tobitobsn
Goto Top

Routing Problem Hetzner vSwitch - Cloud VM Firewall und dedizierter Server mit Hyper-V und VM

Moin moin zum Feierabend,

ich habe ein kleines Routing/Verständnisproblem...

Folgende Situation:
RZ Hetzner
Cloud VM mit Firewall System
Dedizierter Server mit Hyper-V und zwei VMs

Hyper-V hat nur eine LAN Karte, darauf ist ein virtueller Switch eingerichtet. Die VMs haben beide den gleichen virtuellen Switch und jeweils die entsprechende VLAN-ID konfiguriert.

vSwitch im Hetzner System (Robot und Cloud) ist erstellt und die Kommunikation zwischen den VMs (dedizierter Server RZ) und Firewall VM (cloud RZ) läuft.

Der dedizierte Hyper-V Server selber ist nicht auf die VLAN-ID konfiguriert, da der Server selber nicht über die Firewall VM laufen soll, sondern nur für das Management direkt über die WAN IP zugegriffen wird. Die VMs sollen nur über die Firewall laufen.

Cloud Firewall ist im LAN 10.0.0.2/24 und die VMs haben 10.0.1.3/24 und 10.0.1.4/24 Cloud Gateway ist 10.0.0.1/24 Dediziert Server Gateway ist 10.0.1.1/24 Ping zur Firewall geht ja auch. ABER... wenn ich aus den VMs ins Internet will, gehen die vom 10.0.1.1/24 Gateway direkt in Inet und nicht über die 10.0.0.2/24

Ich hatte gehofft, dass durch die VLAN-ID der VM LAN Karten die Kommunikation transparent direkt zu der Firewall geleitet wird, aber scheinbar muss ich noch ne Route setzen...

Nun bräuchte ich aber eine Tipp, wie ich in der VM (IP 10.0.1.3/24 Gateway 10.0.1.1/24) die route so setze, dass die Kommunikation ins INET von 10.0.1.3/24 über 10.0.1.1/24 und 10.0.0.1/24 nach 10.0.0.2/24 geht und dann ins WWW.

Hat jemand eine Idee?

Content-ID: 41508101780

Url: https://administrator.de/forum/routing-problem-hetzner-vswitch-cloud-vm-firewall-und-dedizierter-server-mit-hyper-v-und-vm-41508101780.html

Ausgedruckt am: 25.12.2024 um 13:12 Uhr

SlainteMhath
SlainteMhath 23.02.2024 um 15:36:14 Uhr
Goto Top
Moin,

bitte ergänze deine IP Adressen um die zugehörigen Netzmasken, sonst kann jeder nur Raten was/wo das Problem liegt. Und manchmal wirkt eine kleine Zeichnung auch Wunder face-smile

lg,
Slainte
aqui
aqui 23.02.2024 aktualisiert um 15:44:30 Uhr
Goto Top
Cloud Firewall ist im LAN 10.0.0.2 und die VMs haben 10.0.1.3 und 10.0.1.4.
Kollege @SlainteMhath hat es schon gesagt: Nutzt du hier einen /24er Präfix? Wenn ja ist die IP Adressierung dann falsch sofern die VMs von der FW geschützt werden sollen und dies ggf. VPN Zugang von außen auf die VMs erlauben soll! face-sad
Wie sowas generell in Virtualisierungsumgebungen mit vSwitches aussehen kann siehst du hier und auch hier.
Abgesehen davon ist die interne IP Adressierung für eine spätere VPN Nutzung nicht besonders intelligent. Das Warum ist u.a. hier erklärt.
Eine kleine Skizze und korrekte Masken wäre in der Tat auch an einem Freitag 🐟 hilfreich.
tobitobsn
tobitobsn 23.02.2024 um 15:47:28 Uhr
Goto Top
Sorry, masken vergessen... alles 24er. Habs angepasst.
zeichnung fehlt leider noch.

Die verlinkungen schaue ich mir mal an. Schonmal danke und schönes we.
aqui
aqui 23.02.2024 aktualisiert um 15:55:07 Uhr
Goto Top
Dann ist die VM - Firewall LAN IP Adressierung falsch wie man auf dem ersten Blick sieht.
tobitobsn
tobitobsn 23.02.2024 um 16:37:59 Uhr
Goto Top
Die IP Adresse sind ja vorgegeben bzw. Hetzner trennt Cloud RZ und Server RZ, welche durch vSwitches verbunden werden müssen und die Konfiguration ist nur bedingt anpassbar. Daher liegen die Firewall und die VMs in unterschiedlichen Subnetzen. Und das VPN ist noch nicht erstellt und bekommt ja ein eigenes Subnetz, welches von der Firewall dann ins richtige Netz geroutet wird.

Die Firewall wird nur für einen steuerbaren VPN Zugang genutzt. Die VMs werden ohne VPN von aussen nicht erreichbar sein.

Daher weiß ich jetzt leider nicht, was ich bei der IP Adressierung falsch gemacht habe...
aqui
aqui 23.02.2024 aktualisiert um 18:27:10 Uhr
Goto Top
Daher weiß ich jetzt leider nicht, was ich bei der IP Adressierung falsch gemacht habe...
Siehst du doch auch selber... Bei einem 24er Präfix kann z.B. 10.0.0.2/24 niemals mit Adressen 10.0.1.x/24 kommunizieren. 2 völlig unterschiedliche IP Netze wie auch ein Laie sofort sieht!

Hier ist das ganz gut beschrieben und entspricht exakt dem was du vorhast. Wenn der Type auch etwas schwer zu ertragen ist... face-wink
https://www.youtube.com/watch?v=El7NK3Ox72I
tobitobsn
tobitobsn 26.02.2024 aktualisiert um 18:59:20 Uhr
Goto Top
Das Video beschreibt leider nicht meine Situation, es handelt sich hier nur um die Cloud. Innerhalb dieser gibt es nicht das Routing Problem, vor welchem ich gerade stehe, denn dort hat man nur ein Subnetz. Das ist einfacher...

Bei mir habe ich zwei Subnetze wg. der beiden getrennten Bereiche Cloud und Dedicated Server bei Hetzner. Tatsächlich geht das bei Hetzner auch nicht anders bei Kombinationen mit Cloud VM und Dediziertem Server. Zumindest wüsste ich nicht wie und Hetzner sagt - geht nicht.

Wie ich auch schon im Eingang beschrieben hatte... die direkte Kommunikation zwischen der Firewall VM und den Hyper-V VMs klappt wunderbar, da die Standard Route auf das Gateway mit der 10.0.1.1 geht, welches den Weg zum Netz 10.0.0.0/24 kennt. Allerdings schickt das 10.0.1.1 Gateway alles, was nicht in das 10.0.0.0er Netz geht, über den direkten Zugang des dedizierten Servers ins Internet. Ich brauche also eine (Standard)Route in der VM, die alles an die Firewall 10.0.0.2 schickt. Ich habe die Route in der VM erstellt, aber das Gateway 10.0.1.1 routet anders. Gibt es dafür einen Weg, das umgesetzt zu bekommen?

PS. So schlimm ist der Typ doch gar nicht... ;)
aqui
aqui 05.03.2024 um 17:57:59 Uhr
Goto Top
Wenn es das denn nun war bitte den Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?
tobitobsn
Lösung tobitobsn 05.03.2024 aktualisiert um 20:31:52 Uhr
Goto Top
Hallo Zusammen,

hat sich zwar erledigt, aber leider nicht positiv. Grundsätzlich hat ja alles geklappt innerhalb der beiden Netze und nach dem Setzen der Standard Route im Hetzner Cloud vSwitch 0.0.0.0/0 auf die Firewall 10.0.0.2 ging der Traffic von den VMs auch problemlso ins WAN, aber auf der Rückroute gings nicht durch. Ausgehender Verkehr konnte aber an der Firewall nachgemessen werden...

Antwort von Hetzner: Aufgrund der unterschiedlichen Layer zwischen Cloud und Dedicated Server Netz (2 und 3) ist ein Zurückrouten des Traffics technisch nicht möglich. Ob dies tatsächlich der Wahrheit entspricht, oder ob es eine Antwort war, die mich von weiteren Fragen abbringen soll, ist unklar, aber auch egal. Bei Hetzner zum aktuellen Stand ist es nicht möglich, mein Wunschszenario abzubilden, denn der WAN Traffic wird am vSwitch zurück in Dedicated Server Netz verworfen.

Workaround ist, dass die Firewall einen zweiten VPN Server aufmacht und ich mit dem VMs darauf connecte.

Keine Super Lösung, funktioniert aber und reicht.

Dies ist die aktuelle Lösung.