Wireguad Regel hat keinen Einfluss

[mimugmail]

Gauss hat nicht von Routing gesprochen sondern von NAT! Wenn ich lokal Virtualbox mache und die VM hat eine Nat nic dran werden ausgehende Pakete auf die IP meines Windows Hosts genattet, auch die einer OPNsense.

Bitte Bridge Mode verwenden.

[Gauss23]

Was hat denn der Proxmox host mit dem generellen routing zu tun?
Das ist ausschliesslich eine Einstellung der Firewall. Völlig falscher Ansatz.
Ich denke, es ist eher - ich schrieb es bereits - mit dem 1:1 NAT von der FW zu tun.

bfo

Warum sollte die OPNsense Pakete auf die IP des Proxmox Hosts "natten"? Die kennt diese IP doch gar nicht. Ich denke da ist was am Host falsch eingestellt.

Wie sehen denn deine Outbound NAT Regeln aus? Mach doch mal Screenshots von:
- Outbound NAT
- Interfaces->Overview mit aufgeklappten Interfaces
- Routing Table unter System->Routes-Status

Verbiegst Du in irgendeiner Firewall Regel das Gateway?

Wenn Du das 1:1 NAT im Verdacht hast: kannst Du es nicht einfach mal für ein paar Minuten deaktivieren?

[bforpc]

Moin,

in der Anlage die gewünschten Screenshots.
Bei outbound NAT sind momentan nur die 2 automatisch generierten Regeln Aktiv.

Zur Info: Die VM's, insbesondere natürlich die opnsense - sind per bridge am Netzwerk des Hostes angeschlossen, nicht NAT.

Bfo

[Gauss23]

Also seitens der OPNsense kann ich nicht erkennen warum die Pakete auf eine ihr nicht bekannte IP Adresse NATten sollte.

Ich bleibe bei meiner Vermutung, dass da am Host was falsch eingestellt ist.

[bforpc]

Moin,

Ich habe mal die iptables Liste des Hostes  angehängt sowie die Routing Tabelle hier unten.
Da wird nichts "umgebogen"....

Routing Tabelle:
route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.101   0.0.0.0         UG    0      0        0 vmbr0
10.20.0.0       0.0.0.0         255.255.255.0   U     0      0        0 vmbr20
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 vmbr0
192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 vmbr3
192.168.5.0     0.0.0.0         255.255.255.0   U     0      0        0 vmbr5
224.0.0.0       0.0.0.0         240.0.0.0       U     0      0        0 vmbr20



Bfo

[Gauss23]

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  anywhere             anywhere           
MASQUERADE  all  --  anywhere             anywhere           

Würde ich gerne mal mit mehr Details sehen wollen. Das wären meine Verdächtigen.

[bforpc]

Hi,
da muss ich ehrlich gestehen, dass ich nicht weiss, wie ich dir mehr Infos hierzu geben kann.
EIn iptables -L und da hört mein Wissen auch schon auf ;-)

Bfo

[Gauss23]

iptables -L -t nat -v

[bforpc]

Danke für den Tip.

 ~ # iptables -L -t nat -v
Chain PREROUTING (policy ACCEPT 5780K packets, 672M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 14817 packets, 2705K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 377K packets, 25M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 3634K packets, 399M bytes)
 pkts bytes target     prot opt in     out     source               destination         
2504K  294M MASQUERADE  all  --  any    vmbr0   anywhere             anywhere           
    0     0 MASQUERADE  all  --  any    vmbr0   anywhere             anywhere   


Bfo

[Gauss23]

von: https://www.karlrupp.net/de/computer/nat_tutorial

  # Anbinden eines LAN an das Internet
   $> iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Der Befehl erklärt sich wie folgt:

iptables:       das Kommandozeilenprogramm, mit dem wir den Kernel konfigurieren
-t nat       Wähle die Tabelle "nat", um NAT zu betreiben.
-A POSTROUTING       Füge eine Regel in der POSTROUTING-Kette ein (-A steht für "append").
-o eth1       Wir wollen Pakete, die den Router an der zweiten Netzwerkschnittstelle "eth1" verlassen (-o für "output")...
-j MASQUERADE       ... maskieren, der Router soll also seine eigene Adresse als Quelladresse setzen.

In Deinem Beispiel wird alles was am Interface vmbr0 rausgeht auf die IP vom Proxmox Host umgestellt/maskiert. Was sind denn da noch für VMs am Laufen? Ich würde die Chain einfach probeweise leeren.

Interessanterweise ist die Regel sogar 2x da.

Ich übernehme keinerlei Garantie, da ich Dein Setup nicht kenne.

iptables -t nat -F POSTROUTING

Um die Regel wieder hinzuzufügen:

iptables -t nat -A POSTROUTING -o vmbr0 -j MASQUERADE

[bforpc]

Danke für deinen Tip. Ich werde das diese Woche testen.
Auf dem Server sind laufen 12 VM's / Container. Unter anderem auch die opnsense.

nochmals Danke für den Tip.


Jan

[bforpc]

Ich übernehme keinerlei Garantie, da ich Dein Setup nicht kenne.

iptables -t nat -F POSTROUTING

Um die Regel wieder hinzuzufügen:

iptables -t nat -A POSTROUTING -o vmbr0 -j MASQUERADE

Hallo,

 nach dem entfernen der Regel werden die korrekten IP Adressen bei den Diensten angezeigt. Jetzt frage ich mich, wie es zu dieser Regel kommt. Denn ich habe sie nicht eingegeben und es gibt auch kein Script oder Dienst, der dies tun würde.
Seltsam seltsam.
OK, einen Schritt weiter. Soweit so gut.  Nun prüfe ich noch die Auswirkung auf meine ursprüngliche Frage-... mal sehen, ob das mein Problem auch löst.

Jan