4
Routing Hetzner Cloud zu VM hinter OPNsense VM auf dedicated Proxmox
Hallo liebe Hetzner-User und Netzwerk-Profis,
ich brauche dringend Hilfe und sehe den Wald vor Bäumen nicht mehr. Ich habe hier folgende Ausgangssituation:
Im Hetzner RZ habe ich einmal eine Cloud-Maschine als auch einen dedizierten Server gemietet.
Auf der Cloud-Maschine soll später eine Nextcloud-Instanz laufen, die sich per LDAPS die User von einem Univention Coroporate Server (UCS) zieht. Der UCS läuft als VM auf dem dedizierten Server unter Proxmox. Daneben eine OPNsense, über die via DNAT sämtlicher Traffic läuft, der nicht auf die öffentliche IP Port 8006 und Port 22 ankommt.
Die Cloud-Maschine und der Proxmox-Host sind über einen vSwitch nach Hetzner Anleitung verbunden. Ich habe ein "Linux VLAN" und daran eine "Linux Bridge" (auf dem Proxmox vmbr5) gebunden, welche wiederum in der OPNsense eingebunden ist.
Ein Ping von der OPNsense zur Cloud-Maschine und vice-versa funktioniert wie gewollt.
Zusätzlich habe ich auf dem Proxmox-Host eine weitere "Linux Bridge" (vmbr6), die ebenfalls an der OPNsense ist. Hier ist der UCS dran. Ein Ping vom UCS in Richtung Cloud-Maschine funktioniert. Von der Cloud-Maschine Richtung UCS jedoch nicht.
Ich war mal ein bisschen künstlerisch tätig
und hab mir und euch mal das Machwerk aufgemalt. Ich hab ins Bild auch die Routing-Listen reingeschrieben (vom Proxmox mal abgesehen, das kann ich auf Wunsch nachliefern).
Dennoch hier die mal die IP-Liste:
- Hetzner-Cloud Netzwerk: 10.10.0.0/16
- Cloud-Maschine: 10.10.0.2/24, Gateway 10.10.0.1
- OPNsense E-Cloud: 10.10.1.3/24, Gateway: 10.10.1.1 (vSwitch Hetzner)
- OPNsense E-Ded: 10.10.2.3/24
- UCS-Server (hinter OPNsense): 10.10.2.10/24
Ziel:
Den UCS im 10.10.2.0/24 Netz von der Cloud-Maschine erreichbar machen. Vom UCS aus ist die Cloud-Maschine bereits pingbar.
Grüße
Chris
Nachtrag:
Ich habe jetzt auch mal ein Ticket bei Hetzner eröffnet. Vielleicht haben die Jungs und Mädels da ja noch einen Tipp.
ich brauche dringend Hilfe und sehe den Wald vor Bäumen nicht mehr. Ich habe hier folgende Ausgangssituation:
Im Hetzner RZ habe ich einmal eine Cloud-Maschine als auch einen dedizierten Server gemietet.
Auf der Cloud-Maschine soll später eine Nextcloud-Instanz laufen, die sich per LDAPS die User von einem Univention Coroporate Server (UCS) zieht. Der UCS läuft als VM auf dem dedizierten Server unter Proxmox. Daneben eine OPNsense, über die via DNAT sämtlicher Traffic läuft, der nicht auf die öffentliche IP Port 8006 und Port 22 ankommt.
Die Cloud-Maschine und der Proxmox-Host sind über einen vSwitch nach Hetzner Anleitung verbunden. Ich habe ein "Linux VLAN" und daran eine "Linux Bridge" (auf dem Proxmox vmbr5) gebunden, welche wiederum in der OPNsense eingebunden ist.
Ein Ping von der OPNsense zur Cloud-Maschine und vice-versa funktioniert wie gewollt.
Zusätzlich habe ich auf dem Proxmox-Host eine weitere "Linux Bridge" (vmbr6), die ebenfalls an der OPNsense ist. Hier ist der UCS dran. Ein Ping vom UCS in Richtung Cloud-Maschine funktioniert. Von der Cloud-Maschine Richtung UCS jedoch nicht.
Ich war mal ein bisschen künstlerisch tätig
Dennoch hier die mal die IP-Liste:
- Hetzner-Cloud Netzwerk: 10.10.0.0/16
- Cloud-Maschine: 10.10.0.2/24, Gateway 10.10.0.1
- OPNsense E-Cloud: 10.10.1.3/24, Gateway: 10.10.1.1 (vSwitch Hetzner)
- OPNsense E-Ded: 10.10.2.3/24
- UCS-Server (hinter OPNsense): 10.10.2.10/24
Ziel:
Den UCS im 10.10.2.0/24 Netz von der Cloud-Maschine erreichbar machen. Vom UCS aus ist die Cloud-Maschine bereits pingbar.
Grüße
Chris
Nachtrag:
Ich habe jetzt auch mal ein Ticket bei Hetzner eröffnet. Vielleicht haben die Jungs und Mädels da ja noch einen Tipp.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 41856236277
Url: https://administrator.de/contentid/41856236277
Ausgedruckt am: 21.11.2024 um 18:11 Uhr
4 Kommentare
Neuester Kommentar
Moin @aqui und danke fürs Mitgrübeln,
ja - der liebe Dennis. Die Videos hab ich schon alle intus und tatsächlich: mein Setup sieht genau so aus; Hetzner-Cloud (via DNAT) über den Proxmox an meine OPNsense. Ich will dann weiter an den UCS am anderen/weiteren Netzwerk-Interface der OPNsense.
Ein Ping vom UCS (IP 10.10.2.10/24) und damit auch von der Sense (10.10.2.3) an den Cloud-Rechner (IP 10.10.0.2/24) in der Hetzner-Cloud über das private Netzwerk geht ja. Nur der Weg zurück nicht. Der Ping kommt nur am Interface (IP 10.10.1.3/24) an der OPNsense an, das zum Netzwerk gehört, dass mit der Hetzner-Cloud via vSwitch verbunden ist. Aber auf das Interface, an dem der UCS hängt, da bekomm ich keinen Traffic zustande. Also von 10.10.0.2/24 via 10.10.1.3/24 ins 10.10.2.0/24er Netz führt kein Weg. Gebe ich dem Cloud-Rechner die Route so an, werd ich (zurecht) ausgeschimpft, dass das ein unbekanntes Gateway ist. Geb ich ihm erst die 10.10.1.3 als Gateway an und zeige ihm auch die Route, dann akzeptiert der Cloud-Rechner das, aber an der OPNsense sehe ich dennoch keine eingehenden Pakete.
Edit: Ich vermute, dass genau hier der Fehler liegt: https://docs.hetzner.com/de/cloud/networks/faq/#warum-werden-pakete-von- ...
Das Hetzner Gateway verwirft die Pakete, da das Netz 10.10.2.0/24 ja nicht im 10.10.1.0/24 liegt. Allerdings gibt Hetzner ja immer ein Netz vor, in meinem Falle die 10.10.0.0/16. Das Cloud-Netz an dem mein Cloud Rechner hängt ist dann im 10.10.0.0/24er Subnetz. Ich will also von einem Subnetz in das Nächste (10.10.1.0/24) und von da dann wieder weiter ins nächste (10.10.2.0/24). In das 10.10.1.0/24er komm ich ja. Dann nur nicht weiter.
ja - der liebe Dennis. Die Videos hab ich schon alle intus und tatsächlich: mein Setup sieht genau so aus; Hetzner-Cloud (via DNAT) über den Proxmox an meine OPNsense. Ich will dann weiter an den UCS am anderen/weiteren Netzwerk-Interface der OPNsense.
Ein Ping vom UCS (IP 10.10.2.10/24) und damit auch von der Sense (10.10.2.3) an den Cloud-Rechner (IP 10.10.0.2/24) in der Hetzner-Cloud über das private Netzwerk geht ja. Nur der Weg zurück nicht. Der Ping kommt nur am Interface (IP 10.10.1.3/24) an der OPNsense an, das zum Netzwerk gehört, dass mit der Hetzner-Cloud via vSwitch verbunden ist. Aber auf das Interface, an dem der UCS hängt, da bekomm ich keinen Traffic zustande. Also von 10.10.0.2/24 via 10.10.1.3/24 ins 10.10.2.0/24er Netz führt kein Weg. Gebe ich dem Cloud-Rechner die Route so an, werd ich (zurecht) ausgeschimpft, dass das ein unbekanntes Gateway ist. Geb ich ihm erst die 10.10.1.3 als Gateway an und zeige ihm auch die Route, dann akzeptiert der Cloud-Rechner das, aber an der OPNsense sehe ich dennoch keine eingehenden Pakete.
Edit: Ich vermute, dass genau hier der Fehler liegt: https://docs.hetzner.com/de/cloud/networks/faq/#warum-werden-pakete-von- ...
Das Hetzner Gateway verwirft die Pakete, da das Netz 10.10.2.0/24 ja nicht im 10.10.1.0/24 liegt. Allerdings gibt Hetzner ja immer ein Netz vor, in meinem Falle die 10.10.0.0/16. Das Cloud-Netz an dem mein Cloud Rechner hängt ist dann im 10.10.0.0/24er Subnetz. Ich will also von einem Subnetz in das Nächste (10.10.1.0/24) und von da dann wieder weiter ins nächste (10.10.2.0/24). In das 10.10.1.0/24er komm ich ja. Dann nur nicht weiter.
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
Hallo @aqui
Gelöst ist es noch nicht. Ich musste jetzt umbauen und hoffe aber, dass irgendwann jemand mit einem Lösungsansatz um die Ecke kommt.
Gelöst ist es noch nicht. Ich musste jetzt umbauen und hoffe aber, dass irgendwann jemand mit einem Lösungsansatz um die Ecke kommt.
