein Tippfehler, Firewall Policy oder falsches Gateway sein, wenn es von Clients aus dem gleichen Subnetz aus funktioniert.

Oder darf der Hyper-V / die Clients nur per Proxy raus?

VG
Member: installer
installer Jan 16, 2024 updated at 12:22:19 (UTC)
Goto Top
Die verschiedenen Netze sind per Site-to-Site Verbindung miteinander verknüpft, hier gibt es keine individuellen Einstellungen welche es separaten Hosts erlaubt oder verbietet aufeinander zuzugreifen. Eigentlich dürfen die Geräte untereinander soweit alles.

Ich kann prinzipiell von jedem Gerät aus dem ...100.0/24 in das ...130.0/24 zugreifen, die Ausnahme ist einzig und alleine der Hyper-V Host.
Member: installer
installer Jan 16, 2024 at 12:33:40 (UTC)
Goto Top
...was ich dazu sagen sollte, ist das dies nicht explizit nur die NAS betrifft.
Eigentlich komme ich vom Hyper-V Host ins gesamte ...130.0/24 Netz nicht rein.
So würde ich den Fehler halt definitiv auf den Hyper-V Host eingrenzen, allerdings komm ich da nicht weiter.
Member: Tezzla
Tezzla Jan 16, 2024 updated at 12:37:52 (UTC)
Goto Top
Dann wirst du ja auf deinen Firewall Logs schonmal nachgeschaut haben, ob die Pakete das 100er Netz verlassen und auch beim 130er Netz zumindest ankommen?

Das würde dann gleich mehrere Optionen ausschließen: Pakete kommen beim GW von Standort A an, werden zu Standort B zugestellt und die Firewall Regeln auf beiden Seiten erfassen das Paket korrekt als "allowed".

Hat dein Hyper-V Host manuelle Routen eingetragen oder ein AV Produkt mit Proxy ist (nicht) installiert, was bei anderen Clients (nicht) vorhanden ist?
Member: MirkoKR
MirkoKR Jan 16, 2024 at 12:40:23 (UTC)
Goto Top
Zitat von @installer:

Die verschiedenen Netze sind per Site-to-Site

??
Member: installer
installer Jan 16, 2024 at 15:50:44 (UTC)
Goto Top
... an beiden Standorten steht ne UDM-Pro von Ubiquiti ... letztlich dürfen die Geräte zwischen den Netzen untereinander eigentlich alles ... was auch bei allen anderen Geräten so der Fall ist, einzig der Hyper-V Host kann weder das GW des 130er Netz pingen oder erreichen ... noch sonst etwas. Daher gehe ich da irgendwie nicht von einem "Netzwerkproblem" an sich aus sondern eher nach einer Einstellung etc. auf dem Hyper-V Host.

Der Hyper-V Host macht an sich nichts spezielles ... keine AV Software außer Defender for Business ... und bewusst hab ich da auch keine manuellen Routen oder so eingetragen. Evtl. liegt das an den "VSwitchen" oder so ...
Member: installer
installer Jan 16, 2024 at 16:34:06 (UTC)
Goto Top
... so, ich glaube ich hab das "Problem" gefunden.

Die NIC's im Hyper-V Host sind wie folgt aufgeteilt:

NIC1: Internes Netz -> wird für VSwitch #1 genutzt. (Ubiquiti UDM Pro)
VSwitch #1 wird von den VM's genutzt.

NIC2: VPN Verbindung von externem Dienstleister -> wird als VSwitch #2 genutzt. (kommt vom davor liegenden Router)
VSwitch #2 gebe ich nur an eine VM weiter, da hier eine Applikation läuft welche diese VPN Verbindung benötigt

Deaktiviere ich im Hyper-V Host nun NIC2, kann ich in die anderen Netze pingen usw. usw.

Die NIC2 brauche ich aber definitiv zwingend. Jemand ne Ahnung wie das zu lösen wäre?
Member: Tezzla
Tezzla Jan 16, 2024 at 17:12:01 (UTC)
Goto Top
Du gibst leider nur sehr wenig wirklich Technisches preis, so kann man dir schlecht helfen.
Welche Netze und Einstellungen haben die Adapter?
Member: aqui
aqui Jan 16, 2024 updated at 17:24:19 (UTC)
Goto Top
Die NIC's im Hyper-V Host sind wie folgt aufgeteilt:
Toll das man ins Messer gelaufen ist und jetzt hintenrum erfährt das 2 NICs im Einsatz sind... face-sad
Kollege @Tezzla hat es schon treffend angemerkt!

Sicher sind dann fälschlicherweise 2 Default Gateways auf den NICs im Einsatz und das mit der besseren Bindungsreihenfolge bzw. Metrik gewinnt und killt damit das andere und macht damit das Routing unmöglich. Falsches IP Design also.... face-sad
Lass uns mal raten...die VPN NIC hat die höhere Metrik?!? ­čśë
Jemand ne Ahnung wie das zu lösen wäre?
Adapter Metrik anpassen aber das dreht die Problematik nur um und kann das Routing ins VPN killen solltest du dort mehrere Netze routen müssen. (geraten)

Besser:
Das fehlerhafte 2te Default Gateway auf einer NIC entfernen (2 Default Gateways sind eh Blödsinn) und die Netze mit statischen Routen (bzw. einer Summary Route bei mehreren) ala route add xyz... routen wie es IP technisch am saubersten ist. (Siehe auch hier)
Member: installer
installer Jan 16, 2024 at 17:47:46 (UTC)
Goto Top
Sorry für die fehlenden Infos, da fehlt mir einfach die Expertise um abzuschätzen was da jetzt wichtig war und was nicht. Ich dachte eigentl. das, da ich den VSwitch nur der VM zugewiesen habe, das keine Auswirkungen auf den Host hat, aber naja - falsch gedacht face-smile

Okay, das heißt eine Möglichkeit die NIC2 komplett NUR der VM zur Verfügung zu stellen (wie z.B. auch bei Festplatten / SSDs möglich) gibt es nicht? Oder werd ich dann das selbe Problem halt auf der VM haben?

Nunja, jedenfalls ist das Problem ja jetzt identifiziert und ich habe einen Anhaltspunkt und werd mich dann eben mal hinters Routing setzen face-smile

Vielen Dank für eure Hilfe !
Member: Tezzla
Tezzla Jan 16, 2024 at 19:43:50 (UTC)
Goto Top
Du kannst in den Hyper-V NICs einstellen, ob der Hyper-V Host diese gemeinsam mit den VMs mitbenutzen darf. Damit würde er bei deinem Beispiel mit im 100er Netz kommunizieren.

Oder du löst das, je nach dem wie es verstöpselt ist, über manuelle Routen oder Metrik, wie @aqui ja auch schon schrieb.