CIFS Storage geht nur, wenn Gateway online

[proqs]

Hallo, habe folgendes Problem:

Ich habe einen Proxmox Server (5.4-11) auf dem meine Firewall Appliance liegt. Dieses verwendet PVE auch als Default Gateway. Ich habe einen Backup Storage angelegt (CIFS) der einen Share auf meinem NAS einbindet. Den Host habe ich dabei als IP angegeben. Auf diesem Backup Storage liegen allerdings auch die Backups der Firewall. An sich dachte ich: Kein Ding, denn mein NAS ist auch ohne laufende Firewall im Netz möglich.
Aber Pustekuchen. Sobald ich die Firewall herunterfahre um das Backup einzuspielen bekomme ich den Fehler 500 Storage not online.
Wie kann denn das sein?

 

[LnxBil]

Kannst du mal etwas dein Netzwerksetup beschreiben? IP+Subnetz pro Rechner und wie deine Firewall da mit reinspielt.

 

[proqs]

Also, das Netz auf dem das stattfindet ist 10.0.0.0/24. Dabei ist .1 die Firewall, .4 das NAS und .6 der Proxmox Host.
Der interne DNS Server befindet sich ebenfalls auf dem NAS. Da die Firewall allerdings sich selbst per DHCP als DNS Server propagiert ist auf der Firewall noch ein Domain Override konfiguriert, das Anfragen an die internen Domains an den DNS Server weiterleitet.
Der DNS Server, der auf dem PVE eingetragen ist, ist die Firewall.

Wir haben somit 2 Referenzen auf die IP Adresse der Firewall im PVE: einmal das Default Gateway und ein mal der DNS Server. Meinem Verständnis nach sollte aber der Storage trotzdem erreichbar sein, da a) PVE und Storage im selben Subnetz liegen und somit keine Kommunkation über das Gateway erforderlich ist und b) der Storage auch in PVE mittels IP Adresse des NAS konfiguriert ist.

Dass eine Kommunikation zwischen PVE und NAS ohne gestartete Firewall funktioniert belegen diverse Versuche auf der Rootkonsole von PVE.

 

[proqs]

Ich habe jetzt mal als DNS Server die IP der NAS angegeben und das Default Gateway aus der Config gestrichen. Somit gab es an sich keine Referenzen mehr auf das Gateway. Nach einem Reboot das Gleiche: storage not online (500)

Leider finde ich im syslog absolut keine aussagekräftige Fehlermeldung.

 

[LnxBil]

pingen des Storage klappt die ganze Zeit (also mit und ohne gestartetet Firewall)?
Wie sieht die Konfiguration deiner Firewall-VM aus, du brauchst dort ja zwei Interfaces, die wahrscheinlich auf zwei Bridges zeigen, oder wie hast du das gemacht?

 

[proqs]

Ja, pingen des Storage klappt egal ob die Firewall an ist, oder nicht. Sie sind auch sicher im selben Netz

Der PVE Server hat 2 NICs und jede ist genau einer bridge zugeordnet.
Die Firewall ist eine VM mit 2 NICs, denen jeweils eine bridge zugeordnet ist

 

[CoolTux]

pingst Du IP oder FQDN. Versuch mal FQDN eventuell hapert es an der Namensauflösung.

 

[proqs]

Ich pinge die IP. Und ich verwende in allen Einstellungen auch nur die IP. Und die reine Namensauflösung funktioniert intern, wenn ich den DNS Server direkt in PVE konfiguriere und nicht das Gateway, weil ja der DNS Server auf der selben Maschine läuft wie der CIFS Storage, im selben Netzwerk. Das ist es ja was mich wundert. Alle Linux-Bordtools sagen mir, dass alles super funktioniert.