vans66
Goto Top

Routing Hetzner Proxmox Server klappt nicht

Hallöchen und Guten Abend,

Da ich mich im Thema Netzwerke und Routing wenig bis gar nicht auskenne, frage ich mal in die Runde nach na Lösung für mein Problem:
folgende Ausgangslage.
dec. Hetznerserver. OS ist Proxmox 6.2.11
Der Server hat eine öffentlich IPv4
aa.aa.aa.27/27
Gateway Hetzner bb.bb.bb.1

Zudem habe ich mir ein Subnetz (/29) dazu gemietet. Drei dieser Adressen werden für zwei PFsense(n) genutzt. jede eine feste IPv4 und eine die sie sich über CARP teilen. Master/Slave
pfsense 1 IP : cc.cc.cc.193
pfsense 2 IP dd.dd.dd.194
CARP IP ee.ee.ee.195

Mein Problem ist das Routing über die physische Netzwerkkarte des Hostes.
ich komme über die Pfsense ins Internet mit der CARP IP als auch mit den einzeln IP´s
Sobald ich aber auf das System will ( zum Beispiel Webserver oder VPN Server) komme ich nicht hin. Ein Tracert auf die Pfsense IP´s endet immer am Host.

net.ipv4.ip_forward=1 ist gesetzt

Velleicht hab ich nur einen Fehler in meiner Konfig. Ich habe schon das Hetzner Wiki durch geklickt, werde dadurch aber nicht schlau. viele Dank im Voraus
bild12
bild11

Content-ID: 607986

Url: https://administrator.de/contentid/607986

Ausgedruckt am: 22.11.2024 um 13:11 Uhr

tech-flare
tech-flare 26.09.2020, aktualisiert am 27.09.2020 um 12:58:40 Uhr
Goto Top
Also ich löse das bei Hetzner immer so - egal ob ESXI oder Proxmox als Hypervisor dient.


IP von Server ist für den Host - kann später aus Sicherheitsgründen noch blockiert werden

Zweite IP (Mac gebunden bei Hetzner) ist für WAN der *sense

zusätzliches Subnets( /29 ) wird auf Zweite IP (WAN IP der sense) geroutet.


Dadurch geht der komplette Traffic des Subnets erst zur Sense und ich kann alles in der Sense verwalten / routen etc.....

Damit das Subnetz zur 2. IP (WAN IP der sense) geroutet wird, musst du ein Ticket bei Hetzner aufmachen, denen schreiben, dass das Subnetz auf die IP XXXXXX geroutet werden soll.

Fertig. Funktioniert ohne Probleme
aqui
aqui 27.09.2020 aktualisiert um 15:17:47 Uhr
Goto Top
Sobald ich aber auf das System will ( zum Beispiel Webserver oder VPN Server) komme ich nicht hin.
Was ja auch logisch ist, denn ohne ein entsprechendes Regelwerk auf dem WAN Port ist ein Zugriff von außen auf die Firewall IP (egal ob physische IP oder CARP) unmöglich ! Es ist ist ja eine Firewall die genau DAS verhindern soll...!
Sinnvoll und zielführend wäre es also gewesen das Regelwerk des Firewall WAN Ports hier zu posten. Dort liegt sehr wahrscheinlich der Fehler ?!
Die hiesigen VPN Tutorials zur pfSense (und auch Port Forwarding) weisen immer wieder explizit darauf hin. Ein Blick ins Firewall Log der pfSense kann hier auch nicht schaden zum Troubleshooting !

Grundsätzlich fragt man sich auch was das /29er Netz soll ? Braucht man nicht wirklich, es sei denn die Server dort müssen zwingend öffentliche IPs haben.
Normal würde das /27er ja völlig reichen. Dort macht man Bridging auf dem vSwitch und setzt die FWs rein mit dem WAN Port und der virtuellen IP (HA mit CARP) und betreibt dahinter ein RFC 1918 IP Netz intern auf einem separaten vSwitch.
Was direkt erreicht werden muss geht per Port Forwarding / Proxy. Der Rest per VPN. Keep ist simple and stupid. face-wink
Vans66
Vans66 27.09.2020 um 22:21:01 Uhr
Goto Top
moin,

natürlich habe ich in den Firewall Log reingeschaut, Regeln wurde auch freigeben. Egal was ich mache (OpenVPN/1194 / Webserver/443 o. 80 oder einfach ein Ping/ICMP) komme ich nicht drauf, deswegen war meine Frage Ja auch speziell für Routing gestellt, da ich die PFsense schon überprüft habe.

Zudem Benötige ich das /29 Netz, sonst hätte ich es nicht geordert. .
tech-flare
tech-flare 27.09.2020 um 22:25:16 Uhr
Goto Top
Zitat von @Vans66:

moin,

natürlich habe ich in den Firewall Log reingeschaut, Regeln wurde auch freigeben. Egal was ich mache (OpenVPN/1194 / Webserver/443 o. 80 oder einfach ein Ping/ICMP) komme ich nicht drauf, deswegen war meine Frage Ja auch speziell für Routing gestellt, da ich die PFsense schon überprüft habe.

Zudem Benötige ich das /29 Netz, sonst hätte ich es nicht geordert. .
Aber irgendwo muss der Fehler liegen, denn in der o. g. Funktion habe ich dies bereits mehrfach umgesetzt
LordGurke
LordGurke 28.09.2020 um 10:03:02 Uhr
Goto Top
Wenn du das durch den Host durchroutest:
Ist das Forwarding auch für alle beteiligten Interfaces/Bridges aktiviert?
Und was sagt iptables auf dem Host über Forwarding — ist das da erlaubt?
aqui
Lösung aqui 28.09.2020 aktualisiert um 10:18:20 Uhr
Goto Top
Abgesehen von den Tips des Kollegen @LordGurke ... Hast du von der pfSense einmal die andere Richtung probiert ob du rauskommst ?
Sprich also über das Diagnostics Menü und dann Ping oder Traceroute gemacht auf eine Internet IP z.B. 8.8.8.8 und dann als Absender IP dediziert die WAN IP der Firewall ausgewählt ?
Sollte dein Routing oder auch das Forwarding der vSwitches nicht klappen dürfte folglich ja auch nix aus der Firewall ins Internet gehen ?!
Was dann natürlich den Verdacht erhärtet das mit dem Routing oder den vSwitches im Hypervisor etwas grundsätzlich nicht stimmt im Setup.
Vans66
Vans66 29.09.2020 um 23:23:55 Uhr
Goto Top
Ich habe einen Rechtschreibfehler in der Konfig gefunden, den ich aber komisch finde. der Inbound Verkehr hat funktioniert nach dem ich in der Netzwerkkonfig vom Proxmox Host unter der VMBR0 die Bindesticke zu Underlines geändert habe.

kann es mir selbst nicht erklären. nach dem bei einigen Anleitungen _ anstatt - genutzt worden sind, habe ich es auch versucht und seitdem geht es.

Trotzdem Danke an alle die mir geantwortet haben