Hi!
Ich weiß gerade nicht weiter.
Mein Ziel ist es ein Proxmox Cluster aufzusetzen auf dem verschiedene Webaplikationen laufen sollen. Teilweise in Produktion, andere als Entwicklungsumgebung. Gerade ist aber erst ein Server im Schrank zur Evaluation.
Die Idee ist, mehrere Subnetze mit DHCP und SNAT anzulegen. Zum Beispiel ein Subnetz für einen Webservercluster (10.10.0.0/24) und ein Subnetz für ein Galera-Datenbankcluster (10.10.1.0/24). Auf den ersten Blick dachte ich mir, dass ich mir alles zusammenclicken kann. Ich möchte das Routing zwischen den Webservern und der Datenbank nicht über einen externen Router laufen lassen, sondern hatte eigentlich gehofft, dass es nicht so schwer sein wird, das auf dem Host zu konfigurieren. Aber das einzige, was ich hinbekomme ist, dass die Verbindung zwischen zwei VNets über das Gateway hergestellt wird und es auf der VM so aussieht, als ob die Verbindung vom Gateway kommt und nicht aus dem anderen Netz.
Mein konkretes Problem ist (und ich denke, dass es bei den anderen Verbindungen genau so sein wird), dass ich mich per SSH auf der ersten VM (172.40.0.3 ein Bastionsserver) anmelden kann und dann weiter zur 10.10.1.100 möchte. Da ich aber die zulässige IP-Adresse in der authorized_keys eingegeben habe, klappt das nicht, weil der sshd denkt, dass die Verbindung von 10.10.1.1 kommt.
Hier meine Frage:
Ich dachte eigentlich, dass das ein ziemlich einfacher Usecase ist. Wo ist mein Denkfehler?
Hier sind die beiden Konfigurationsdateien und die registrierten Routen:
Danke für dieses Forum, in dem jetzt schon viel gelesen habe und viele Grüße,
Florian
Ich weiß gerade nicht weiter.
Mein Ziel ist es ein Proxmox Cluster aufzusetzen auf dem verschiedene Webaplikationen laufen sollen. Teilweise in Produktion, andere als Entwicklungsumgebung. Gerade ist aber erst ein Server im Schrank zur Evaluation.
Die Idee ist, mehrere Subnetze mit DHCP und SNAT anzulegen. Zum Beispiel ein Subnetz für einen Webservercluster (10.10.0.0/24) und ein Subnetz für ein Galera-Datenbankcluster (10.10.1.0/24). Auf den ersten Blick dachte ich mir, dass ich mir alles zusammenclicken kann. Ich möchte das Routing zwischen den Webservern und der Datenbank nicht über einen externen Router laufen lassen, sondern hatte eigentlich gehofft, dass es nicht so schwer sein wird, das auf dem Host zu konfigurieren. Aber das einzige, was ich hinbekomme ist, dass die Verbindung zwischen zwei VNets über das Gateway hergestellt wird und es auf der VM so aussieht, als ob die Verbindung vom Gateway kommt und nicht aus dem anderen Netz.
Mein konkretes Problem ist (und ich denke, dass es bei den anderen Verbindungen genau so sein wird), dass ich mich per SSH auf der ersten VM (172.40.0.3 ein Bastionsserver) anmelden kann und dann weiter zur 10.10.1.100 möchte. Da ich aber die zulässige IP-Adresse in der authorized_keys eingegeben habe, klappt das nicht, weil der sshd denkt, dass die Verbindung von 10.10.1.1 kommt.
Hier meine Frage:
Ich dachte eigentlich, dass das ein ziemlich einfacher Usecase ist. Wo ist mein Denkfehler?
Hier sind die beiden Konfigurationsdateien und die registrierten Routen:
Code:
root@pve:~# cat /etc/network/interfaces
# network interface settings; autogenerated
# Please do NOT modify this file directly, unless you know what
# you're doing.
#
# If you want to manage parts of the network configuration manually,
# please utilize the 'source' or 'source-directory' directives to do
# so.
# PVE will preserve these directives, but will NOT read its network
# configuration from sourced files, so do not attempt to move any of
# the PVE managed interfaces into external files!
auto lo
iface lo inet loopback
iface eno4 inet manual
iface eno1 inet manual
iface eno2 inet manual
iface eno3 inet manual
auto vmbr0
iface vmbr0 inet static
address 192.168.100.74/24
gateway 192.168.100.1
bridge-ports eno4
bridge-stp off
bridge-fd 0
# 192.168.111.75 as secondary ip address
up ip addr add 192.168.100.75/24 dev vmbr0
post-up iptables -t nat -A PREROUTING -d 192.168.100.75 -p tcp --dport 22 -j DNAT --to-destination 172.40.0.3:22
post-up iptables -t nat -A POSTROUTING -s 172.40.0.3 -j MASQUERADE
post-down iptables -t nat -D PREROUTING -d 192.168.100.75 -p tcp --dport 22 -j DNAT --to-destination 172.40.0.3:22
post-down iptables -t nat -D POSTROUTING -s 172.40.0.3 -j MASQUERADE
root@pve:~# cat /etc/network/interfaces.d/sdn
#version:28
auto vnet01
iface vnet01
address 172.40.0.1/24
post-up iptables -t nat -A POSTROUTING -s '172.40.0.0/24' -o vmbr0 -j SNAT --to-source 192.168.100.74
post-down iptables -t nat -D POSTROUTING -s '172.40.0.0/24' -o vmbr0 -j SNAT --to-source 192.168.100.74
post-up iptables -t raw -I PREROUTING -i fwbr+ -j CT --zone 1
post-down iptables -t raw -D PREROUTING -i fwbr+ -j CT --zone 1
bridge_ports none
bridge_stp off
bridge_fd 0
alias dmz
ip-forward on
auto vnet02
iface vnet02
address 10.10.1.1/24
post-up iptables -t nat -A POSTROUTING -s '10.10.1.0/24' -o vmbr0 -j SNAT --to-source 192.168.100.74
post-down iptables -t nat -D POSTROUTING -s '10.10.1.0/24' -o vmbr0 -j SNAT --to-source 192.168.100.74
post-up iptables -t raw -I PREROUTING -i fwbr+ -j CT --zone 1
post-down iptables -t raw -D PREROUTING -i fwbr+ -j CT --zone 1
bridge_ports none
bridge_stp off
bridge_fd 0
alias galera
ip-forward on
root@pve:~# ip route list
default via 192.168.100.1 dev vmbr0 proto kernel onlink
10.10.1.0/24 dev vnet02 proto kernel scope link src 10.10.1.1
172.40.0.0/24 dev vnet01 proto kernel scope link src 172.40.0.1
192.168.100.0/24 dev vmbr0 proto kernel scope link src 192.168.100.74
Danke für dieses Forum, in dem jetzt schon viel gelesen habe und viele Grüße,
Florian