16
Zwei Linuxkisten (esxi-vms) kommen nicht ins Internet
Hallo zusammen
langsam bin mich mit meinem Latein am Ende. Vielleicht kann mir jemand ein wenig Licht ins Dunkel bringen
Situation:
Vodafone-DSL Anschluss mit internem Netz 192.168.2.0/24
Hier hängen ein PC und ein Notebook, ein Drucker etc. Internet funktioniert wunderbar.
192.168.2.1 ist der Vodafone-Router. Dieser hat als DMZ-Host die 192.168.2.254 konfiguriert.
192.168.2.254 ist eine Netgear FVS318, die eben als VPN-Appliance ein separates Netzwerk betreibt, welches via VPN von "draußen" auch erreichbar ist. das interne Netz der FVS ist 10.47.200.0/24
Die FVS macht in diesem Netz DHCP und DNS.
Einzige Kiste auf der LAN-Seite der FVS ist ein ESXi-Server auf dem zwei virtuelle Debiane laufen. Diese beziehen ihre IP-Adressen via DHCP (funktioniert)
Bei beiden Linuxen und dem ESXi-Host habe ich das selbe Problem: Ich komm nicht ins Internet!
ping www.google.de liefert folgendes Ergebnis:
Ergo: DNS funktioniert, denn er löst google.de korrekt auf.
Auch der nslookup funktioniert:
in der /etc/resolv.conf steht die IP-Adresse der FVS (welche als DNS-Proxy eingerichtet ist)
die Routingtabelle passt auch soweit:
Aber: beim Traceroute komm ich nichtmal zum ersten Hop:
Meine Frage ist eigentlich ganz einfach: Warum komm ich weder von den beiden VMs, noch von dem ESXi-Host aus nicht ins Internet?
achso Nachtrag: untereinander kann ich die Kisten anpingen, und der VPN-Zugriff via Netgear-VPN-Client funktioniert einwandfrei
langsam bin mich mit meinem Latein am Ende. Vielleicht kann mir jemand ein wenig Licht ins Dunkel bringen
Situation:
Vodafone-DSL Anschluss mit internem Netz 192.168.2.0/24
Hier hängen ein PC und ein Notebook, ein Drucker etc. Internet funktioniert wunderbar.
192.168.2.1 ist der Vodafone-Router. Dieser hat als DMZ-Host die 192.168.2.254 konfiguriert.
192.168.2.254 ist eine Netgear FVS318, die eben als VPN-Appliance ein separates Netzwerk betreibt, welches via VPN von "draußen" auch erreichbar ist. das interne Netz der FVS ist 10.47.200.0/24
Die FVS macht in diesem Netz DHCP und DNS.
Einzige Kiste auf der LAN-Seite der FVS ist ein ESXi-Server auf dem zwei virtuelle Debiane laufen. Diese beziehen ihre IP-Adressen via DHCP (funktioniert)
Bei beiden Linuxen und dem ESXi-Host habe ich das selbe Problem: Ich komm nicht ins Internet!
ping www.google.de liefert folgendes Ergebnis:
root@linuxkiste1:~# ping www.google.de
PING www-cctld.l.google.com (173.194.69.94) 56(84) bytes of data.
^C
--- www-cctld.l.google.com ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1006ms
root@linuxkiste1:~#
PING www-cctld.l.google.com (173.194.69.94) 56(84) bytes of data.
^C
--- www-cctld.l.google.com ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1006ms
root@linuxkiste1:~#
Ergo: DNS funktioniert, denn er löst google.de korrekt auf.
Auch der nslookup funktioniert:
root@linuxkiste1:~# nslookup www.google.de
Server: 10.47.200.1
Address: 10.47.200.1#53
Name: www.google.de
Address: 173.194.35.183
Name: www.google.de
Address: 173.194.35.184
root@linuxkiste1:~#
Server: 10.47.200.1
Address: 10.47.200.1#53
Name: www.google.de
Address: 173.194.35.183
Name: www.google.de
Address: 173.194.35.184
root@linuxkiste1:~#
in der /etc/resolv.conf steht die IP-Adresse der FVS (welche als DNS-Proxy eingerichtet ist)
nameserver 10.47.200.1
die Routingtabelle passt auch soweit:
root@linuxkiste1:~# route
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
10.47.200.0 * 255.255.255.0 U 0 0 0 eth0
default localhost 0.0.0.0 UG 0 0 0 eth0
root@linuxkiste1:~#
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
10.47.200.0 * 255.255.255.0 U 0 0 0 eth0
default localhost 0.0.0.0 UG 0 0 0 eth0
root@linuxkiste1:~#
Aber: beim Traceroute komm ich nichtmal zum ersten Hop:
root@linuxkiste1:~# traceroute www.google.de
traceroute to www.google.de (173.194.69.94), 30 hops max, 60 byte packets
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
6 *^
traceroute to www.google.de (173.194.69.94), 30 hops max, 60 byte packets
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
6 *^
Meine Frage ist eigentlich ganz einfach: Warum komm ich weder von den beiden VMs, noch von dem ESXi-Host aus nicht ins Internet?
achso Nachtrag: untereinander kann ich die Kisten anpingen, und der VPN-Zugriff via Netgear-VPN-Client funktioniert einwandfrei
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 181760
Url: https://administrator.de/contentid/181760
Ausgedruckt am: 25.11.2024 um 16:11 Uhr
16 Kommentare
Neuester Kommentar
Moin,
wie sieht denn die Netzwerkkonfiguration der beiden Debian's aus? Gib mal bitte ifconfig jeweils ein und poste die Ausgabe.
Des Weiteren poste doch die Netzwerkkonfiguration vom ESXi selber und die Netzwerkkarten. Kennt der Router das interne Netz der FVS?
Grüße,
Dani
wie sieht denn die Netzwerkkonfiguration der beiden Debian's aus? Gib mal bitte ifconfig jeweils ein und poste die Ausgabe.
Des Weiteren poste doch die Netzwerkkonfiguration vom ESXi selber und die Netzwerkkarten. Kennt der Router das interne Netz der FVS?
Grüße,
Dani
moin.
kennt der Router das interne Netz der FVS? Nein, kennt er nicht, da die FVS selbst als Router am DMZ-Port des Vodafone-Routers hängt. Die FVS hat somit auf der WAN-Seite eine 192.168.2er Adresse und in der LAN-Seite eben ihr eigenes Netz.
hier der ifconfig auf einem der beiden Debians
wie ich die Netzwerkkonfig des ESXi poste weiss ich nicht, weil es den ifconfig auf der shell nicht gibt...
kennt der Router das interne Netz der FVS? Nein, kennt er nicht, da die FVS selbst als Router am DMZ-Port des Vodafone-Routers hängt. Die FVS hat somit auf der WAN-Seite eine 192.168.2er Adresse und in der LAN-Seite eben ihr eigenes Netz.
hier der ifconfig auf einem der beiden Debians
root@linuxkiste1:~# ifconfig
eth0 Link encap:Ethernet Hardware Adresse 00:0c:29:be:74:98
inet Adresse:10.1.1.4 Bcast:255.255.255.255 Maske:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX packets:13256 errors:0 dropped:0 overruns:0 frame:0
TX packets:16467 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:3234559 (3.0 MiB) TX bytes:15821307 (15.0 MiB)
Interrupt:19 Basisadresse:0x2000
lo Link encap:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metrik:1
RX packets:12767 errors:0 dropped:0 overruns:0 frame:0
TX packets:12767 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:16082948 (15.3 MiB) TX bytes:16082948 (15.3 MiB)
root@linuxkiste1:~#
eth0 Link encap:Ethernet Hardware Adresse 00:0c:29:be:74:98
inet Adresse:10.1.1.4 Bcast:255.255.255.255 Maske:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX packets:13256 errors:0 dropped:0 overruns:0 frame:0
TX packets:16467 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:3234559 (3.0 MiB) TX bytes:15821307 (15.0 MiB)
Interrupt:19 Basisadresse:0x2000
lo Link encap:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metrik:1
RX packets:12767 errors:0 dropped:0 overruns:0 frame:0
TX packets:12767 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:16082948 (15.3 MiB) TX bytes:16082948 (15.3 MiB)
root@linuxkiste1:~#
wie ich die Netzwerkkonfig des ESXi poste weiss ich nicht, weil es den ifconfig auf der shell nicht gibt...
kennt der Router das interne Netz der FVS? Nein, kennt er nicht, da die FVS selbst als Router am DMZ-Port des Vodafone-Routers hängt. Die FVS hat somit auf der WAN-Seite eine 192.168.2er Adresse und in der LAN-Seite eben ihr eigenes Netz.
Passt. Im ESXi Host bzw. auch in den VMs muss die FVS als Gateway angeben sein.wie ich die Netzwerkkonfig des ESXi poste weiss ich nicht, weil es den ifconfig auf der shell nicht gibt...
Du kannst auch die Screenshots vom vSphere Client posten. 
...zwei virtuelle Debiane laufen. Diese beziehen ihre IP-Adressen via DHCP (funktioniert)
Sicher? Poste doch mal die Daten auf den Linuxen.
Ergo: DNS funktioniert, denn er löst google.de korrekt auf.
Auch der nslookup funktioniert:
> root@linuxkiste1:~# nslookup www.google.de
> Server: 10.47.200.1
> Address: 10.47.200.1#53
>
> Name: www.google.de
> Address: 173.194.35.183
> Name: www.google.de
> Address: 173.194.35.184
>
> root@linuxkiste1:~#
in der /etc/resolv.conf steht die IP-Adresse der FVS (welche als DNS-Proxy eingerichtet ist)
> nameserver 10.1.1.1
Auch der nslookup funktioniert:
> root@linuxkiste1:~# nslookup www.google.de
> Server: 10.47.200.1
> Address: 10.47.200.1#53
>
> Name: www.google.de
> Address: 173.194.35.183
> Name: www.google.de
> Address: 173.194.35.184
>
> root@linuxkiste1:~#
in der /etc/resolv.conf steht die IP-Adresse der FVS (welche als DNS-Proxy eingerichtet ist)
> nameserver 10.1.1.1
Wenn der Nameserver 10.1.1.1 sein soll wieso holt sich nslookup seine Info von 10.47.200.1?
Was ist 10.47.200.1 für ein Teil.
die Routingtabelle passt auch soweit:
> root@linuxkiste1:~# route
> Kernel-IP-Routentabelle
> Ziel Router Genmask Flags Metric Ref Use Iface
> 10.1.1.0 * 255.255.255.0 U 0 0 0 eth0
> default localhost 0.0.0.0 UG 0 0 0 eth0
> root@linuxkiste1:~#
> root@linuxkiste1:~# route
> Kernel-IP-Routentabelle
> Ziel Router Genmask Flags Metric Ref Use Iface
> 10.1.1.0 * 255.255.255.0 U 0 0 0 eth0
> default localhost 0.0.0.0 UG 0 0 0 eth0
> root@linuxkiste1:~#
Für mich sieht Routingtabelle absolut nicht ok aus.
Bin zwar eher ein Fenstergucker als Pinguinbeobachter.
Aber so gross sollten die Unterschiede nicht sein.
Für mich sieht Routingtabelle absolut nicht ok aus.
Stimmt.. meine Debian Routingtabelle sieht so aus:192.168.52.0/24 dev eth0 proto kernel scope link src 192.168.52.18
default via 192.168.52.1 dev eth0
Setz mal die default-routen auf den FVS318.
lks
lks
das liegt daran, dass ich als internes Netz die 10.47.200.0/24 hab und nicht die 10.1.1.0, wie oben angegeben...
die Default-Routen stehen auf die IP der FVS...
und die Routingtabelle sieht so schon richtig aus. Achtung Ausgabe von "route" ungleich Ausgabe von "netstat -nr"
die Default-Routen stehen auf die IP der FVS...
und die Routingtabelle sieht so schon richtig aus. Achtung Ausgabe von "route" ungleich Ausgabe von "netstat -nr"
root@linuxkiste1:~# netstat -nr
Kernel-IP-Routentabelle
Ziel Router Genmask Flags MSS Fenster irtt Iface
10.47.200.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 10.47.200.1 0.0.0.0 UG 0 0 0 eth0
Kernel-IP-Routentabelle
Ziel Router Genmask Flags MSS Fenster irtt Iface
10.47.200.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 10.47.200.1 0.0.0.0 UG 0 0 0 eth0
wie gesagt, das 10.47.200.0/24 ist das Netz in der FVS (nicht 10.1.1.0/24) sorry
Kannst du vom Virtuellen Linux
a) die FVS anpingen?
b) den Vodafone Router anpingen?
a) die FVS anpingen?
b) den Vodafone Router anpingen?
im vSphere-Client sehe ich im Netzwerk den Standard-Switch vSwitch0 mit dem VMkernel-Port, der eine IP-Adresse aus dem 10.47.200.er Netz hat. (hatter per DHCP bekommen und ich hab die Adresse dann auf der FVS an die MAC gebunden und reserviert.
IP-Adresse: 10.47.200.3
Subnetz: 255.255.255.0
Standard-Gateway für VMKernel: 10.47.200.1
IP-Adresse: 10.47.200.3
Subnetz: 255.255.255.0
Standard-Gateway für VMKernel: 10.47.200.1
die FVS kann ich auf der 10.47.200.1 anpingen
den Vodafonerouter kann ich nicht anpingen (192.168.2.1, bzw 192.168.2.254, was ja der WAN vom FVS ist)
die FVS selber löst in ihrem Web-INterface IP-Adressen auch korrekt auf (kann man im Diagnose-Bereich testen)
den Vodafonerouter kann ich nicht anpingen (192.168.2.1, bzw 192.168.2.254, was ja der WAN vom FVS ist)
die FVS selber löst in ihrem Web-INterface IP-Adressen auch korrekt auf (kann man im Diagnose-Bereich testen)
Okay, wie sieht das Ergebnis aus, wenn du vom Router
a) die FVS anpingst?
b) eine VM anpingst?
Ich schätze mal der Router weiß nicht, wo sich das Subnetz 10.47.200.0/24 befindet. Also eine Route setzen und als Gateway die FVS angeben.
a) die FVS anpingst?
b) eine VM anpingst?
Ich schätze mal der Router weiß nicht, wo sich das Subnetz 10.47.200.0/24 befindet. Also eine Route setzen und als Gateway die FVS angeben.
mit Router meinst du das Vodafone-Dingens?
jap das Dingens mein ich.
Grüße,
Dani
Grüße,
Dani
Blöd, auf der EasyBox kann ich keine Routingeinträge setzen
Die Kardinalsfrage ist: Kann die FVS Gurke NAT oder ist das abschaltbar und wenn ja hast du das ggf. gemacht ??
Wenn du NAT deaktiviert hast kommen alle Pakete an der EasyBox nativ mit einer 10.47.200er Absender IP im Paket an. Wenn die EB dann keinen statischen Routing Eintrag auf das 10.47.200er IP Netz via FVS WAN Port hat, ists aus, denn dann routet die EB das ins Internet und damit ins Nirwana bzw. Datenmülleimer.
Da die EB als Provider Billigschrott keinerlei Optionen hat zum statischen Routing musst du zwangsweise NAT auf der FVS machen, damit die alle Pakete aus dem 10.47.200er Netz auf die WAN IP der FVS umsetzt.
Damit "merkt" die EB das 10.47.200er IP Netz logischerweise nicht, denn alle Pakete daher kommen ja scheinbar vom internen IP Netz mit der FVS WAN IP als Absenderadresse. (NAT)
NAT auf der FVS ist also für dich absolut zwingend mit dem EB Billigschrott als Internet Zugang sonst kannst du dein Design so gleich vergessen.
Dein Szenarium und die darin laufenden Mechanismen ist hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und hier:
Kopplung von 2 Routern am DSL Port
ansatzweise beschrieben.
Du musst also erstmal sicher klären ob die NG Gurke NAT macht zum EB LAN. Dazu hilft dir ein Wireshark Sniffer oder der MS netMonitor.
Bedenklich ist schon das du die EB LAN IP nicht anpingen kannst aus dem 10er Netz. Das zeigt schon das vermutlich kein NAT aktiv ist...ist aber geraten.
Du kannst das immer mit einem Banaltest ausprobieren:
Ein Laptop im 10er Netz der die IP von der FVS bekommt muss den EB Router mit der 192.168.2.1 anpingen können. Geht das nicht musst du gar nicht erst weitermachen..
Die FVS sollte auf dem WAN Port einen statische IP Adresse eingestellt haben aus dem EB LAN Netz die außerhalb des DHCP Bereichs der EB liegt, sinnigerweise also "ganz oben" mit der 192.168.2.254, Maske 255.255.255.0. DNS und default Gateway auf der FVS dann statisch auf die 192.168.2.1 einstellen und NAT aktivieren.
Das sollte das dann eigentlich zum Fliegen bringen...
Wenn du NAT deaktiviert hast kommen alle Pakete an der EasyBox nativ mit einer 10.47.200er Absender IP im Paket an. Wenn die EB dann keinen statischen Routing Eintrag auf das 10.47.200er IP Netz via FVS WAN Port hat, ists aus, denn dann routet die EB das ins Internet und damit ins Nirwana bzw. Datenmülleimer.
Da die EB als Provider Billigschrott keinerlei Optionen hat zum statischen Routing musst du zwangsweise NAT auf der FVS machen, damit die alle Pakete aus dem 10.47.200er Netz auf die WAN IP der FVS umsetzt.
Damit "merkt" die EB das 10.47.200er IP Netz logischerweise nicht, denn alle Pakete daher kommen ja scheinbar vom internen IP Netz mit der FVS WAN IP als Absenderadresse. (NAT)
NAT auf der FVS ist also für dich absolut zwingend mit dem EB Billigschrott als Internet Zugang sonst kannst du dein Design so gleich vergessen.
Dein Szenarium und die darin laufenden Mechanismen ist hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und hier:
Kopplung von 2 Routern am DSL Port
ansatzweise beschrieben.
Du musst also erstmal sicher klären ob die NG Gurke NAT macht zum EB LAN. Dazu hilft dir ein Wireshark Sniffer oder der MS netMonitor.
Bedenklich ist schon das du die EB LAN IP nicht anpingen kannst aus dem 10er Netz. Das zeigt schon das vermutlich kein NAT aktiv ist...ist aber geraten.
Du kannst das immer mit einem Banaltest ausprobieren:
Ein Laptop im 10er Netz der die IP von der FVS bekommt muss den EB Router mit der 192.168.2.1 anpingen können. Geht das nicht musst du gar nicht erst weitermachen..
Die FVS sollte auf dem WAN Port einen statische IP Adresse eingestellt haben aus dem EB LAN Netz die außerhalb des DHCP Bereichs der EB liegt, sinnigerweise also "ganz oben" mit der 192.168.2.254, Maske 255.255.255.0. DNS und default Gateway auf der FVS dann statisch auf die 192.168.2.1 einstellen und NAT aktivieren.
Das sollte das dann eigentlich zum Fliegen bringen...
