Große Probleme im Zusammenhang mit Proxmox - VMs haben kein Internet

[fellpower]

Moin Leute

Ich habe eine Dedi Server, auf dem Proxmox läuft als Virtualisierer - um dann VMs zu starten (Gameserver).
Angelehnt habe ich mich an Dennis´ Vorschlag, hier zu finden: https://schroederdennis.de/allgemein/proxmox-auf-rootserver-mit-nur-1-public-ip-addresse-pfsense-nat/

Ist zwar für PFSense - aber wir wissen ja, woher OPNSense kommt

Ich nutze den Prox also nur als Entry und VM System, der Traffic wird per NAT komplett auf die OPNsense (in einer VM) geleitet und die managed dann den Verkehr und das VM Netz.

Leider habe ich massivste Probleme damit, die VMs ins Internet zu bringen. Ich weiß einfach nicht mehr weiter. Eine Debian VM kann ins Internet, die Win2k19 absolut problemlos, die 2. Debian VM gar nicht.

Alle gleich konfiguriert (andere IPs natürlich) - und trotzdem hat die eine VM Internet Zugang, die anderen nicht.
Aktuell habe ich eine weitere Debian VM aufgesetzt, ihr ne fixe IP aus dem Adresspool des lokalen Netzes gegeben (192.168.1.x) - und die geht auch online - aber nur für 2min, danach ist das Netz wieder weg.

Raus dürfen die VMs ja eh erstmal, ohne Regeln - also wo liegt das Problem?

Starte ich die Services der OPNsense neu (auf der console mit Option 11) - dann funktioniert es kurz, aber nach einigen Minuten ist das Internet wieder weg.

Lokal anpingen kann ich alle VMs untereinander, also das interne VM Netz funktioniert.

Ich habe die Sense schon neu installiert, mit komplett neuer Conf, also nicht die alte übernommen - sie macht die gleichen Probleme.

Habt ihr ne Idee, wo ich ansetzen kann?

EDIT: Ich habe gerade noch einmal gepingt im lokalen Netz. Ich kann alle erreichen. Pinge ich jedoch extern auf zb google.de, bekomme ich keine Antwort. Auch wenn ich googles ip / DNS nehme, bekomme ich nix zurück.

In der resolv.conf ist alles so eingetragen, wie bei der VM, die funktioniert - aber es sieht nach einem DNS Problem aus. Oder irre ich mich da?

Chris

[micneu]

ich habe noch nicht verstanden wie die sense ins internet kommt, nutzt du ein modem?
- bitte mal einen grafischen netzwerkplan
- bitte mal einen screenshot deiner WAN konfig

[fellpower]

Moin

Anbei mal ein Screen vom Aufbau.

Mein WAN Conf siehst du damit auch.

[micneu]

ok, hat die dein provider gesagt das du die 10.0.0.1 als gateway nehmen sollst
geht ping von der sense aus (stabil)

[fellpower]

Nö, den DNAT Tunnel hab ich selbst festgelegt. Und die öffentliche IP kommt da rein, wo public IP steht. (Oben links)

Das GW ist 10.0.0.1, weil es das andere Ende vom NAT ist, in Richtung Internet. Macht der Prox dann. Der hat das öffentliche GW vom Serverhoster ^^

[drh8ball]

Nimm mal im Proxmox von der vmbr2 die IP-Adresse weg. Bridges brauchen keine Adressen, und wenn du der Bridge die 192.168.1.1 gibst, kannst du in der Opnsense für LAN nicht auch die 192.168.1.1 vergeben.

Also, in Proxmox die IP der vmbr2 entfernen, und bei der Opnsense auf LAN die IP behalten. Dann sollte wenigstens mal das gelöst sein.

[fellpower]

Nimm mal im Proxmox von der vmbr2 die IP-Adresse weg. Bridges brauchen keine Adressen, und wenn du der Bridge die 192.168.1.1 gibst, kannst du in der Opnsense für LAN nicht auch die 192.168.1.1 vergeben.

Also, in Proxmox die IP der vmbr2 entfernen, und bei der Opnsense auf LAN die IP behalten. Dann sollte wenigstens mal das gelöst sein.

Vielen Dank für den Hinweis. Jedoch ändert dies nix am Problem. Und die Sense hat die 192.168.1.1 - egal ob vmbr2 die hat, oder nicht.

[lfirewall1243]

Nimm mal im Proxmox von der vmbr2 die IP-Adresse weg. Bridges brauchen keine Adressen, und wenn du der Bridge die 192.168.1.1 gibst, kannst du in der Opnsense für LAN nicht auch die 192.168.1.1 vergeben.

Also, in Proxmox die IP der vmbr2 entfernen, und bei der Opnsense auf LAN die IP behalten. Dann sollte wenigstens mal das gelöst sein.

Vielen Dank für den Hinweis. Jedoch ändert dies nix am Problem. Und die Sense hat die 192.168.1.1 - egal ob vmbr2 die hat, oder nicht.

Klar, kannst ja Adressen auch doppelt vergeben, aber technisch ist es möglich verschiedenen Geräten gleiche Adressen zu geben.

Kannst du einen Ping von der 10.0.0.2 auf die 10.0.0.1 absetzen?

[fellpower]

Nimm mal im Proxmox von der vmbr2 die IP-Adresse weg. Bridges brauchen keine Adressen, und wenn du der Bridge die 192.168.1.1 gibst, kannst du in der Opnsense für LAN nicht auch die 192.168.1.1 vergeben.

Also, in Proxmox die IP der vmbr2 entfernen, und bei der Opnsense auf LAN die IP behalten. Dann sollte wenigstens mal das gelöst sein.

Vielen Dank für den Hinweis. Jedoch ändert dies nix am Problem. Und die Sense hat die 192.168.1.1 - egal ob vmbr2 die hat, oder nicht.

Klar, kannst ja Adressen auch doppelt vergeben, aber technisch ist es möglich verschiedenen Geräten gleiche Adressen zu geben.

Kannst du einen Ping von der 10.0.0.2 auf die 10.0.0.1 absetzen?

Ping geht natürlich. Da liegt auch nicht das Problem. IPs bei allen vmbr rausgenommen, gleiches Problem.

[lfirewall1243]

Nimm mal im Proxmox von der vmbr2 die IP-Adresse weg. Bridges brauchen keine Adressen, und wenn du der Bridge die 192.168.1.1 gibst, kannst du in der Opnsense für LAN nicht auch die 192.168.1.1 vergeben.

Also, in Proxmox die IP der vmbr2 entfernen, und bei der Opnsense auf LAN die IP behalten. Dann sollte wenigstens mal das gelöst sein.

Vielen Dank für den Hinweis. Jedoch ändert dies nix am Problem. Und die Sense hat die 192.168.1.1 - egal ob vmbr2 die hat, oder nicht.

Klar, kannst ja Adressen auch doppelt vergeben, aber technisch ist es möglich verschiedenen Geräten gleiche Adressen zu geben.

Kannst du einen Ping von der 10.0.0.2 auf die 10.0.0.1 absetzen?

Ping geht natürlich. Da liegt auch nicht das Problem. IPs bei allen vmbr rausgenommen, gleiches Problem.

Dann ist die Verbindung schonmal da.

Folgende Dinge.
Was hast du im Outbound NAT der OPNsense hinterlegt.
Was sagt ein tracert auf die 1.1.1.1?

Gesendet von meinem M2012K11AG mit Tapatalk

[fellpower]

NAT wird vom Proxmox Host gelöst. Alles kann rein, alles kann raus. Maskiert.

Für die Sense ist es so, als hänge sie direkt an der öffentlichen IP.

traceroute zu 1.1.1.1 ist einfach vom client

1. 192.168.1.1 (OPNSense LAN)
2. 10.0.0.1 (Tunnel zum Proxmox)
3. öffentliche IP
4 andere HOPS
.
.
.
9. 1.1.1.1 mit 5ms

Da ist nix zwischen, was Probleme macht. Dies ist der debian VM Client, bei dem es geht.

Bei JEDER neuen LINUX VM, KOMPLETT GLEICH konfiguriert (nur ne andere fixe IP halt) - sieht traceroute so aus:
1. 192.168.1.1 (OPNSense LAN)
*
*
*
*
Nix - es geht also nix durch den Tunnel. Mach ich Option 11 (Reloaad all services) auf der Sense, tract der vorher nicht funktionierden Client genauso, wie der erste - der funktioniert.

Also macht die Sense hier wat falsch - und ich weiß nicht was

[lfirewall1243]

NAT wird vom Proxmox Host gelöst. Alles kann rein, alles kann raus. Maskiert.

Für die Sense ist es so, als hänge sie direkt an der öffentlichen IP.

traceroute zu 1.1.1.1 ist einfach vom client

1. 192.168.1.1 (OPNSense LAN)
2. 10.0.0.1 (Tunnel zum Proxmox)
3. öffentliche IP
4 andere HOPS
.
.
.
9. 1.1.1.1 mit 5ms

Da ist nix zwischen, was Probleme macht. Dies ist der debian VM Client, bei dem es geht.

Bei JEDER neuen LINUX VM, KOMPLETT GLEICH konfiguriert (nur ne andere fixe IP halt) - sieht traceroute so aus:
1. 192.168.1.1 (OPNSense LAN)
*
*
*
*
Nix - es geht also nix durch den Tunnel. Mach ich Option 11 (Reloaad all services) auf der Sense, tract der vorher nicht funktionierden Client genauso, wie der erste - der funktioniert.

Also macht die Sense hier wat falsch - und ich weiß nicht was

Und dann geht es auf einmal nicht mehr?
Oder gehen dann alle bestehenden, nur die neuen wieder nicht?

Welche Netzwerkkarte hast du für die OPNsense angelegt?


Gesendet von meinem M2012K11AG mit Tapatalk

[lfirewall1243]

Würde folgendes mal versuchen.
1. Proxmox Firewall auf den beiden OPNsense Schnistellen deaktivieren

2. Hardware Offloading in der OPNsense deaktivieren

Gesendet von meinem M2012K11AG mit Tapatalk

[fellpower]

Würde folgendes mal versuchen.
1. Proxmox Firewall auf den beiden OPNsense Schnistellen deaktivieren

2. Hardware Offloading in der OPNsense deaktivieren

Gesendet von meinem M2012K11AG mit Tapatalk

1. ist sowieso aus, wegen Sense
2. Is eh schon aus

Und jetzt kommts, die VM, welche nicht ins Netz kam, hat jetzt Internet - aber ich habe NIX verändert.

Traceroute sieht so aus, wie bei der VM, die funktioniert.

Starte ich diese 2. VM jedoch neu, ist das Internet wieder weg.....

[lfirewall1243]

Würde folgendes mal versuchen.
1. Proxmox Firewall auf den beiden OPNsense Schnistellen deaktivieren

2. Hardware Offloading in der OPNsense deaktivieren

Gesendet von meinem M2012K11AG mit Tapatalk

1. ist sowieso aus, wegen Sense
2. Is eh schon aus

Und jetzt kommts, die VM, welche nicht ins Netz kam, hat jetzt Internet - aber ich habe NIX verändert.

Traceroute sieht so aus, wie bei der VM, die funktioniert.

Starte ich diese 2. VM jedoch neu, ist das Internet wieder weg.....

Okay welche Art von virtueller Netzwerkkarte verwendest du für OPNsense, funktionierender und nicht funktionierender Client

Gesendet von meinem M2012K11AG mit Tapatalk