Probleme mit der Netzwerkkonfiguration mit Containers

[CainDawson]

Hallo,

einmal eine Anfrage an euch zu dem Problem mit CT (Container) im Proxmox, die ich habe! Ich komme einfach nicht weiter.

Screenshot 2025-09-26 091126.png
Die Netzwerk Einstellung vom VE Proxmox des Server Master!

Screenshot 2025-09-26 091232.png
Die SDN Einstellung

Screenshot 2025-09-26 091307.png
Die Zone als Typ simple hinterlegt

Screenshot 2025-09-26 091414.png
Das VNets auf die Zone die ich simple hinterlegt habe

Screenshot 2025-09-26 091514.png und Screenshot 2025-09-26 091539.png
Das Subnetz allgemein mit DHCP-Bereich wie ich es hinterlegt habe, mit den FailOver IP-Adressen

Screenshot 2025-09-26 091639.png
Die IPAM, die mir eine Chronik ausgibt wie eine IP-FailOver genutzt wird

Screenshot 2025-09-26 091733.png
Der CT (Container) mit folgender Netzwerkeinstellung

Screenshot 2025-09-26 092200.png
Vom VE die /etc/network/interfaces

Screenshot 2025-09-26 092304.png
Von VE die /etc/network/interfaces.d/sdn

Nachdem ich heute Nacht den Server wieder ausgeschaltet habe und wieder eingeschaltet habe, habe ich festgestellt, dass folgende Einstellungen zurückgesetzt sind:

Ausgabe war wieder so:

net.ipv4.ip_forward = 0
net.ipv6.conf.all.forwarding = 0

Für IPv4 und IPv6:

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv6/conf/all/forwarding

Änderungen anwenden:

systemctl restart systemd-sysctl

Prüfen, ob das forwarding aktiv ist:

sysctl net.ipv4.ip_forward
sysctl net.ipv6.conf.all.forwarding

Ergebnis:

net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1

Dann hab ich festgestellt das unter ip a die vm100 die ich als Container hinterlegt habe, wieder nicht im Internet erreichbar war. Nachdem ich aber folgendes gemacht habe:

ifdown vmbr0; dhcpcd -d
ifup vmbr0; dhcpcd -d

lieg auf der VM100 (Container) wieder Internet an.

Was mich noch stört und nervt ist, dass ich aber per winSCP als Root mit Passwort nicht auf die VM drauf komme. Die Net-Tools spuckt aber folgendes aus auf der VM100 (Container): Screenshot 2025-09-26 095705.png

Und das wäre noch die ip a auf dem VM100 (Container): Screenshot 2025-09-26 095740.png

Hab ich evtl. irgendwas mit den iptables verhauen auf der VE (Proxmox) oder auf der VM100 (Container) irgendwas vergessen?

Ich hab seit dem Neustart des Servers folgende Befehle ausgeführt:

iptables -t nat -A POSTROUTING -s '204.***.***.21/24' -o vmbr0 -j SNAT --to-source 204.***.***.21
iptables -t nat -D POSTROUTING -s '204.***.***.21/24' -o vmbr0 -j SNAT --to-source 204.***.***.21
iptables -t raw -I PREROUTING -i fwbr+ -j CT --zone 1
iptables -t raw -D PREROUTING -i fwbr+ -j CT --zone 1
iptables --list

iptables --list bleibt aber leer! Was mich wundert oder ist das normal? Bei den Befehlen gab es keine Fehlermeldung zurück.

ifdown vmbr0; dhcpcd -d
ifup vmbr0; dhcpcd -d

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv6/conf/all/forwarding
systemctl restart systemd-sysctl
sysctl net.ipv4.ip_forward
sysctl net.ipv6.conf.all.forwarding

Hättet ihr dazu noch eine Idee? Ich weiß, meine Fragen sind wirklich speziell, aber ich versuche alles damit ich es zum Laufen bekomme, ohne dass ich ständig nach einem Reboot wieder Manuel erstellen muss. Ich bin wirklich der Meinung, dass ich irgendwas übersehe oder vergessen habe!

Das Proxmox wurde nach der Anleitung aufgebaut: Proxmox VE: Installation und Grundkonfiguration
Einige Teile wegen der Netzwerk Konfiguration aus dem Proxmox Wiki und aus dem Artikel von Hetzner.

Wenn Ihr noch was wissen wollt, dann teilt mir es bitte mit!

Danke für eure Unterstützung!

Liebe Grüße
CainDawson

 

[news]

Vielleicht liest Du als Erstes mal deinen Post selbst, und fragst Dich bitte: verstehst Du selbst etwas?

Was ist dein Ziel?

Einfach im Netzwerk vmbr0 auswählen und den Router mit dhcpd die Arbeit machen lassen.

 

[CainDawson]

Die Frage ist viel mehr, was dein erster Absatz soll? Ich bin Neuling was Proxmox betrifft und lese mich seit Tagen selbständig in sämtlichen Anleitungen durch, nebst YouTube-Videos. ;-) Wenn ich irgendwas Falsch mache, dann sag es mir bitte. ;-)

Das Ziel für mich ist, dass ich Proxmox als Virtualisierung, wozu es entwickelt wurde, nutzen kann, um zwei VM und zwei CT nutzen zu können. Da ich Unkosten einsparen möchte, durch die ganzen Server die ich habe. Mir ist wichtig, dass die Netzwerkstabilität vorhanden ist, die es ja, laut dem, was ich schreibe, nicht der Fall ist, wenn Einstellungen wieder zurückgesetzt werden. Wie oben beschrieben!

Die IP-Verteilung mit der Methode DHCPD läuft ja. Und die Fall Beispiele habe ich oben benannt, was nach einem Reboot oder Stop, Start verfahren dann passiert.

Daher auch meine Frage; was mache ich ggf. falsch oder habe ich was vergessen, zu konfigurieren, was mir auf Anhieb nicht aufgefallen ist.

 

[news]

Es ist gar nicht klar was Dein Ziel ist, dein erster Beitrag ist völlig unverständlich.
Und was sollen immer diese Bildnamen im Text?

Was sollen denn die Änderungen am Netzwerk und die iptables Einstellungen bewirken?

 

[CainDawson]

Entschuldige bitte, da ist mir ein Fehler unterlaufen. Die Fotos habe ich oben angehängt! Das hätte man auch im ersten Post doch erwähnen können. ;-)

Hier die letzten zwei Fotos noch, da man nur 10 Fotos anhängen kann! Damit mein Anliegen nun vollständig ist.

Was mein Ziel ist, habe ich eben erklärt. Ich möchte einen HOST, worin ich meine virtuellen Maschinen erstellen kann und entsprechend Webserver und was auch immer nutzen kann. ;-)

 

[news]

Ok, ich hatte keine Bilder in meinem Feed!

Also was soll das ganze SDN? Lass es weg und arbeite mit den Basic.
Die SDN muss man vorher auch einrichten.
Dananch ein neues Netwerksegment festlegen und den Proxmox VE Host als default Gateware nutzen.
Dann hat man ein NAT in die Welt zur Verfügung.
Aber von ausserhalb - der Welt - kommt man nicht mehr direkt auf die VM oder LXC.
Oder anders ausgedrück SDN isoliert Dir die VM oder LXC vom realen Netz.

 

[CainDawson]

Ja wie gesagt das mit den Fotos, war mein Fehler, habe ich vergessen Hochzuladen!

SDN vereinfacht mir das ganze doch mit den Failover IP-Adressen, dass ich nicht ständig eine Failover IP-Adresse im VE Manuel hinterlegen muss. So wurde das erklärt. Man bedenke bitte, dass ich aktuell nur zwei Failover-IPS zwar habe, aber in naher Zukunft kommen ganze Subnetze noch dazu. Da ist eine schöne Übersicht dank der SDN am Ende doch vereinfachter für mich, gerade weil über die IPAM alles aufgelistet werden kann, was aktuell in der Nutzung ist.
Was meinst Du direkt mit Basic?
Was muss man den bei SDN noch einrichten? Es funktioniert ja auf einen CT wie auf den Fotos zu sehen, dass mit SDN eine Netzwerk Verbindung hergestellt wird. Die Schritte, die oben benannt habe, die nach einem Reboot oder Start/Stop der Fall ist, muss ja irgendwie dauerhaft gespeichert werden können auf meiner VE.

Unter ein neues Netzwerksegment festlegen meinst Du sicherlich ein vmbr1, statt vmbr0 zu nutzen oder was meinst Du jetzt direkt damit?

 

[news]

@CainDawson ich hatte Dir den Hinweis zum einrichten des SDN gegen, jetzt sollte von Dir der Link zum Proxmox Wiki folgen und die Antwort folgen, jepp ist gemacht.

 

[CainDawson]

Was SDN betrifft, bin ich danach gegangen:

Die Konfiguration erfolgt über die Web-Benutzeroberfläche auf Rechenzentrumsebene und ist in die folgenden Abschnitte unterteilt:
SDN:: Hier erhalten Sie einen Überblick über den aktuellen aktiven SDN-Status und können alle ausstehenden Änderungen auf den gesamten Cluster anwenden.
Zonen : Erstellen und verwalten Sie virtuell getrennte Netzwerkzonen
VNets VNets: Erstellen Sie virtuelle Netzwerkbrücken und verwalten Sie Subnetze

Quelle: https://pve.proxmox.com/pve-docs/chapter-pvesdn.html#pvesdn_main_configuration

Das klappt ja auch auf den Containern so weit. Die Probleme, die ich ja sonst habe, habe ich oben ja erläutert, zwecks Verbindungsverlust!

 

[news]

Danke, sind die Schritte ab " Installation, SDN Core" durchgeführt worden?

 

[CainDawson]

Natürlich … Siehe Anhang. Nicht zu vergessen, dass dies automatisch Installiert ist, da ich die aktuellste Version Proxmox verwende und bisher keine ältere Version als 9.0.10 bisher verwendet habe. Das ist die erste Version bisher. Da ich bisher nicht mit Proxmox gearbeitet habe!

Auch der Vermerk in den Interfaces ist hinterlegt, das bereits automatisch:

source /etc/network/interfaces.d/*

 

[bluesite]

zu dem Problem mit deinem folgenden Eintrag

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv6/conf/all/forwarding
systemctl restart systemd-sysctl
sysctl net.ipv4.ip_forward
sysctl net.ipv6.conf.all.forwarding

Die Sachen einfach unter /etc/sysctl.d/sysctl.conf
aktivieren bzw eintragen dann sind die auch nach einem Reboot wieder aktiviert

 

[news]

zu dem Problem mit deinem folgenden Eintrag

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv6/conf/all/forwarding
systemctl restart systemd-sysctl
sysctl net.ipv4.ip_forward
sysctl net.ipv6.conf.all.forwarding

Die Sachen einfach unter /etc/sysctl.d/sysctl.conf
aktivieren bzw eintragen dann sind die auch nach einem Reboot wieder aktiviert

Aber wieso braucht er das?
Ich nutze auch SDN im Simple Net mit SNAT und DNAT und ändere nichts an diesen Parametern.

 

[CainDawson]

zu dem Problem mit deinem folgenden Eintrag

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv6/conf/all/forwarding
systemctl restart systemd-sysctl
sysctl net.ipv4.ip_forward
sysctl net.ipv6.conf.all.forwarding

Die Sachen einfach unter /etc/sysctl.d/sysctl.conf
aktivieren bzw eintragen dann sind die auch nach einem Reboot wieder aktiviert

Ganz lieben Dank! An die Datei hab ich gar nicht gedacht!

Aber wieso braucht er das?
Ich nutze auch SDN im Simple Net mit SNAT und DNAT und ändere nichts an diesen Parametern.

Ok, dann erkläre mir bitte, damit die Meinungen nicht so weit auseinander gehen, wie ich das dann realisieren soll und wie ich die CT entsprechend auch dauerhaft im Internet habe, sowohl die Ports wie 22 verwenden kann.
Denn ich finde keine wirkliche Lösung aus meinem Blickwinkel aktuell. Ich weiß, dass eine Art Community Support eine kostenlose Lösung ist und man gerne anderen zwar Helfen möchte und man dabei nichts verdient und den User entsprechend logische Denkweisen geben möchte. Aber ich hab aktuell wirklich kein Ansatz mehr, was ich falsch mache?


Das Gleiche bei den VM, da bekomme ich weder mit Windows noch mit Linux überhaupt keine Verbindung.

Edit: Wie ich auf die Weiterleitung überhaupt komme, ist aus dem Artikel: https://community.hetzner.com/tutor...e/de#ip-weiterleitung-auf-dem-host-aktivieren

 

[bluesite]

was willst Du denn überhaupt genau machen von Setup her, das habe ich nicht ganz verstanden aus den Posts

 

[CainDawson]

Ich habe aktuell 3-4 Server am Laufen. Kostenpunkt mehrere Hundert Euros.

Ich hab mir gedacht das ich mir Virtualizor zulege um sog. VPS zu erstellen. Leider klappte das mit einigen Punkten für AMD CPUs nicht. Wegen SVM und RVI. Mein Hoster sagt, ich soll am besten Proxmox nutzen. Da dies unterstützt wird.

Also, was ich möchte ist Folgendes:

Ich habe IP-Adressen ohne Ende. Kann diese jederzeit als FailOver aktivieren, dass ich Sie zusätzlich nutzen kann.

Ich möchte Proxmox VE nutzen, um VM und CT erstellen zu können.
Aus 3-4 Server eben nur einen machen, wo ich Virtualisierte Maschinen, am besten mit VM errichten kann, als wäre es eben halt ein Virtueller Server, wo ich dann entsprechend meinen Sachen ablegen kann. Wie man ein vollständigen Webserver erstellt und einrichtet, ist mir ja bekannt.

Ich komme einfach nur nicht damit klar, dass ich keine richtige Konfiguration finde, wie ich das hinbekomme, dass, wenn ich eine FailOver IP nutze, mit Ubuntu 24.04 als VM eine Internetverbindung herstellen zu können, mit allen möglichen, wichtigen Ports, wie z. B. 22.

IP1 = Proxmox (als IPv4 & IPv6)
FailOverIP1 = VM1 (als IPv4 & IPv6)
FailOVerIP2 = VM2 (als IPv4 & IPv6)
usw.

IP-Adressen sind wie gesagt mehr als genug vorhanden! Sowohl IPv4 als IPv6. Ich hab bisher in diesem Thema nur mit IPv4 erstmal probiert. Also nicht wundern, warum ich jetzt IPv6 mit erwähne.

Eine reine Virtualisierung auf dem HOST mit sog. VM's. Ich scheitere einfach an der Netzwerk Konfiguration. Bin gerne bereit, mich weiterzubilden, mit Hilfe, um noch mehr mein Wissen zu stärken, aber einiges wie oben benannt, hab ich auch nicht wirklich verstanden von User news.

 

[news]

Ok, dann erkläre mir bitte, damit die Meinungen nicht so weit auseinander gehen, wie ich das dann realisieren soll und wie ich die CT entsprechend auch dauerhaft im Internet habe, sowohl die Ports wie 22 verwenden kann.
Denn ich finde keine wirkliche Lösung aus meinem Blickwinkel aktuell. Ich weiß, dass eine Art Community Support eine kostenlose Lösung ist und man gerne anderen zwar Helfen möchte und man dabei nichts verdient und den User entsprechend logische Denkweisen geben möchte. Aber ich hab aktuell wirklich kein Ansatz mehr, was ich falsch mache?

Nun dein "Ton" ist mir zu scharf. Ich muss meine Erkenntnisse und das ist keine Meinung mit Dir teilen.

 

[news]

Bitte male Dir mal ein Netzwerkblase mit dem Netzwerk des Providers und der internen Netzwerkstucktur des Proxmox VE Setup auf.

SDN im Simple Netwerk verwende dann nur Private Netzwerke, bzw. Teile als -Segmente hieraus:

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

Ich denke, das ist das Kopfkino, welches Dir noch fehlt.

Der Part SDN, führt ein Source NAT - Network Address Translation durch und "map" die Anfragen von Innerhalb des lokalen SDN-Netzwerks , z.B. vnet0 == 10.0.0.0/24 gw 10.0.0.1 (Proxmox VE Host), auf die öffentliche (Router-)IP des Proxmox VE Server. Mit dieser (Router-)IP als "Absender" werden dann deine Datenpaket in die "IP-Welt" geleitet.
Danach kommt vielleicht ein Datenpaket zurück und es erfolgt eine Rücktransformation auf das lokale SDN-Netzwerk, vnet0 == 10.0.0.0/24, und den Anfragenden lokalen Host/ Port 10.0.0.100 aus dem SDN-Netzwerk.
Das funktioniert nur, wenn der Weg "schon" offen ist.
Aus dem "bösen" Internet kann man nicht über den Proxmox VE Server auf das interne und lokale Netzwerkv, net0 == 10.0.0.0/24, zugreifen. Punkt.

Ich vergleiche das mal mit der Funktion einer Fritz!Box vDSL, die erhält vom Provider der Telekom eine öffentliche IPv4 und IPv6 adresse, intern und im lokalen Netzwerk herscht per Default das Netwerksegment 192.168.178.0/24 vor.
Die Fritz!Box als SNAT Router erhält per default die IP 192.168.178.1, diese IPv4 ist auch das Default-Gateway in diesem Netz.

Also diese Funktion wird mit den "Hausmitteln" über die GUI des Proxmox VE SimpleNET SDN abgebildet.
Die lokalen und internen IPv6 bleiben alle Intern und Privat und genau so ist es gedacht, diese von der "Welt" zu isolieren.

Denke mal an eine virtualisierte Firewall auf dem Proxmox VE Host, und wie man das interne lokale Netz nach außen öffnen könnte.
Für Zugriffen von außerhalb per HTTP (tcp/80) und HTTPS (tcp/443) auf Hosts innerhalb dem interne lokale Netz kann man eine andere Lösung wählen. Welche?

 

[bluesite]

ich würde eher Port 22 hinter nem vpn wie Tailscale verstecken bei den Host dann kann niemand von außen angreifen, für die restlichen Dienste wie https würde ich dann sowas wie caddy oder traefik nutzen so muss man nicht jeden einzelenen Host nach außen exposen und ist da nochmals geschützt

 

[CainDawson]

Mal ein Update:

Ich hab das ganze SDN aktuell mal verbannt. Um auf folgendes einmal auf Testzwecken zurückzugreifen:

Ok, ich hatte keine Bilder in meinem Feed!

Also was soll das ganze SDN? Lass es weg und arbeite mit den Basic.
Die SDN muss man vorher auch einrichten.
Dananch ein neues Netwerksegment festlegen und den Proxmox VE Host als default Gateware nutzen.
Dann hat man ein NAT in die Welt zur Verfügung.
Aber von ausserhalb - der Welt - kommt man nicht mehr direkt auf die VM oder LXC.
Oder anders ausgedrück SDN isoliert Dir die VM oder LXC vom realen Netz.

Den jetzt macht es langsam mehr oder weniger klick. Wenn ich SDN nutze, isoliere ich somit die VM oder CT. Damit die Isolierung aber funktioniert, muss ich das per Firewall entsprechende Ports, wie weiter unten deisolieren. Das Gleiche wäre aber auch der Fall, wenn es Basic wäre, oder nicht? Weil unter Basic verstehe ich, dass ich direkt auf die vmbr0 gehen sollte. Was ich, wie weiter unten beschrieben, nun einmal gemacht habe:

Eine VM auf vmbr0 gesetzt und per Installier von Ubuntu die Haupt-IP als Gateway hinterlegt. Und die IP-Adresse, die ich auf der VM haben möchte. Das hat so weit nun auch endlich geklappt. Ist nur blöd, weil ich so keinen Überblick habe am Ende, welche IP-Adressen in Verwendung sind und welche nicht. Gibt es da eine andere Möglichkeit, mit Proxmox das ganz zu Protokollieren? Sodass ich wie im IPam eine schöne Auflistung habe?

Dann hab ich auch das Problem, dass nach dem Ubuntu installieren, ich einen anderen Benutzername anlegen soll. Mir reicht es aber als root Benutzer. Wie kann ich das machen? Mir ist das irgendwie neu, dass ich zwingend ein weiteren Benutzer anlegen muss. Hab ich das irgendwas verpasst?

Jetzt mal kurz zu den neuen Beiträgen.

Nun dein "Ton" ist mir zu scharf. Ich muss meine Erkenntnisse und das ist keine Meinung mit Dir teilen.

Das war von mir auch nicht böse gemeint. Nur ich setze mich mit Proxmox halt erst seit einigen Tagen auseinander. Und ich suche halt eben irgendwie Hilfe, das ganze umsetzen zu können, wie ich mir das wünsche.

[...]

Denke mal an eine virtualisierte Firewall auf dem Proxmox VE Host, und wie man das interne lokale Netz nach außen öffnen könnte.
Für Zugriffen von außerhalb per HTTP (tcp/80) und HTTPS (tcp/443) auf Hosts innerhalb dem interne lokale Netz kann man eine andere Lösung wählen. Welche?

Das hab ich so weit verstanden! Damit ich in die Außenwelt, als Bsp. natürlich per HTTP eine Webseite dann bekomme oder ein Tool, etc. muss natürlich der Port 80 etc. offen sein. Das sind dann Firewall Einstellungen. Hab mir dazu ein weiteres Video gefunden und mir das ganze angeschaut. Ohne die entsprechenden Firewall Regeln wird auch keine VM / CT etc. ins Internet gesendet und somit auch keine Abrufbar sein.

Aber das ganze könnte man trotzdem auch mit dem SDN machen? Er spiegelt zwar intern auf dem Server ja als privates Netzwerk wider, aber letztlich ist die Kommunikation vom Endbenutzer, der im Internet ist, trotzdem die öffentliche Failover IP, oder nicht? So konnte ich das etwas aus einem der ganzen Video Erklärungen entnehmen?! Man muss dann halt wie auch per vmbr0 ebenfalls noch die Firewall einstellen oder sehe ich da was falsch?

Grundsätzliche Lösung ist, um die Ports offen zu haben, Iptables einstellen. Entweder direkt über das Datecenter, worauf direkt alle Nodes (Server) darauf zugreifen oder die einzelnen Nodes entsprechend die Firewall nur konfigurieren. Sehe ich doch richtig so?

IPv6 würde ja letztlich als FailOver genau das Gleiche sein, was das Anlegen betrifft am Ende. IPv6 ist aber gerade in der Test Umgebung erstmal nicht so wichtig.

ich würde eher Port 22 hinter nem vpn wie Tailscale verstecken bei den Host dann kann niemand von außen angreifen, für die restlichen Dienste wie https würde ich dann sowas wie caddy oder traefik nutzen so muss man nicht jeden einzelenen Host nach außen exposen und ist da nochmals geschützt

Der Port 22 war jetzt auch nur erstmal als Standard beziffert. Der SSH Port jeder VM, als auch der Nodes (Server) wird immer auf einen anderen Port sein und der Port 22 wird entsprechend direkt abgeschaltet. Wie bisher auch. Und per Fail2Ban lässt sich das ganze ja auch gut Regeln, für den Fall das doch mal jemand den SSH Port herausbekommt, das bei 1-2-3 Versuchen eine entsprechende IP-Sperre greift. Da gibt es ja einfache Methoden.

Tailscale, Caddy oder Treafik sind Sachen, die kenne ich gar nicht. Noch nie von gehört direkt.


Jedenfalls danke für eure Bemühungen mir zu helfen, dass ich eine gute Lösung finde und anwenden kann.