LXC Container, VLAN und SYN/ACK packages

Z

zeropage

Member
Feb 6, 2022
15
0
6
34
Hallo allerseits,

ich betreibe Proxmox auf einem Mini-PC und OPNsense auf einem weiteren. Beide sind über einen Zyxel managed Switch miteinander verbunden. Es gibt ein Management VLAN5 und 2 weitere (VLAN10 und VLAN20). Auf Proxmox sind 4 VMs konfiguriert. Jeweils 2 in einem der beiden VLANs. Die VMs können untereinander innerhalb eines VLAN kommunizieren. Verbindungen über VLANs hinweg gestatte ich in der OPNsense Firewall. Soweit alles bestens.

Nun habe ich zum ersten Mal einen LXC-Container eingerichtet. Auch bei ihm habe ich am Network Device ein VLAN-Tag angegeben. Nun habe ich leider ein Problem mit der Netzwerkkommunikation zu diesem Container. Wenn ich von einer VM in demselben VLAN zum Beispiel per curl oder netcat mit dem zugehörigen Service im Container kommunizieren möchte, kommt keine Antwort. Im Live Log der OPNsense sehe ich, dass SYN zwar klappt, dann aber SYN/ACK abgewiesen wird. Dafür habe ich leider überhaupt keine Erklärung.

Muss man da bei den LXC etwas besonderes beachten oder wie kann ich das Problem weiter diagnostizieren?
 

Attachments

  • proxmox1.png
    proxmox1.png
    25.1 KB · Views: 3
  • proxmox3.png
    proxmox3.png
    35 KB · Views: 3
Mach mal die Firewall auf dem Adapter aus. Es ist zwar selten, aber ich habe schon Probleme gehabt wenn der Haken drin war. Die Firewall hatte immer wieder die MAC dieser NIC angemeckert.
 
Danke Falk, das merke ich mir für's nächste Mal.

Tatsächlich ist die Lösung aber eine andere. Ich habe beim Network Device die Netzmaske der IPv4 falsch angegeben. Dort muss es /24 statt /32 heißen.

Es ist mir etwas peinlich, aber ich habe die Auswirkungen dieser Bitmaske nie ganz verstanden. Die gibt es ja wohl schon seit Anbeginn von Netzwerkkarten.

Leider bin ich erst nach einigen Stunden drauf gekommen, weil ich die ganze Zeit an anderen Stellen gesucht habe. Meist auf der OPNsense, weil es dort zum Blocken der Antwort-Pakete kam. Falls jemand Lust hat, kann er mir gerne mal den Zusammenhang erklären.
 
Last edited:
Wie Bitmasken und Subnetze grundsätzlich funktionieren, ist mir bekannt. Aber welche Auswirkung die Netzmaske am Netzwerk-Interface eines Clients bewirken soll, eben nicht. Bisher habe ich da immer pauschal /24 bzw. 255.255.255.0 konfiguriert. Manchmal sehe ich auch /26 oder /28. Aber was bedeutet das für's Betriebssystem? Ich dachte, Router und Switche sind für die Aufteilung in Subnetze zuständig.
 
Genau das ist da ja beschrieben. Du teilst mit /28 dein /24 Netzwerk in mehrere getrennte kleine Teile. Wenn dazwischen kommuniziert werden soll muss das dann über einen Router gehen. Die Switches transportieren nur, konfigurieren und Subnetzgröße gibst du mit der Maske vor.
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back