Pingen zu VM

[spela]

Hi,

ich habe einen Server bei Hetzner auf dem Proxmox lauft. Zusätzlich habe ich ein /29 Subnet dazubestellt.

Ich habe nun folgendes Problem:

Konfig aufm Host:

auto vmbr3
iface vmbr3 inet static
address 111.111.111.64 (IP wurde abgeändert)
netmask 255.255.255.248
bridge_ports none
bridge_stp off
bridge_fd 0

Das sollte eigentlich soweit passen.

Auf dem Gast:

IP: 111.111.111.66
subnet: 255.255.255.248
gateway: 111.111.111.64

DNS 1: 8.8.8.8
DNS 2: 8.8.4.4

Problem:

Ich kann auf dem Gast normal ins Internet etc aber ich kann die Öffentliche IP nicht Pingen.

Hat hier jemand eine Ahnung?

Danke im voraus!

 

[0x8100]

firewall auf dem host und/oder gast?

übrigens kannst du auch ruhig die richtige ip posten. es ist eine öffentliche ip, da kommt sowieso jeder ran. es erschwert höchstens die fehlersuche.

 

[spela]

firewall auf dem host und/oder gast?

Was meinst du genau?
Die interne Firewall im Proxmox ist bei der VM deaktiviert

 

[0x8100]

was sagt denn "iptables -L -n" auf dem host?
was für ein gast? ist dort evtl. eine firewall aktiv?
kannst du vom host aus denn den gast anpingen?

 

[Raijin]

Also wenn du auf dem Gast den Host als Gateway eingetragen hast, sieht das für mich do aus als wenn das VM-Netzwerk nicht gebridged, sondern geNATet ist. Wenn dem so ist, müsste der Host zwangsläufig eine Portweiterleitung in die VM machen.

Übrigens: Ich hab in den letzten 48 Stunden zwar fast 30 Stunden gearbeitet und bin hundemüde, aber ist .64 bei einem /29er Subnetz nicht die Netzadresse? Egal, ich muss jetzt in die Heia und Schlaf nachholen.. bis morgen!

 

[spela]

Das hat der Host gesagt bei "iptables -L -n"

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


Gast in ein Windows Server 2016. Hattest recht da war tatsächlich die Firewall einstellung so das PINGs nicht empfangen werden können. Habe die Regel jetzt zwar aktiviert, macht aber trotzdem nichts.

Wenn ich einen PING befehl absetze kommt folgende meldung: Antwort von 111.111.111.12: Zielhost nicht erreichbar.

die .12er Adresse ist die vom Host System.

Kenn mich mit Netzwerktechnik leider nicht so aus, deshalb kann es sein das ich hier irgend einen blöden fehler mache.

.64 ist tatsächlich die Netzwerkadresse. Welche soll ich hier am besten nehmen?

 

[Raijin]

Kenn mich mit Netzwerktechnik leider nicht so aus, deshalb kann es sein das ich hier irgend einen blöden fehler mache.

Ein paar Worte der Warnung: Wenn man keine Ahnung von Netzwerktechnik hat, sollte man tunlichst die Finger von einem Server im www lassen! Was meinst du wie anonymous und Co ihre Botnetze erweitern - durch Server, die nicht fachgerecht abgesichert sind und ggfs sogar von Laien aufgesetzt wurden. Das geht nicht gegen dich, aber ein Server im www ist kein Spaß, den man mal so locker ausprobiert. Unter DDoS-Attacken aus solchen Botnetzen leiden alle Internetnutzer.

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Das heißt zum Beispiel, dass zur Zeit ALLE Dienste, die auf dem Host laufen frei aus dem www erreichbar sind. Wenn du da jetzt beispielsweise einen DNS wie pihole installierst, hast du einen schönen Open DNS Resolver und jedes Skript-Kiddie da draußen reibt sich die Hände, weil es dann einen armen Kerl im www mit falschen DNS-Replies bombardieren kann. Schau zB mal mit "netstat -tulpen" welche Dienste derzeit auf dem Host aktiv sind und überlege dir gut ob das so sein soll.

Die Konfiguration der Firewall bei einem Server im www hat allerhöchste Priorität und sollte als erstes erledigt werden!

.64 ist tatsächlich die Netzwerkadresse. Welche soll ich hier am besten nehmen?

Das musst du selbst wissen. Ein /29er Subnetz hat 6 nutzbare IP-Adressen.

Im vorliegenden Beispiel ist das Subnetz x.y.z.64 /29. Daraus folgt:

x.y.z.64 => Subnetzadresse
x.y.z.65 - x.y.z.70 => Hostadressen
x.y.z.71 => Broadcastadresse

Welche IP (.65 - .70) du nun dem Host, der VM oder auch deinen Badelatschen gibst, ist deine Sache - die eine IP ist so gut wie die andere solange du nicht die Subnetzadresse oder die Broadcastadresse für einen Host verwendest.

Wie oben bereits angedeutet muss das Netzwerk der VM im Bridged-Modus laufen, um überhaupt eine öffentliche IP haben zu können. Da ich jedoch von Proxmox keine Ahnung habe, weiß ich nicht wie da die Einstellungen aussehen. In der Regel unterscheidet man zwischen Bridged und NAT. Im letzteren Fall baut die VM nämlich nur ein virtuelles Netzwerk mit dem Host auf und dieser müsste dann als Gateway bzw. Router fungieren und ggfs auch Portweiterleitungen in die VM bereitstellen.