Problem mit Verbindung zu SPICE-Console

[CHoe]

Moin zusammen,

ich habe einen PVE Host eingerichtet und darin einen Win2022-Server als Testinstallation. Befinde ich mich im gleichen Netzsegment, funktioniert die SPICE-Console einwandfrei. Nutze ich meinen Laptop jedoch mobil via VPN befinde ich mich in einem anderen Netzsegment - natürlich abgesichert durch eine Firewall. Wenn ich von dort aus die SPICE-Console öffnen will, erhalte ich immer eine Fehlermeldung, dass die Verbindung nicht hergestellt werden konnte. Der Port 3128 TCP ist natürlich freigegeben.

Wenn ich auf dem Host via SSH mit tcpdump port 3128 -v die Ausgabe anschaue, dann kommt der Verbindungsrequest auch an, wird aber scheinbar im Anschluss direkt wieder geschlossen.

tcpdump: listening on eno1, link-type EN10MB (Ethernet), snapshot length 262144 bytes
17:19:27.263406 IP (tos 0x0, ttl 251, id 21628, offset 0, flags [DF], proto TCP (6), length 56)
    172.xx.xx.xx.64885 > HOST-FQDN.3128: Flags [S], cksum 0xb8c3 (correct), seq 866361705, win 8190, options [mss 1460,nop,wscale 8,nop,nop,sackOK,nop,nop,nop,nop], length 0
17:19:27.263438 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 52)
    HOST-FQDN.3128 > 172.xx.xx.xx.64885: Flags [S.], cksum 0xa5b4 (incorrect -> 0xaf8d), seq 2910064701, ack 866361706, win 32120, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
17:19:27.283060 IP (tos 0x0, ttl 124, id 18427, offset 0, flags [none], proto TCP (6), length 40)
    172.xx.xx.xx.64885 > HOST-FQDN.3128: Flags [R], cksum 0xca78 (correct), seq 866361706, win 24862, length 0

Leider kann ich keine Ursache für das Problem finden. Hat jemand einen Tipp für mich, wo ich da suchen kann?

Viele Grüße,
Carsten

 

[KevinS]

Schon mittels Wireshark ueberprueft, ob die Pakete tatsaechlich auf der Windows Maschine ankommen bzw. ob du ihn pingen kannst? GGf. koennte auch die retour Route das Problem sein, dazu muesste man das ganze Netzwerk Setup kennen.

 

[CHoe]

Auf der Firewall sieht alles gut aus und die Verbindung ist in beide Richtungen frei. Da Spice aber über den Spice-Proxy des PVE-Host läuft, sollten die Pakete doch nicht innerhalb der VM ankommen - oder habe ich das Prinzip hier falsch verstanden?

 

[devaux]

Wie baust Du die Verbindung denn auf?
Meines Wissens arbeitet der pve-spice-proxy mit Sessions. Es wird also bei jeder Anmeldung an die PVE-WebGUI ein neues Ticket (Passwort/Zertifikat) fuer die Verbindung mit Spice generiert. Dieses wird in der Verbindungsdatei abgelegt, die Du erhaeltst wenn Du ueber die WebUI von PVE die Spice-Verbindung anwaehlst.
Ich automatisiere dies mit diesem Script: https://github.com/Blub/pve-manager/blob/master/spice-example-sh
In meinem Fall mache ich dann immer einen SSH-Tunnel und binde mir die Ports 8006/TCP und 3128/TCP auf meinen Localhost.

 

[KevinS]

Auf der Firewall sieht alles gut aus und die Verbindung ist in beide Richtungen frei. Da Spice aber über den Spice-Proxy des PVE-Host läuft, sollten die Pakete doch nicht innerhalb der VM ankommen - oder habe ich das Prinzip hier falsch verstanden?

Da hast du natuerlich recht, mein Fehler. Ich dachte Spice kommuniziert direkt mit dem Host.
Hast du in /etc/default/pveproxy ggf. eine Einschraenkung der erlaubten Netze/IPs hinterlegt?

Ebenfalls lohnt sich ein blick in den pveproxy log in /var/log/pveproxy/access.log - hier sollte dann klar sein ob es an der Authentifizierung liegt.