Wireguad Regel hat keinen Einfluss

mimugmail · October 16, 2020, 07:34:15 AM

Gauss hat nicht von Routing gesprochen sondern von NAT! Wenn ich lokal Virtualbox mache und die VM hat eine Nat nic dran werden ausgehende Pakete auf die IP meines Windows Hosts genattet, auch die einer OPNsense.

Bitte Bridge Mode verwenden.

Gauss23 · October 16, 2020, 08:22:10 AM

Quote from: bforpc on October 16, 2020, 07:28:51 AM
Was hat denn der Proxmox host mit dem generellen routing zu tun?
Das ist ausschliesslich eine Einstellung der Firewall. Völlig falscher Ansatz.
Ich denke, es ist eher - ich schrieb es bereits - mit dem 1:1 NAT von der FW zu tun.

bfo

Warum sollte die OPNsense Pakete auf die IP des Proxmox Hosts "natten"? Die kennt diese IP doch gar nicht. Ich denke da ist was am Host falsch eingestellt.

Wie sehen denn deine Outbound NAT Regeln aus? Mach doch mal Screenshots von:
- Outbound NAT
- Interfaces->Overview mit aufgeklappten Interfaces
- Routing Table unter System->Routes-Status

Verbiegst Du in irgendeiner Firewall Regel das Gateway?

Wenn Du das 1:1 NAT im Verdacht hast: kannst Du es nicht einfach mal für ein paar Minuten deaktivieren?

bforpc · October 20, 2020, 01:00:08 PM

Moin,

in der Anlage die gewünschten Screenshots.
Bei outbound NAT sind momentan nur die 2 automatisch generierten Regeln Aktiv.

Zur Info: Die VM's, insbesondere natürlich die opnsense - sind per bridge am Netzwerk des Hostes angeschlossen, nicht NAT.

Bfo

Gauss23 · October 20, 2020, 01:53:52 PM

Also seitens der OPNsense kann ich nicht erkennen warum die Pakete auf eine ihr nicht bekannte IP Adresse NATten sollte.

Ich bleibe bei meiner Vermutung, dass da am Host was falsch eingestellt ist.

bforpc · October 21, 2020, 01:06:22 PM

Moin,

Ich habe mal die iptables Liste des Hostes angehängt sowie die Routing Tabelle hier unten.
Da wird nichts "umgebogen"....

Routing Tabelle:
route -n
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.1.101 0.0.0.0 UG 0 0 0 vmbr0
10.20.0.0 0.0.0.0 255.255.255.0 U 0 0 0 vmbr20
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 vmbr0
192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0 vmbr3
192.168.5.0 0.0.0.0 255.255.255.0 U 0 0 0 vmbr5
224.0.0.0 0.0.0.0 240.0.0.0 U 0 0 0 vmbr20

Bfo

Gauss23 · October 21, 2020, 01:25:18 PM

QuoteChain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
MASQUERADE all -- anywhere anywhere

Würde ich gerne mal mit mehr Details sehen wollen. Das wären meine Verdächtigen.

bforpc · October 21, 2020, 04:17:33 PM

Hi,
da muss ich ehrlich gestehen, dass ich nicht weiss, wie ich dir mehr Infos hierzu geben kann.
EIn iptables -L und da hört mein Wissen auch schon auf ;-)

Bfo

Gauss23 · October 21, 2020, 04:20:33 PM

Quoteiptables -L -t nat -v

bforpc · October 22, 2020, 03:42:30 PM

Danke für den Tip.

~ # iptables -L -t nat -v
Chain PREROUTING (policy ACCEPT 5780K packets, 672M bytes)
pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 14817 packets, 2705K bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 377K packets, 25M bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 3634K packets, 399M bytes)
pkts bytes target prot opt in out source destination
2504K 294M MASQUERADE all -- any vmbr0 anywhere anywhere
0 0 MASQUERADE all -- any vmbr0 anywhere anywhere

Bfo

Gauss23 · October 22, 2020, 03:57:55 PM

von: https://www.karlrupp.net/de/computer/nat_tutorial

Quote# Anbinden eines LAN an das Internet
$> iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Der Befehl erklärt sich wie folgt:

iptables:       das Kommandozeilenprogramm, mit dem wir den Kernel konfigurieren
-t nat       Wähle die Tabelle "nat", um NAT zu betreiben.
-A POSTROUTING       Füge eine Regel in der POSTROUTING-Kette ein (-A steht für "append").
-o eth1       Wir wollen Pakete, die den Router an der zweiten Netzwerkschnittstelle "eth1" verlassen (-o für "output")...
-j MASQUERADE       ... maskieren, der Router soll also seine eigene Adresse als Quelladresse setzen.

In Deinem Beispiel wird alles was am Interface vmbr0 rausgeht auf die IP vom Proxmox Host umgestellt/maskiert. Was sind denn da noch für VMs am Laufen? Ich würde die Chain einfach probeweise leeren.

Interessanterweise ist die Regel sogar 2x da.

Ich übernehme keinerlei Garantie, da ich Dein Setup nicht kenne.

Quoteiptables -t nat -F POSTROUTING

Um die Regel wieder hinzuzufügen:

Quoteiptables -t nat -A POSTROUTING -o vmbr0 -j MASQUERADE

bforpc · October 26, 2020, 10:53:58 AM

Danke für deinen Tip. Ich werde das diese Woche testen.
Auf dem Server sind laufen 12 VM's / Container. Unter anderem auch die opnsense.

nochmals Danke für den Tip.

Jan

bforpc · October 28, 2020, 04:08:06 PM

Quote
Ich übernehme keinerlei Garantie, da ich Dein Setup nicht kenne.
Quoteiptables -t nat -F POSTROUTING

Um die Regel wieder hinzuzufügen:
Quoteiptables -t nat -A POSTROUTING -o vmbr0 -j MASQUERADE

Hallo,

nach dem entfernen der Regel werden die korrekten IP Adressen bei den Diensten angezeigt. Jetzt frage ich mich, wie es zu dieser Regel kommt. Denn ich habe sie nicht eingegeben und es gibt auch kein Script oder Dienst, der dies tun würde.
Seltsam seltsam.
OK, einen Schritt weiter. Soweit so gut. Nun prüfe ich noch die Auswirkung auf meine ursprüngliche Frage-... mal sehen, ob das mein Problem auch löst.

Jan

Wireguad Regel hat keinen Einfluss

mimugmail

October 16, 2020, 07:34:15 AM #15

Gauss23

October 16, 2020, 08:22:10 AM #16

bforpc

October 20, 2020, 01:00:08 PM #17

Gauss23

October 20, 2020, 01:53:52 PM #18

bforpc

October 21, 2020, 01:06:22 PM #19

Gauss23

October 21, 2020, 01:25:18 PM #20

bforpc

October 21, 2020, 04:17:33 PM #21

Gauss23

October 21, 2020, 04:20:33 PM #22

bforpc

October 22, 2020, 03:42:30 PM #23

Gauss23

October 22, 2020, 03:57:55 PM #24

bforpc

October 26, 2020, 10:53:58 AM #25

bforpc

October 28, 2020, 04:08:06 PM #26