VM hat keinen Internetzugriff

[marcel1801]

Guten Tag,

dies ist das Setup:
-Hardware Server mit Öffentlicher IP auf welchem Proxmox läuft und die OPNsense
-Debian12 VM mit Privater IP auf Proxmox welche eine IP durch OPNsense erhält und Internetzugriff bekommt

OPNsense läuft und komme auch auf das Dashboard drauf, VLAN in OPNsense für die VM habe ich erstellt mit der IP 10.2.101.1/30. DHCP läuft auch meine VM hat die IP: 10.2.101.2/30.

Problem:
Die VM hat einen Internetzugriff ich kann von der Firewall aus das VLAN und die VM anpingen, ich kann auch von der VM die Firewall anpingen.

Network Interfaces Hardware-Server:
source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback

auto enp4s0f0
iface enp4s0f0 inet static
        address 172.22.24.152/24
        gateway 172.22.24.1
        dns-nameservers 8.8.8.8
        post-up sysctl -w net.ipv4.ip_forward=1
        post-up iptables -t nat -A PREROUTING -i enp4s0f0 -p tcp -m multiport ! --dport 22,8006 -j DNAT --to 10.10.10.1
        post-up iptables -t nat -A PREROUTING -i enp4s0f0 -p udp -j DNAT --to 10.10.10.1
# dns-* options are implemented by the resolvconf package, if installed

iface enp3s0f0 inet manual

iface enp3s0f1 inet manual

iface enp4s0f1 inet manual

auto vmbr0
iface vmbr0 inet static
        address 10.10.10.0/31
        bridge-ports none
        bridge-stp off
        bridge-fd 0
        post-up iptables -t nat -A POSTROUTING -s '10.10.10.1/31' -o  enp4s0f0 -j MASQUERADE
        post-down iptables -t nat -A POSTROUTING -s '10.10.10.1/31' -o  enp4s0f0 -j MASQUERADE
#OPNSense WAN und Proxmox LAN

auto vmbr1
iface vmbr1 inet manual
        ovs_type OVSBridge
#VM Netzwerk

Network-Interfaces VM:
auto ens19
allow-hotplug ens19
iface ens19 inet static
            address: 10.2.101.2/30
            gateway: 10.2.101.1
            dns-nameservers 8.8.8.8

Im Anhang befindet sich meine Proxmox Netzwerk-Konfiguration.

Ich würde mich über Hilfe freuen!  :)

[Saarbremer]

Hallo,

was bedeutet "Die VM hat einen Internetzugriff"? Ping geht nicht, DNS geht nicht, nichts geht, langsam, bei google kommen keine Bilder, welche Fehlermeldung?

Bonusfrage: Wie hast du die OPNSense in der Firewall konfiguriert?

Zusatzfrage: Vielleicht fehlt einfach ein Pass für das VLAN nach draußen?

Extra-Bonus-Zusatzfrage: Ein WAN, konfiguriert als was?

Hinweis: Im Firewall Live Log kann man meist schon sehen, ob und warum was geblockt wird.

[marcel1801]

was bedeutet "Die VM hat einen Internetzugriff"?
Wenn ich z.b google.com anpinge dann werden zwar Pakete versendet aber es kommen keine an.

Bonusfrage:
Also die Interfaces in OPNsense sind:
VLAN101 (vlan01) -> 10.2.101.1/30
WAN (vtnet0) -> 10.10.10.1/31

Sonst wurde nur DHCP eingerichtet was funktioniert

Zusatzfrage:
Keine Ahnung wie das geht

Extra-Bonus-Zusatzfrage:
Das WAN ist nur für die Verknüpfung von Proxmox und OPNsense, also der Trafiik mit Ausnahme von Port 80(Web Interface) und Port 22(SSH) soll an die OPNsense weitergeleitet werden.


Hinweis:
Habe ich schon geschaut in den Logs steht nichts auffälliges.

[Saarbremer]

Ok, also ganz von vorne.

In den Firewall Regeln muss mindestens für alles, was erlaubt sein soll auch mindestens eine Regel existieren, die diesen Traffic zulässt. In deinem Fall also z.B.

IPv4/6 VLAN101 net -> any, any port -> any port

Gibt es die nicht, schlägt vermutlich default deny zu. Das sieht man auch im Live Log der Firewall, dort erscheint dann bei einem Ping zu google ein roter Eintrag.

Natürlich muss der Traffic zu google auch über die OPNsense geroutet werden. Da du DHCP nutzt, gehe ich mal davon aus.

Und jetzt müsste von der OPNSense über deren WAN IF ein Paket zum Gateway des WANs gehen. Mir ist allerdings nicht klar, was da kommt. Ist das das Gateway vom ISP oder ein weiteres Gerät von dir?

Beim ISP wäre NAT zu aktivieren, ist es ein Gerät von dir, müsstest du dort eine Route für 10.2.101.1/30 eintragen mit OPNSense als Gateway. Oder auch Outbound NAT einschalten.

[marcel1801]

Habe jetzt 2 Regeln eingerichtet einmal für die Direction in und out, alles standard gelassen nur einen Haken bei "Log packets that are handled by this rule". Nun werden mir aber immer noch keine Logs angezeigt nach dem Pingen keine Ahnung.

DHCP macht ja OPNsense und dies war auch erfolgreich.

Jetzt weiß ich aber nicht genau was du mit dem weiteren Part meinst, also was ich nun machen muss. Proxmox und OPNsense sind ja über die Bridge(vmbr0) verbunden und OPNsense mit der VM mit der Bridge (vmbr1) verbunden. Sieht man alles im Anhang beim ersten Post.

Also der WAN hat die IP: 10.10.10.1, dass ist die Firewall.

Ziel ist es das die VM das Internet erreicht.

[marcel1801]

Ich habe in den Logfiles das hier gefunden eventuell trägt das zur Problemlösung bei.

Datei ist im Anhang.

[Saarbremer]

Hallo,

ich würde dir gerne helfen, aber ich komme mit den genannten Informationen nicht weiter. Die gezeigte Blockierung bedeutet, dass auf WAN eingehend jemand eine HTTP Verbindung mit 10.10.10.1 aufbauen möchte.

Für's Protokoll: Inout Rules sind nicht angezeigt, die erschweren nur die Wartung. Es empfiehlt sich eingehenden Traffic auf den jeweiligen Schnittstellen zu filtern / zu erlauben. Also hier auf VLAN eine In-Rule für alle Adressen im VLAN. Zudem sollte man https://docs.opnsense.org/manual/firewall.html kennen.

Als nicht-Proxmox-Kenner kann ich auch nichts zu deiner Konfig sagen.

Sollte nichts im LiveLog von deiner VM auftauchen, dann musst du den Verkehr auf den betroffenen beiden Schnittstellen der Opnsense mitschneiden. Warum? Am VLAN siehst du, ob überhaupt was kommt, auf WAN siehst du, ob was rausgeht und wieder züruckkommt. Damit kann man das genau eingrenzen.