Routing Problem (Hetzner VLAN)

[gtrdriver]

Hallo zusammen

ich habe hier einen Proxmox Host bei Hetzner aufgesetzt - soweit so gut.
Dieser hängt aktuell an der öffentlichen IP (Host mit WEBIF und SSH) und ist auch aktuell nur darüber erreichbar.
Auf diesem Proxomox host laufen mehrere VM Gäste die sich mit anderen bei Hetzner stehenden Servern über das VSWICHT (VLAN) System verständigen können. (192.168.1.x und 192.168.50.x)
Zudem gibt es auf einem anderen Hetzner server eine Router VM mit VPN Server um externe Clients in das Subnetz zu bringen.

Was ist mein Ziel:

ich möchte gerne das Proxmox Web interface auch via dem internen Subnetz (192.168.50.x) auf VLAN 4001 erreichen. UND auch via VPN (192.168.50.x) - s2s

Mangels besserem Wissen hab ich jetzt mal ne zusätzliche Bridge angelegt:

auto vmbr1
iface vmbr1 inet static
<------>address 192.168.50.10/24
<------>bridge-ports enp9s0.4001
<------>bridge-stp off
<------>bridge-fd 0

Damit kann ich nun den Proxmox Host (192.168.50.10) von jedem im VLAN 4001 befindlichen Gerät pingen - soweit so gut.
Aber via VPN funktioniert es nicht.

ich vermute dass das an dem default Gateway liegt welche ja auf die öffentliche IP zeigt und daher vermute ich dass die Ping Anfrage von der router VM noch empfangen und dan Proxomx geht - aber dort nicht mehr zurück kommt weil diese an das falsche Gateway gesendet wird. (Achtung - gefährliches Halsbissen)

Kann mir jemand sagen wie ich das lösen kann ?

Die Router VM hat die IP 192.168.50.1 im VLAN 4001

CU
GTR

 

[uschatko]

Du musst dem Router ein zweites Bein geben, auch im 192.168.1.0/24, dann die Routen richtig setzen. Auf den Clients (VMs) den Router als Gateway definieren. Beim Proxmox ein Bein auf die offizielle IP und ein Bein ins Vswitch Netz reicht.
Hetzner hat dazu auch nette Anleitungen suche dort nach ESX. Das kannst Du sinngemäss umsetzen.
Was mir etwas rätselhaft ist, wo terminiert das VPN? Auf dem Proxmox? Ohne zusätzlicher IP wird das eher nicht funktionieren. Oder belastest Du den Proxmox noch mit NAT?

 

[gtrdriver]

Hallo erstmal und danke für den Post.

Ich bin mir nicht ganz sicher ob ich mein Anliegen richtig beschrieben habe ...

Ich habe bei Hetzner mehrere Server gemietet die alle Virtualisierer spielen und auf einem ist eine PFSENSE Routing VM drauf - diese hängt dann an einem bestellten Subnet und stellt Intern auf LAN Seite dann 2 VLAN´s zur Verfügung: 192.168.0.x und 192.168.50.x

Ich setzte bisher Überwiegend Hyper-V ein die VM´s bekommen eine NIC mit dem VLAN Tag (4000 oder 4001) und auf der HYPER-V Hostseite erzeugt man eine neue VNIC welche man an die bestehende Bridge hängt und weist dieser das passende VLAN 4001 zu. Dann zieht sich die entsprechende NIC brav eine IP von Pfsense im 192.168.50.x Netz.

Bei Proxmox ist die Vorgehensweise was die VM´s angeht identisch - funktioniert auch Prima...
Nur den Proxmox Host bekomme ich nicht im VLAN zum laufen - genauer - zum laufen schon - aber halt nur im VLAN und nicht über z:B: das VPN das an der PFSENSE terminiert was mir sagt dass es ein Routing Problem ist...

CU
GTR

 

[uschatko]

Ahh das klingt schon besser
Der Proxmox kennt schon die Route ins VPN?
Ein Ausflug auf die shell sollte das klären, was sagt :

ip route show

Die offizielle IP bitte löschen vor dem posten, muss ja nicht jeder wissen.

 

[gtrdriver]

Hallo

JA - gute idee

default via 5.9.60.xxx dev vmbr0 proto kernel onlink
5.9.60.xxx/27 dev vmbr0 proto kernel scope link src 5.9.60.xxx
192.168.50.0/24 dev vmbr1 proto kernel scope link src 192.168.50.10

 

[uschatko]

Da haben wir es.
Probiere bitte mal:

ip r a 192.168.1.0/24 via 192.168.50.10

Wenn das klappt musst Du es nur noch dem Networkmanager geben.
https://wiki.ubuntuusers.de/systemd/networkd/

 

[gtrdriver]

Hi

Frage - warum 192.168.1.0 ?

Das "verwaltungsnetz" der Hypervisoren ist 192.168.50.x/24

Oder ist 192.168.1.0 das VPN Netz ?

 

[uschatko]

Oben hast Du geschrieben das dein VPN die 192.168.1.0/24 hat. Die Route muss der Proxmox kennen wenn das default gateway nach Hetzner geht. Sonst probiert er die 192.168.1.0 über das Hetznernetz zu erreichen. Das ist ja falsch.
Wobei ich aus Sicherheitsgründen, sämtliche Zugriffe aus dem weiten Netz auf den Proxmox unterbinden würde, ich habe das über die Hetzner Firewall gelöst. Damit ich im Notfall doch noch rankomme... Genauso wie auf die Router VM-Verwaltung, ich nutzen opnsense und habe das so gebaut das ich 2 Stk hintereinander kaskadiert habe. Die erste hat die IP vom Subnetz auf die von Hetzner geroutet wird. Die macht erstmal alle anderen IPs zu und gibt nur noch die IP/Port Kombis frei die nötig sind. Die gehen dann zur zweiten Firewall, die macht dann VPN, VLAN und den ganzen anderen Quatsch. Gerade bei Hetzner ist es interessant was so abgeht wenn man sich mal den Live-Firewall Traffic ansieht.

 

[gtrdriver]

Hmm - evtl nochmals unklar ausgedrückt

Neuer Versuch:

Öffentliche IP Router VM <> PFSENSE <> 2x LAN via VLAN:

Lan1: 192.168.0.1/24 (für die VM´s - hat nix mit dem Verwaltungslan zu tun
Lan2: 192.168.50.1/24 - Lan nur für die Verwaltung der Hypervisoren

Testaufbau:

ich sitze hier nun an einem lokalen Rechner und baue mittels einer lokalen PFSENSE eine OpenVPN Verbindung zur PFsense im RZ auf.

Testweise habe ich nur das Verwaltungs LAN (192.168.50.1/24) als einziges Ziel im VPN angegeben - führe ich jetzt einen Traceroute von der PFSENSE lokal auf das entfernte Netzt aus schaut das wie folgt aus:

Von einem Lokalen Client <> Pfsense <> Openvpn <> Pfsense Hetzner <> Hyper-V Hypervisor (192.168.50.20:

root@vdrserver:~# traceroute 192.168.50.20
traceroute to 192.168.50.20 (192.168.50.20), 30 hops max, 60 byte packets
 1  192.168.1.1 (192.168.1.1)  0.352 ms  0.387 ms  0.435 ms
 2  10.0.10.1 (10.0.10.1)  24.980 ms  25.041 ms  25.125 ms
 3  192.168.50.20 (192.168.50.20)  25.794 ms  26.061 ms  25.988 ms

Von einem Lokalen Client <> Pfsense <> Openvpn <> Pfsense Hetzner <> Proxmox Hypervisor (192.168.50.10:

traceroute to 192.168.50.10 (192.168.50.10), 30 hops max, 60 byte packets
 1  192.168.1.1 (192.168.1.1)  0.207 ms  0.292 ms  0.184 ms
 2  10.0.10.1 (10.0.10.1)  24.973 ms  24.952 ms  25.145 ms
 3  * * *
 4  * * *

 

[uschatko]

Glaub es mir, die Proxmox benötigt eine Route ins VPN bzw. zu 192.168.1.0/24 über die Pfsense.
Welche IPs das nun sind ist erstmal egal, nimm den obigen Befehl passe ihn auf Deine IPs an und probiere es. Das die Pfsense funktioniert ist logisch die weiss ja wo die IPs sind.

 

[gtrdriver]

Hi

ja - was soll ich sagen ...

traceroute to 192.168.50.10 (192.168.50.10), 30 hops max, 60 byte packets
 1  192.168.1.1 (192.168.1.1)  0.157 ms  0.310 ms  0.137 ms
 2  10.0.10.1 (10.0.10.1)  24.793 ms  24.277 ms  24.757 ms
 3  192.168.50.10 (192.168.50.10)  25.103 ms  25.240 ms  25.221 ms

läuft !

Vielen herzlichen Dank für die Hilfe !

Wegen dem Link - von dir.

Das läuft hier auf Debian basis - nicht Ubuntu....

Hab das jetzt mal in die Interfaces gepackt:

post-up ip r a 192.168.1.0/24 via 192.168.50.1

Funktioniert damit auch nach dem Reboot - aber bin mir nicht sicher ob das überschrieben wird wenn man am GUI von proxmox was an der NET Config ändert !?

 

[uschatko]

Na siehst Du, einem alten Linuxadmin kann man ruhig was glauben.
Der Link klappt schon, ubuntu ist auch nur ein verwurstetes Debian, es kommt auch eher auf den Umgang mit dem Networkmanager an der fast immer gleich ist. Aber wie immer bei Linux, gibt es verschiedene Wege um ans Ziel zu kommen. Keine Ahnung ob post-up überschrieben wird, wäre allerding ein schlechter Stil. Wenn es nach einem Update nicht mehr geht, weisst Du ja wo Du schauen musst.

 

[gtrdriver]

Hallo

habs grad probiert - die statischen Routen in der "interfaces"

post-up ip r a 192.168.1.0/24 via 192.168.50.1
post-up ip r a 192.168.10.0/24 via 192.168.50.1
post-up ip r a 192.168.0.0/24 via 192.168.50.1

Werden bei einer Änderung der Netzwerkconfig im GUI NICHT gelöscht oder überschrieben.

Nur als Info -

Noch einen schönen TAG !