Proxmox Netzwerk-Konfigurations Support

P

p.schakau

New Member
Nov 24, 2025
1
0
1
Hallo,
ich habe bei Hetzner einen Server gemietet und darauf Proxmox installiert. Kurze Zeit später habe ich durch eine Abuse-Mail von Hetzner erfahren dass jede VM-Instanz eine virtuelle MAC-Adresse bekommt um sich zu identifizieren, und unbekannte/neue MAC-Adressen sind von Hetzner nicht gestattet.
(Da ich sehr wenig Erfahrung mit Networking habe, bitte ich um Entschuldigung falls sich "offensichtliche" Fehler eingeschlichen haben)
Mein Ziel ist es, dass jegliche ausgehende Netzwerkaktivität unter der IP des Hosts läuft damit sich Hetzner nicht mehr beschwert.
Ich habe über das Proxmox GUI zwei Brücken angelegt, vmbr0 an meine Netzwerkkarte angeschlossen und vmbr1 manuell konfiguriert, sodass (in der Theorie) aller traffic meiner VM zuerst über vmbr1 geht, dort per SNAT auf die IP meines Hosts codiert wird, dann auf vmbr1 weitergeleitet wird und so ins Netz gelangt. Aktuell sieht es so aus:
Screenshot 2025-11-24 114654.jpg

Und in /etc/network/interfaces:

Screenshot 2025-11-24 115510.jpg

Von meiner VM aus kann ich zu vmbr1 pingen, aber nicht weiter als das. Ich schätze dass vmbr1 den traffic nicht richtig weiterleitet, weiß aber leider nicht wo ich weitermachen soll/wo der Fehler liegt.
Ich wäre sehr dankbar für jegliche Hilfe.
 
Hi, da soll das Proxmox VE System sich nur mit einer MAC-Adressen melden, die muss man wissen und auch setzen!
Der Provider sollte ein HowTo irgenwo anbieten, ich würde danach mal fragen.
 
Wenn die VMs direkt raus geroutet werden, sieht man natürlich die MAC Adressen.
Am besten sollte das ganze hinter einer Firewall stecken oder man macht NAT, dann sieht man draußen nix.
 
Wie @Falk R. schon schrieb, ist NAT hier die richtige Lösung, um die MAC-Problematik bei Hetzner zu umgehen. Das Problem in deiner aktuellen Config sind zwei kleine Details:
  1. Falsches Interface im NAT: Deine öffentliche IP und das Routing liegen auf vmbr0. Das ist dein logisches Ausgangs-Interface. enp5s0 ist technisch nur der "dumme" physische Port der Bridge. Die iptables-Regel greift aktuell ins Leere, weil die Pakete logisch über die Bridge rausgehen.
  2. IP-Forwarding: Damit der Host Pakete zwischen vmbr1 (intern) und vmbr0 (extern) überhaupt weiterreicht, muss das Forwarding im Kernel aktiviert sein.
Hier ist die korrigierte Konfiguration für deine vmbr1, die beide Punkte behebt:

Bash: 
auto vmbr1
iface vmbr1 inet static
    address 10.0.0.1/24
    bridge-ports none
    bridge-stp off
    bridge-fd 0
    # IP Forwarding aktivieren
    post-up   echo 1 > /proc/sys/net/ipv4/ip_forward
    # NAT Maskierung über das Bridge-Interface (vmbr0) statt enp5s0
    post-up   iptables -t nat -A POSTROUTING -s '10.0.0.0/24' -o vmbr0 -j SNAT --to-source 144.76.221.41
    post-down iptables -t nat -D POSTROUTING -s '10.0.0.0/24' -o vmbr0 -j SNAT --to-source 144.76.221.41

Damit "verstecken" sich alle VMs im 10er-Netz hinter der IP des Hosts, und Hetzner sieht nur die erlaubte MAC-Adresse des Hosts.
 
You must log in or register to reply here.
Top Bottom