ich klinke mich mal ein und adde meinen Beitrag:
https://forum.netcup.de/anwend…homeserver-postfix-relay/
vl kann da auch jemand helfen, bin u.A der oben genannten Anleitung gefolgt*grins*
ich klinke mich mal ein und adde meinen Beitrag:
https://forum.netcup.de/anwend…homeserver-postfix-relay/
vl kann da auch jemand helfen, bin u.A der oben genannten Anleitung gefolgt*grins*
Hey zusammen,
würde gerne für meinen Proxmox Homeserver Postfix via Relay nutzen, als Email dient ein Webspace hier bei Netcup.
Meine main.cf:
# See /usr/share/postfix/main.cf.dist for a commented, more complete version
myhostname=proxmox.fritz.box
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
# appending .domain is the MUA's job.
append_dot_mydomain = no
# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
#mydestination = $myhostname, localhost.$mydomain, localhost
#relayhost =
mynetworks = 127.0.0.0/8
inet_interfaces = loopback-only
recipient_delimiter = +
compatibility_level = 2
#postfix via email relay
relayhost = [mx2ea2.netcup.net]:465
smtp_use_tls = yes
smtp_sasl_auth_enable = yes
smtpd_tls_security_level = may
smtp_tls_security_level = encrypt
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
inet_protocols = ipv4
smtp_tls_wrappermode = yes
sender_canonical_maps = regexp:/etc/postfix/sender_canonical
Alles anzeigen
Postfix service neugestartet usw.
via echo "Test mail from postfix" | mail -s "Test Postfix" meine@email.tld ein test geschickt
im mail log sehe ich allerdings dann, dass die ip meines anschluss bei spamhaus geblockt ist - ist ja auch verständlich, da "dialup ip"
frage ist allerdings, krieg ichs irgendwie hin, dass ich den email dienst von proxmox aus dem home bereich trotzdem nutzen kann ?:/
Mein Ziel ist, dass Status Emails von Proxmox mir per email zugestellt werden, wenn ich zb unterwegs bin
falls relevant: telekom (dial up IP)
alternativ besteht noch ein gmail account - falls google nicht so "pingelig" sein sollte:D
ich danke dir recht herzlich! habe schon teil Erfolge jetzt erzielt und mich noch nicht ausgesperrt *grins* variante 1 mit den iptables.
Fühl dir auf die Schulter geklopft, vielen vielen Dank für deine Unterstützung!
Alles anzeigenDie Spielwiese dann so behandeln, wie auch eine Spielwiese auf einem Netcup Server.
Das Betriebssystem im Container härten.
Ja, okay. Windows VMs strikt auf eine andere Bridge schicken.
Aber auch hier müsstest du dann mit iptables arbeiten, um die Bridge von den restlichen Bridges zu trennen.
Du kannst auch per SSH drauf - ist auch nur ein ganz normales Debian und administriert sich wie ein ganz normales Debian.
Proxmox stellt dir auch eine Firewall per GUI bereit - die müsstest du unter "Datacenter" aktivieren.
Hier besteht allerdings auch die Gefahr dich auszusperren - wenn du also kein Monitor anschließen kannst und weißt, wie man das in der Bash nicht wieder richten kann, guckst du ein bisschen in die Röhre.
Mir hat das Proxmox Firewall Feature nicht so gut gefallen - habe mich aber auch nicht intensiv damit beschäftigt.
mit Datacenter ist das oberste " Rechenzentrum" gemeint, nicht den Node / VM - ja ?
Sehe dort allerdings nur die Möglichkeit als Aktion Accept / Drop / Reject zu wählen, wüsste nicht was ich z.B: bei Interface / quelle / Ziel reinschreiben müsste um zum ergebniss zu kommen, dass die netze untereinander nicht kommunizieren dürften.
hätte jetzt IN - drop - quelle 192.168.178.0/24 gemacht als auch OUT und das ganze dann umgekehrt für das 10.0.0.0/24 - wäre das the way to go?
Falls alle stricke reißen mit dem aussperren, bestünde ein Monitor und via shell kann ich die firewall deaktivieren im fall der fälle - aber den "stress" will ich mir sparen haha (Monitor rauskramen, an stöpseln samt Tastatur usw)
Entschuldige mich schonmal für etwaige Dumme Fragen, ist für mich auch gerade ein wenig lernen für die Zukunft durch "Google" bin ich nicht sonderlich schlau geworden, da finde ich deine Hilfestellung gerade echt am angenehmsten umzusetzen
Alles anzeigenEine Route reicht, z.B. für ein 24er Subnetz - und an den Bridges verwendest du jeweils nur kleinere Netze, /30er z.B.
Allerdings sehen dann die iptables Einträge deutlich komplizierter aus.
Wirklich Sinn macht das nur, wenn du die VMs auch vermietest, denen aber die Kommunikation untereinander zu verbieten - was soll das bringen?
Scheinbar ist das was wichtig ist, eh über das Internet zu erreichen (TS und Gameserver) - und alles andere wie SSH sollte doch eigentlich deaktiviert sein oder Passwortgeschützt.
Welchen Vorteil versprichst du dir denn davon, dass die VMs nicht untereinander kommunizieren dürfen?
Wenn ich z.B. in einer Spielwiese irgendwelche Daten liegen hätte , auf die man dann zugreifen könnte oder ähnlich, vl ist das bisschen mit Kanonen auf Spatzen geschossen, bin da vielleicht auch ein wenig paranoid
wenn ich zb eine windows VM nutze (hab einen m1 mac) dort dann auch paar sensiblere daten (jetzt nicht lebensnotwendig, aber datenschutzgemäß sensibel) liegen hätte, nicht dass jmd zb in den TS LXC einbricht und sich dann zugriff zu der windows VM beschafft und dort alle daten klaut oder so ( wiegesagt, bisschen paranoid, aber ich denke mal so "sicherheitsbewusst" zu denken oder sich zumindest Gedanken zu machen, ist nicht schlimm
hab Variante 1 am laufen, der LXC hat jetzt die ip 10.0.0.2 und kann auch nach draußen pingen vom 192 XX netz klappt der ping ins 10.XXX netz und umgekehrt.
lediglich das mit den IPtables hab ich noch nicht raus, geht das mit der GUI oder muss ich das über die proxmox shell regeln? (Die netze jeweils gegeneinander nicht erreichbar zu machen (privat + vms)
Alles anzeigenInwieweit man die Dinge im Gastnetz als exposed Host nutzen kann, weiß ich nicht.
Auch wirst du dann erstmal Schwierigkeiten haben auf das Webinterface / SSH vom Heimnetz aus zuzugreifen.
Evtl. hat die Fritte da auch einige DMZ Einstellungen - das übersteigt aber den Horizont der Fritte eigentlich.
Die VMs können, sofern sie an einer Bridge hängen, sowieso untereinender kommunizieren - über Layer2.
Das kannst du mit einer IP Firewall nicht einschränken.
Wenn du nicht möchtest, dass die VMs untereinander kommunizieren, musst du mit ebtables ran, oder jeder VM eine eigene Bridge geben...
Eine Bridge ist wie ein Switch, wenn zwei Rechner daran angeschlossen sind, können sie auch kommunizieren.
dann müsste ich für jede bridge ein neues netz erstellen und das dann auch in der fritte immer hinzufügen als route, richtig?
das klingt gut, ich baus gleich mal nach
--- /etc/network/interfaces 2021-07-11 14:39:06.523369889 +0200
+++ /etc/network/interfaces.new 2021-07-11 15:29:13.248165163 +0200
@@ -22,3 +22,10 @@
bridge-stp off
bridge-fd 0
+auto vmbr1
+iface vmbr1 inet static
+ address 10.0.0.1/24
+ bridge-ports none
+ bridge-stp off
+ bridge-fd 0
+
Alles anzeigen
also quasi nur eine neue bridge erstellen - im ip4 feld 10.0.0.1/24 eintragen (gateway leer lassen)
dann den VMs manuell 10.0.0.2 -3 -4 -5 usw zuweisen, eine route in der fb erstellen und am proxmox knoten via firewall / ip tables dann die regeln festlegen ? (muss mich mal mehr mit iptables auseinandersetzen *würg*
sysctl -w net.ipv4.ip_forward=1 natürlich vorher setzen am proxmox.
edit: wäre es vl auch einfacher möglich, den proxmox host an LAN4 zu hängen der Fritzbox, welcher in den Fritzbox settings als "Gastnetz" genutzt wird? - der dürfte ja dann auch im eigenen netz unterwegs sein ? (sofern ich dann noch eine portweiterschaltung setzen kann) --- das dürfte doch zum selben ergebniss führen, außer , dass die VMs untereinander kommunizieren können ? *rein informativ*
ZitatGastzugang
Hier ermöglichen Sie Ihren Gästen schnell und sicher einen Zugang zum Internet. Aktivieren Sie die Option "Gastzugang für LAN 4 aktiv" und schließen Sie das Gastgerät an die Buchse "LAN 4" an Ihrer FRITZ!Box an. Die mit dem "LAN 4"-Anschluss verbundenen Geräte nutzen lediglich den Internetzugang, haben aber keinen Zugriff auf Ihr Heimnetz.
Gastzugang für LAN 4 aktiv
Hey zusammen,
kurze Frage - vielleicht steh ich auch einfach auf dem Schlauch
Habe einen A300 (3400g, 16gb ram, 500gb nvme, 1x 1gbit nic) zuhause, auf dem ein MC Server, TS³ Server und diverse "spielwiesen" laufen.
der MC und TS sind via Port Weiterleitung an der Fritzbox 7590 via meine subdomain (myfritz dynds + cname record meiner domain) von außerhalb erreichbar.
nun möchte ich allerdings verhindern das SOLLTE sich mal jemand in einen LXC / KVM "hacken" - zugriff bekommen, er nicht auf mein restliches heimnetz kommt, aktuell kann ich von dem minecraft container (192.168.178.201 (200 ist der Proxmox) ) meinen mac / windows pc (192.168.178.2 (192.168.178.1 ist die fritzbox) ) anpingen.
mein ziel wäre , dass die KVMs / Container nach draußen funken können, auch von draußen erreichbar sind via meine subdomain ABER ich nicht vom container / kvm mein "heimnetz" selbst erreiche / anpingen kann usw. >EDIT(außer ich würde z.B. eine Wireguard KVM oder so erstellen)<
Wie ist da die vorgehensweise? (ambesten detailiert erklärt zum nachbauen / verstehen )
Aktuell war die idee, dass ich eine neue bridge (vmbr1) erstelle, die dann z.B. die ip 10.0.0.1 /24 gebe den anderen vms dann 10.0.0.2 usw und in der fritzbox eine route einstelle?
Aber dann hätte ich ja wieder das problem, dass ich die zwei netze irgendwo verbinde miteinander?
hab den dreh mit vlan tags usw noch nicht ganz raus der proxmox selbst soll von außerhalb nicht erreichbar sein (Port in der Fritzbox ist nicht freigegeben).
edit2: wäre durfte, wenn ich das alles über die mittel von Proxmox lösen könnte ohne eine pfsense aufsetzen zu müssen (doppelts nat? )
Telekom ; 250 Mbit/s down 47 UP // SVDSL // Fritzbox7590
Na, ich weiß nicht... Wenn ich mir dein Profilbild so ansehe...
so abschreckend, dass die Welt es zerstören will? haha
vielen Dank für die Antwort - ich bezweifle da ich gezielt das opfer war daher eher das mit dem nachbarn vermutlich x)
danke euch!
Hey Leute,
musste in meinem Postfach heute mittag diese Nachricht feststellen:
Guten Tag Pascal RXXX,
vor wenigen Minuten fand ein massiver Angriff auf Ihr Produkt (Zenziert) statt. Wir routen daher die betroffene IP-Adresse Zenziert über unseren kostenlosen DDoS-Filter. Dieser filtert alle Pakete, die den DDoS verursachen. So bleiben die Dienste Ihres Servers die nicht Angegriffen werden, weiterhin erreichbar. Bedingt durch die Filterung kann es zu etwas längeren Paket-Laufzeiten kommen.
Wir prüfen in regelmässigen Abständen, ob die Angriffe nachgelassen haben. Sobald dieses passiert ist, werden wir die IP-Adresse Zenziert wieder direkt auf Ihren Server routen.
Hier finden Sie Logauszüge, die den Angriff beschreiben:
Start: 2020-09-18T11:36:45+00:00
Destination: Zenziert
Direction: Incoming
Bandwidth: 1766.55627441 Mbit/s
Packets per second: 506440 pps
The following attack types were recognized:
The "UDP" host alert signature severity rate configured for "netcup" has been exceeded for 3 minutes, changing Severity Level from medium to high (expected rate: 250.00 Kpps, observed rate: 506.44 Kpps) (boundary: managed object)
The "UDP" host alert signature severity rate configured for "netcup" has been exceeded, changing Severity Level from low to medium (expected rate: 250.00 Kpps, observed rate: 479.13 Kpps) (boundary: managed object)
The "ICMP" host alert signature has been triggered at router "bbr01.anx03.vie.at". (expected rate: 2.50 Kpps, observed rate: 5.91 Kpps)
The "NTP Amplification" host alert signature has been triggered at router "bbr01.anx25.fra.de". (expected rate: 200.00 Mbps/100.00 Kpps, observed rate: 513.91 Mbps/140.51 Kpps)
The "UDP" host alert signature has been triggered at router "bbr01.anx25.fra.de". (expected rate: 100.00 Kpps, observed rate: 142.92 Kpps)
The following pattern were detected:
Protocol: UDP
Destination Port: 19311
Source Networks: 0.0.0.0/0
Source Port: 123
Traffic Data: 539307562 pps
Protocol: UDP
Destination Port: 19311
Source Networks: 200.34.142.185/32
Source Port: 123
Traffic Data: 118530574 pps
Protocol: UDP
Destination Port: 19311
Source Networks: 58.49.160.166/32
Source Port: 123
Traffic Data: 108945880 pps
Protocol: UDP
Destination Port: 19311
Source Networks: 219.142.118.110/32
Source Port: 123
Traffic Data: 76038293 pps
Protocol: UDP
Destination Port: 19311
Source Networks: 0.0.0.0/0
Source Port: 123
Traffic Data: 848322524 pps
Following Combinations are now ratelimited:
SRC: 0.0.0.0/0 SRCPORT: 123 DSTPORT: 19311 PROTO: UDP
SRC: 200.34.142.185/32 SRCPORT: 123 DSTPORT: 19311 PROTO: UDP
SRC: 58.49.160.166/32 SRCPORT: 123 DSTPORT: 19311 PROTO: UDP
SRC: 219.142.118.110/32 SRCPORT: 123 DSTPORT: 19311 PROTO: UDP
SRC: 0.0.0.0/0 SRCPORT: 123 DSTPORT: 19311 PROTO: UDP
Mit freundlichen Grüßen
Ihr netcup Team
---------------------------------------------------------
netcup GmbH
Geschäftsführer:
- Dipl.-Ing. (BA) Felix Preuß
- Dipl.-Ing. (BA) Oliver Werner
Daimlerstr. 25
D-76185 Karlsruhe
Telefon: +49 721 / 7540755 - 0
Telefax: +49 721 / 7540755 - 9
Internet: www.netcup.de
EMail: mail@netcup.de
USt.-IdNr.: DE262851304
---------------------------------------------------------
nun stelle ich aber fest, das unter dem genannten port 19311 ich aber nichts am laufen hab oO
der server wird mit nem centoswebpanel betrieben (nur dns, mail und website + ts3) - mehr läuft da nicht drauf.
erste mal dass mir sowas passiert ist, gibt es jetzt etwas bestimmtes zu beachten?
das ganze ist eige sehr unbekannt - die website / ts wird nur von mir und paar kumpels verwendet - wovon aber niemand das wissen hätte, nen ddos zu starten
wie würdet ihr jetzt vorgehen?
lg
edit:
habe mal geguggt woher zb ip : 200.34.142.185 kommt (mexico) ...
gibts echt leute auf der welt - die random leute ddosen?^^
meine betroffene ip ist auch nicht die "haupt" ip sondern eine zusätzlich gebuchte von netcup.
Sobald ich die zeit hab, mach ichs nochmal bisjen detailierter
https://administrator.de/wisse…fsense-tunnel-567618.html
hat mir sehr viel geholfen, dabei wurde aber auf richtige nics ausgegangen.
ich habe es mit reinen virtuellen nics gemacht, da gabs paar fallstricke die man beachten muss X)
nen ganz kleinen vps + ne zusätzliche ip, so hat man für kleines geld ne funktionierende feste ip im heimnetz
angenehmer als 70euro + bei telekom für nen dlan voice/data..
auch reversedns alles klappt wunderbar!
mit lfd/csf noch den vps "abgesichert", alle dienste bis auf den linux tunnel deaktiviert, ssh deaktiviert (komme auch über die netcup shell rein), so kann das ganze auch relativ problemlos dauerhaft laufen, firewall wird in der VM in proxmox dann gemacht x)
mitlerweilee erreiche ich auch im speedtest von meinen 250mbits down und 42 up den kompletten anschlag
keine verringerung der bandbreite bei mir feststellbar.
lediglich pingzeiten is durch die paar hops mehr im route bisjen höher. aber 31ms halte ich für akzeptabel gegenüber dem preisersparnis hehe
wichtig ist halt, die IP des WANs zuhause im GRE host zu ändern, falls man zuhause ne neue ip zugeteilt bekommt, das lässt sich mittels Script wie im link beschrieben bewerkstelligen, habs nur noch nicht hinbekommen, vl hat da jmd ne anleitung für mich zum umsetzen haha
tu es aktuell manuell anpassen bei nem reset. über nen gre update
ps:
bin ich froh, wenn sich ipv6 wirklich durchgesetzt hat und auch rpivatleute nen ipv6 netz bekommen..
dann wäre nat usw. endlich geschichte.. und solche bastellösungen gehören der vergangenheit an
auch dieses problem wurde gelöst...
da ich pihole als dns resolver nutzte, hab ich dort noch nen custom dns eintrag veranlasst, der zb. srv1.meinedomain.tld auf die interne ip des servers (192.168.1.2) weiterleiten lässt.
ein zugriff aus dem WAN heraus, klappt wunderbar (kein nat loopback).
somit klappt jetzt alles zu 100% wie ichs mir vorgestellt habe =)
möchte mich bei allen nochmal bedanken für den tipp mit der MTU und dem GRE port freigeben in der fritte! *happy*
Ich stehe jetzt nur vor dem problem, dass ich aus dem Lokalen LAN der Fritte etc. nicht auf die externe ip komme zb 123.456.789.0:2031
Vom Smartphone oder Tablet über LTE geht es allerdings ohne Probleme, lieg ich mit Hairpin richtig?
Wenn ja wie kann ich das ambesten lösen so dass ich auch aus dem lokalen netz drauf zugreifen kann
ICH HABS GESCHAFFT!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! MIT DEM GRE.
Es lag an einer Mischung aus der MTU + den Proxmox einstellungen..
ich hab in Proxmox lediglich
iface enp2s0.20 inet manual
auto enp2s0.10
iface enp2s0.10 inet manual
auto vmbr0
iface vmbr0 inet static
address 192.168.178.200/32
gateway 192.168.178.1
bridge-ports enp2s0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
#FritzBox
auto vmbr1
iface vmbr1 inet manual
bridge-ports
bridge-stp off
bridge-fd 0
#LAN
auto vmbr2
iface vmbr2 inet manual
bridge-ports
bridge-stp off
bridge-fd 0
#DMZ
Alles anzeigen
eingetragen gehabt.
Nachdem ich nun 2x vlans an den NIC gehangen hab mittels bridge dann in die vm gebunden hab und die MTU auf 1436 auf dem GRE angepasst habe und das WAN MTU auch runtergesetzt hab.
meine Proxmox einstellung sieht jetzt so aus:
iface enp2s0.20 inet manual
auto enp2s0.10
iface enp2s0.10 inet manual
auto vmbr0
iface vmbr0 inet static
address 192.168.178.200/32
gateway 192.168.178.1
bridge-ports enp2s0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
#FritzBox
auto vmbr1
iface vmbr1 inet manual
bridge-ports enp2s0.10
bridge-stp off
bridge-fd 0
auto vmbr2
iface vmbr2 inet manual
bridge-ports enp2s0.20
bridge-stp off
bridge-fd 0
Alles anzeigen
Da ich kein "physikalisches" lan habe, habe ich gaaaanz einfach eine zweite vm aufgesetzt, die an die vmbr1 gehangen, dort dann auf das in pfsense zugewiese lan subnet (10.0.0.0/24 - fest zugewiesene ip 10.0.0.1/24 - pfsense dhcp für das lan aktiviert gehabt) , somit konnte ich auf die einstellungsseite.
Dort habe ich das "Block Private Networks" feature ausgeschaltet + unter system-advanced - network das hardware checksum offload ausgeschaltet.
Dann habe ich eine zweite vm erstellt, diese an vmbr2 gehangen (ebenso per dhcp von pfsense dann zugewiesen, diesmal aber im 192.168.1.0/24 netz.)
durch passendes routingeinstellung per anleitung von : KLICK MICH (administrator.de) + 1:1 nat habe ich nun eine VM mit der ÖFFENTLICHEN IP von netcup (die zusätzliche)
von meiner 250mbit leitung kommen laut speedtest in der VM 194Mbit im down und 42 im up an - im richtigen LAN kommen 255 - 44 an ... das reicht für meine zwecke!
hurraaaaaaaa
lustig ist, habe mir bevor es geklappt hat eine digibox basic für bridge mode + nen zweiten nic bestellt...war jetzt für meine zwecke unnötig ... die digibox is privat gekauft und der nic, mhm .. vl brauch ich den noch iwie anders..
falls interesse besteht, kann ich gerne ne anleitung schreiben die bebildert + detailierter ist
Hab die MTUs der gegenstellen auch wie wild angepasst, mit den MTUs etc, bin ich ehrlich - kenne ich micht so aus.. verbringe schon ganzen tage lange damit zu lesen und zu "lernen"..
Ich weiß das es quasi die "Paketgröße/Framegröße" ist und bei nem oversize es zur fragmentierung kommt = schlecht
Langsam frage ich mich, ob vl das doppelte NAT einfach iwie probleme macht..
Ich möchte die feste ip ausschließlich in Proxmox verwenden, es wird kein "physikalischer, externer computer" mit dieser IP im LAN bestückt.
Quasi eine KVM in Proxmox, die über die feste ip erreichbar ist
Mein neuer gedanke war, mir ne digibox basic zu kaufen, die in bridge mode zu versetzen, nen zusätzlichen nic für den Proxmox host und das so aufzubauen:
Digibox Basic als Bridge-> Proxmox Host-> (WAN)PPoE Einwahl mittels PFsense->LAN->zur fritzbox als reiner Router fürs "Heimnetz" (Konsole, handy, tv usw usw.)
Neben dem LAN wird dann noch eine Virtuelles Interface (vmbr ohne gateway anlegen?) erstellt auf die ich dann IRGENDWIE die eine KVM hin hänge und den GRE tunnel mit diesem Interface verbinde...
wäre das rein theoretisch gesehen die bessere lösung? oder unnötig da das ganze auch wie ichs vor hatte (1 nic da das "lan" an der pfsense kein Physikalischen Nutzen hat (da hängt nix dran ..außer halt aktuell die VM ) aber das klappt ja nicht wirklich
Was würdest du / ihr tun?
Vielleicht möchte das jemand privat mal experimentell nachbauen und kann das ganze in der vorgehensweise ggfls. sogar bebildert dokumentieren?
ich gehe mal SEHR stark davon aus, dass da viele interesse dran hätten
Zum Thema sicherheit des VPS (ssh wird deaktiviert, verwaltung erfolgt über die VNC konsole von netcup dann), außer dem GRE läuft auf dem kein weiterer Dienst.
Updates werden über CRON eingespielt
Mein ziel nochmal erwähnt:
Die zusätzliche IP vom VPS per GRE oder VPN oder sonst was, nachhause routen in die pfsense rein und dort dann einer KVM zuweisen...
Das ganze auch ohne jeden einzelnen Port im VPS von Netcup einzeln weiterleiten zu müssen (geht das? - quasi ein 1:1 weiterleiten / nat)
Muss schon sagen, sitze da jetzt schon echt tage dran ohne großen erfolg.. aber mich Fuchst es einfach!
Ich würde demjenigen der eine zufriedenstellende Lösung + den ausschlaggebenden hinweis gibt, nen döner per paypal ausgeben.. zwar nicht viel aber für die mühe..^^
probiere es heute mittag mal aus,. vielen dank!
wäre es vl einfacher, meine zwecke auch über eine openvpn zu erreichen?
mittels des Openvpn access manager images z.b.?
Bin jetzt viele MTUs durch, ohne erfolg kann die zweite ip pingen in beide richtungen, ssh handshake erfolgt, weiter gehts aber nicht.
auf den auf einer VM angelegten apache, komme ich weiterhin nicht drauf, die seite"lädt" ewig.
Übers lokale netzwerk, komm ich drauf..
jmd noch ideen?:(
Wenn die TCP-Verbindung z.B. für SSH prinzipiell aufgebaut wird (Handshake erfolgreich), es aber danach hängen bleibt, klingt das verdächtig nach einem MTU-Problem. Darauf hat eripek vorhin schon kurz hingewiesen.
dumme frage, wird der MTU dem LAN, WAN oder GRE netzwerk in der Pfsense zugeordnet.. hab ihn aktuell auf dem GRE und würde den jetzt mal auf 1476 oder 1468 setzen
komme mit der berechnung nicht so ganz klar,
die fritte nutzt ja ppoe mtu 1492.. wie berechnet ich jetzt den mtu, welchen ich verwenden muss?
habe testweite mal unwissentlich auf 1400 gestellt.. ohne erfolg
falls es weiterhilft "The SS2 Session has terminated with error, reason: FlowsocketReader: Error receiving bytes. Windows error 10060 ein Verbindungsversuch ist fehlgeschlagen da die gegenstelle nach einer bestimmten ....."
die PFsense WAN läuft auf vmbr0 (proxmox host 192.168.178.200) , pfsense wurde fürs WAN die ip 192.168.178.201 zugeteilt (erscheint auch unter "netzwerk" der fritte)
als LAN interface wurde das subnet 10.0.0.0/24 zugeteilt.
hinter dieser IP 10.0.0.6 steckt die CENTOS vm mit dem webserver.
in der fritte kann ich die 10.0.0.6 nicht gesondert freigeben, da diese von der fritte als "bereits verwendet" angezeigt wird (wegen dem routing in der fritte und vermutlich da die ip von pfsense zugewiesenw urde?)
Das Modul ist sowohl auf dem VPS als auch auf der pfsense geladen
ich habe es jetzt auch geschafft, dass dass GRE netzwerk connectet ich kann vom VPS zum lokalen pingen und umgekehrt.
auch kann ich jetzt die 2te dedizierte IP pingen.
Wenn ich jetzt aber versuche über SSH auf die VM zu connecten (WAN>Fritzbox>Proxmox>Pfsense>DIESE VM
krieg ich angezeigt: "connection to SSH2 server 45.***** (meine zweite ip halt)
dann auch "Connection established" etc, dann beim first key exchange etc bleibt er hängen, vermutlich habert es iwo noch mti den ports
auch kann ich unter der zweiten dedicated ip nicht auf die website zugreifen (80 oder 443) wenn ich im lokalen netz 10.0.0.6 eintippe, allerdings schon..
wir kommen der sache schon nhäer, aber iwo haberts
MTU vom GRE interface in der PFSENSE ist auf 1476 gesetzt.
root@v220200264269109717:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT gre -- anywhere anywhere
ist ebenso gesetzt