Firewall anderer LXC blockieren route von host zu gast

[dekiesel]

Hi,

Mein Proxmox host (8.4.14) kann sich nicht mehr mit meinem proxmox backup server, der in einer LXC läuft, verbinden: `no route to host`. Dies hat immer problemlos funktioniert, aber seit einem Monat ca ist dies nicht mehr der Fall.

host: 10.1.100.12
proxmox backup server: 10.1.101.134

Ein traceroute zeigt:

root@pve:~# traceroute 10.1.101.134
traceroute to 10.1.101.134 (10.1.101.134), 30 hops max, 60 byte packets
 1  10.1.101.67 (10.1.101.67)  3090.115 ms !H  3089.776 ms !H  3089.763 ms !H

Wenn ich die IP via `ip a` matche wird mir die LXC id angezeigt:

64: fwln124i1@fwpr124p1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master fwbr124i1 state UP group default qlen 1000
    link/ether fa:97:33:6a:fe:13 brd ff:ff:ff:ff:ff:ff
    inet 10.1.101.67/24 brd 10.1.101.255 scope global dynamic noprefixroute fwln124i1
       valid_lft 86229sec preferred_lft 75429sec
!H

In diesem Fall 124.

LXC 124 hat eine Firewall. Wenn ich diese deaktiviere zeigt mir traceroute den nächsten LXC an der eine aktive Firewall hat. Es ist dabei egal ob Regeln definiert sind, es reicht wenn in den NIC Einstellungen des LXC die Firewall aktiviert ist. Es sind nie LXC ohne eine Firewall.

Ich könnte jetzt natürlich einfach alle Firewalls einmal deaktivieren und reaktivieren, aber ich denke damit behandle ich nur die Symptome.
Ich würde mich über jede Hilfe dieses Problem zu diagnostizieren freuen.

root@pve:~# ip route show to match 10.1.101.134
default via 10.1.100.1 dev vmbr0.100 proto dhcp src 10.1.100.203 metric 1004
default via 10.1.101.1 dev fwln126i1 proto dhcp src 10.1.101.200 metric 1069
default via 10.1.103.1 dev fwln128i1 proto dhcp src 10.1.103.126 metric 1073
default via 10.1.101.1 dev fwln130i1 proto dhcp src 10.1.101.185 metric 1077
default via 10.1.101.1 dev fwln133i1 proto dhcp src 10.1.101.168 metric 1082
default via 10.1.101.1 dev fwln134i1 proto dhcp src 10.1.101.160 metric 1086
default via 10.1.101.1 dev fwln135i1 proto dhcp src 10.1.101.202 metric 1094
default via 10.1.101.1 dev fwln137i1 proto dhcp src 10.1.101.244 metric 1102
default via 10.1.101.1 dev fwln139i1 proto dhcp src 10.1.101.126 metric 1107
default via 10.1.102.1 dev fwln2003i1 proto dhcp src 10.1.102.60 metric 1127
default via 10.1.101.1 dev fwln2111i1 proto dhcp src 10.1.101.85 metric 1231
default via 10.1.101.1 dev fwln142i1 proto dhcp src 10.1.101.208 metric 1252
default via 10.1.101.1 dev fwln141i1 proto dhcp src 10.1.101.212 metric 1257
default via 10.1.101.1 dev fwln110i1 proto dhcp src 10.1.101.194 metric 1289
default via 10.1.101.1 dev fwln122i1 proto dhcp src 10.1.101.80 metric 1300
default via 10.1.101.1 dev fwln140i1 proto dhcp src 10.1.101.74 metric 1304
default via 10.1.100.1 dev fwln121i0 proto dhcp src 10.1.100.193 metric 1322
default via 10.1.101.1 dev fwln102i1 proto dhcp src 10.1.101.205 metric 1325
default via 10.1.101.1 dev fwln103i1 proto dhcp src 10.1.101.228 metric 1328
default via 10.1.101.1 dev fwln123i1 proto dhcp src 10.1.101.69 metric 1331
10.1.101.0/24 dev fwln126i1 proto dhcp scope link src 10.1.101.200 metric 1069
10.1.101.0/24 dev fwln130i1 proto dhcp scope link src 10.1.101.185 metric 1077
10.1.101.0/24 dev fwln133i1 proto dhcp scope link src 10.1.101.168 metric 1082
10.1.101.0/24 dev fwln134i1 proto dhcp scope link src 10.1.101.160 metric 1086
10.1.101.0/24 dev fwln135i1 proto dhcp scope link src 10.1.101.202 metric 1094
10.1.101.0/24 dev fwln137i1 proto dhcp scope link src 10.1.101.244 metric 1102
10.1.101.0/24 dev fwln139i1 proto dhcp scope link src 10.1.101.126 metric 1107
10.1.101.0/24 dev fwln2111i1 proto dhcp scope link src 10.1.101.85 metric 1231
10.1.101.0/24 dev fwln142i1 proto dhcp scope link src 10.1.101.208 metric 1252
10.1.101.0/24 dev fwln141i1 proto dhcp scope link src 10.1.101.212 metric 1257
10.1.101.0/24 dev fwln110i1 proto dhcp scope link src 10.1.101.194 metric 1289
10.1.101.0/24 dev fwln122i1 proto dhcp scope link src 10.1.101.80 metric 1300
10.1.101.0/24 dev fwln140i1 proto dhcp scope link src 10.1.101.74 metric 1304
10.1.101.0/24 dev fwln102i1 proto dhcp scope link src 10.1.101.205 metric 1325
10.1.101.0/24 dev fwln103i1 proto dhcp scope link src 10.1.101.228 metric 1328
10.1.101.0/24 dev fwln123i1 proto dhcp scope link src 10.1.101.69 metric 1331

Danke!

 

[dekiesel]

Ok, zu früh gefreut, reaktivieren der Firewalls von LXCs führt zu dem gleichen Problem :/

 

[Ernst T.]

Wie sind die 2 Netzwerke verbunden?

10.10.100.xxx <--- ??? ---> 10.1.101.xxx

 

[dekiesel]

Die einzige physische NIC des Hosts ist im trunk-mode mit meinem router verbunden (10.1.10.1)

root@pve:~# cat /etc/network/interfaces
auto lo
iface lo inet loopback

iface eno1 inet manual

auto vmbr0.100
iface vmbr0.100 inet static
        address  10.1.100.12/24
        gateway  10.1.100.1

auto vmbr0
iface vmbr0 inet manual
    bridge-ports eno1
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes
    bridge-vids 2-4094

iface vmbr0 inet6 dhcp
    gateway fd00::1
    accept_ra 2

Alle Geräte in 10.1.100.x werden mit VLAN 100 getaggt, alle in 10.1.101.x mit 101.

Hier die config eines LXC (dieser hat Im Moment IP 10.1.101.134)

root@pve:/etc/pve/lxc# cat 109.conf
arch: amd64
cores: 2
features: nesting=1
hostname: proxmox-backup-server
memory: 1024
mp0: wdreddata:vm-109-disk-0,mp=/mount/cache,size=64G
net0: name=eth101,bridge=vmbr0,hwaddr=BC:24:11:47:2B:F1,ip=dhcp,tag=101,type=veth
onboot: 1
ostype: debian
rootfs: local-lvm:vm-109-disk-0,size=8G
swap: 1024
tags: prod
unprivileged: 1

 

[Ernst T.]

host: 10.10.100.12

Irgendwie passt die IP vom Host, nicht zum Rest deines Systemes.

Sorry, von VLANS hab ich Null Ahnung ... aber mit den Tags kannst du kein 10.10.xx.xx Netz mit 10.1.xx.xx verbinden, oder?

 

[dekiesel]

Ach mist, sorry, das war ein Schreibfehler (und ist oben korrigiert jetzt). Die IP ist `10.1.100.12`