Angriff(?) auf PVE Host bei Hetzner --> Interface tot

[AST]

Moin,

zum dritten Male beobachte ich einen seltsamen Angriff.
Mir minimalem Traffic (paar 100kb bis 2mb) kommet es zu einem gestiegenden IN und OUT am PVE Server bei Hetzner. Nach einigen Stunden ist dann die Netzwerkkarte tot und ein Hardwarereset bringt die wieder ans Laufen.
Mein Problem ist allerdings, dass ich den Angriff gar nicht kapiere.
Auf dem PVE ist eine Firewall mit VPN Tunnel nach Hause. Mehr geht da nichts.

Es ist definitiv die ganze Kiste tot, denn das PVE bzw SSH reagiert nicht mehr und der Traffic ist dann auch abgebrochen lt. Logs.

Kennt jemand diese Art von Störung und konnte die verhindern?

Gruß, Patrick
EDIT: Screenshot von der Netzwerklast hinzugefügt. Die Last ist wirklich sonst niedriger, es passiert nichts, da es nur eine Spielwiese zum Evaluieren ist.

 

[floh8]

du musst schon die logs schicken.

 

[AST]

Welche Logs dürfen es denn sein?

 

[AST]

Dann Fange ich einfach mal bei den Messages an:

 

[floh8]

post mal deine interfaces!

 

[AST]

Das Interface und die aktuellen vollen Logs.

 

[floh8]

Auf dem PVE ist eine Firewall mit VPN Tunnel nach Hause.

Schreib mal mehr dazu. Was für interface, wo installiert?
Ich frag mich, wo vmbr0v10: port 2(tap100i0) herkommt.

 

[AST]

Schreib mal mehr dazu. Was für interface, wo installiert?
Ich frag mich, wo vmbr0v10: port 2(tap100i0) herkommt.

Da gibt es nicht mehr viel dazu zu erzählen.

Auf dem PVE läuft eine Sophos VM.

balloon: 0
boot: order=scsi0;ide2;net0
cores: 4
ide2: none,media=cdrommemory: 8192
name: SophosXG
net0: virtio=3E:EB:8C:18:17:0C,bridge=vmbr0,tag=10
net1: virtio=00:50:56:01:0D:43,bridge=vmbr0numa: 0
onboot: 1
ostype: l26
parent: PRE_UPDATE
scsi0: local-zfs:vm-100-disk-0,cache=writeback,discard=on,size=100G,ssd=1
scsihw: virtio-scsi-pci
sockets: 1

Darin läuft meine VPN Verbindung zur RED.

Das ist so auch generell jahrelang funktional, nur jetzt tritt es zum 2. oder 3. male auf, dass auf einmal Traffic I/O dauerhaft gemessen wird obwohl nichts los ist.
Wenn die VM dann aus ist, hört das auch auf. Es läuft also irgendein Traffic auf die Maschine, die dann die NIC vom Host zum Feierabend zwingt.

Wenn der Fehler auftritt, ist der PVE Server selbst gar nicht mehr erreichbar, erst ein Hardwarereset über das Hetznerpanel bringt den wieder für ca. 24h online.
Nach 2-3 Tagen hört das dann plötzlich wieder auf und nichts passiert.

 

[floh8]

bridge=vmbr0,tag=10

wieso taggst du das interface?

 

[AST]

wieso taggst du das interface?

Reste vom Setup. Da gab es eine weitere VM, mit der ich die Sophos initial konfigurieren konnte.
Das Interface wird sonst nicht verwendet.

 

[floh8]

Also ich weiß nicht, wer das aufgesetzt hat. Ich will mich jetzt auch nicht da rein denken - zumal du anscheinend auch nicht zu ins detail gehen willst. Einfach mal 2 Gedanken dazu. Eine Firewall hat mind 2 Ports. Einen für die externe Zone und einen für die interne Zone. Wenn ich eine Firewall installiere, dann will ich etwas schützen. In deinem Fall wohl den Zugriff auf die Proxmox GUI. Das würde Sinn machen. Deine Proxmox GUI ist aber von Außen erreichbar. Desweiteren zeigt dein Log ja unendlich viele Portblockings, was auf einen Loop hinweist. Du kannst natürlich "bridge-stp on" setzen, aber das wäre nicht im Sinne des Erfinders. Schau dir am Besten mal in Howtos oder Videos an, wie andere so eine Konstellation aufgesetzt haben. Eine gute Doku zur Netzwerkkonfig mit Proxmox bietet Hetzner auch selbst an.

 

[AST]

Ach jetzt weiss ich wo hin du im Kopf willst.
PVE-Host ist nur für die eine VM Sophos da. Sophos ist eine Spiel-/Evaluierungskiste, dafür benutze ich die Snapshots in PVE.

Die Sophos hat in der Tat eine interne und externe Zone. Die externe ist die, die du im PVE siehst. Die interne ist eine RED (zuvor vlan10 zum konfigurieren).
Die RED ist eine VPN Büchse das mit VXLAN rumhantiert, die steht bei mir zu Hause und dahinter steckt ein kleiner Serverhaufen, Plesk, Minecraft, alles nix kritisches aber mit Diensten die ich privat benutze.


Das mit dem Loop interessiert mich, bekomme aber das mit der genannten Topologie nicht verstanden. Auch in der Sophos ist das ursprüngliche LAN Inferface nicht mehr konfiguriert und damit down.