Welche Möglichkeiten habe ich meinen Node im Cluster per Fernwartung zu steuern?

[magicpeter]

Moin,
ich habe einen 2 Node Cluster diesen würde ich gerne aus dem HomeOffice betreuen können.
Leider klappt das per VPN-Tunnel nicht. Habe schon alles auch mit dem Firewall Hersteller getestet.
Darum suche ich eine andere Alternative.

Welche nutzt ihr da so?

 

[maxim.webster]

VPN. Wenn das nicht funktioniert, ist es meistens ein Routing-/Fireall-Problem abseits des PVE

 

[magicpeter]

VPN. Wenn das nicht funktioniert, ist es meistens ein Routing-/Fireall-Problem abseits des PVE

Ja, darum suche ich eine Alternative.

 

[pvps1]

man könnte das Problem natürlich auch lösen , weil der Rest der IT Welt macht das eigentlich so.

Wenn du dir am PVE selbst irgendeine Zugang verschaffst, dann ist das ein klassisches Backdoor und deine IT wird keine Freude damit haben (und auf Compliance und deinen Vetrag verweisen). Nungut... ein out of the box VPN das auch direkt am PVE laufen kann (sofern der NATer wird) ist tailscale

 

[magicpeter]

man könnte das Problem natürlich auch lösen , weil der Rest der IT Welt macht das eigentlich so.

Wenn du dir am PVE selbst irgendeine Zugang verschaffst, dann ist das ein klassisches Backdoor und deine IT wird keine Freude damit haben (und auf Compliance und deinen Vetrag verweisen). Nungut... ein out of the box VPN das auch direkt am PVE laufen kann (sofern der NATer wird) ist tailscale

Ja, ich würde das gerne auch lösen, aber bisher keinen Erfolg auch mit dem Firewallhersteller Zusammen nicht. Wir habe eine halbe Stunde uns alles auf der Firewall angeschaut und die Anfragen kamen durch den VPN bei PVE an und wurden auch beantwortet.
Alle anderen Server im Netzwerk kann ich per RDP erreichen. Sehr komisch.

 

[pvps1]

rdp ist rdp und tcp/8006 ist halt was anderes. Aber ich will hier nicht mit Ferndiagnosen anfangen.

Der eigentliche Hinweis war tailscale

 

[Falk R.]

Dann mach es wie alle anderen. VPN zu einem Jumphost und von dem aus, kannst du deinen PVE verwalten.
Man kann das auch ganz easy über VPN machen, was überall funktioniert. Da Thema mit dem VPN hatten wir ja schon in einem anderen Thread. Das kann nur ein Routigfehler sein oder ein Fehler in der VPN Policy. Ich verbiete in der Regel direkte VPN Zugriffe auf Infrastruktur VLANs. Ich mache das bewusst, aber dass kann man auch aus versehen so bauen.

 

[magicpeter]

Dann mach es wie alle anderen. VPN zu einem Jumphost und von dem aus, kannst du deinen PVE verwalten.
Man kann das auch ganz easy über VPN machen, was überall funktioniert. Da Thema mit dem VPN hatten wir ja schon in einem anderen Thread. Das kann nur ein Routigfehler sein oder ein Fehler in der VPN Policy. Ich verbiete in der Regel direkte VPN Zugriffe auf Infrastruktur VLANs. Ich mache das bewusst, aber dass kann man auch aus versehen so bauen.

Moin Falk, kann es nicht sein, das PVE GUI nicht erlaubt über den VPN und das VPN Netzwerk 192.168.254.0/24 zusenden?
Gibt es da irgendeine Firewall Regel beim PVE?

 

[news]

Evtl. fehlt nur eine (Rück-) Route, da ich nur private IP-Bereiche sehe.

 

[magicpeter]

Evtl. fehlt nur eine (Rück-) Route, da ich nur private IP-Bereiche sehe.

Ja, wo und wie trage ich diese ein?

 

[Falk R.]

Moin Falk, kann es nicht sein, das PVE GUI nicht erlaubt über den VPN und das VPN Netzwerk 192.168.254.0/24 zusenden?
Gibt es da irgendeine Firewall Regel beim PVE?

Es gibt eine Firewall die du aktivieren kannst bei Bedarf. Aber per Default wird nix eingeschränkt.
Um dir beim Routng zu helfen, müsste man die komplette Struktur kennen, da sich die Fehlerquelle, theoretisch auf jedem involvierten Gerät und in jeder Richtung, befinden könnte.
Ich greife ja auf meinen Cluster zuhause auch über VPN zu, wenn ich bei Kunden bin und etwas zeigen möchte oder bei Veranstaltungen Workshops halte.
Auch bei VPN Verbindungen zu Kunden, habe ich noch nie Probleme gehabt, solange sich die IP Netze nicht überschneiden, aber das ist ein generelles VPN Thema. Wenn es Probleme gibt, hat entweder jemand ein falsches Gateway oder die Firewall Regeln passen nicht.