Proxmox Netzwerkkonfiguration - LXC kein Internet

[nocie]

Hallo

 

[Mickey Mouse]

die Woche war zu lang, um mich jetzt genau in deine Probleme einzulesen (sorry), aber kann es sein, dass es sich hier um ein Provider/Hosting Problem handelt, das eigentlich gar nichts mit Proxmox zu tun hat?

 

[nocie]

die Woche war zu lang, um mich jetzt genau in deine Probleme einzulesen (sorry), aber kann es sein, dass es sich hier um ein Provider/Hosting Problem handelt, das eigentlich gar nichts mit Proxmox zu tun hat?

Ich vermute ganz stark, dass es nicht so ist. Ich habe meine IP und meinen Internetzugang vom Provider bekommen und den möchte ich eben auch in Gastsystemen nutzen. Da sollte der provider also nichts mit am Hut haben. Kenne mich aber auch kaum mit Netzwerkkonfigurationen aus, vielleicht übersehe ich auch etwas...

Andere Kunden des Providers haben aber auch nie erwähnt, dass man den Provider bitten muss etwas umzustellen. Lediglich bzgl. der kvm nested virtualization, doch das hat ja nichts mit der IP Konfiguration zu tun.

 

[Sykehouse]

Ich nehm mal schwer an, du hast nur eine IPv4 Adresse für deinen vHost und die hat ja nun der Proxmox-Server schon belegt. Damit hast du für deinen Container keine weitere IPv4 verfügbar.

Leg dir eine weitere Bridge an, installiere in einem weiteren Container oder einer VM eine Firewall deiner Wahl, die zwischen den beiden Bridges hängt. Dann kommen alle anderen Container und VMs hinter die Firewall, welche NAT und wo nötig Portforwarding macht.

 

[0x8100]

normalerweise bekommst du genau eine ipv4 für deinen host, die kannst du natürlich nicht für deinen container verwenden. ebenso kannst du keine anderen öffentlichen ipv4 adressen für die container auf deren interface auf vmbr0 konfigurieren - es sei denn du hast explizit diese ip adressen zur verfügung gestellt bekommen (wovon ich nicht ausgehe - adressen kosten geld).

du musst dir also eine neue bridge erstellen, z.b. vmbr1 und der eine private ip geben, z.b. 192.168.100.1/24 - dann konfigurierst du die container mit der bridge vmbr1 und vergibst adressen ab 192.168.100.2 mit dem gateway 192.168.100.1. damit können die container und der host untereinander schon mal kommunizieren.

damit die container ins netz kommen, musst du auf dem host mittels iptables noch nat für das 192.168.100.0/24 netz konfigurieren und evtl. port-forwarding einrichten, damit die dienste in den containern über deine eine öffentliche ip erreichbar sind.

ich hoffe, du weisst was du machst

btw: adressen im screenshot verstecken bringt nichts - im netz ist alles sichtbar. ich nehme an, eine dieser adressen gehört zu dir?

202.61.250.31
202.61.252.35
202.61.252.211
202.61.253.127
202.61.253.156
202.61.253.240
202.61.254.213
202.61.255.144
202.61.255.166

erstaunlich (und erschreckend), dass soviele proxmox-instanzen direkt am netz sind.

 

[nocie]

--So vermeidet man Vollzitate--

Proxmox liefert doch bereits eine Firewall mit, dann kann ich doch diese nutzen?

--So vermeidet man Vollzitate--

Danke euch beiden, damit kann ich wohl arbeiten. Versuche es gleich mal!

Und ja... eine davon ist noch meine. Aber bin ja gerade dabei einen Wireguard Container aufzusetzen und dann ist da sowieso komplett dicht!

 

[Sykehouse]

Proxmox liefert doch bereits eine Firewall mit, dann kann ich doch diese nutzen?

Kannst du grundsätzlich auch, wie von @0x8100 beschrieben, als Netzwerk-Noob ist aber eine anschaulich konfigurierbare Lösung deutlich verdaulicher. Die Proxmox-Firewall benötigt für das Erstellen der Regeln im Web-Interface schon ein wenig Grundwissen in iptables. Aber probiers halt aus, was auch immer für dich funktioniert.

 

[nocie]

Also ich habe nun Netz bekommen, doch kann leider nicht zum Wireguard Server verbinden, obwohl ich NAT aktiviert habe und Ports auch freigegeben habe.

Anbei meine Netzwerkadapter. vmbr1 ist halt meine neue Bridge und in den letzten zwei Zeilen habe ich dann NAT aktiviert (laut dieser Anleitung: https://pajaaleksic.com/how-to-setup-nat-on-proxmox/). Nur mein Standart Adapter ist halt vmbr0 und nicht vmbr1, wie in der Anleitung. Das habe ich aber auch beachtet. Und dann habe ich noch mit dem Befehl ganz am Ende der Anleitung den Port meines Wireguard Servers freigegeben:

iptables -t nat -A PREROUTING -i vmbr1 -p udp --dport 51820 -j DNAT --to 192.168.100.2:51820

Standardmäßig ist die Firewall auf dem Proxmox Host aktiviert. Diese Firewall habe ich zum Test aber auch deaktiviert und auch dann eine entsprechende Regel hinzugefügt. Aber irgendwas scheint noch nicht zu passen.

Ich hatte mir das mit Proxmox einfacher vorgestellt und dachte, dass ich damit mal fix meine Services separieren kann, um noch ein Stück an Sicherheit und Flexibilität dazuzugewinnen. :| Meine Vorstellung war, dass ich einfach nur ein paar Guests laufen lasse und die komplett offen sind und eben wie der Host sind und das ich dann am Host mit einer Firewall die Ports der Services freigebe und dann läuft das auch schon. Aber jetzt mit iptables, das ist echt eine Nummer für mich, da ich die ganzen iptables commands nicht verstehe. Und das brauch schon etwas an Zeit, um sich nachhaltig in iptables einzulesen.

 

[snaxilian]

Die Proxmox-Firewall ist nix anderes als ein grafisches Frontend für iptables. Wenn man an den Settings und Config-Files vorbei dinge konfiguriert darf man sich nicht wundern wenn die eigenen Frickeleien vom System wieder überschrieben werden.

Standardmäßig ist die Firewall auf dem Proxmox Host aktiviert.

Doku sagt nein:

Quelle: https://pve.proxmox.com/wiki/Firewall

Ich hatte mir das mit Proxmox einfacher vorgestellt [...] Meine Vorstellung war [...] das ich dann am Host mit einer Firewall die Ports der Services freigebe und dann läuft das auch schon.

Bwahahahaha nein und du solltest ernsthaft überlegen ob du bereit dafür bist die Verantwortung zu tragen, Dienste öffentlich erreichbar für jeden zu betreiben. Nur weil es technisch möglich ist, muss es nicht sinnvoll sein.

Die Anleitung, die du verlinkt hast ist aus 2019, basiert also aller Wahrscheinlichkeit auf Proxmox 5.irgendwas und damit Debian 9.irgendwas. Inzwischen gibt es Proxmox 7.irgendwas, basierend auf Debian 11. Meinst du nicht auch, dass sich da zwischenzeitlich das ein oder andere geändert haben könnte?

 

[M-X]

Das klingt jetzt ein bisschen hart aber bist du dir sicher das du so was Öffentlich im Internet betrieben kannst ? Hier hapert es ja schon an einigen Ecken. Vielleicht ist einer der vielen VPN Provider die besser Lösung?

Ist wirklich nicht böse gemeint aber du hast jetzt eben auch die Verantwortung für die Kiste.

 

[nocie]

Doku sagt nein:
Anhang anzeigen 1142426
Quelle: https://pve.proxmox.com/wiki/Firewall

Bei mir war die auf jeden Fall auf dem Host aktiviert. Nur die Guests haben die Option Firewall immer auf "Nein" gesetzt. Vielleicht hat sich mit Proxmox 7 auch dort etwas geändert, denn die Wikiseite ist zuletzt vor dem Release von der VErsion 7 editiert worden.

Bwahahahaha nein und du solltest ernsthaft überlegen ob du bereit dafür bist die Verantwortung zu tragen, Dienste öffentlich erreichbar für jeden zu betreiben. Nur weil es technisch möglich ist, muss es nicht sinnvoll sein.

Wieso nicht? Mit meinem VDS habe ich bisher auch alles ganz einfach am laufen. Und mit der GUI von Proxmox dachte ich eben nun, dass es noch einfacher wäre. MMn. komplett legitim.

Die Anleitung, die du verlinkt hast ist aus 2019, basiert also aller Wahrscheinlichkeit auf Proxmox 5.irgendwas und damit Debian 9.irgendwas. Inzwischen gibt es Proxmox 7.irgendwas, basierend auf Debian 11. Meinst du nicht auch, dass sich da zwischenzeitlich das ein oder andere geändert haben könnte?

Da die Anweisungen aus dem Tutorial nur über Netzwerkkonfigurationen auf dem Linux System handeln, gehe ich davon aus, dass sich solche grundlegenden Dinge nicht über 2 Jahre komplett verändert haben.

Das klingt jetzt ein bisschen hart aber bist du dir sicher das du so was Öffentlich im Internet betrieben kannst ? Hier hapert es ja schon an einigen Ecken. Vielleicht ist einer der vielen VPN Provider die besser Lösung?

Ist wirklich nicht böse gemeint aber du hast jetzt eben auch die Verantwortung für die Kiste.

Natürlich lasse ich meine Proxmox Instanz nicht öffentlich im Internet. Genau aus diesem Grund setze ich doch gerade eine VPN Verbindung auf, damit niemand von außen an irgendwas von dieser Installation erreichen kann.

Am Ende laufen da sowieso nur ganz einfache Sachen, wo es mir egal wäre, wenn sich jemand anderes dort Zugang verschaffen würde. Wenn es sich um kritische Services oder Daten handelt, dann experimentiere ich sicherlich nicht damit so herum.

Außerdem muss ich es doch auch lernen. Wäre ja sinnlos, wenn ich alles fallen lasse, was ich nicht zu 100% beherrsche.

So, genug Rechtfertigungen...

Ich werde es dann mal selber weiter probieren. Vielleicht ist der VPN zum Start auch nicht die optimalste Lösung, um mit iptables zu experimentieren. Dann lieber fix einen Webserver aufsetzen und dann sieht man wohl deutlich einfacher, ob alles funktioniert.

Edit: Ist also doch ganz einfach. Mit dem Webserver und den grundlegenden iptables Befehlen habe ich nun alles hinbekommen. Dann später mal nochmal beim VPN schauen, mit iptables alles abriegeln und dann noch ein paar Sicherheitseinstellungen und dann läuft das doch super.

 

[snaxilian]

wenn sich jemand anderes dort Zugang verschaffen würde.

Dieser jemand braucht dann nur einen Tor Exit Node aufsetzen (oder anderes...) und du wunderst dich dann über die Post der Staatsanwaltschaft.

Außerdem muss ich es doch auch lernen.

Dagegen spricht auch nix. Ich kann auch lernen wie man ein Auto baut und trotzdem sollte bzw. darf ich dann mit meiner laienhaft zusammen geklöppelten Seifenkiste mit Motor nicht auf der Straße fahren und potentiell andere gefährden.
Jaja ein Server gefährdet nicht direkt Menschen außer ich nutze diesen als Sprungbrett für eine Runde Ransomware gegen den nächsten Landkreis, Krankenhaus oder ähnliches.
Auch wenn du den Server halbwegs sicher aufsetzen kannst so ist das keine einmalige Geschichte sondern man muss da am Ball bleiben und früher oder später hat man dafür keine Zeit oder Lust und lässt die Kiste halt so laufen, läuft ja...

 

[nocie]

--So vermeidet man Vollzitate--

Ich finde der Vergleich ist zu hart. Ist vollkommen egal, ob das Server übernommen wird oder nicht. Die Betrüger können auch selber Server anmieten. Das über meinen laufen zu lassen dient nur zur Vertuschung und würde im schlimmsten Fall eben nur Post für mich bedeuten, welches dann eben zu klären gilt. Mehr nicht. Von daher kann man das ruhig machen, sofern man nicht eigene oder gar andere sensile Daten verarbeitet.

Es ist am Ende nur ein Server mit keinen wichtigen Daten. Nicht vergleichbar mit einem kaputten Auto auf der Straße.

 

[snaxilian]

Natürlich können Betrüger selbst Server anmieten aber dann ist deren Name auf der Rechnung und nicht deiner. Ja, wenn du es schaffen solltest den eigentlichen Verursacher zu finden, kannst du bei dir entstandenen Schaden versuchen dort zurück zu holen. In einer perfekten Welt in der wir nicht leben. Da trägst du erst einmal die volle Haftung, könnte ja auch eine reine Schutzbehauptung sein. Klingt "zu hart" für dich? Frag mal die 70-jährige Dame ohne eigenen PC warum das LG Köln Sie trotzdem für schuldig befunden hat, Filesharing betrieben zu haben...
Im "besten" Fall für dich lässt da nur jemand irgendein Mining drauf laufen und selbst damit verstößt du schon gegen die AGB deines Hosters.

 

[nocie]

--So vermeidet man Vollzitate--

Okay, aber ich würde gerne realistisch bleiben. Das ist mir dann doch zu viel Panikmache, welche hier jetzt nicht passend ist, da ich meinen Server nicht perfekt, aber außreichend absichere.