6
VMs hinter VPN nicht erreichbar, Rest schon
Hallo zusammen.
Ich habe eine pfSense Firewall und dahinter einen Win2k8 und einen ESXi 5.5 mit mehreren VMs.
PFsense ist als OpenVPN-Server eingerichtet. Von zuhause komme ich auch ohne Probleme nach VPN-Einwahl via RDP auf den Win-Server und auch sein Webserver sagt Hallo.
Als Vm habe ich einen Linux-Webserver laufen. Auf den komme ich nicht rauf. Ich erreiche ihn aber aus dem lokalen Netz. Auch SSH ist aus dem lokalen Netz kein Problem, via VPN geht nix.
Den ESXi-Host selbst erreiche ich auch nicht via VPN (weder Webinterface noch vSphere-Client)
Kurz: Alles was mit dem ESXi zutun hat ist via VPN nicht erreichbar.
An der Firewall ist nicht spezielles konfiguriert. Der VPN Server soll halt auf das entsprechende lokale Netz routen, und das tut er ja auch, sonst würde ich den Win-Server ja nicht erreichen.
Warum tut es das? Hat jemand ne Idee?
Vielen Dank und viele Grüße
Aranha
Ich habe eine pfSense Firewall und dahinter einen Win2k8 und einen ESXi 5.5 mit mehreren VMs.
PFsense ist als OpenVPN-Server eingerichtet. Von zuhause komme ich auch ohne Probleme nach VPN-Einwahl via RDP auf den Win-Server und auch sein Webserver sagt Hallo.
Als Vm habe ich einen Linux-Webserver laufen. Auf den komme ich nicht rauf. Ich erreiche ihn aber aus dem lokalen Netz. Auch SSH ist aus dem lokalen Netz kein Problem, via VPN geht nix.
Den ESXi-Host selbst erreiche ich auch nicht via VPN (weder Webinterface noch vSphere-Client)
Kurz: Alles was mit dem ESXi zutun hat ist via VPN nicht erreichbar.
An der Firewall ist nicht spezielles konfiguriert. Der VPN Server soll halt auf das entsprechende lokale Netz routen, und das tut er ja auch, sonst würde ich den Win-Server ja nicht erreichen.
Warum tut es das? Hat jemand ne Idee?
Vielen Dank und viele Grüße
Aranha
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 268978
Url: https://administrator.de/contentid/268978
Ausgedruckt am: 26.11.2024 um 02:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
von außerhalb annehmen soll! bzw. darf?
Gruß
Dobby
Auch SSH ist aus dem lokalen Netz kein Problem, via VPN geht nix.
Hast Du Deinem Linux Server in der VM auch "gesagt" dass er Verbindungenvon außerhalb annehmen soll! bzw. darf?
Gruß
Dobby
Wichtig als Grundlage ist folgende Dokumentation:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Diese zeigt auch schon die Problematik deiner Beschreibung, denn du hast es versäumt uns mittzuteilen ob die FW direkt also mit einem nur Modem oder mit einer Router Kaskade (doppeltes NAT) am Netzwerk hängt.
Gut letztlich auch nicht entscheidend, da der VPN Tunnel ja aufgebaut wird und du alle anderen Endgeräte mit Ausnahme des ESXi Hosts und seiner VMs erreichen kannst.
Letzlich zeigt das so soweit mit der FW Installation und dem VPN alles soweit OK ist und der Fehler letztlich allein in der Installation des ESXi und seiner VMs liegt.
Dafür solltest du folgende Punkte checken:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Diese zeigt auch schon die Problematik deiner Beschreibung, denn du hast es versäumt uns mittzuteilen ob die FW direkt also mit einem nur Modem oder mit einer Router Kaskade (doppeltes NAT) am Netzwerk hängt.
Gut letztlich auch nicht entscheidend, da der VPN Tunnel ja aufgebaut wird und du alle anderen Endgeräte mit Ausnahme des ESXi Hosts und seiner VMs erreichen kannst.
Letzlich zeigt das so soweit mit der FW Installation und dem VPN alles soweit OK ist und der Fehler letztlich allein in der Installation des ESXi und seiner VMs liegt.
Dafür solltest du folgende Punkte checken:
- IP Adressierung ESXi: Hat der ESXi eine gültige statische IP aus dem lokalen FW LAN und zeigt auch die Gateway IP auf die FW IP Adresse ? Ebenso natürlich DNS IP ?
- Ist der ESXi selber von der pfSense aus im LAN und via VPN Pingbar (Achtung ICMP Protokoll aktzivieren in den FW Regeln auch auf den virtuellen VPN Interfaces!)
- WIE ist der Modus der internen virtuellen NICs des ESXi eingestellt ? Diese müssen im Bridge Modus arbeiten und dürfen NICHT im NAT oder Host only Mode eingestellt sein !
- Wenn im Bridged Mode gearbeitet wird, haben die VMs dann gültige statische IP Adressen außerhalb der DHCP Range wie der ESXi Host selber ? Auch hier müssen Gateway IP und DNS auf die FW IP Adresse im lokalen LAN zeigen.
- Firewall Regeln der pfSense auf dem virtuellen VPN Interface. Dies muss angepasst sein auf das was durch den Tunnel durchdarf. Ggf. immer das FW Log ansehen !
- Bestehen irgendwelche lokalen aktiven Firewalls auf dem ESXi oder den VMs ? Diese müssen natürlich auch entsprechend angepasst sein.
Problem gelöst:
Der ESXi hatt noch ein falsches Std-Gateway eingetragen, und die VM hatte noch einen OPenVPNServer als Dienst laufen. Nachdem ich den stillgelegt hatte, war alles kein Problem mehr
@ aqui: Deine Statemantrs haben mich genau auf die richtige Fährte geführt, danke.
Ich habe mir den Wolf gesucht nach der entsprechenden Einstellungen (kenn ich von VMWare-Workstation auch) Aber laut
http://wiki.hetzner.de/index.php/VMware_ESXi macht der ESXi nur bridged.
Aber egal bei der Suche bin ich über das falsche Gateway gestolpert.
Danke nochmal und beste Grüße
Aranha
Der ESXi hatt noch ein falsches Std-Gateway eingetragen, und die VM hatte noch einen OPenVPNServer als Dienst laufen. Nachdem ich den stillgelegt hatte, war alles kein Problem mehr
@ aqui: Deine Statemantrs haben mich genau auf die richtige Fährte geführt, danke.
* WIE ist der Modus der internen virtuellen NICs des ESXi eingestellt ? Diese müssen im Bridge Modus arbeiten und
dürfen NICHT im NAT oder Host only Mode eingestellt sein!
dürfen NICHT im NAT oder Host only Mode eingestellt sein!
Ich habe mir den Wolf gesucht nach der entsprechenden Einstellungen (kenn ich von VMWare-Workstation auch) Aber laut
http://wiki.hetzner.de/index.php/VMware_ESXi macht der ESXi nur bridged.
Aber egal bei der Suche bin ich über das falsche Gateway gestolpert.
Danke nochmal und beste Grüße
Aranha
und die VM hatte noch einen OPenVPNServer als Dienst laufen.
Das kann aber nicht der finale Grundgewesen sein !Das hier schon eher:
Der ESXi hatt noch ein falsches Std-Gateway eingetragen,
Tja was Flüchtigkeitsfehler so alles anrichten können...normal sucht man da eigentlich zuerst, denn es liegt ja auf der Hand das es mit der Adressierung in erster Linie zusammenhängt.Na ja manchmal sieht man halt im Eifer des Gefechts die Bäume und den Wald nicht mehr...
Gut wenns nun rennt.
Nun Fast:
Ich habe den StdGateway gefunden (11 statt 1 am Ende: Taste geprellt / zuviel Kaffee getrunken)
Von da an war der das Webinterface des ESXi's erreichbar. Soweit so logisch.
Die Vm war immer immernoch aus dem VPN nicht zu erreichen.
Als den openVPN-Dienst stoppte, war er auch aus dem VPN erreichbar (Web und SSH)
Dienst wieder gestartet -> Off
Dienst deinstalliert -> On
War ziemlich eindeutig
Aber genau:Nun rennts und gut ist.
Viele Grüße
Aranha
Ich habe den StdGateway gefunden (11 statt 1 am Ende: Taste geprellt / zuviel Kaffee getrunken)
Von da an war der das Webinterface des ESXi's erreichbar. Soweit so logisch.
Die Vm war immer immernoch aus dem VPN nicht zu erreichen.
Als den openVPN-Dienst stoppte, war er auch aus dem VPN erreichbar (Web und SSH)
Dienst wieder gestartet -> Off
Dienst deinstalliert -> On
War ziemlich eindeutig
Aber genau:Nun rennts und gut ist.
Viele Grüße
Aranha
zuviel Kaffee getrunken
Nur Kaffee ??? Da war wohl noch ein Asbach mit drin... 
Thema OpenVPN Dienst
Auf die Idee dir die Routing Tabelle mal mit einem route print anzusehen bist du vermutlich nicht gekommen, oder ?
Da hat ja irgendwas mit der IP Adressierung nicht gestimmt und der Routing Tabelle. Das ist ja offensichtlich. Am OVPN selber kann das also nie gelegen haben !
Aber egal...wenns jetzt geht ist ja alles gut
