mucsav1977
Goto Top

Öffentliche ip vom 30er Subnetz mit Fritzbox und Switch verbinden

Hallo Leute,

Ich habe die fritzbox 10.0.0.1/24
Und cisco switch SG350-10 auf port 3 der fritzbox mi der ip 10.0.0.254/24
Promox Server auf port 8 des Switches.

Jetzt habe ich ein /30 Öffentliches Subnetz von VF bekommen.

Saß problem ist sobald ich die Portkonfiguration auf Port 3 mache und dir Öffentliche IP dem Proxmox Server zuweisen.
Ist der Switch erreichbar, aber der Proxmox Server nicht.

In der fritzbox ist pve ja auch vorhanden und dort habe ich die Öffentliche IP vom /30 subnetz zugewiesen
Ich habe eine statische Route in der Fritzbox von dieser IP auf den Switch 10.0.0.254 eingerichtet.

Im Switch habe ich den Port 8(pve) auch die statische IP vom /30 er subnetz zugewiesen.

Irgentwie klappt das nicht.

Egal ob ich die portkonfiguration deaktiviere oder aktiv lasse bekomme ich keinen ping an diese oder von diese durch vom Switch aus.

Auf den Proxmox Server kommt auch kein ping mehr durch. Egal wo hin.

Hat jemand eine Idee wie ich das hinbekomme?

Was ich vermute ist sobald ich die portkonfiguration aktiv lasse werden die anderen Geräte offline bleiben.

Auf jedenfall habe ich die port 80, 443 und 8006 auf dem Proxmox Server freigegeben und auf dem Switch expose host aktiviert.

Vorher bevor ich die Öffentliche nicht genutzt hate hat alles ohne der expose auch geklappt.

Alle VLAN auf dem Proxmox waren online.

Nur komisch das ich diese Öffentliche ip jetzt nicht nutzen kann.
Wäre jeden dankbar über jede Hilfe.

Infos zum /30 subnetz:
x.x.x.253 Fritzbox und alle clients
x.x.x.254 die ip welche ich dem Proxmox Server geben will


Aktualisierung des Standes:

Aber die Webgui geht nicht zu öffnen von x.x.x.254:8006 aus. Habe auch die IPv6 fe08.....:8006 und die 2002:.... :8006 probiert. geht auch nicht.
Habe gerade die Portfreigaben gelöscht vom pve und pings gehen immernoch, aber Webgui über port 8006.


VG

Content-Key: 2467940192

Url: https://administrator.de/contentid/2467940192

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: bitnarrator
bitnarrator 11.04.2022 um 01:16:44 Uhr
Goto Top
Hallo,

Hä?

Es gibt von Vodafone gute Anleitungen wie man sowas einrichtet...

Gibt große Unterschiede ob du Kabel oder DSL hast, oder ob du in NRW oder BW lebst....

Ich hoffe du stellt nicht direkt den Hypervisor ins Internet... Und holst dir ne vernünftige Firewall...

Naja das nächste botnet wartet schon...


VG
bitnarrator
Mitglied: mucsav1977
mucsav1977 11.04.2022 um 01:45:55 Uhr
Goto Top
Kabel und NRW
die anleitung kenne ich die ist nur für direkt gerät an fritzbox.

Also ich wollte nur die IP für den Webserver nutzen.

Jetzt habe ich ein 2. Kabel angeschlossen an die Fritzbox.

Weil sobald ich den Portkonfiguration an hatte war der Switch nicht mehr drüber erreichbar.

Jetzt geht beides ohne probleme.

Ich muss mal eben gucken ob die VLANs erreichbar sind.

Das Problem das alles über den Port 3 dann die Öffentliche IP hat.

Ich würde gerne einen Weg finden wie ich mit 1 Kabel dann die 2. IP Freigeschaltet bekomme auf eine VM.


Jetzt sendet ja das Kabel von Port 3 die Öffentliche IP in den Switch an das von mir angegebene Gerät.

Ich hoffe wenn ich gleich die VM drauf habe das es damit auch geht.

Kennt jemand einen weg mit 1 Kabel?? und wie ich das hinbekomme , das die anderen VMs usw. nicht beeinflusst werden durch irgentwelche sachen die über die Öffentliche IP laufen?

Ich will ja den WEBSERVER in der VM auf die x.x.x.254 laufen lassen.

Und der switch ist ja dazwischen. Kann da irgentwas mit den anderen geräten passieren Sicherheitstechnisch??
Mitglied: mucsav1977
mucsav1977 11.04.2022 um 02:07:17 Uhr
Goto Top
Jetzt springt mal der Swtich auf der Fritzbox auf Port 3 mal auf port 4.
Das selbe mit Proxmox Server auf der Fritzbox auf Port 3 mal auf Port 4.
Beide auf Port 3 und mal beide auf Port 4.

Also ich habe schon mal eine anleitung in Netz gefunden wie man von der Fritzbox 2 Kabel angeschlossen hat auf nen Switch, aber das war glaub ich für ne Firewall.

Ich will auf eine VM PFSense installieren.
Aber jetzt mache ich mir noch sorgen ob das alles so richtig ist mit 2 Kabel.

Kann mir da jemand was zu sagen?? Kann es zu irgendwelchen Problemen kommen 2 Kabel an einem Switch anzuschließen?

Wenn ich die Portkonfiguration an habe auf Port 3 dann ist der ja komplett vom DHCP Netz isoliert.
Ich habe alle Geräte angepingt das klappt jetzt über port 4. der ja an dem Switch angeschlossen ist.

Kein plan hoffe das ich eine Lösung hier finde ohne das alle VMs online zugängig sind oderso.

VG
Mitglied: aqui
aqui 11.04.2022 um 09:32:01 Uhr
Goto Top
Ein /30er Netz ist ja intern nicht oder nur bedingt routebar. Du hast ja nur 2 nutzbare IP Adressen in solchen Netzen und damit ist es nur möglich ein lokales Subnetz damit zu betreiben wenn eine IP auf dem Router ist und die andere schon dein Server. Der Switch ist dann raus, denn routebar über den Switch ist nicht möglich. Siehe dazu auch Grundlagen zu einem L3 Konzept
Wenn überhaupt ginge das nur auf dem Router umzusetzen aber das scheitert dann an der billigen FritzBox, da die keine mehrfachen LAN Ports supportet.
Mit einem "richtigen" Router (Mikrotik etc.) wäre das eher möglich das zu lösen. Mit deinem o.a. Setup nicht.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 11.04.2022 um 10:43:07 Uhr
Goto Top
Moin,

Die Kollegen habe ja auch schon ein paar Worte darüber verloren:

Die Fritte ist der falsche Router, um solche "Spielchen" zu machen. Die macht nämlich immer ipv4-Msquerading und kann daher keine (ipv4-)Pakete vom WAN an die "öffentlichen" Netze hinter ihr im LAN weiterleiten. Du bräuchtest entweder einen Router der das was am WAN-Port ankommt unverändert weiterroutet oder der einen Proxy-ARP machen kann und dann durch einen 1:1-NAT die Pakete an die richtige Kiste weitergibt. Die Fritzbox kann nur exposed host oder portforwarding für die öffentliche IP an ihrem WAN-Port machen.

Als Option hast Du nur die Möglichkeit entweder die Fritzbox in den Bridgemode zu schalten (oder durch ein Modem zu ersetzen) und dahinter dann einen ordentlichen Router wie einen Mikrotik, Bintec, LanCom, Csico, pfsense, etc. hinzustellen.

lks
Mitglied: bitnarrator
bitnarrator 11.04.2022 um 15:27:02 Uhr
Goto Top
Mitglied: aqui
aqui 11.04.2022 aktualisiert um 15:59:19 Uhr
Goto Top
Das ist richtig aber spiegelt letztlich genau das wieder was oben steht: Mit einem /30er Prefix hast du ja nur max. 2 nutzbare Hostadressen. Eine hält der Providerrouter und eine wird an dein Endgerät am lokal eingerichteten FB Port vergeben.
Bedeutet das nur dieses eine Endgerät dann die öffentliche IP hält. Dein Adressvorat in einem /30er Netz ist dann erschöpft. Weitere Endgeräte lassen sich nicht mehr adressieren.
Das das so funktioniert wie von Vodafone beschrieben steht außer Frage.

Der TO schreibt ja oben das er dem Switch selber diese IP am Port zugewiesen hat, was natürlich grundfalsch ist.
Damit ist dann natürlich Hopfen und Malz verloren, denn dann ist die IP Adresse weg und nicht mehr nutzbar. Mal abgesehen davon das ein Switch mit einer öffentlichen, im Internet ungeschützt exponierten IP Adresse eine sicherheitstechnische Katastrophe ist.

Was der TO vermutlich erreichen will (geraten) ist das diese IP irgendwie an seinen Proxmox Server an eine dortige VM kommt.
Das ist auch kinderleicht machbar wenn man lediglich ein reines L2 VLAN im Switch ohne jegliche Layer 3 Bindung anlegt und über den Proxmox vSwitch das an die entsprechende VM führt.
Dazu steckt man dann einen UNtagged Switchport in den o.a eingerichteten FB Port und "schleift" dieses VLAN durch den vSwitch des Proxmox an die VM die am vSwitch hängt und die über diese öffentliche IP erreichbar sein soll. Fertisch...
Die VM hält dann die öffentliche IP als Endgerät wie im o.a. Beispiel der Laptop am FB Port.
Das VLAN ist also quasi, wenn man so will, nur das verlängerte "Patchkabel" zur VM.
Einfache Lösung und mehr ist mit /30er Netzen auch nicht drin ! face-wink
Mitglied: mucsav1977
mucsav1977 12.04.2022 um 00:40:07 Uhr
Goto Top
Also geht das nur wenn ich die Kabel von der Fritzbox aus in Cisco SG350-10 (Layer2+3 mit DHCP Server und ARP Proxy) anschließt.

Ich habe das aktuell ohne der 2. Öffentlichen IP am laufen wieder.

Also dann ist es nur möglich mit einem 2. Kabel am von der Fritbox zum Switch der dann mit der Portkonfiguration eingerichtet wird um eine VM mit der 2. Öffentlichen IP zum laufen zu bekommen?!

Kein Plan. Mir kommt das nur komisch vor das ich die 2. IP vom 30er Subnetz nur nutzen kann wenn ich die Portkonfiguration der Fritzbox nutzen kann.

Oder kann man die 2. `Öffentliche IP so aktivieren ohne Portkonfiguration?

VG
Mitglied: aqui
aqui 12.04.2022 aktualisiert um 10:34:43 Uhr
Goto Top
Also geht das nur wenn ich die Kabel von der Fritzbox aus in Cisco SG350-10
Nicht nur. Du kannst auch einen x-beliebigen VLAN Switch nehmen das ist völlig Wumpe. Der Switch ist ja nichts weiter als ein virtuelles Patchkabel. Welcher das ist spielt keine Rolle.
Also dann ist es nur möglich mit einem 2. Kabel am von der Fritbox zum Switch der dann mit der Portkonfiguration eingerichtet wird um eine VM mit der 2. Öffentlichen IP zum laufen zu bekommen?!
Ja, das ist richtig. Die Anleitung vom Kollegen @bitnarrator zeigt es ja explizit.
Du weist diesem /30er Netz einen dedizierten Port auf der FB zu wie in der Anleitung beschrieben. Dann kannst du an diesem Port testweise einemal einen Rechner, Laptop, RasPberry Pi usw. anschliessen und ihm die /30er IP zuweisen wie in der Anleitung beschrieben. Klappt das hast du erstmal verifiziert das diese zugewiesen IPs funktionieren und der Testrechner über diese IP erreichbar ist.
Dann gilt es nur noch diesen Link wo der Testrechner dran ist dann an die VM zu bringen die ja letztendlich diese /30er IP haben soll.
Sprich du steckst diesen FB Port dann in ein separates VLAN ohne Layer 3 (Routing) Anbindung an den Switch. Das muss ein reines Layer 2 VLAN sein. Das andere Ende des VLANs führst du dann tagged auf den vSwitch des Proxmox und kannst dann hier die VM einhängen die dann wieder die /30er IP bekommt die du dem Testrechner übergangsweise gegeben hast. Et voila...fertisch.
Du machst nichts anderes als den FritzBox Port über ein isoliertes L2 VLAN einfach an den Proxmox vSwitch zu "verlängern". Kein Hexenwerk und einfach zu machen.
IP vom 30er Subnetz nur nutzen kann wenn ich die Portkonfiguration der Fritzbox nutzen kann.
Die FritzBox reicht hier nur durch. Du hast ja ja nur 2 nutzbare IP Adressen in dem Netz. Eine hat der Providerrouter und eine hat dein Endgerät am FB Port. Der Port muss ja isoliert sein, denn sonst hättest du das Internet ungeschützt direkt am lokalen LAN. Folglich muss es also eine Port Isolation geben für dieses /30er Netz. Die FB Anleitung von Vodafone beschreibt das ja auch recht gut.
Mitglied: mucsav1977
mucsav1977 16.04.2022 um 16:22:37 Uhr
Goto Top
Also aktuell läuft alles super.

Ich habe nur ein Problem was mir vorkommt wie ein Sicherheitsproblem.

bei der Fritzbox ist ja der LAN PORT 3 für die Statische IP jetzt(Portkonfiguration) und geht auf dem 4. Port des Switches.

Fritzbox Port 4 ist normal und geht auf Port 8 des Switches (Proxmox)

Komisch ist das bei mir in der Fritzbox unter Netzwerk Proxmox mal auf "LAN 4" und mal auf "LAN 3" angezeigt wird.
Und das sollte nicht so sein und deswegen denke ich das es ein Sicherheitsrisiko sein könnte.

Weil ja der Port 3 ja abgeschottet sein sollte durch die Fritzbox Portkonfiguration und auf dem Switch VLAN9 (Seperates VLAN von dieser IP) ist auf dem Port 4 des Switches (kommt von der Fritzbox) Untugged und der Port 8 des Switches (geht zu Promox) ist Tagged.

Und das VLAN10 vom Proxmox Netz ist Port 4 Tagged und Port 8 Untagged.

Jetzt habe ich alle mögliches ausprobiert, aber ich bekomme ich es nur kurzzeitig hin das die anzeige in der Fritzbox unter Netzwerk auf LAN PORT3 bleibt.
Aber sobald ich den Webserver (VM Proxmox) runterfahre dann passiert das selbe wieder,
das "Proxmox" in der Fritzbox Netzwerk wieder auf LAN PORT 3(falsch) wechselt und wieder zurück auf LAN PORT 4 (richtig).

Gibt es keine andere möglichkeit das das VLAN 9 auf der Fritzbox immer auf LAN PORT 3 angezeigt wird??

Hat einer eine Idee warum das so ist und wie ich das am besten beheben kann
Ist das ein Sicherheitsproblem??


Vielen Dank für eure Hilfe.
Mitglied: aqui
Lösung aqui 16.04.2022 aktualisiert um 16:46:11 Uhr
Goto Top
Deine VLAN Setup Beschreibung klingt etwas wirr.
Klar sollte sein das der Port 3 der FB mit dem öffentlichen /30er Subnetz und der Port 4 mit dem lokalen FB LAN zwingend in getrennten VLANs auf dem Switch liegen müssen.
Das VLAN mit dem /30er Netz darf keinesfalls eine L3 Switch Adresse in diesem VLAN haben, muss also komplett isoliert nur als L2 VLAN an den vSwitch des Proxmox geführt werden.

Gesetzt also den Fall du hast 2 VLANs
  • VLAN 9 = /30 Netz = FritzBox Port 3 = Switchport 4 (UNtagged)
  • VLAN 10 = Lokales LAN FritzBox, Port 4 = Switchport 8 (UNtagged)
Soweit zum Switch.
Damit wird der Traffic dann auf dem physischen Switch sauber in diese beiden VLAN gesendet.

Entscheidend ist jetzt wie dieser Traffic vom physischen Switch auf den vSwitch des Proxmox gelangt !?
Normal müssen beiden VLANs am Switch Uplink Port auf die Proxmox Server NIC tagged gesetzt werden damit der interne Proxmox vSwitch diesen Traffic im vSwitch wieder sauber den VLAN IDs 9 und 10 dort zuordnen kann.
Die VMs werden dann entsprechend am vSwitch mit ihrere VLAN ID eingehängt.
Der Host im /30 VLAN mit der öffentlichen IP dann in VLAN 9 und die VMs die im lokalen LAN der FB arbeiten sollen im VLAN 10. Einfache Logik... face-wink
So hast du eine wasserdichte Trennung dieser beiden Netze.
Es darf keinesfalls zu einer Kopplung der beiden VLANs kommen, denn damit hättest du dann öffentlichen Internet Traffic im anderen VLAN, was ein fatales Sicherheitsloch wäre und damit dann das durch die Firewall in der FB geschützte lokale LAN kompromittieren würde.
Mitglied: mucsav1977
mucsav1977 16.04.2022 aktualisiert um 17:35:52 Uhr
Goto Top
Ja das denke ich ja auch.
und
Sorry das ich so durchernander erkläre.

So

Guckmal aktuel:


Fritzbox:

Port 3 (Portkonfiguration) geht auf Port 4 des Switch (VLAN 9)
Port 4 (normal) geht auf den Port 1 des Switches (VLAN 1)

Switch:

Port 1(Trunk): Kommt vom Fritzbox Port 4. VLAN 1 Untagged
Port 4(Access): Kommt von Fritzbox Port 3(Portkonfiguration) VLAN 9 Untagged
Port 8(Trunk): Geht zu Proxmox(VLAN 1 Tagged, VLAN 9 Tagged, VLAN 10 Untagged)
Alle VLANs sind layer 2 und haben in der IP konfiguration die Statische IP 10.x.x.254 am ende, außer VLAN 9 ist gar nicht konfiguriert und VLAN 1 hat die 10.0.0.254 Statisch. VLAN 10 hat 10.99.99.254.
Arp Proxy aktiv, DHCP Server aktiv mit IP Vergabe für die VLANs außer eben VLAN 1, VLAN 9 und VLAN 10
Es ist das problem, das manchmal in der Frittbox bei Netzwerk mal Proxmox anzeigt und mal nicht.
Mal bekommen Clients IPs vom Switch aber trotzdem noch IPs vom der Fritzbox.

Bezüglich der Verschiedene IP vergabe in der Fritzbox habe ich aber jetzt eine Lösung, das ich im Switch bei DHCP den DNS vom Switch Nutze und in Promox trage ich dann die DNS von der Fritzbox ein oder die vom Provider.
dann werden die IPs der VMs und CTs direkt eingetragen in der Fritzbox. Solange ich das so mache.

Komisch ist das ich mal Proxmox in der Fritzbox bei Netzwerk sehe und mal nicht.
Und dann das es ja normalerweise dort ja LAN 4 angezeigt werden sollte, aber wenn er mal anzeigt dann wechselt er von LAN 4 zu LAN 3 und zurück.

Also der idealfall wäre das alle IPs von den VMs und CTs so übertragen werden wie sein sollte auf der Fritzbox.
Und das alle VMs und CTs in der Fritzbox auf LAN 4 angezeigt werden.
Aber das ist nur dann der Fall wenn ich den Webserver hochfache der ja VLAN 9 hat und dann in der Fritzbox Netzwerk LAN 3 anzeigt und alles andere wird dann dort auf LAN 4 angezeigt.
Aber nur dann.
Ok ein webserver läuft ja in der regel 24/7 aber ich bin ja gerade in der Testphase wie wo was ich wie mache.
Und so wollte ich ja die Schwachpunkte rausfiltern und jetzt denke ich das es ein Risiko ist das bei mir LAN3 und LAN4 vermisst wird.
Alles was auf dem Webserver rein und raus geht darf nie auf die Clients an der Fritzbox und auf dem Switch kommen.
Weil ich einfach Panik habe das so jemand zugriff auf meine Lokalen Daten erhält.
Deswegen wollte ich das so einrichten das ich von den Clients per SSH auf den Webserver drauf komme(Was ja klappt) aber ob ich oder ein Fremder nicht zugriff auf die anderen Clients im Netzwerk zugriff erhalten durch den Webserver.
Ok Firewall kann man ja einrichten, aber VLAN heißt doch das man in dem VLAN bleibt solange nicht anders eingerichtet.
Und ich denke das ich die Konfiguration aktuell so richtig habe.
Weil ja alles sonst geht und alle sind Online, egal ob gerade eingerichtet oder alt.

Meine bedenken sind:
Das Proxmox mal LAN3 und mal LAN4 ist auf der Fritzbox
Und das manchmal Promox gar nicht angezeigt wird auf der Fritzbox, aber dafür die VMs und die CTs.
Und das eine VM/CT auf Promox beispiel 10.10.0.10 hat und so sollte es ja übertragen werden,
aber manchmal habe ich in der Fritzbox dann 10.0.0.100 für die selbe VM/CT drin und das die VM/CT trotz 2 verschiedene IPs Online geht.
Hast du da ein tipp??
Mitglied: aqui
Lösung aqui 16.04.2022 aktualisiert um 18:17:42 Uhr
Goto Top
Port 8(Trunk): Geht zu Proxmox(VLAN 1 Tagged, VLAN 9 Tagged, VLAN 10 Untagged)
Da machst du einen Denkfehler, vorsicht !
Das Default VLAN ist an Trunk Ports (Tagged Uplinks) des Switches generell nicht getagged ! Die PVID steht dort fest auf 1 !
Passe dort also auf. Möglich das das den Fehler bei dir verursacht !
Es kommt also drauf an WIE der Proxmox vSwitch dieses native/PVID VLAN behandelt !
Mitglied: mucsav1977
mucsav1977 16.04.2022 um 18:44:11 Uhr
Goto Top
wie?

Also bei mir ist der Default VLAN von anfang an VLAN 1 und läuft auf Port 1 der als Trunk eingerichtet ist.
Port 4 Kommt von Fritzbox die IP vom Webserver
Port 8 geht zu Proxmox

Also VLAN 1:
Port 1: Trunk UNTUGGED VID
Port 4: Access EXCLUDED
Port 8: Trunk TAGGED


VLAN 9:
Port 1: Trunk EXCLUDED
Port 4: Access UNTUGGED VID
Port 8: Trunk TAGGED

VLAN 10
Port 1: Trunk TAGGED
Port 4: Access EXCLUDED
Port 8: Trunk UNTUGGED VID

Und was sollte ich da jetzt beachten?