13
NAS nur von Hyper-V Host nicht erreichbar
Hallo Kollegen,
Folgende Ausgangssituation:
1 x Windows Server - Hyper-V Host (Blech) - 192.168.100.2
1 x Windows Server - DC (VM) (DOMÄNE) - 192.168.100.3
1 x Windows Server - DATA (VM) (DOMÄNE) - 192.168.100.4
1 x Windows Server - SQL (VM) (DOMÄNE) - 192.168.100.5
1 x SYNOLOGY NAS - 192.168.130.230
... das 192.168.100.0/24 und das 192.168.130.0/24 Netz sind in der Firewall miteinander verknüpft. Von den VM's, welche in der Domäne sind, kann ich die NAS erreichen (Webinterface, Ping, SMB Freigabe).
Vom Hyper-V Host aus ist die NAS nicht erreichbar. Als die NAS noch im 192.168.100.0/24 Netz war, konnte ich diese problemlos erreichen.
Alle Server haben das selbe GW, selben DNS etc.
Auf dem Hyper-V Host hab ich mal testweise folgendest versucht:
Windows Firewall mal testweise auf dem Hyper-V Host deaktiviert
Netz auf "Privates Netz"
Dateifreigabe aktiviert
... leider ohne Erfolg. Kennt das Phänomen jemand?
Folgende Ausgangssituation:
1 x Windows Server - Hyper-V Host (Blech) - 192.168.100.2
1 x Windows Server - DC (VM) (DOMÄNE) - 192.168.100.3
1 x Windows Server - DATA (VM) (DOMÄNE) - 192.168.100.4
1 x Windows Server - SQL (VM) (DOMÄNE) - 192.168.100.5
1 x SYNOLOGY NAS - 192.168.130.230
... das 192.168.100.0/24 und das 192.168.130.0/24 Netz sind in der Firewall miteinander verknüpft. Von den VM's, welche in der Domäne sind, kann ich die NAS erreichen (Webinterface, Ping, SMB Freigabe).
Vom Hyper-V Host aus ist die NAS nicht erreichbar. Als die NAS noch im 192.168.100.0/24 Netz war, konnte ich diese problemlos erreichen.
Alle Server haben das selbe GW, selben DNS etc.
Auf dem Hyper-V Host hab ich mal testweise folgendest versucht:
Windows Firewall mal testweise auf dem Hyper-V Host deaktiviert
Netz auf "Privates Netz"
Dateifreigabe aktiviert
... leider ohne Erfolg. Kennt das Phänomen jemand?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 12865485836
Url: https://administrator.de/contentid/12865485836
Printed on: April 27, 2024 at 11:04 o'clock
13 Comments
Latest comment
Moin,
ggf. gibt es ja eine Policy in der Firewall, die lautet
"Erlaube 192.168.100.3 - 192.168.100.5 zur 192.168.130.230 | vice versa"
Ich würde somit als erstes mal an der Firewall schauen, was da gedropped wird.
das 192.168.100.0/24 und das 192.168.130.0/24 Netz sind in der Firewall miteinander verknüpft
und wie genau?ggf. gibt es ja eine Policy in der Firewall, die lautet
"Erlaube 192.168.100.3 - 192.168.100.5 zur 192.168.130.230 | vice versa"
Ich würde somit als erstes mal an der Firewall schauen, was da gedropped wird.
1
... gibt es einen "Router" in einer VM bzw. VM-Switch Konfiguration, der vom Host nicht erreichbar ist (Gateway) ?
1
Moin,
hast du IPs oder Subnetze in deiner Synology per Black-/Whitelist eingetragen, die kommunizieren dürfen?
Ansonsten kann es ja fast nur noch ein Tippfehler, Firewall Policy oder falsches Gateway sein, wenn es von Clients aus dem gleichen Subnetz aus funktioniert.
Oder darf der Hyper-V / die Clients nur per Proxy raus?
VG
hast du IPs oder Subnetze in deiner Synology per Black-/Whitelist eingetragen, die kommunizieren dürfen?
Ansonsten kann es ja fast nur noch ein Tippfehler, Firewall Policy oder falsches Gateway sein, wenn es von Clients aus dem gleichen Subnetz aus funktioniert.
Oder darf der Hyper-V / die Clients nur per Proxy raus?
VG
1
Die verschiedenen Netze sind per Site-to-Site Verbindung miteinander verknüpft, hier gibt es keine individuellen Einstellungen welche es separaten Hosts erlaubt oder verbietet aufeinander zuzugreifen. Eigentlich dürfen die Geräte untereinander soweit alles.
Ich kann prinzipiell von jedem Gerät aus dem ...100.0/24 in das ...130.0/24 zugreifen, die Ausnahme ist einzig und alleine der Hyper-V Host.
Ich kann prinzipiell von jedem Gerät aus dem ...100.0/24 in das ...130.0/24 zugreifen, die Ausnahme ist einzig und alleine der Hyper-V Host.
...was ich dazu sagen sollte, ist das dies nicht explizit nur die NAS betrifft.
Eigentlich komme ich vom Hyper-V Host ins gesamte ...130.0/24 Netz nicht rein.
So würde ich den Fehler halt definitiv auf den Hyper-V Host eingrenzen, allerdings komm ich da nicht weiter.
Eigentlich komme ich vom Hyper-V Host ins gesamte ...130.0/24 Netz nicht rein.
So würde ich den Fehler halt definitiv auf den Hyper-V Host eingrenzen, allerdings komm ich da nicht weiter.
Dann wirst du ja auf deinen Firewall Logs schonmal nachgeschaut haben, ob die Pakete das 100er Netz verlassen und auch beim 130er Netz zumindest ankommen?
Das würde dann gleich mehrere Optionen ausschließen: Pakete kommen beim GW von Standort A an, werden zu Standort B zugestellt und die Firewall Regeln auf beiden Seiten erfassen das Paket korrekt als "allowed".
Hat dein Hyper-V Host manuelle Routen eingetragen oder ein AV Produkt mit Proxy ist (nicht) installiert, was bei anderen Clients (nicht) vorhanden ist?
Das würde dann gleich mehrere Optionen ausschließen: Pakete kommen beim GW von Standort A an, werden zu Standort B zugestellt und die Firewall Regeln auf beiden Seiten erfassen das Paket korrekt als "allowed".
Hat dein Hyper-V Host manuelle Routen eingetragen oder ein AV Produkt mit Proxy ist (nicht) installiert, was bei anderen Clients (nicht) vorhanden ist?
??
... an beiden Standorten steht ne UDM-Pro von Ubiquiti ... letztlich dürfen die Geräte zwischen den Netzen untereinander eigentlich alles ... was auch bei allen anderen Geräten so der Fall ist, einzig der Hyper-V Host kann weder das GW des 130er Netz pingen oder erreichen ... noch sonst etwas. Daher gehe ich da irgendwie nicht von einem "Netzwerkproblem" an sich aus sondern eher nach einer Einstellung etc. auf dem Hyper-V Host.
Der Hyper-V Host macht an sich nichts spezielles ... keine AV Software außer Defender for Business ... und bewusst hab ich da auch keine manuellen Routen oder so eingetragen. Evtl. liegt das an den "VSwitchen" oder so ...
Der Hyper-V Host macht an sich nichts spezielles ... keine AV Software außer Defender for Business ... und bewusst hab ich da auch keine manuellen Routen oder so eingetragen. Evtl. liegt das an den "VSwitchen" oder so ...
... so, ich glaube ich hab das "Problem" gefunden.
Die NIC's im Hyper-V Host sind wie folgt aufgeteilt:
NIC1: Internes Netz -> wird für VSwitch #1 genutzt. (Ubiquiti UDM Pro)
VSwitch #1 wird von den VM's genutzt.
NIC2: VPN Verbindung von externem Dienstleister -> wird als VSwitch #2 genutzt. (kommt vom davor liegenden Router)
VSwitch #2 gebe ich nur an eine VM weiter, da hier eine Applikation läuft welche diese VPN Verbindung benötigt
Deaktiviere ich im Hyper-V Host nun NIC2, kann ich in die anderen Netze pingen usw. usw.
Die NIC2 brauche ich aber definitiv zwingend. Jemand ne Ahnung wie das zu lösen wäre?
Die NIC's im Hyper-V Host sind wie folgt aufgeteilt:
NIC1: Internes Netz -> wird für VSwitch #1 genutzt. (Ubiquiti UDM Pro)
VSwitch #1 wird von den VM's genutzt.
NIC2: VPN Verbindung von externem Dienstleister -> wird als VSwitch #2 genutzt. (kommt vom davor liegenden Router)
VSwitch #2 gebe ich nur an eine VM weiter, da hier eine Applikation läuft welche diese VPN Verbindung benötigt
Deaktiviere ich im Hyper-V Host nun NIC2, kann ich in die anderen Netze pingen usw. usw.
Die NIC2 brauche ich aber definitiv zwingend. Jemand ne Ahnung wie das zu lösen wäre?
Du gibst leider nur sehr wenig wirklich Technisches preis, so kann man dir schlecht helfen.
Welche Netze und Einstellungen haben die Adapter?
Welche Netze und Einstellungen haben die Adapter?
Die NIC's im Hyper-V Host sind wie folgt aufgeteilt:
Toll das man ins Messer gelaufen ist und jetzt hintenrum erfährt das 2 NICs im Einsatz sind... 
Kollege @Tezzla hat es schon treffend angemerkt!
Sicher sind dann fälschlicherweise 2 Default Gateways auf den NICs im Einsatz und das mit der besseren Bindungsreihenfolge bzw. Metrik gewinnt und killt damit das andere und macht damit das Routing unmöglich. Falsches IP Design also....
Lass uns mal raten...die VPN NIC hat die höhere Metrik?!? 😉
Jemand ne Ahnung wie das zu lösen wäre?
Adapter Metrik anpassen aber das dreht die Problematik nur um und kann das Routing ins VPN killen solltest du dort mehrere Netze routen müssen. (geraten)Besser:
Das fehlerhafte 2te Default Gateway auf einer NIC entfernen (2 Default Gateways sind eh Blödsinn) und die Netze mit statischen Routen (bzw. einer Summary Route bei mehreren) ala route add xyz... routen wie es IP technisch am saubersten ist. (Siehe auch hier)
Sorry für die fehlenden Infos, da fehlt mir einfach die Expertise um abzuschätzen was da jetzt wichtig war und was nicht. Ich dachte eigentl. das, da ich den VSwitch nur der VM zugewiesen habe, das keine Auswirkungen auf den Host hat, aber naja - falsch gedacht 
Okay, das heißt eine Möglichkeit die NIC2 komplett NUR der VM zur Verfügung zu stellen (wie z.B. auch bei Festplatten / SSDs möglich) gibt es nicht? Oder werd ich dann das selbe Problem halt auf der VM haben?
Nunja, jedenfalls ist das Problem ja jetzt identifiziert und ich habe einen Anhaltspunkt und werd mich dann eben mal hinters Routing setzen
Vielen Dank für eure Hilfe !
Okay, das heißt eine Möglichkeit die NIC2 komplett NUR der VM zur Verfügung zu stellen (wie z.B. auch bei Festplatten / SSDs möglich) gibt es nicht? Oder werd ich dann das selbe Problem halt auf der VM haben?
Nunja, jedenfalls ist das Problem ja jetzt identifiziert und ich habe einen Anhaltspunkt und werd mich dann eben mal hinters Routing setzen
Vielen Dank für eure Hilfe !
Du kannst in den Hyper-V NICs einstellen, ob der Hyper-V Host diese gemeinsam mit den VMs mitbenutzen darf. Damit würde er bei deinem Beispiel mit im 100er Netz kommunizieren.
Oder du löst das, je nach dem wie es verstöpselt ist, über manuelle Routen oder Metrik, wie @aqui ja auch schon schrieb.
Oder du löst das, je nach dem wie es verstöpselt ist, über manuelle Routen oder Metrik, wie @aqui ja auch schon schrieb.
1