Komisches Verhalten bei LXC vs. VMs

[raspido]

Hey Leute,

ich habe einen Proxmox Server am laufen in der Version 7.4-17.

Dieser läuft an sich auch relativ Problemlos. Nur seit kurzem habe ich eine Situation die mich etwas "verwirrt".

Kurz zur Erklärung. Ich habe als "Netzwerkhardware" Geräte von UniFi am laufen und auch ein paar VLANs. Das war bislang auch kein Problem gewesen. Doch seit einer Weile habe ich das Problem, dass ich mit verschiedenen LXCs kein "apt update" mehr durchführen kann.

Hier eine kleine Tabelle um mein "Problem" zu verdeutlichen bzw. um es einfacher darzustellen. Der Proxmox Server befindet sich selber im VLAN 100, welches bei mir das Server Netzwerk ist. Das VLAN 10 ist für IoT Geräte und was drumherum gehört. Zu Beginn ging alles nur plötzlich wollte es nicht mehr klappen.

Vielleicht hat jemand von euch eine Idee?

VLAN	Ausführung und Dienst	apt update möglich
10	LXC mit ioBroker	ist nicht möglich
10	VM mit HomeAssistant	ist möglich
100	LXC mit PiHole	ist möglich

 

[sb-jw]

Hat dein ioBroker vielleicht eine IP vom PiHole bekommen oder diesen als DNS gesetzt und kann diesen nicht mehr erreichen?

Bitte auch keine Erzählungen oder Vermutungen von deinem Problem verfassen, kopier hier einfach die Fehlermeldung (im Code Tag!) rein oder ein Screenshot, dann können wir uns selbst ein Bild davon machen und dir besser helfen.

 

[raspido]

Nein der ioBroker bekommt eine Statische IP Adresse, als DNS ist das Gateway angegeben.

Das hier ist ein Screenshot vom ioBroker mit ifconfig und apt update:



Netzwerkkonfiguration vom ioBroker:


vom PiHole:


Der PiHole hat kein VLAN Tag, weil das Servernetz (192.168.100.x das Native Netzwerk für den Port ist).

Der HomeAssistant hat die IP 192.168.10.192 bekommen. Dort kann ich Updates durchführen, neue Addons runterladen und so weiter.

Wenn weitere Screenshots, Befehlsausgaben oder so gewünscht werden, einfach bescheid geben.

Ich versuche alles zu geben / zeigen, was ich kann.

Der PiHole ist auch für das IoT Netzwerk nicht konfiguriert als DNS Server, sondern dort habe ich das Gateway als DNS hinterlegt.

 

[sb-jw]

Und dein Gateway ist auch ein DNS Server und weiß, dass er auf diese IP auch reagieren muss?

Wenn du ein ping 8.8.8.8 machst, dann geht das?

 

[CoolTux]

Die Ursache für Dein Problem ist ja nun bekannt. Namensauflösung geht nicht. Nun musst Du nur Dein Netzwerk und Linuxwissen anwenden um das Problem zu analysieren und zu lösen.
Wer macht DNS Resolver/Forwarder im Netz?
Ist der Client entsprechend eingestellt?
Blockiert eventuell eine Firewall Regel den Verkehr?

 

[raspido]

Danke an alle, die geholfen haben. Ich habe die ganze Nacht irgendwie im Halbschlaf weiter an dem Problem gegrübelt. Und bin auch zu einer "Vermutung" gekommen, dies habe ich heute Morgen vor der Arbeit noch fix getestet und naja es war ein "Problem" bei den Firewallregeln.

Nur eine Frage an die, die mehr Erfahrung mit Proxmox haben: Behandelt Proxmox VMs und LXC unterschiedlich bei VLAN / Netzwerkeinstellungen? Weil ich habe dem LXC mit ioBroker, wie auch der VM mit Home Assistant die IP Adressen per Hand vergeben. Also IP (je Gerät eine eigene natürlich), Subnet, Gateway, DNS Server und alle waren identisch. Was aber Probleme machte, war der LXC und die VM lief. Also der Punkt verwirrt mich etwas. Den auch beide "Geräte" hatten die gleiche Firewalleinstellung gehabt.

Weil naja eigentlich dachte ich, wenn Gerät A und Gerät B bis auf die IP identisch eingestellt sind, verhalten die sich auch gleich. Oder habe ich da etwas nicht mit bekommen?

 

[CoolTux]

Beide im selben Subnetz, oder unterschiedliche Subnetze?

 

[raspido]

Alles identisch. Außer IP Adresse

 

[sb-jw]

Bei der VM musst du bei der Netzwerkkarte auch noch das Firewall Flag setzen und die Firewall für die VM selbst auch aktivieren. Ich tippe darauf, dass du irgendwie vergessen hast etwas zu setzen.

Am besten mal die VM Config hier Pasten, dann kann man es herauslesen.

 

[raspido]

Hier erstmal die VM Config:



Nur die Firewall habe ich auf keinem Gerät explizit eingestellt. Die Firewall die ich nutze um VLANs zu seperieren, Zugriffe zu steuern und so läuft an sich alles über den DreamRouter.

 

[sb-jw]

Hier erstmal die VM Config:

Am besten immer die Config selbst (qm config VMID) pasten und kein Screenshot. In der Config steht noch ein bisschen mehr als im Screenshot ersichtlich ist.

Die Firewall die ich nutze um VLANs zu seperieren, Zugriffe zu steuern und so läuft an sich alles über den DreamRouter.

Warum hast du dann das Flag "firewall=1" bei der NIC gesetzt? Dann solltest du diese auch überall raus nehmen und deaktivieren, wenn du diese eh nicht am Node verwendest.

Dann hat aber letztlich auch ein eventuelles Firewallproblem nichts mehr mit PVE zu tun, wenn du diese eh nicht verwendest.

Behandelt Proxmox VMs und LXC unterschiedlich bei VLAN / Netzwerkeinstellungen?

Am ende des Tages macht PVE genau das was du angibst. Was soll PVE hier anders handhaben? Wenn du ein VLAN Tag setzt, dann setzt PVE genau dieses VLAN Tag. Wenn du es falsch konfigurierst, die falsche Bridge nimmst oder das Kabel falsch steckst etc. pp. dann macht PVE dennoch genau das was du konfigurierst - nur kommt dann ggf. nichts an.
Ansonsten müsstest du etwas präziser werden oder deine Frage anders formulieren, denn so verstehe ich noch nicht worauf du hinaus willst.

 

[raspido]

Erstmal das Ergebnis von qm config 152:

root@Server2:~# qm config 152
agent: 1
bios: ovmf
boot: order=scsi0
cores: 2
cpu: host
description: <div align='center'><a href='https%3A//Helper-Scripts.com'><img src='https%3A//raw.githubusercontent.com/tteck/Proxmox/main/misc/images/logo-81x112.png'/></a>%0A%0A  # Home Assistant OS%0A%0A  <a href='https%3A//ko-fi.com/D1D7EP4GF'><img src='https%3A//img.shields.io/badge/&#x2615;-Buy me a coffee-blue' /></a>%0A  </div>
efidisk0: local-lvm:vm-152-disk-0,efitype=4m,size=4M
localtime: 1
memory: 2048
meta: creation-qemu=7.1.0,ctime=1701175662
name: haos11.2
net0: virtio=02:A3:74:62:60:FD,bridge=vmbr0,tag=10
onboot: 1
ostype: l26
scsi0: local-lvm:vm-152-disk-1,cache=writethrough,discard=on,size=32G,ssd=1
scsihw: virtio-scsi-pci
smbios1: uuid=577555a4-8e9e-4753-871f-d7aea8a49c42
tablet: 0
tags: proxmox-helper-scripts
vmgenid: fc306fd4-00b7-4622-b692-33aa629fd7c0

Den Harken bei Firewall hatte ich nur aktiviert um es wirklich "überall" gleich zu haben. Habe den aber wieder entfernt.

Und was ich mit meiner Frage erfahren wollte, ob die Einstellungen die ich fürs Netzwerk in einer VM mache gleich behandelt werden, wie die in einem LXC? Weil wie gesagt gleiche Einstellungen unterschiedliche Ergebnisse.

Aber eigentlich ist das nun ja nicht mehr ganz so entscheident. Es läuft nun. Auch wenn ich nicht verstehe, wieso die Einstellungen in der Firewall im DreamRouter für das Netzwerk IoTDev (VLAN 10) bei 2 verschiedene Geräte unterschiedlich wirken, auch wenn es nur dies gemeinsamen Einstellungen gibt. Also keine "seperaten Regeln" für eines der beiden Geräte.

 

[sb-jw]

Und was ich mit meiner Frage erfahren wollte, ob die Einstellungen die ich fürs Netzwerk in einer VM mache gleich behandelt werden, wie die in einem LXC?

Machst du denn wirklich Einstellungen im Gast-System oder auf dem HV für das Gastsystem? Das ist potenziell natürlich ein Unterschied, wenn du Einstellungen auf unterschiedlichen Ebenen vornimmst.
Ansonsten verstehe ich weiterhin nicht auf was du hinaus willst, was dein Gedankengang dazu ist und was du vermutest. Wie gesagt, wenn du das VLAN 10 für die vNIC 1 mit der bridge vmbr0 setzt und das bei beiden gleich machst, dann ist auch kein anderes Handling zu erwarten.

Es läuft nun. Auch wenn ich nicht verstehe, wieso die Einstellungen in der Firewall im DreamRouter für das Netzwerk IoTDev (VLAN 10) bei 2 verschiedene Geräte unterschiedlich wirken, auch wenn es nur dies gemeinsamen Einstellungen gibt. Also keine "seperaten Regeln" für eines der beiden Geräte.

Du hast uns aber immer noch nicht verraten, was genau du getan hast und wie deine Regeln aussehen - daher können wir auch hier deine Frage nicht im Detail beantworten.

 

[Bob.Dig]

@sb-jw Jetzt lass doch das Nachharken.
Es läuft und mehr ist auch nicht zu erwarten.