Posts by slowly

    Aus Sicht von Server A: (Hier heißt das Cloud Vlan interface ens4 und nicht ens6)


    Code
    #> iptables -S
    
    -P INPUT ACCEPT
    -P FORWARD ACCEPT
    -P OUTPUT ACCEPT
    Code
    #> ip r l
    
    default via $PUBLIC Gateway$ dev ens3 proto kernel onlink 
    $PUBLIC-IP$.0/22 dev ens3 proto kernel scope link src $PUBLIC-IP$
    192.168.150.0/24 dev ens4 proto kernel scope link src 192.168.150.1 
    192.168.151.0/24 dev vmbr0 proto kernel scope link src 192.168.151.1 
    192.168.152.0/24 via 192.168.150.2 dev ens4
    Code
    #> sysctl net.ipv4.ip_forward
    
    net.ipv4.ip_forward = 1


    Auf Host B waren die Ausgaben bis auf ip r l identisch -> Ich hatte die Routen in /etc/network/interfaces via post-up auf der bridge definiert und das Interface nicht neu gestartet :pinch:. Nach dem Hinzufügen der Route auf Host B geht es in beide Richtungen auch von den Containern, vielen Dank :)

    Guten Tag zusammen,


    ich brauche etwas Hilfe bei meiner Netzwerkkonfiguration. Ich habe zwei Hostserver A,B auf denen jeweils Debian sowie Proxmox installiert sind.
    Beide Server haben jeweils auf dem Interface ens3 ihre jeweilige Public-IP konfiguriert, auf ens6 eine IP in 192.168.150.0/24 und eine linux bridge vmbr0 mit IP in 192.168.151.0/24 (Server A) bzw. 192.168.152.0/24 (Server B). Ebenso habe ich auf beiden Servern eine Route eingerichtet zum Subnetz der Container des anderen Servers. Damit kann ich von beiden Hosts aus die Container des jeweils anderen Servers erreichen. Aber, ich kann von einem Container auf Host A weder Host B noch die Container auf Host B erreichen.


    Code
    #Server A:                                                      Server B:
    ens3 -> Public IP                                               ens3 -> Public IP  
    ens6 -> 192.168.150.1/24                                        ens6 -> 192.168.150.2/24 
    vmbr0 -> 192.168.151.1/24                                       vmbr0 -> 192.168.152.1/24
    ip route add 192.168.152.0/24 via 192.168.150.2 dev ens6        ip route add 192.168.151.0/24 via 192.168.150.1 dev ens6 

    Container A1 auf Server A, Container B2 auf Server B

    A1,B1 Internet geht

    Host A ping A1 geht

    Host A ping B2 geht

    A1 ping 192.168.150.1 (Server A) geht

    A1 ping 192.168.150.2 (Server B) geht nicht


    traceroute auf A1 für 192.168.150.2 sagt mir, dass er es über 192.168.151.1 (vmbr auf Server A) versucht.

    Versuche ich die ip route (s.o) auch auf auf A1 anzulegen, beschwert er sich über einen invaliden nexthop -> er kann Server B unter 192.168.150.2 ja ebenfalls nicht erreichen.


    Wie mache ich das Subnetz der Cloud-Vlan Interfaces (ens6->192.168.150.0/24) für die Container zugänglich, bzw. wie mache ich diese Subnetze über die bridges vmbr0 zugänglich?

    Oder, wie macht man es richtig? :/


    Viele Grüße,

    Guten Tag zusammen,


    ich brauche etwas Hilfe bei meiner Netzwerkkonfiguration. Ich habe zwei Hostserver A,B auf denen Debian 9 sowie Proxmox installiert ist.

    Um den Containern Zugang zum Internet zu gewähren verwende ich ein NAT-Konfiguration wie hier von Bernd vorgestellt.

    Zusätzlich möchte ich das Cloud vLan Angebot von netcup nutzen, in welches ich beide Hostserver A und B sowie die Container hinzufügen möchte, dies gelingt mir derzeit nicht.

    Server A ist derzeit wie folgt konfiguriert:



    Mit dieser Konfiguration sowie einer analogen auf Server B können die Container mit dem Internet kommunizieren und die beiden Hostserver A und B ens6 miteinander im Vlan.


    Um nun auch den Containern auf Host A die Kommunikation mit Host B über das Vlan zu ermöglichen, war meine Idee dem vLan-Interface ens6 eine Ip im Bereich 192.168.0.X zu geben und das es in der Netzwerkbrücke vmbr1 als bridge_ports hinzuzufügen (jeweils analog auf beiden Hostsystemen). Ändere ich jedoch die Konfiguartion wie gerade beschrieben, so können sich die Hosts nichtmal pingen.


    Ich vermute, dass es an der NAT-Konfiguartion liegen könnte, habe jedoch nicht die größte Erfahrung mit derartigen Netzwerkkonfiguartionen.

    Habt ihr eine Idee wie ich es richtig mache?


    Viele Grüße,

    Vielen Danke thunderwave,


    das war tatsächlich der Fehler. Nach dem zuweisen der Aktionen auf ein Leerzeichen anstatt sie ganz auszukommentieren startet der Dienst und fail2ban funktioniert mit dem Skript wunderbar.


    Grüße


    Slowly

    Hallo,


    ich konnte das FirewallApi Skript wunderbar in Betrieb nehmen, scheitere jedoch bei der Integrierung durch Fail2ban. Mit der von mir angepassten jail.local und iptables-multiport.conf verweigert fail2ban das starten und logt auch auf Stufe 4 nichts in /var/log/fail2ban.log. Wenn ich /etc/fail2ban umbennene und fail2ban über apt-get neu installiere startet es wieder. Sieht jemand meinen Fehler in den config-Dateien oder kann villeicht seine bereit stellen ?


    Meine jail.local


    iptables-multiport.conf


    Der Übersicht halber ohne Kommentare, ich habe leider keine Spoilerfunktion gefunden.


    Grüße


    Slowly