Virtual IPs + 1to1 NAT - Routing Problem

[TaktischerSpeck]

Hallo,

ich habe einen Proxmox Server bei Hetzner stehen.
Ich habe einzelne IPs dazu gekauft, welche ich als virtuelle IP und 1to1 NAT auf einen (extra) Adapter weiter gebe.
Am Adapter hängt eine VM.
Die VM hat Internet, SSH über die WAN-IP der VM gehen, auch ohne Probleme.
Jetzt habe ich an einem anderen Adapter ein Lokales-Netz mit wieder eine VM drin.
Diese kann die VM mit WAN-IP nicht erreichen.
Aus Verzweiflung habe ich allow all rules erstellt, aber das Problem scheint irgendwo im routing zu liegen.

Hier erstmal die Konfiguration:
Firewall rules sind wie gesagt kein teil des Problems.





Was mich jetzt fertig macht, ist das, wenn ich intern (egal ob von einer VM oder der FW aus) ein traceroute starte nix dabei herauskommt, also einfach nur ***** er findet nix.
Außerhalb (mein PC sowie Proxmox) macht er die normalen Hops und kommt ans ziel.
Von Proxmox aus macht er zwei, der erste wird die FW sein, wie sie auf das ICMP antwortet, der zweite dann das eigentliche Ziel.

Proxmox hat einfach mit "ip route add" die info das ip 68.136 über vmbr0 geroutet wird.
FW hängt mit der eigenen WAN IP (68.133) auch an vmbr0.
Ebenfalls anzumerken ist das die IPs von Proxmox, VM und FW im gleichen Subnet liegen.

Ich bin mit mein Latein am Ende und brauche dringen Hilfe.

[Monviech (Cedrik)]

Zeichne dir mal ein Netzwerk Diagramm wo du das komplette Routing von Anfang bis Ende darstellst. Dann findest du vielleicht den Fehler.

- Alle Routing Instanzen
- Alle Interfaces der Routing Instanzen mit IP Adressen und Subnetz
- Alle Default und Static Routes
- Jedes Source NAT, Destination NAT und Static NAT
- Den Paketflow nachspielen, auf symmetrisches Routing achten. Sich immer Fragen "wo geht das Paket jetzt hin, kann es das?"

Gute Beispiele hierfür gibt es von Cisco: Routing Diagram.

Nur nicht verzweifeln, einfach trocken und systematisch vorgehen und komplizierte Fehlerquellen ausschließen, System vereinfachen wo es geht. Kein System bauen was zu komplex ist.

[TaktischerSpeck]

Moin,

danke für die Antwort.
Ich setze mich gleich mal an die Interfaces und verfolge die Pakete, damit ich weiß wo was verloren geht.

Bis dahin hab ich mal hier das Netzwerk mal gemalt



VM Local
Subnetz: 10.1.103.0/30 (FW 103.1, VM 103.2)

Code Select Expand

ip route list

Code Select Expand


default via 10.1.103.1 dev eth0 proto dhcp src 10.1.103.2 metric 1024
10.1.103.0/30 dev eth0 proto kernel scope link src 10.1.103.2 metric 1024
10.1.103.1 dev eth0 proto dhcp scope link src 10.1.103.2 metric 1024


VM-WAN
Subnetz: 10.1.104.0/30 (FW 104.1, VM 104.2)

Code Select Expand

ip route list

Code Select Expand


default via 10.1.104.1 dev ens18 proto dhcp src 10.1.104.2 metric 100
10.1.104.0/30 dev ens18 proto kernel scope link src 10.1.104.2 metric 100
10.1.104.1 dev ens18 proto dhcp scope link src 10.1.104.2 metric 100


Die Konfiguration von der FW habe ich unten so gut es geht angehängt, von dem, was ich im Internet gefunden habe, sollte das ganze aber korrekt sein.

Jedes Source NAT, Destination NAT und Static NAT

-> Ich habe nur das BINAT über 1to1 gemacht und auf dem WAN Interface die lokale IP freigegeben, muss ich noch etwas machen?

Alle Default und Static Routes

Aktuell gibt es nur die default routes, die welche die WAN IP betrifft habe ich unten in einen Screenshot gepackt.

Liebe Grüße

[Monviech (Cedrik)]

Das was du da gezeichnet hast ist kein Routing Diagramm (L3).

Es zeigt nur das physikalische Netz. Aber von Layer 3 ist da nichts zu sehen.

Setz dich einfach mal mit einem Bleistift und Papier hin und zeichne einen logischen Layer 3 Netzwerkplan von dem was du erreichen willst. Es muss nicht schön aussehen, es hilft dir selber zu begreifen was du willst und wo vielleicht Fehler sind.

[TaktischerSpeck]

Okay also das Paket verschwindet einfach.
Ich habe jedes Interface aufgezeichnet, das Paket kommt auf dem FW Interface an (von der VM-Lokal).
Danach kommt es nicht mehr vor, auf keinem Loopback, WAN oder sonstigen Interface.
Jeder Adapter hat die Option lokale Netzwerke zu blocken NICHT aktiviert.

Es gibt folgende default route:

Code Select Expand

ipv4 XXX.XXX.68.136 link#1 UH NaN 16384 lo0 Loopback
Ich denke mal das es damit irgendwie zusammen hängt.

Mein Ansatz wäre es diese jetzt mal zu löschen (eine static route habe ich bereits gesetzt gehabt WAN IP auf WAN Adapter, jedoch ohne erfolg meine ich)

[TaktischerSpeck]

Ja well...

NAT reflection einschalten war die Lösung.
Hab die Option einfach gekonnt ignoriert.
Dann mal ein zweites 1to1 NAT auf den Adapter der lokalen VM gemacht und siehe da es ging.
Dann hab ich mal geschaut was NAT reflection genau macht und es eingeschaltet...

Danke dir :)