Routing Hetzner Proxmox Server klappt nicht
Hallöchen und Guten Abend,
Da ich mich im Thema Netzwerke und Routing wenig bis gar nicht auskenne, frage ich mal in die Runde nach na Lösung für mein Problem:
folgende Ausgangslage.
dec. Hetznerserver. OS ist Proxmox 6.2.11
Der Server hat eine öffentlich IPv4
aa.aa.aa.27/27
Gateway Hetzner bb.bb.bb.1
Zudem habe ich mir ein Subnetz (/29) dazu gemietet. Drei dieser Adressen werden für zwei PFsense(n) genutzt. jede eine feste IPv4 und eine die sie sich über CARP teilen. Master/Slave
pfsense 1 IP : cc.cc.cc.193
pfsense 2 IP dd.dd.dd.194
CARP IP ee.ee.ee.195
Mein Problem ist das Routing über die physische Netzwerkkarte des Hostes.
ich komme über die Pfsense ins Internet mit der CARP IP als auch mit den einzeln IP´s
Sobald ich aber auf das System will ( zum Beispiel Webserver oder VPN Server) komme ich nicht hin. Ein Tracert auf die Pfsense IP´s endet immer am Host.
net.ipv4.ip_forward=1 ist gesetzt
Velleicht hab ich nur einen Fehler in meiner Konfig. Ich habe schon das Hetzner Wiki durch geklickt, werde dadurch aber nicht schlau. viele Dank im Voraus
Da ich mich im Thema Netzwerke und Routing wenig bis gar nicht auskenne, frage ich mal in die Runde nach na Lösung für mein Problem:
folgende Ausgangslage.
dec. Hetznerserver. OS ist Proxmox 6.2.11
Der Server hat eine öffentlich IPv4
aa.aa.aa.27/27
Gateway Hetzner bb.bb.bb.1
Zudem habe ich mir ein Subnetz (/29) dazu gemietet. Drei dieser Adressen werden für zwei PFsense(n) genutzt. jede eine feste IPv4 und eine die sie sich über CARP teilen. Master/Slave
pfsense 1 IP : cc.cc.cc.193
pfsense 2 IP dd.dd.dd.194
CARP IP ee.ee.ee.195
Mein Problem ist das Routing über die physische Netzwerkkarte des Hostes.
ich komme über die Pfsense ins Internet mit der CARP IP als auch mit den einzeln IP´s
Sobald ich aber auf das System will ( zum Beispiel Webserver oder VPN Server) komme ich nicht hin. Ein Tracert auf die Pfsense IP´s endet immer am Host.
net.ipv4.ip_forward=1 ist gesetzt
Velleicht hab ich nur einen Fehler in meiner Konfig. Ich habe schon das Hetzner Wiki durch geklickt, werde dadurch aber nicht schlau. viele Dank im Voraus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 607986
Url: https://administrator.de/contentid/607986
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
7 Kommentare
Neuester Kommentar
Also ich löse das bei Hetzner immer so - egal ob ESXI oder Proxmox als Hypervisor dient.
IP von Server ist für den Host - kann später aus Sicherheitsgründen noch blockiert werden
Zweite IP (Mac gebunden bei Hetzner) ist für WAN der *sense
zusätzliches Subnets( /29 ) wird auf Zweite IP (WAN IP der sense) geroutet.
Dadurch geht der komplette Traffic des Subnets erst zur Sense und ich kann alles in der Sense verwalten / routen etc.....
Damit das Subnetz zur 2. IP (WAN IP der sense) geroutet wird, musst du ein Ticket bei Hetzner aufmachen, denen schreiben, dass das Subnetz auf die IP XXXXXX geroutet werden soll.
Fertig. Funktioniert ohne Probleme
IP von Server ist für den Host - kann später aus Sicherheitsgründen noch blockiert werden
Zweite IP (Mac gebunden bei Hetzner) ist für WAN der *sense
zusätzliches Subnets( /29 ) wird auf Zweite IP (WAN IP der sense) geroutet.
Dadurch geht der komplette Traffic des Subnets erst zur Sense und ich kann alles in der Sense verwalten / routen etc.....
Damit das Subnetz zur 2. IP (WAN IP der sense) geroutet wird, musst du ein Ticket bei Hetzner aufmachen, denen schreiben, dass das Subnetz auf die IP XXXXXX geroutet werden soll.
Fertig. Funktioniert ohne Probleme
Sobald ich aber auf das System will ( zum Beispiel Webserver oder VPN Server) komme ich nicht hin.
Was ja auch logisch ist, denn ohne ein entsprechendes Regelwerk auf dem WAN Port ist ein Zugriff von außen auf die Firewall IP (egal ob physische IP oder CARP) unmöglich ! Es ist ist ja eine Firewall die genau DAS verhindern soll...!Sinnvoll und zielführend wäre es also gewesen das Regelwerk des Firewall WAN Ports hier zu posten. Dort liegt sehr wahrscheinlich der Fehler ?!
Die hiesigen VPN Tutorials zur pfSense (und auch Port Forwarding) weisen immer wieder explizit darauf hin. Ein Blick ins Firewall Log der pfSense kann hier auch nicht schaden zum Troubleshooting !
Grundsätzlich fragt man sich auch was das /29er Netz soll ? Braucht man nicht wirklich, es sei denn die Server dort müssen zwingend öffentliche IPs haben.
Normal würde das /27er ja völlig reichen. Dort macht man Bridging auf dem vSwitch und setzt die FWs rein mit dem WAN Port und der virtuellen IP (HA mit CARP) und betreibt dahinter ein RFC 1918 IP Netz intern auf einem separaten vSwitch.
Was direkt erreicht werden muss geht per Port Forwarding / Proxy. Der Rest per VPN. Keep ist simple and stupid.
Zitat von @Vans66:
moin,
natürlich habe ich in den Firewall Log reingeschaut, Regeln wurde auch freigeben. Egal was ich mache (OpenVPN/1194 / Webserver/443 o. 80 oder einfach ein Ping/ICMP) komme ich nicht drauf, deswegen war meine Frage Ja auch speziell für Routing gestellt, da ich die PFsense schon überprüft habe.
Zudem Benötige ich das /29 Netz, sonst hätte ich es nicht geordert. .
Aber irgendwo muss der Fehler liegen, denn in der o. g. Funktion habe ich dies bereits mehrfach umgesetztmoin,
natürlich habe ich in den Firewall Log reingeschaut, Regeln wurde auch freigeben. Egal was ich mache (OpenVPN/1194 / Webserver/443 o. 80 oder einfach ein Ping/ICMP) komme ich nicht drauf, deswegen war meine Frage Ja auch speziell für Routing gestellt, da ich die PFsense schon überprüft habe.
Zudem Benötige ich das /29 Netz, sonst hätte ich es nicht geordert. .
Abgesehen von den Tips des Kollegen @LordGurke ... Hast du von der pfSense einmal die andere Richtung probiert ob du rauskommst ?
Sprich also über das Diagnostics Menü und dann Ping oder Traceroute gemacht auf eine Internet IP z.B. 8.8.8.8 und dann als Absender IP dediziert die WAN IP der Firewall ausgewählt ?
Sollte dein Routing oder auch das Forwarding der vSwitches nicht klappen dürfte folglich ja auch nix aus der Firewall ins Internet gehen ?!
Was dann natürlich den Verdacht erhärtet das mit dem Routing oder den vSwitches im Hypervisor etwas grundsätzlich nicht stimmt im Setup.
Sprich also über das Diagnostics Menü und dann Ping oder Traceroute gemacht auf eine Internet IP z.B. 8.8.8.8 und dann als Absender IP dediziert die WAN IP der Firewall ausgewählt ?
Sollte dein Routing oder auch das Forwarding der vSwitches nicht klappen dürfte folglich ja auch nix aus der Firewall ins Internet gehen ?!
Was dann natürlich den Verdacht erhärtet das mit dem Routing oder den vSwitches im Hypervisor etwas grundsätzlich nicht stimmt im Setup.