Öffentliche ip vom 30er Subnetz mit Fritzbox und Switch verbinden
Hallo Leute,
Ich habe die fritzbox 10.0.0.1/24
Und cisco switch SG350-10 auf port 3 der fritzbox mi der ip 10.0.0.254/24
Promox Server auf port 8 des Switches.
Jetzt habe ich ein /30 Öffentliches Subnetz von VF bekommen.
Saß problem ist sobald ich die Portkonfiguration auf Port 3 mache und dir Öffentliche IP dem Proxmox Server zuweisen.
Ist der Switch erreichbar, aber der Proxmox Server nicht.
In der fritzbox ist pve ja auch vorhanden und dort habe ich die Öffentliche IP vom /30 subnetz zugewiesen
Ich habe eine statische Route in der Fritzbox von dieser IP auf den Switch 10.0.0.254 eingerichtet.
Im Switch habe ich den Port 8(pve) auch die statische IP vom /30 er subnetz zugewiesen.
Irgentwie klappt das nicht.
Egal ob ich die portkonfiguration deaktiviere oder aktiv lasse bekomme ich keinen ping an diese oder von diese durch vom Switch aus.
Auf den Proxmox Server kommt auch kein ping mehr durch. Egal wo hin.
Hat jemand eine Idee wie ich das hinbekomme?
Was ich vermute ist sobald ich die portkonfiguration aktiv lasse werden die anderen Geräte offline bleiben.
Auf jedenfall habe ich die port 80, 443 und 8006 auf dem Proxmox Server freigegeben und auf dem Switch expose host aktiviert.
Vorher bevor ich die Öffentliche nicht genutzt hate hat alles ohne der expose auch geklappt.
Alle VLAN auf dem Proxmox waren online.
Nur komisch das ich diese Öffentliche ip jetzt nicht nutzen kann.
Wäre jeden dankbar über jede Hilfe.
Infos zum /30 subnetz:
x.x.x.253 Fritzbox und alle clients
x.x.x.254 die ip welche ich dem Proxmox Server geben will
Aktualisierung des Standes:
Aber die Webgui geht nicht zu öffnen von x.x.x.254:8006 aus. Habe auch die IPv6 fe08.....:8006 und die 2002:.... :8006 probiert. geht auch nicht.
Habe gerade die Portfreigaben gelöscht vom pve und pings gehen immernoch, aber Webgui über port 8006.
VG
Ich habe die fritzbox 10.0.0.1/24
Und cisco switch SG350-10 auf port 3 der fritzbox mi der ip 10.0.0.254/24
Promox Server auf port 8 des Switches.
Jetzt habe ich ein /30 Öffentliches Subnetz von VF bekommen.
Saß problem ist sobald ich die Portkonfiguration auf Port 3 mache und dir Öffentliche IP dem Proxmox Server zuweisen.
Ist der Switch erreichbar, aber der Proxmox Server nicht.
In der fritzbox ist pve ja auch vorhanden und dort habe ich die Öffentliche IP vom /30 subnetz zugewiesen
Ich habe eine statische Route in der Fritzbox von dieser IP auf den Switch 10.0.0.254 eingerichtet.
Im Switch habe ich den Port 8(pve) auch die statische IP vom /30 er subnetz zugewiesen.
Irgentwie klappt das nicht.
Egal ob ich die portkonfiguration deaktiviere oder aktiv lasse bekomme ich keinen ping an diese oder von diese durch vom Switch aus.
Auf den Proxmox Server kommt auch kein ping mehr durch. Egal wo hin.
Hat jemand eine Idee wie ich das hinbekomme?
Was ich vermute ist sobald ich die portkonfiguration aktiv lasse werden die anderen Geräte offline bleiben.
Auf jedenfall habe ich die port 80, 443 und 8006 auf dem Proxmox Server freigegeben und auf dem Switch expose host aktiviert.
Vorher bevor ich die Öffentliche nicht genutzt hate hat alles ohne der expose auch geklappt.
Alle VLAN auf dem Proxmox waren online.
Nur komisch das ich diese Öffentliche ip jetzt nicht nutzen kann.
Wäre jeden dankbar über jede Hilfe.
Infos zum /30 subnetz:
x.x.x.253 Fritzbox und alle clients
x.x.x.254 die ip welche ich dem Proxmox Server geben will
Aktualisierung des Standes:
Aber die Webgui geht nicht zu öffnen von x.x.x.254:8006 aus. Habe auch die IPv6 fe08.....:8006 und die 2002:.... :8006 probiert. geht auch nicht.
Habe gerade die Portfreigaben gelöscht vom pve und pings gehen immernoch, aber Webgui über port 8006.
VG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2467940192
Url: https://administrator.de/forum/oeffentliche-ip-vom-30er-subnetz-mit-fritzbox-und-switch-verbinden-2467940192.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
Hä?
Es gibt von Vodafone gute Anleitungen wie man sowas einrichtet...
Gibt große Unterschiede ob du Kabel oder DSL hast, oder ob du in NRW oder BW lebst....
Ich hoffe du stellt nicht direkt den Hypervisor ins Internet... Und holst dir ne vernünftige Firewall...
Naja das nächste botnet wartet schon...
VG
bitnarrator
Hä?
Es gibt von Vodafone gute Anleitungen wie man sowas einrichtet...
Gibt große Unterschiede ob du Kabel oder DSL hast, oder ob du in NRW oder BW lebst....
Ich hoffe du stellt nicht direkt den Hypervisor ins Internet... Und holst dir ne vernünftige Firewall...
Naja das nächste botnet wartet schon...
VG
bitnarrator
Ein /30er Netz ist ja intern nicht oder nur bedingt routebar. Du hast ja nur 2 nutzbare IP Adressen in solchen Netzen und damit ist es nur möglich ein lokales Subnetz damit zu betreiben wenn eine IP auf dem Router ist und die andere schon dein Server. Der Switch ist dann raus, denn routebar über den Switch ist nicht möglich. Siehe dazu auch Grundlagen zu einem L3 Konzept
Wenn überhaupt ginge das nur auf dem Router umzusetzen aber das scheitert dann an der billigen FritzBox, da die keine mehrfachen LAN Ports supportet.
Mit einem "richtigen" Router (Mikrotik etc.) wäre das eher möglich das zu lösen. Mit deinem o.a. Setup nicht.
Wenn überhaupt ginge das nur auf dem Router umzusetzen aber das scheitert dann an der billigen FritzBox, da die keine mehrfachen LAN Ports supportet.
Mit einem "richtigen" Router (Mikrotik etc.) wäre das eher möglich das zu lösen. Mit deinem o.a. Setup nicht.
Moin,
Die Kollegen habe ja auch schon ein paar Worte darüber verloren:
Die Fritte ist der falsche Router, um solche "Spielchen" zu machen. Die macht nämlich immer ipv4-Msquerading und kann daher keine (ipv4-)Pakete vom WAN an die "öffentlichen" Netze hinter ihr im LAN weiterleiten. Du bräuchtest entweder einen Router der das was am WAN-Port ankommt unverändert weiterroutet oder der einen Proxy-ARP machen kann und dann durch einen 1:1-NAT die Pakete an die richtige Kiste weitergibt. Die Fritzbox kann nur exposed host oder portforwarding für die öffentliche IP an ihrem WAN-Port machen.
Als Option hast Du nur die Möglichkeit entweder die Fritzbox in den Bridgemode zu schalten (oder durch ein Modem zu ersetzen) und dahinter dann einen ordentlichen Router wie einen Mikrotik, Bintec, LanCom, Csico, pfsense, etc. hinzustellen.
lks
Die Kollegen habe ja auch schon ein paar Worte darüber verloren:
Die Fritte ist der falsche Router, um solche "Spielchen" zu machen. Die macht nämlich immer ipv4-Msquerading und kann daher keine (ipv4-)Pakete vom WAN an die "öffentlichen" Netze hinter ihr im LAN weiterleiten. Du bräuchtest entweder einen Router der das was am WAN-Port ankommt unverändert weiterroutet oder der einen Proxy-ARP machen kann und dann durch einen 1:1-NAT die Pakete an die richtige Kiste weitergibt. Die Fritzbox kann nur exposed host oder portforwarding für die öffentliche IP an ihrem WAN-Port machen.
Als Option hast Du nur die Möglichkeit entweder die Fritzbox in den Bridgemode zu schalten (oder durch ein Modem zu ersetzen) und dahinter dann einen ordentlichen Router wie einen Mikrotik, Bintec, LanCom, Csico, pfsense, etc. hinzustellen.
lks
Hier ist es ab Seite 21 beschrieben:
https://www.vodafone.de/media/downloads/pdf/HB-Install-BI-Cable-FB-1120. ...
VG
https://www.vodafone.de/media/downloads/pdf/HB-Install-BI-Cable-FB-1120. ...
VG
Das ist richtig aber spiegelt letztlich genau das wieder was oben steht: Mit einem /30er Prefix hast du ja nur max. 2 nutzbare Hostadressen. Eine hält der Providerrouter und eine wird an dein Endgerät am lokal eingerichteten FB Port vergeben.
Bedeutet das nur dieses eine Endgerät dann die öffentliche IP hält. Dein Adressvorat in einem /30er Netz ist dann erschöpft. Weitere Endgeräte lassen sich nicht mehr adressieren.
Das das so funktioniert wie von Vodafone beschrieben steht außer Frage.
Der TO schreibt ja oben das er dem Switch selber diese IP am Port zugewiesen hat, was natürlich grundfalsch ist.
Damit ist dann natürlich Hopfen und Malz verloren, denn dann ist die IP Adresse weg und nicht mehr nutzbar. Mal abgesehen davon das ein Switch mit einer öffentlichen, im Internet ungeschützt exponierten IP Adresse eine sicherheitstechnische Katastrophe ist.
Was der TO vermutlich erreichen will (geraten) ist das diese IP irgendwie an seinen Proxmox Server an eine dortige VM kommt.
Das ist auch kinderleicht machbar wenn man lediglich ein reines L2 VLAN im Switch ohne jegliche Layer 3 Bindung anlegt und über den Proxmox vSwitch das an die entsprechende VM führt.
Dazu steckt man dann einen UNtagged Switchport in den o.a eingerichteten FB Port und "schleift" dieses VLAN durch den vSwitch des Proxmox an die VM die am vSwitch hängt und die über diese öffentliche IP erreichbar sein soll. Fertisch...
Die VM hält dann die öffentliche IP als Endgerät wie im o.a. Beispiel der Laptop am FB Port.
Das VLAN ist also quasi, wenn man so will, nur das verlängerte "Patchkabel" zur VM.
Einfache Lösung und mehr ist mit /30er Netzen auch nicht drin !
Bedeutet das nur dieses eine Endgerät dann die öffentliche IP hält. Dein Adressvorat in einem /30er Netz ist dann erschöpft. Weitere Endgeräte lassen sich nicht mehr adressieren.
Das das so funktioniert wie von Vodafone beschrieben steht außer Frage.
Der TO schreibt ja oben das er dem Switch selber diese IP am Port zugewiesen hat, was natürlich grundfalsch ist.
Damit ist dann natürlich Hopfen und Malz verloren, denn dann ist die IP Adresse weg und nicht mehr nutzbar. Mal abgesehen davon das ein Switch mit einer öffentlichen, im Internet ungeschützt exponierten IP Adresse eine sicherheitstechnische Katastrophe ist.
Was der TO vermutlich erreichen will (geraten) ist das diese IP irgendwie an seinen Proxmox Server an eine dortige VM kommt.
Das ist auch kinderleicht machbar wenn man lediglich ein reines L2 VLAN im Switch ohne jegliche Layer 3 Bindung anlegt und über den Proxmox vSwitch das an die entsprechende VM führt.
Dazu steckt man dann einen UNtagged Switchport in den o.a eingerichteten FB Port und "schleift" dieses VLAN durch den vSwitch des Proxmox an die VM die am vSwitch hängt und die über diese öffentliche IP erreichbar sein soll. Fertisch...
Die VM hält dann die öffentliche IP als Endgerät wie im o.a. Beispiel der Laptop am FB Port.
Das VLAN ist also quasi, wenn man so will, nur das verlängerte "Patchkabel" zur VM.
Einfache Lösung und mehr ist mit /30er Netzen auch nicht drin !
Also geht das nur wenn ich die Kabel von der Fritzbox aus in Cisco SG350-10
Nicht nur. Du kannst auch einen x-beliebigen VLAN Switch nehmen das ist völlig Wumpe. Der Switch ist ja nichts weiter als ein virtuelles Patchkabel. Welcher das ist spielt keine Rolle.Also dann ist es nur möglich mit einem 2. Kabel am von der Fritbox zum Switch der dann mit der Portkonfiguration eingerichtet wird um eine VM mit der 2. Öffentlichen IP zum laufen zu bekommen?!
Ja, das ist richtig. Die Anleitung vom Kollegen @bitnarrator zeigt es ja explizit.Du weist diesem /30er Netz einen dedizierten Port auf der FB zu wie in der Anleitung beschrieben. Dann kannst du an diesem Port testweise einemal einen Rechner, Laptop, RasPberry Pi usw. anschliessen und ihm die /30er IP zuweisen wie in der Anleitung beschrieben. Klappt das hast du erstmal verifiziert das diese zugewiesen IPs funktionieren und der Testrechner über diese IP erreichbar ist.
Dann gilt es nur noch diesen Link wo der Testrechner dran ist dann an die VM zu bringen die ja letztendlich diese /30er IP haben soll.
Sprich du steckst diesen FB Port dann in ein separates VLAN ohne Layer 3 (Routing) Anbindung an den Switch. Das muss ein reines Layer 2 VLAN sein. Das andere Ende des VLANs führst du dann tagged auf den vSwitch des Proxmox und kannst dann hier die VM einhängen die dann wieder die /30er IP bekommt die du dem Testrechner übergangsweise gegeben hast. Et voila...fertisch.
Du machst nichts anderes als den FritzBox Port über ein isoliertes L2 VLAN einfach an den Proxmox vSwitch zu "verlängern". Kein Hexenwerk und einfach zu machen.
IP vom 30er Subnetz nur nutzen kann wenn ich die Portkonfiguration der Fritzbox nutzen kann.
Die FritzBox reicht hier nur durch. Du hast ja ja nur 2 nutzbare IP Adressen in dem Netz. Eine hat der Providerrouter und eine hat dein Endgerät am FB Port. Der Port muss ja isoliert sein, denn sonst hättest du das Internet ungeschützt direkt am lokalen LAN. Folglich muss es also eine Port Isolation geben für dieses /30er Netz. Die FB Anleitung von Vodafone beschreibt das ja auch recht gut.
Deine VLAN Setup Beschreibung klingt etwas wirr.
Klar sollte sein das der Port 3 der FB mit dem öffentlichen /30er Subnetz und der Port 4 mit dem lokalen FB LAN zwingend in getrennten VLANs auf dem Switch liegen müssen.
Das VLAN mit dem /30er Netz darf keinesfalls eine L3 Switch Adresse in diesem VLAN haben, muss also komplett isoliert nur als L2 VLAN an den vSwitch des Proxmox geführt werden.
Gesetzt also den Fall du hast 2 VLANs
Damit wird der Traffic dann auf dem physischen Switch sauber in diese beiden VLAN gesendet.
Entscheidend ist jetzt wie dieser Traffic vom physischen Switch auf den vSwitch des Proxmox gelangt !?
Normal müssen beiden VLANs am Switch Uplink Port auf die Proxmox Server NIC tagged gesetzt werden damit der interne Proxmox vSwitch diesen Traffic im vSwitch wieder sauber den VLAN IDs 9 und 10 dort zuordnen kann.
Die VMs werden dann entsprechend am vSwitch mit ihrere VLAN ID eingehängt.
Der Host im /30 VLAN mit der öffentlichen IP dann in VLAN 9 und die VMs die im lokalen LAN der FB arbeiten sollen im VLAN 10. Einfache Logik...
So hast du eine wasserdichte Trennung dieser beiden Netze.
Es darf keinesfalls zu einer Kopplung der beiden VLANs kommen, denn damit hättest du dann öffentlichen Internet Traffic im anderen VLAN, was ein fatales Sicherheitsloch wäre und damit dann das durch die Firewall in der FB geschützte lokale LAN kompromittieren würde.
Klar sollte sein das der Port 3 der FB mit dem öffentlichen /30er Subnetz und der Port 4 mit dem lokalen FB LAN zwingend in getrennten VLANs auf dem Switch liegen müssen.
Das VLAN mit dem /30er Netz darf keinesfalls eine L3 Switch Adresse in diesem VLAN haben, muss also komplett isoliert nur als L2 VLAN an den vSwitch des Proxmox geführt werden.
Gesetzt also den Fall du hast 2 VLANs
- VLAN 9 = /30 Netz = FritzBox Port 3 = Switchport 4 (UNtagged)
- VLAN 10 = Lokales LAN FritzBox, Port 4 = Switchport 8 (UNtagged)
Damit wird der Traffic dann auf dem physischen Switch sauber in diese beiden VLAN gesendet.
Entscheidend ist jetzt wie dieser Traffic vom physischen Switch auf den vSwitch des Proxmox gelangt !?
Normal müssen beiden VLANs am Switch Uplink Port auf die Proxmox Server NIC tagged gesetzt werden damit der interne Proxmox vSwitch diesen Traffic im vSwitch wieder sauber den VLAN IDs 9 und 10 dort zuordnen kann.
Die VMs werden dann entsprechend am vSwitch mit ihrere VLAN ID eingehängt.
Der Host im /30 VLAN mit der öffentlichen IP dann in VLAN 9 und die VMs die im lokalen LAN der FB arbeiten sollen im VLAN 10. Einfache Logik...
So hast du eine wasserdichte Trennung dieser beiden Netze.
Es darf keinesfalls zu einer Kopplung der beiden VLANs kommen, denn damit hättest du dann öffentlichen Internet Traffic im anderen VLAN, was ein fatales Sicherheitsloch wäre und damit dann das durch die Firewall in der FB geschützte lokale LAN kompromittieren würde.
Port 8(Trunk): Geht zu Proxmox(VLAN 1 Tagged, VLAN 9 Tagged, VLAN 10 Untagged)
Da machst du einen Denkfehler, vorsicht !Das Default VLAN ist an Trunk Ports (Tagged Uplinks) des Switches generell nicht getagged ! Die PVID steht dort fest auf 1 !
Passe dort also auf. Möglich das das den Fehler bei dir verursacht !
Es kommt also drauf an WIE der Proxmox vSwitch dieses native/PVID VLAN behandelt !