gelöst OpenWRT unter KVM - Netzwerkproblem pointopoint

Mitglied: Starkimarm

Starkimarm (Level 1) - Jetzt verbinden

09.12.2015, aktualisiert 10.12.2015, 1234 Aufrufe, 3 Kommentare

Entweder ich stehe gerade voll auf dem Schlauch oder das was ich will geht nicht (wäre auch nicht das erste Mal).

Folgende Aufgabenstellung: Ich habe einen Root-Server von ServDiscount (=Webtropia/myloc), auf dem Debian mit KVM als Hypervisor läuft und mehrere VMs, die die eigentlichen Dienste (Mail, Web...) bereitstellen sollen. Zusätzlich zu der Haupt-IP habe ich noch zusätzliche IPs, die als Virtualisierungs-IPs konfiguriert sind. Wenn ich eine solche IP einer VM zuweise ist die VM von außen erreichbar, alles schön.

Da zusätzliche IPs Geld kosten und aus Sicherheits-Erwägungen möchte ich aber die VMs nicht komplett ins Netz stellen, weshalb ich mir überlegt habe, daß ich die VMs alle in einem internen virtuellen LAN betreibe, welches mit einer OpenWRT-VM, die zwei Interfaces hat, mit dem Netz verbunden ist und nur die relevanten Ports auf die öffentliche IP des Routers gemappt werden.

Das Problem ist jetzt folgendes: Das WAN-Interface von OpenWRT läßt sich nicht entsprechend konfigurieren. Weder eingehend noch ausgehend kommt man durch (Network unreachable).

Die Konfiguration sieht wie folgt aus:

Hypervisor:
auto eth1
iface eth1 inet manual

auto br0
iface br0 inet static
address 93.186.x.y
netmask 255.255.255.0
network 93.186.x.0
broadcast 93.186.x.255
gateway 93.186.x.1
bridge_ports eth1
bridge_stp off
bridge_fd 0
bridge_maxwait 0
                  1. dns-* options are implemented by the resolvconf package, if installed
                  dns-nameservers 62.141.32.5 62.141.32.4 62.141.32.3
                  dns-search lemon.servdiscount-customer.com

                  VM, bei der die zusätzlichen IPs funktionieren:
                  auto eth0
                  iface eth0 inet static
                  address 89.163.a.b
                  netmask 255.255.255.255
                  pointopoint 93.186.x.1
                  gateway 93.186.x.1

                  OpenWRT, wo es nicht funktioniert:
                  network.wan=interface
                  network.wan.proto='static'
                  network.wan.ifname='eth0'
                  network.wan.ipaddr='5.104.b.c'
                  network.wan.netmask='255.255.255.255'
                  network.wan.gateway='93.186.x.1'
                  network.wan.dns='62.141.32.5'


                  Ich schätze das Problem liegt im pointopoint-Eintrag, ohne den funktioniert es auf den anderen VMs auch nicht. Nur stellt sich die Frage, (wie) kann man das bei OpenWRT abbilden?


                  Disclaimer: Ja, das könnte man auch anders lösen, z.B. mit iptables oder dergleichen auf dem Hypervisor oder einer eigenne VM, aber das wäre für mich nur zweite Wahl.
Mitglied: aqui
LÖSUNG 09.12.2015, aktualisiert 10.12.2015
welches mit einer OpenWRT-VM, die zwei Interfaces hat, mit dem Netz verbunden ist
Richtiges Konzept aber eine Firewall wäre sicherer als ein simpler Router.
pfSense gibt es z.B. gleich fertig als VM:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Das WAN-Interface von OpenWRT läßt sich nicht entsprechend konfigurieren
Warum nicht ?? Ist doch nix weiter als eine simple IP Adresse mit Maske und ein Default Gateway des Hosters...fertisch !

Bedenke wenn du im internen Netz also hinter dem Router private RFC 1918 IP Adressen verwendest dann macht dein OpenWRT NAT oder muss es zumindest machen damit die VMs ins Internet gelangen können.
Das ist routingtechnisch dann aber eine Einbahnstrasse, da aus dem Internet eingehende Sessions die NAT Firewall des Routers nicht überwinden können.
Das funktioniert ausnahmslos nur mit Port Forwarding auf dem OpenWRT.

Normal hast du im Hypervisor einen internen vSwitch an dem alle VMs hängen und auch das LAN Interface des Routers.
Der WAN Port des Routers hängt an der externen NIC des Hypervisors im Bridge Mode.
Soviel zur simplen Theorie des ganzen Konstrukts was per se nicht falsch ist.
Eine öffentliche IP liegt dann direkt auf der externen NIC des Hypervisors und eine weitere öffentliche IP aus dem gleichen Subnetz des Hypervisors am WAN Port des Routers.
Eigentlich kinderleicht.
Und nein.... mit iptables kannst du IP Adressknappheit auch nicht lösen...
Nochwas...
Sind deine IP Adressen oben pure Phantasie oder entsprechen sie nur annähernd der Realität.
Ein 93er Netz kann niemals mit einem 89er Netz kommunizieren ohne Router und eine Hostadresse hat gemeinhin keine 32Bit Maske sondern die des verwendeten Subnetzes. Also entweder ist das wild gewürfelt aber so wie es da steht kann die IP Adressierung niemals funktionieren.
Bitte warten ..
Mitglied: Starkimarm
10.12.2015 um 13:35 Uhr
Zitat von aqui:

welches mit einer OpenWRT-VM, die zwei Interfaces hat, mit dem Netz verbunden ist
Richtiges Konzept aber eine Firewall wäre sicherer als ein simpler Router.
pfSense gibt es z.B. gleich fertig als VM:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...

Schau ich mir auch mal an, danke.

Das WAN-Interface von OpenWRT läßt sich nicht entsprechend konfigurieren
Warum nicht ?? Ist doch nix weiter als eine simple IP Adresse mit Maske und ein Default Gateway des Hosters...fertisch !

Jein, siehe unten

Bedenke wenn du im internen Netz also hinter dem Router private RFC 1918 IP Adressen verwendest dann macht dein OpenWRT NAT oder muss es zumindest machen damit die VMs ins Internet gelangen können.
Das ist routingtechnisch dann aber eine Einbahnstrasse, da aus dem Internet eingehende Sessions die NAT Firewall des Routers nicht überwinden können.
Das funktioniert ausnahmslos nur mit Port Forwarding auf dem OpenWRT.

Genau, das ist der Plan

Und nein.... mit iptables kannst du IP Adressknappheit auch nicht lösen...

Naja, ich könnte mir eine Linux-VM für Routing/Firewallzwecke selbst stricken, nur reicht dafür mein Netzwerk-KnowHow (noch) nicht aus - zumal das ja im Prinzip schon ein von anderen Leuten gelöstes Problem ist

Nochwas...
Sind deine IP Adressen oben pure Phantasie oder entsprechen sie nur annähernd der Realität.
Ein 93er Netz kann niemals mit einem 89er Netz kommunizieren ohne Router und eine Hostadresse hat gemeinhin keine 32Bit Maske sondern die des verwendeten Subnetzes. Also entweder ist das wild gewürfelt aber so wie es da steht kann die IP Adressierung niemals funktionieren.

Das sind die echten Adressen (abgesehen von xyzabcd offensichtlich). Und wie gesagt, auf den normalen Debian-VMs funktioniert das auch, was soweit ich das verstanden habe wohl an dem pointopoint-Eintrag liegt, aber Netzwerk ist eben leider nicht mein Spezialgebiet, so daß ich nicht weiß wie/ob man das bei OpenWRT einstellen kann.
Bitte warten ..
Mitglied: Starkimarm
10.12.2015 um 18:13 Uhr
OK, ich hab's. Routing war im Prinzip das richtige Stichwort. Ich habe zwei statische Routen eingerichtet:
- IP 93.186.x.1 -> eth0 (also das br0-Interface der OpenWRT-VM)
- default gw -> 93.186.x.1
Die default Route wird anscheinend nicht automatisch von OpenWRT gesetzt wenn man bei der Interface-Config das default Gateway angibt.
Bitte warten ..
Heiß diskutierte Inhalte
Windows Netzwerk
Netzwerkkomponent mit SD-Kartenslot
gelöst waddalosFrageWindows Netzwerk26 Kommentare

Hallo an alle, folgendes Problem gibt es bei uns im Unternehmen: Der Wareneingang soll jeden Eingang fotografieren und anschließend ...

Server
File Portal mit Userverwaltung gesucht
McLionFrageServer16 Kommentare

Hallo zusammen, ich suche eine Art Fileserver im Webbrowser. Es gibt diese zwar wie Sand am Meer, jedoch ohne ...

Netzwerke
Heimnetzwerk erweitern
TellMyWifiLoveHerFrageNetzwerke11 Kommentare

Gott zum Gruße die Herrn und Damen, Ich habe bereits einige Seiten im großen weiten interwebz erforscht aber konnte ...

Windows Server
Internetzugang über Terminalserver
Felix0201FrageWindows Server10 Kommentare

Hallo, ich habe folgendes Anliegen. Wir wollen einen Terminalserver für ca. 20-25 Nutzer bereitstellen. Ist es da besser den ...

PHP
Fehler mit PHP-FPM
adriaanFragePHP10 Kommentare

Hallo guten Abend liebe Forenmitglieder, ich habe ein Problem. Nämlich habe ich ein Kontroll PHP Skript heruntergeladen und damals ...

Netzwerke
NTP-Referenzsetup für mittelgroße Netzwerke
Der-PhilFrageNetzwerke10 Kommentare

Hallo! Eine "richtige" und vor allem "einheitliche" Zeit im Netzwerk wird ja immer wichtiger, da ohnehin alles verschlüsselt wird, ...

Ähnliche Inhalte
Router & Routing
OpenWRT Router konfigurieren
AbsolutKeineAhnungFrageRouter & Routing2 Kommentare

Hallo Administratoren, ich bin eigentlich Softwareentwickler, wurde jetzt aber beauftragt, einen OpenWRT Router zu konfigurieren und mit Iptables anschließend ...

Router & Routing
OpenWRT und OpenVPN
Taf173FrageRouter & Routing8 Kommentare

Hallo, bin kurz vorm verzweifeln, vielleicht könnt ihr mir ja weiterhelfen!? Folgendes Szenario: Ich möchte mit meinen beiden Fernsehern ...

KVM
Netzwerkkonfiguration KVM CentOS7
banane31FrageKVM2 Kommentare

Hallo zusammen, ich habe mir für Testzwecke einen Server bei Hetzner angemietet. Leider kann auf dem Server wohl kein ...

Installation
Raspberry - OpenWRT - LTE Modem
software-saasFrageInstallation5 Kommentare

Hallo zusammen, da ich kein Techniker bin, suche ich Hilfe bei einem Experten. Konkret suche ich jemanden, der die ...

Router & Routing
OpenWrt Router Zentral verwalten
gelöst Hector-UserFrageRouter & Routing3 Kommentare

Hallo, wir setzen in unserem Unternehmen Router (TP-Link) mit der Firmeware Openwrt ein. Hier sind unterschiedliche Firmewarestände und auch ...

Switche und Hubs
Kaufempfehlung KVM-Switch
donnyS73lbFrageSwitche und Hubs2 Kommentare

Hallo, ich suche für drei ältere PCs (vor 2013: Hyundai + Acer + HP) einen KVM-Switch (möglichst VGA + ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud