Große Probleme im Zusammenhang mit Proxmox - VMs haben kein Internet

[fellpower]

NAT wird vom Proxmox Host gelöst. Alles kann rein, alles kann raus. Maskiert.

Für die Sense ist es so, als hänge sie direkt an der öffentlichen IP.

traceroute zu 1.1.1.1 ist einfach vom client

1. 192.168.1.1 (OPNSense LAN)
2. 10.0.0.1 (Tunnel zum Proxmox)
3. öffentliche IP
4 andere HOPS
.
.
.
9. 1.1.1.1 mit 5ms

Da ist nix zwischen, was Probleme macht. Dies ist der debian VM Client, bei dem es geht.

Bei JEDER neuen LINUX VM, KOMPLETT GLEICH konfiguriert (nur ne andere fixe IP halt) - sieht traceroute so aus:
1. 192.168.1.1 (OPNSense LAN)
*
*
*
*
Nix - es geht also nix durch den Tunnel. Mach ich Option 11 (Reloaad all services) auf der Sense, tract der vorher nicht funktionierden Client genauso, wie der erste - der funktioniert.

Also macht die Sense hier wat falsch - und ich weiß nicht was

Und dann geht es auf einmal nicht mehr?
Oder gehen dann alle bestehenden, nur die neuen wieder nicht?

Welche Netzwerkkarte hast du für die OPNsense angelegt?


Gesendet von meinem M2012K11AG mit Tapatalk

JEDE NEUE Linux VM geht nicht - egal, welche Distri. geht schon bei der Installation derer nicht. DHCP an - IP wird geholt - KEIN NETZ!

Static IP Conf - auch kein Netz.

Die Sense hat E1000 auf beiden Interfaces. Man sagte mir, die solle man nehmen. Aber auch den Wind kann ich dir aus den Segeln nehmen - mit jeder anderen NWk das gleiche Problem.

[fellpower]

Würde folgendes mal versuchen.
1. Proxmox Firewall auf den beiden OPNsense Schnistellen deaktivieren

2. Hardware Offloading in der OPNsense deaktivieren

Gesendet von meinem M2012K11AG mit Tapatalk

1. ist sowieso aus, wegen Sense
2. Is eh schon aus

Und jetzt kommts, die VM, welche nicht ins Netz kam, hat jetzt Internet - aber ich habe NIX verändert.

Traceroute sieht so aus, wie bei der VM, die funktioniert.

Starte ich diese 2. VM jedoch neu, ist das Internet wieder weg.....

Okay welche Art von virtueller Netzwerkkarte verwendest du für OPNsense, funktionierender und nicht funktionierender Client

Gesendet von meinem M2012K11AG mit Tapatalk

Sense E1000 beide
Clients Virtio

[lfirewall1243]

Ich glaube ehrlich gesagt es ist ehr ein Proxmox Thema als ein OPNsense Thema, oder eine Kombi aus beidem.

Würde dort parallel im Forum mal schauen oder Nachfragen

Gesendet von meinem M2012K11AG mit Tapatalk

[fellpower]

Ich denke, der Fehler liegt bei der Sense - und darum bin ich hier.

ich möchte auch gern erklären, warum ich der Meinung bin.

1. SÄMTLICHE Windows VM laufen anstandslos. Was macht Windows anders? Somit ist das Setup funktional.
2. Eine meiner Debian VMs macht NULL PROBLEME - dort laufen sogar Server drauf, mit Port Forwarding, Rules usw. Absolut tadellos - auch nachm Reboot
3. Bei den neuen, nicht funktionierenden Linux VMs - endet der Hop beim traceroute bei der 192.168.1.1 (VM LAN Ip der Sense) - der Traffic kommt GAR NICHT bis zum Proxmox
4. Das Setup funktioniert ja tadellos - auch mit neuen VMs - wenn ich alle Services der Sense reloade....

Und nu?

Nicht lösbar? Jemand noch ne Idee?

[lfirewall1243]

Wird im Live log irgendwas blockiert?


Falls nicht, dann würde ich an deiner Stelle hingehen, auf der LAN Schnistelle einen Paketmitschnitt machen.
Einmal beim funktionierenden Client, einmal beim nicht funktionierenden.
Das alles während du einen Ping ins Internet absetzt.

Dann Vergleichen wo dort ein Unterschied zu sehen ist.

Gesendet von meinem M2012K11AG mit Tapatalk

[lfirewall1243]

Aber so oder so würden mich noch deine Einstellungen unter Outbound NAT Interessieren, oder habe ich die übersehen

Und nimm mal den Haken
"Block private Networks" raus

[fellpower]

Aber so oder so würden mich noch deine Einstellungen unter Outbound NAT Interessieren, oder habe ich die übersehen

Und nimm mal den Haken
"Block private Networks" raus

Outbound NAT ist auf Auto

Code Select Expand

Automatic outbound NAT rule generation
(no manual rules can be used)

Keine Rules angelegt

Block private aus aufm WAN? Aufm LAN ist es ja aus.

Im Livelog taucht der Traffic der clients, die nicht funktionieren nicht auf

[lfirewall1243]

Aber so oder so würden mich noch deine Einstellungen unter Outbound NAT Interessieren, oder habe ich die übersehen

Und nimm mal den Haken
"Block private Networks" raus

Outbound NAT ist auf Auto

Code Select Expand

Automatic outbound NAT rule generation
(no manual rules can be used)

Keine Rules angelegt

Block private aus aufm WAN? Aufm LAN ist es ja aus.

Dann fehlt dort die Regel

Stell es mal auf hybrid und erstellt die Rule manuell.
Interface -.WAN
Source -.LAN
Map Address - WAN Address


Und ja, da du auf dem WAN eine Adresse aus dem privaten Adressbereich verwendest, muss der Haken raus

Gesendet von meinem M2012K11AG mit Tapatalk

[fellpower]

Aber so oder so würden mich noch deine Einstellungen unter Outbound NAT Interessieren, oder habe ich die übersehen

Und nimm mal den Haken
"Block private Networks" raus

Dann fehlt dort die Regel

Stell es mal auf hybrid und erstellt die Rule manuell.
Interface -.WAN
Source -.LAN
Map Address - WAN Address


Und ja, da du auf dem WAN eine Adresse aus dem privaten Adressbereich verwendest, muss der Haken raus

Gesendet von meinem M2012K11AG mit Tapatalk

Kann ich mal machen, aber warum sollte ich dies genau machen? die anderen clients funktionieren ja. ich versuchs zu verstehen ;)

[lfirewall1243]

Aber so oder so würden mich noch deine Einstellungen unter Outbound NAT Interessieren, oder habe ich die übersehen

Und nimm mal den Haken
"Block private Networks" raus

Dann fehlt dort die Regel

Stell es mal auf hybrid und erstellt die Rule manuell.
Interface -.WAN
Source -.LAN
Map Address - WAN Address


Und ja, da du auf dem WAN eine Adresse aus dem privaten Adressbereich verwendest, muss der Haken raus

Gesendet von meinem M2012K11AG mit Tapatalk

Kann ich mal machen, aber warum sollte ich dies genau machen? die anderen clients funktionieren ja. ich versuchs zu verstehen ;)

Weil du so oder so auf dem WAN eine Outbound NAT Rule haben solltest, für NAT eben.

Und die Block Regel für private Adressen deaktivieren, macht in so fern Sinn, da sonst immer wieder Fehler auftreten, da unter Umständen irgendwelche Antwortpakete auf dem WAN blockiert werden.

Gesendet von meinem M2012K11AG mit Tapatalk

[drh8ball]

Wie ist der Stand hier? Irgendwie hat es mich gepackt das zu lösen :)

[fellpower]

Gibt noch keine Neuigkeiten. Es funktioniert einfach nicht.

Sobald ich ne neue Vm aufmach, hat die kein Internet. Reloade ich die services auf der sense (option 11) gehts.

[lfirewall1243]

Gibt noch keine Neuigkeiten. Es funktioniert einfach nicht.

Sobald ich ne neue Vm aufmach, hat die kein Internet. Reloade ich die services auf der sense (option 11) gehts.

Mittlerweile einen Paketmitschnitt gemacht wie oben beschrieben?

[dc8wan]

Auch wenn es vermutlich etwas zu spät ist.
Ich hatte auch das Problem, mit hat dieser Eintrag geholfen. <Link gelöscht weil fehlerhaft>

[MikeOFF]

hallo setzt mal den hacken bei:

Code Select Expand

https://deineopnsense.com/ui/unbound/forward

Code Select Expand

Use System Nameservers