Ja, das mache ich ja auch so, über den ssh port mit Zertifikat
Ich verstand eifach nit, wieso zum Geier dr default gateway from proxmox server kei Antwort git. Eventuell sinnvoll, die externe nic mit der echten ip doch zurück auf dhcp zu stellen, so wie der Server ursprünglich auch aufgesetzt war?
Git durchaus Router, die so konfiguriert sind, dass sie zwar den Trafic durchleiten, selber darauf nicht antworten…
Managed Switches mit vLans ist ein klassisches Beispiel. Der Switch ist ja verwaltbar, aber nicht unbedingt von jedem vLan erreichbar.
Vor allem in hochbelastungsnetze ist das öfter so, zB grade beim Hostingprovider…
Hauptsache im Internet ist alles erreichbar, zB 8.8.8.8…
Du chasch DHCP au mal teste, er kriegt ja die gleiche IP per DHCP Reservation vom Provider uus…
Mache ich, kann nicht schaden. Ja, leider ist beim gateway schluss. 8.8.8.8 geht auch nicht
Wenn beim Gateway Schluss ist, wie kommst du denn drauf?
Er dürfte ja auch dein (für ihn externe) IP dann ja auch nicht erreichen, geschweige denn antworten…
Oder gilt das vorerst nur für den Nethserver, Proxmox kann das alles pingen?
Ja, für Proxmox ist alles i.O. Die Probleme haben nur die Gäste, also nethserver wie auch windows vm
Wenn für Proxmox alles OK ist, dann ist vermutlich mit dem NAT was nicht in Ordnung…
Wobei die externe ip des servers 82.220.38.12 gibt ja noch antwort. Darum dachte ich zu Beginn ans ipv4_forwarding. Aber dieses ist ja auch an…
Das ist ja auch der Server, der NAT macht. Unabhängig davon, ob er NAT macht, sind per se alle schnittstellen im lokalen Gerät erreichbar, das heisst also nichts…
Es gibt leute, die sich selber ein Mail senden (wohlgemerkt, aus dem gleichen Mailkonto!), um zu testen, ob der Mailkonfig funktioniert.
Ist etwa das gleiche, sich selber einen Brief im Briefkasten legen, um die Post zu testen…
Da der Brief im Briefkasten ist muss die Post ja funktionieren…
Falsch, die Post hatte nichts damit zu tun, wenn du den Brief im Briefkasten legst!
Korrekt wäre:
Wenn der Proxmox den Router und 8.8.8.8 erreichen kann muss bei korrekter NAT auch der NethServer diese anpingen können…
Yep, auch wieder wahr.
Ich würd den Proxmox nur auf Bridge stellen (Ohne NAT), der Proxmox ist nur noch mit Hopping vom NethServer aus erreichbar. (Später auch direkt, sobald du VPN eingerichtet hast).
Sollte eigentlich reichen.
NethServer ist dann für NAT / Firewalling / DHCP verantwortlich.
PS: Für Server/ Drucker usw., die eine Fixe IP haben, auch eine Reservation im DHCP machen, auch wenn sie nicht benötigt wird. Wenn ein Gerät die IP verliert, sie es aus Update oder sonst was, stimmt die IP so oder so!
Figgi und Müli im Mundart!
Ich mach mir Sorgen bei diesem Szenario, dass der physische Server nur über eine vm erreicht werden kann. Dies kommt frühestens in Frage, wenn ich die gast vms ins Internet kommen.
Da muss ich dir recht geben, zuerst müssten die Gäste auch Stabil laufen!
Also müssen wir das NAT soweit hinkriegen, dass wir das Ganze auch einrichten können…
Wie sieht die Konfig seitens Proxmox aus, und wie sieht die von NethServer aus?
Das ist auch eines der Gründe, warum ich gerne ein separater Firewall (Teilweise sogar als VM) einsetze. Den kann ich bei mir in aller ruhe konfigurieren, und dann auf den Proxmox verschieben, und autostart aktivieren. Egal was ich darin mache, das kann kir meinen AD oder Nextcloud nicht vergurken, höchstens momentan nicht erreichbar machen…
Beim Kollegen zuhause mit einem Windows Notebook, der LAN war am Proxmox angehängt, der WLan an seinem Handy als Hotspot, dann mit Teamviewer der Firewall fertig konfiguriert. Dann erst NethServer eingerichtet…
Mittlerweile habe ich das rote 192er Netz ausgeschaltet.
Externes Netz:
auto enp26s0
iface enp26s0 inet dhcp
Nat:
auto vmbr0
iface vmbr0 inet static
address 10.0.57.1
netmask 255.255.255.0
bridge-ports none
bridge-stp off
bridge-fd 0
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
post-up iptables -t nat -A POSTROUTING -s ‘10.0.57.0/24’ -o enp26s0 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s ‘10.0.57.0/24’ -o enp26s0 -j MASQUERADE
nethserver fixe ip: 10.0.57.5, 255.255.255.0, gw 10.0.57.1
windows rechner andere nic angehängt und 10.0.57.2
Resultat bei beiden gleich wie vorhin.
cat /proc/sys/net/ipv4/ip_forward
1
Gibts denn eine Einstellung im Proxmox, die dies bewirken kann?
According to this https://pve.proxmox.com/wiki/Network_Configuration#_masquerading_nat_with_tt_span_class_monospaced_iptables_span_tt
Your Proxmox should look like this (Hope i didn’t make any typos):
auto lo
iface lo inet loopback
auto enp26s0
#real IP address
iface enp26s0 inet static
address 82.220.38.12
netmask 255.255.255.0
gateway 82.220.38.1
auto vmbr0
#private sub network
iface vmbr0 inet static
address 10.0.57.1
netmask 255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
post-up iptables -t nat -A POSTROUTING -s '10.0.57.0/24' -o eno1 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '10.0.57.0/24' -o eno1 -j MASQUERADE
This should work and allow NethServer to ping correctly or NAT to work correctly…
Gute Idee, ich dachte auch grad, ich kopiere jetzt eins zu eins das masquerading Netz von hier:
https://pve.proxmox.com/pve-docs/pve-admin-guide.html#sysadmin_network_configuration
Aber ich nehm jetzt Deins und probiers nochmal aus.
Hab also Datei kopiert, Netzwerk auf Proxmox neu gestartet, und anschliessend die VMs neu gestartet.
ping gegenseitig (vms) und 10.0.57.1 i.O, Ping 82.220.38.12 ok
ping 82.220.38.1 und 8.8.8.8 nok
Frag mich, ob es eine Möglichkeit gibt, proxmox sauber neu zu installieren, falls irgendwo eine insane Einstellung sich eingeschlichen hat, nur habe ich dies heute auch schon mal gemacht…
Du kommst auf die Umgebung nur mit diese eine externe IP, kein Host-Interface beim Provider oder ähnliches?
Zurzeit (aktuelles Wochenende) habe ich noch kvm Zugriff - zum Glück, hab mir schon ein paar mal das Netzwerk zerschossen, und konnte es so retten. Ab Montag ist dieser Zugriff dann weg, und kann bei Bedarf für 10.-- pro Tag zur Verfügung gestellt werden.
Sag mal, könnte es sein, dass der Hoster hier etwas anpassen muss, dass also die den Traffic blockieren, weil er nicht von der Macadresse des hosts kommt? Kann mir bald nix anderes vorstellen.
Damn, ich habe meinem Chef versprochen, dass am Montag unsere Domäne steht, und er unsere Geschäftskritische Applikation auf Windows Server und Client (in der Domäne) testen werden kann.
Aber sieht nicht so aus, als ob ich das hinbekomme…