DNS auf 2. Netz für Container

toffer84

Member
Feb 10, 2021
29
1
8
39
Hallo,

ich habe die Version 8.0 in meinem Heimnetz (192.168.1.0/24) installiert mit einer NIC (192.168.1.9) und eine zusätzliche Bridge (10.10.10.1) für die Container. Der erste LXC hat die 10.10.10.2.

In meiner FritzBox ist eine zusätzliche Route für IPv4 auf das Netz 10.10.10.0/24 via 192.168.1.9 angelegt.

Der Container hat nun Internet, ich kann auch DNS Abfragen machen im Container (die Geräte aus dem 192er werden richtig aufgelöst).

Jedoch kann ich keine DNS Abfragen aus dem 192er ins 10er Netz Machen, sprich ich würde gern, dass der Container mit seiner IP auch richtig aufgelöst wird (srv-wg).

Wie kann ich das lösen?
 
Guten Morgen,

zu viel Prosa und keine Konfiguration.

Datei /etc/network/interfaces

Welche IPTabels Einträge hat Du und wie ist das Routing gedacht und real?
 
Welche IP hat der Proxmox PVE Host?

Zeichne bitte noch eine Netzplan mit allen IPs, Netzwerken und Routen.
 
Es ist auch für uns Mitlesen interessant, wie genau Proxmox PVE Host und die LXC oder VM Netzwerkseitug eingerichtet wurden.

Bitte auch dies Posten.
 
Guten Morgen,

zu viel Prosa und keine Konfiguration.

Datei /etc/network/interfaces

Welche IPTabels Einträge hat Du und wie ist das Routing gedacht und real?
/etc/network/interfaces vom PVE Host

Code:
auto lo
iface lo inet loopback

iface enp1s0 inet manual

auto vmbr0
iface vmbr0 inet static
        address 192.168.1.9/24
        gateway 192.168.1.1
        bridge-ports enp1s0
        bridge-stp off
        bridge-fd 0

iface wlp2s0 inet manual

auto vmbr1
iface vmbr1 inet static
        address 10.10.10.1/24
        bridge-ports none
        bridge-stp off
        bridge-fd 0
#Bridge für Container

Meine drei Container haben jeweils dann diese Config:

Code:
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
        address 10.10.10.2/24
        gateway 10.10.10.1
 
Ok, das ist doch auch meine Überlegung.
Ich nutze noch eine NAT und IPv4 Forward =1 von vmbr1 auf vmbr0 und als default Router natürlich das vmbr1 Interface des Host mit der IP 10.10.10.1.

Dann noch einen DHCPd auf vmbr1 mit de IP 10.10.10.254.
Soweit passt das bei mir.

Wenn Bedarf ist, dann reiche ich von Außen, über die IP 192.168.1.9 noch Ports an die internen Hosts mit Diensten weiter.
Das könnte z.B. squid oder http/ https sein - so dass auf diesem Host eine Reverse Proxy laufen könnte denn die HTTP Header auswertet und die Ziel Hosts/ Rechner anspricht.

Hier mal ein Betrag aus diesem Forum zu diesem Themenbereich:
* https://forum.proxmox.com/threads/setting-up-proxmox-firewall-with-nat-rules-best-practices.70828/

Das Wiki basiert auf einer "öffentlichen" IP Zuordnung über das Device 'eno1', also aufpassen.
* https://pve.proxmox.com/wiki/Network_Configuration
 
Ok, das ist doch auch meine Überlegung.
Ich nutze noch eine NAT und IPv4 Forward =1 von vmbr1 auf vmbr0 und als default Router natürlich das vmbr1 Interface des Host mit der IP 10.10.10.1.

Dann noch einen DHCPd auf vmbr1 mit de IP 10.10.10.254.
Soweit passt das bei mir.

Wenn Bedarf ist, dann reiche ich von Außen, über die IP 192.168.1.9 noch Ports an die internen Hosts mit Diensten weiter.
Das könnte z.B. squid oder http/ https sein - so dass auf diesem Host eine Reverse Proxy laufen könnte denn die HTTP Header auswertet und die Ziel Hosts/ Rechner anspricht.

Hier mal ein Betrag aus diesem Forum zu diesem Themenbereich:
* https://forum.proxmox.com/threads/setting-up-proxmox-firewall-with-nat-rules-best-practices.70828/

Das Wiki basiert auf einer "öffentlichen" IP Zuordnung über das Device 'eno1', also aufpassen.
* https://pve.proxmox.com/wiki/Network_Configuration

Und wie kann ich jetzt auch über DNS die Container ansprechen, also nicht nur per IP?
 
Das private Netz, ist per NAT nicht von außen erreichbar, das ist bei meiner Netzkonfiguration auch so gewollte.
Wie beschrieben, gebe ich bei manchen Hosts Ports nach "außen" über den PVE Host frei.

In Deinem Fall aktiviere mal IPv4 Forward =1 und richte das private Netz 10.10.10.0/24 auf allen Routern zurück auf die feste IP 192.168.1.9 ein.
 
Das private Netz, ist per NAT nicht von außen erreichbar, das ist bei meiner Netzkonfiguration auch so gewollte.
Wie beschrieben, gebe ich bei manchen Hosts Ports nach "außen" über den PVE Host frei.

In Deinem Fall aktiviere mal IPv4 Forward =1 und richte das private Netz 10.10.10.0/24 auf allen Routern zurück auf die feste IP 192.168.1.9 ein.
Wo muss ich dieses IPv4 Forward machen? Und was meinst du mit dem letzten Satz? Ich habe nur die zusätzliche Route in meiner FritzBox
 
Ok, bitte teste diesen Zusatz. Dann bitte mal booten.

Edit /etc/network/interfaces vom PVE Host:
Code:
auto vmbr0
iface vmbr0 inet static
        address 192.168.1.9/24
        gateway 192.168.1.1
        bridge-ports enp1s0
        bridge-stp off
        bridge-fd 0
#
        post-up echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up echo 1 > /proc/sys/net/ipv4/conf/enp1s0/proxy_arp
[CODE]
 
Ok, bitte teste diesen Zusatz. Dann bitte mal booten.

Edit /etc/network/interfaces vom PVE Host:
Code:
auto vmbr0
iface vmbr0 inet static
        address 192.168.1.9/24
        gateway 192.168.1.1
        bridge-ports enp1s0
        bridge-stp off
        bridge-fd 0
#
        post-up echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up echo 1 > /proc/sys/net/ipv4/conf/enp1s0/proxy_arp
[CODE]
Leider keine Abhilfe...
 
Wer ist bei dir DNS-Server? Die Fritzbox?
Ich könnte mir vorstellen, dass die Fritzbox nicht auf das Netz 10.10.10.0/24 reagiert (DNS-Technisch gesehen), sondern nur auf IPs aus 192.168.1.0/24.
Hallo,

nein, als DNS (nutze nur IPv4 im Netzwerk - IPv6 in der FB7590 deaktiviert) nutze ich den Adguard (10.10.10.4). Die IP wird von der FB per DHCP verteilt. Die statische Route in der FB auf das 10er-Netz sieht so aus:

statische-route.png
 
Okay und wo genau liegt jetzt das Problem? Du kommst aus 192.168.1.0/24 nicht an den Adguard (10.10.10.4)?
Kannst du die IP aus 192.168.1.0/24 heraus pingen? Geht ein dig proxmox.com @10.10.10.4?
Probiere das direkt vom Proxmox-Host und auch von einem Client aus.
 
An welcher virtuellen Bridge (vmbrX) hängen deine LXC Container denn? Wenn es etwa vmbr1 ist, dann hast du nach deiner Config nur auf dem Proxmox selber eine Verbindung zwischen den Containern. Das Netzwerk-Device wlp2s0 ist ja an keine virtuelle Bridge angebunden, auch wenn ein Netzwerkkabel zur FB gehen sollte.

Eine Config Datei eines LXC wäre interessant, wenn alle z.B. am selben vmbrX hängen.
 
Last edited:
Okay und wo genau liegt jetzt das Problem? Du kommst aus 192.168.1.0/24 nicht an den Adguard (10.10.10.4)?
Kannst du die IP aus 192.168.1.0/24 heraus pingen? Geht ein dig proxmox.com @10.10.10.4?
Probiere das direkt vom Proxmox-Host und auch von einem Client aus.
Das Problem ist, dass die IP's aus dem 10er-Netz nicht aufgelöst werden mit ihrem DNS Namen, wie schon im Eingangspost beschrieben.
Erreichen kann ich die Clients aus dem 10er-Netz wunderbar, ping geht auch wunderbar.
 
An welcher virtuellen Bridge (vmbrX) hängen deine LXC Container denn? Wenn es etwa vmbr1 ist, dann hast du nach deiner Config nur auf dem Proxmox selber eine Verbindung zwischen den Containern. Das Netzwerk-Device wlp2s0 ist ja an keine virtuelle Bridge angebunden, auch wenn ein Netzwerkkabel zur FB gehen sollte.

Eine Config Datei eines LXC wäre interessant, wenn alle z.B. am selben vmbrX hängen.

Das ist die /etc/network/interfaces vom PVE-Host

Code:
auto lo
iface lo inet loopback

iface enp1s0 inet manual

auto vmbr0 #Standardbridge für FritzBox Heimnetzwerk
iface vmbr0 inet static
        address 192.168.1.9/24
        gateway 192.168.1.1
        bridge-ports enp1s0
        bridge-stp off
        bridge-fd 0
        post-up echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up echo 1 > /proc/sys/net/ipv4/conf/enp1s0/proxy_arp

iface wlp2s0 inet manual # WLAN - >deaktiviert

auto vmbr1 #Bridge für Container
iface vmbr1 inet static
        address 10.10.10.1/24
        bridge-ports none
        bridge-stp off
        bridge-fd 0

Und das ist eine /etc/network/interfaces von einem LXC im 10er-Netz:

Code:
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
        address 10.10.10.2/24
        gateway 10.10.10.1
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!