Proxmox VPS mehrere öffentliche IPs und lokales Subnet

dschense · Apr 27th 2019

Hallo zusammen,

Ich habe jetzt gefühlt jede Anleitung und jeden Hinweis im Netz durch. Ich hänge ein bisschen an der Netzwerk Konfiguration meines Proxmox Hosts.

Ich habe 4 öffentliche IPs, eine davon direkt beim server dabei gewesen, 3 weitere zugebucht und auf den Server geroutet.

ich möchte gerne, dass der Host eine öffentliche IP hat. die 3 übrigen sollen dann an LXC Container weitergereicht werden (also kein NAT)

Desweiteren möchte ich ein Subnetz erstellen, welchem ich via NAT bestimmte Ports durchreichen kann. Von dort aus soll dann via reverse Proxy weiter verteilt werden.

Ich habe mit der Konfiguration schon ganz schön gekämpft. einiges funktioniert auch schon.

Verwendet werden soll natürlich IPv4 und IPv6.

Hier mal meine Config Daten. Vielleicht kann mir ja jemand weiter helfen.

/etc/ndppd.conf:

Code

route-ttl 30000
proxy vmbr1 {
router no
timeout 500
ttl 30000
rule ****:****:****:****::/64 {
auto
}
}

/etc/sysctl.conf:

Code

# IPv4 Traffic forwarden/routen
net.ipv4.ip_forward=1

# IPv6 Traffic forwarden/routen
net.ipv6.conf.all.forwarding=1

# IPv6 NDP weiterleiten
net.ipv6.conf.all.proxy_ndp=1

/etc/sysctl.d/50-IPv6.conf:

Code

net.ipv6.conf.default.accept_ra=0
net.ipv6.conf.default.autoconf=0
net.ipv6.conf.all.accept_ra=0
net.ipv6.conf.all.autoconf=0
net.ipv6.conf.ens3.accept_ra=0
net.ipv6.conf.ens3.autoconf=0
net.ipv6.conf.all.forwarding=1
net.ipv6.conf.default.forwarding=1
net.ipv6.conf.all.router_solicitations = 1
net.ipv6.conf.default.forwarding = 1
net.ipv6.conf.default.proxy_ndp = 1

Display More

/etc/network/interfaces:

Code

auto lo
iface lo inet loopback
iface lo inet6 loopback

auto ens3
iface ens3 inet manual

auto vmbr1
iface vmbr1 inet static
        # Haupt IP des KVM Servers
        address 92.**.**.**
        netmask 22
        gateway 92.**.**.1
        bridge_ports ens3
        bridge_stp off
        bridge_fd 1
        # Gleiche Angabe wie bei gateway
        pointopoint 92.**.**.1
        bridge_hello 2
        bridge_maxage 12
        bridge_maxwait 0
        # Zusätzliche IP Adressen
        up route add -net 188.**.**.** netmask 255.255.255.255 gw 92.**.**.** vmbr1
        up route add -net 188.**.**.** netmask 255.255.255.255 gw 92.**.**.** vmbr1
        up route add -net 188.**.**.** netmask 255.255.255.255 gw 92.**.**.** vmbr1

iface vmbr1 inet6 static
        address ****:****:****:****:1::1
        netmask 128
        gateway fe80::1
        ip -6 route add fe80::1 dev vmbr1
        ip -6 route add default via fe80::1 dev vmbr1
        ip -6 route del fe80::1 dev vmbr1
        ip -6 route del default via fe80::1 dev vmbr1

auto vmbr2
iface vmbr2 inet static
        #interne IPv4 Adresse der Bridge
        address 192.168.0.1
        netmask 255.255.255.0
        bridge_ports none
        bridge_stp off
        bridge_fd 0
        post-up echo 1 > /proc/sys/net/ipv4/ip_forward
        #NAT
        iptables -t nat -A POSTROUTING -s '192.168.0.1/24' -o vmbr1 -j MASQUERADE
        iptables -t nat -D POSTROUTING -s '192.168.0.1/24' -o vmbr1 -j MASQUERADE

iface vmbr2 inet6 static
        #IPv6 Adresse der Bridge
        address ****:****:****:****:2::1
        netmask 80

auto vmbr3
iface vmbr3 inet6 static
        address ****:****:****:****:3::1
        netmask 80
        bridge_stp off
        pre-up brctl addbr vmbr3
        post-down brctl delbr vmbr3

Display More

Derzeitiger Stand:

LXC test1:

Adapter Vmbr2:

IPv4: 192.168.0.2/24

GW: 192.168.0.1

IPv6: ****:****:****:****:2::51/80

GW: ****:****:****:****:2::1

ping -4 google.de --> funktioniert

ping -6 google.de --> funktiiniert

------------------------------------------------

LXC test2:

Adapter Vmbr1:

IPv4: 188.**.**.**

GW: 92.**.**.**

Adapter Vmbr3:

IPv6: ****:****:****:****:3::104/80

GW: ****:****:****:****:3::1

ping -4 google.de --> funktioniert

ping -6 google.de --> funktionert nicht (Es passiert einfach gar nicht - kein Fehler.. nichts)

Zudem habe ich das problem, dass wenn ich nach vmbr2 einen Port Forward durchführe, funktioniert das zwar, allerdings bekomme ich mit dem Port (bsp 443) dann ein Problem unter einem Container mit öffentlicher IP auf vmbr1. bsp beim Curl eines Scripts von Github. da bekomme ich dann den Fehler "No route to host" - ping und apt-get update etc funktionieren allerdings alle.

Sobald ich den Forward dann wieder entferne funktioniert alles weder.

Vielleicht kann mich jemand in die richtige Richtung schubsen.

Vielen Dank schonmal vorab - auch fürs Lesen meines nahezu unendlichen Posts

dschense · Apr 27th 2019

Leider muss ich mich hier schon korrigieren.

Kurz nachdem ich den Post hier abgesetzt hatte, musste ich feststellen, dass überhaupt nichts mehr geht.

Das Einzige was funktioniert ist ipv4 und ipv6 auf dem Proxmox Host. Da funktioniert ping curl etc problemlos.

in den Containern allerdings funktioniert überhaupt nichts mehr. Ich kann über keinen Adapter, weder ipv4 noch ipv6 irgendetwas pingen oder sonst was machen.

die Config macht mich noch verrückt.

dschense · Apr 27th 2019

Duch Zufall beim rumprobieren bin ich glaube ich auf die Lösung gekommen.. zumindest scheint jetzt alles richtig zu funktionieren.

jeder Adapter bekommt jetzt sowohl IPv4 als auch IPv6 und auch die öffentlichen IPs sind jetzt wohl nicht mehr von dem Portforward auf dem Subnetz betroffen.

Das ist jetzt meine Lösung. Über Verbesserungsvorschläge wäre ich natürlich weiterhin dankbar.

Code

auto lo
iface lo inet loopback

auto ens3
iface ens3 inet static
        address 92.**.**.**
        netmask 255.255.252.0
        broadcast 92.**.**.255
        gateway 92.**.**.1

iface ens3 inet6 static
        address ****:****:****:****::1
        netmask 128
        up sysctl -p
        gateway fe80::1

auto vmbr0
iface vmbr0 inet static
        address 192.168.0.1
        netmask 255.255.252.0
        bridge_ports none
        bridge_stp off
        bridge_fd 0

        post-up echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up iptables -t nat -A POSTROUTING -s '192.168.0.1/24' -o ens3 -j MASQUERADE #NAT
        post-down iptables -t nat -D POSTROUTING -s '192.168.0.1/24' -o ens3 -j MASQUERADE

        post-up iptables -t nat -A PREROUTING -i ens3 -p tcp --dport 2222 -j DNAT --to 192.168.0.2:22
        post-down iptables -t nat -D PREROUTING -i ens3 -p tcp --dport 2222 -j DNAT --to 192.168.0.2:22

        post-up iptables -t nat -A PREROUTING -i ens3 -p tcp --dport 80 -j DNAT --to 192.168.0.2:80
        post-down iptables -t nat -D PREROUTING -i ens3 -p tcp --dport 80 -j DNAT --to 192.168.0.2:80

        post-up iptables -t nat -A PREROUTING -i ens3 -p tcp --dport 443 -j DNAT --to 192.168.0.2:443
        post-down iptables -t nat -D PREROUTING -i ens3 -p tcp --dport 443 -j DNAT --to 192.168.0.2:443

iface vmbr0 inet6 static
        address ****:****:****:****:2::1
        netmask 80

auto vmbr1
iface vmbr1 inet static
        address 92.**.**.**
        netmask 255.255.255.255
        bridge_ports none
        bridge_stp off
        bridge_fd 0
        up ip route add **.**.**.**/32 dev vmbr1
        up ip route add **.**.**.**/32 dev vmbr1
        up ip route add **.**.**.**/32 dev vmbr1

iface vmbr1 inet6 static
        address ****:****:****:****:3::1
        netmask 80

Display More

djdomi · Jun 22nd 2019

Die Konfiguration hat gehelfen!

auto lo ens3

iface lo inet loopback

iface ens3 inet static

address <WAN-IP>

netmask <WAN-NETMASK>

gateway <WAN-GW>

auto vmbr0

iface vmbr0 inet static

address 10.0.0.1

netmask 255.0.0.0

bridge_ports none

bridge_stp off

bridge_fd 0

post-up echo 1 > /proc/sys/net/ipv4/ip_forward

post-up iptables -t nat -A POSTROUTING -s '10.0.0.1/8' -o ens3 -j MASQUERADE

post-down iptables -t nat -D POSTROUTING -s '10.0.0.1/8' -o ens3 -j MASQUERADE

habe ein bisschen mehr vor

Tags