Hallo Ladies and Gentlemen,
aktuell sammle ich gerade erste Erfahrungen mit Proxmox durch ausprobieren, Kurse etc. .
Dabei bin ich auf ein Problem gestoßen, was ich nicht verstehe.
Ziel ist es, die VM's und CT's in einem separaten Netzwerk zu betreiben, welches nur Zugang zum GW (Gateway - FritzBox) hat, jedoch nicht zum physischen Netz (also alles andere,
was am GW dranhängt).
Um es etwas übersichtlicher zu halten habe ich meine gesamten Proxmox FW Einstellungen in Screenshots festgehalten und in eine Zip gepackt inklusive der Dateien
/etc/pve/firewall/cluster.fw, in welchen die Einstellungen zu den Aliasen und Security Groups geführt sind.
https://nc.mistermojo.de/index.php/s/7bydZF6KP66a5QB
Ich weiß natürlich das solche ZIP-Dateien mit Skepsis gesehen werden. Da kann ja sonstwas drin sein. Falls ich irgendwas tun soll damit ich die Datei gegenüber
euch verifizieren kann, teilt es mir ruhig mit. Ich habs auch über meine Nextcloud hochgeladen und nicht über einen anderen "free 0815 Dateihoster".
Das Problem ist, dass zwar die Adressvergabe über SDN funktioniert und sich die Maschinen untereinander auch im SDN sehen können, jedoch kein Ping zum GW möglich ist.
Getestet wurde dies mit einer Ubuntu 24.04 LTS VM, welche absolute Standardeinstellungen hat:
Das kuriose ist, dass laut log aus Proxmox die Pakete zumindest durch die Firewall durchgehen:
101 7 tap101i0-OUT 11/Jan/2026:18:31:25 +0100 ACCEPT: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=tap101i0 PHYSOUT=fwln101i0 MAC=ca:5f:4b:9f:17:b8:bc:24:11:d8:27:ad:08:00 SRC=10.10.10.50 DST=192.168.178.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=6330 DF PROTO=ICMP TYPE=8 CODE=0 ID=2894 SEQ=116
101 7 tap101i0-OUT 11/Jan/2026:18:31:26 +0100 ACCEPT: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=tap101i0 PHYSOUT=fwln101i0 MAC=ca:5f:4b:9f:17:b8:bc:24:11:d8:27:ad:08:00 SRC=10.10.10.50 DST=192.168.178.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=6396 DF PROTO=ICMP TYPE=8 CODE=0 ID=2894 SEQ=117
Ich dachte, dass es ja dann kein Fehler von Proxmox ist, sondern von meinem Netzwerk. Kurz dazu:
Gateway - Fritz Box - 192.168.178.1
-> Dlan von TP-Link 1
-> Dlan von TP-Link 2
-> Zyxel GS-1200 - 192.168.178.70
-> Proxmox-Server - 192.168.178.30
--> SDN-VNets: VCNet -> Subnet: 10.10.10.0/24 - GW: 10.10.10.1 - SNAT: Yes - DHCP-Ranges: 10.10.10.50 - 10.10.10.150
Allerdings ist ein Ping mit den entsprechenden Firewall-Regeln möglich, sobald ich das vmbr0 verwende, statt dem SDN (VCNet) Interface.
Dabei habe ich auch versucht, eine statische Route für 10.10.10.0/24 zu setzen und zum Proxmox-Server (192.168.178.30) zu leiten. Leider habe ich auch damit keinen Erfolg.
Ich würde gern verstehen, warum ein Ping über das SDN nicht möglich ist und welchen Denkfehler ich hier habe. Laut meiner Sicht müsste es funktionieren. Tut es ja aber offensichtlich nicht.
Weiterhin ist es auch kurios, dass ich auf dem Datacenter-Level die Firewall problemlos und OHNE Regeln aktivieren kann, ohne mich selbst auszusperren. Die Policy steht
auf Datacenter-Level auf auf "DROP". Ich kann jedoch weiterhin per SSH und auch Http/https auf die WebUI zugreifen. So als ob die Regeln gar nicht greifen würden.
Aus den Screenshots ist es schon ersichtlich, aber hier nochmal: Ich verwende Proxmox in der Version 9.1.4. Hab aber vorher die Version 8.4.14 (bzw. 16) verwendet,
wo das Verhalten ebenfalls vorkam.
Falls ich noch wichtige Infos vergessen haben sollte, so verzeiht mir. Ich reiche diese, so schnell wie möglich, nach.
Ich danke bis hierhin erstmal fürs lesen und fürs erleuchten. Hoffentlich....XD
Gruß Ben
aktuell sammle ich gerade erste Erfahrungen mit Proxmox durch ausprobieren, Kurse etc. .
Dabei bin ich auf ein Problem gestoßen, was ich nicht verstehe.
Ziel ist es, die VM's und CT's in einem separaten Netzwerk zu betreiben, welches nur Zugang zum GW (Gateway - FritzBox) hat, jedoch nicht zum physischen Netz (also alles andere,
was am GW dranhängt).
Um es etwas übersichtlicher zu halten habe ich meine gesamten Proxmox FW Einstellungen in Screenshots festgehalten und in eine Zip gepackt inklusive der Dateien
/etc/pve/firewall/cluster.fw, in welchen die Einstellungen zu den Aliasen und Security Groups geführt sind.
https://nc.mistermojo.de/index.php/s/7bydZF6KP66a5QB
Ich weiß natürlich das solche ZIP-Dateien mit Skepsis gesehen werden. Da kann ja sonstwas drin sein. Falls ich irgendwas tun soll damit ich die Datei gegenüber
euch verifizieren kann, teilt es mir ruhig mit. Ich habs auch über meine Nextcloud hochgeladen und nicht über einen anderen "free 0815 Dateihoster".
Das Problem ist, dass zwar die Adressvergabe über SDN funktioniert und sich die Maschinen untereinander auch im SDN sehen können, jedoch kein Ping zum GW möglich ist.
Getestet wurde dies mit einer Ubuntu 24.04 LTS VM, welche absolute Standardeinstellungen hat:
Das kuriose ist, dass laut log aus Proxmox die Pakete zumindest durch die Firewall durchgehen:
101 7 tap101i0-OUT 11/Jan/2026:18:31:25 +0100 ACCEPT: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=tap101i0 PHYSOUT=fwln101i0 MAC=ca:5f:4b:9f:17:b8:bc:24:11:d8:27:ad:08:00 SRC=10.10.10.50 DST=192.168.178.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=6330 DF PROTO=ICMP TYPE=8 CODE=0 ID=2894 SEQ=116
101 7 tap101i0-OUT 11/Jan/2026:18:31:26 +0100 ACCEPT: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=tap101i0 PHYSOUT=fwln101i0 MAC=ca:5f:4b:9f:17:b8:bc:24:11:d8:27:ad:08:00 SRC=10.10.10.50 DST=192.168.178.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=6396 DF PROTO=ICMP TYPE=8 CODE=0 ID=2894 SEQ=117
Ich dachte, dass es ja dann kein Fehler von Proxmox ist, sondern von meinem Netzwerk. Kurz dazu:
Gateway - Fritz Box - 192.168.178.1
-> Dlan von TP-Link 1
-> Dlan von TP-Link 2
-> Zyxel GS-1200 - 192.168.178.70
-> Proxmox-Server - 192.168.178.30
--> SDN-VNets: VCNet -> Subnet: 10.10.10.0/24 - GW: 10.10.10.1 - SNAT: Yes - DHCP-Ranges: 10.10.10.50 - 10.10.10.150
Allerdings ist ein Ping mit den entsprechenden Firewall-Regeln möglich, sobald ich das vmbr0 verwende, statt dem SDN (VCNet) Interface.
Dabei habe ich auch versucht, eine statische Route für 10.10.10.0/24 zu setzen und zum Proxmox-Server (192.168.178.30) zu leiten. Leider habe ich auch damit keinen Erfolg.
Ich würde gern verstehen, warum ein Ping über das SDN nicht möglich ist und welchen Denkfehler ich hier habe. Laut meiner Sicht müsste es funktionieren. Tut es ja aber offensichtlich nicht.
Weiterhin ist es auch kurios, dass ich auf dem Datacenter-Level die Firewall problemlos und OHNE Regeln aktivieren kann, ohne mich selbst auszusperren. Die Policy steht
auf Datacenter-Level auf auf "DROP". Ich kann jedoch weiterhin per SSH und auch Http/https auf die WebUI zugreifen. So als ob die Regeln gar nicht greifen würden.
Aus den Screenshots ist es schon ersichtlich, aber hier nochmal: Ich verwende Proxmox in der Version 9.1.4. Hab aber vorher die Version 8.4.14 (bzw. 16) verwendet,
wo das Verhalten ebenfalls vorkam.
Falls ich noch wichtige Infos vergessen haben sollte, so verzeiht mir. Ich reiche diese, so schnell wie möglich, nach.
Ich danke bis hierhin erstmal fürs lesen und fürs erleuchten. Hoffentlich....XD
Gruß Ben
