Firewall nicht erreichbar

michaelBI · 6. Juni 2024 um 12:27

Hallo zusammen,
mein Name ist Michael und ich bin IT-Lehrer an der Waldorfschule Minden. Ich unterrichte seit 18 Jahren meine Schüler:innen auf Linux, seit 2020 auf Linuxmuster, aktuell 7.1. Bisher half mir ein Schulvater, der aber nicht mehr zur Verfügung steht. Leider funktioniert das System derzeit nicht und ich kann nicht unterrichten.
Es sind mehrere Probleme, ich beginne mit Problem Nr. 1. Bisher konnte ich über einen Browser sowohl auf Proxmox (6.3.3) als auch auf die Firewall (OpSense) zugreifen. linuxmuster.net und die Firewall laufen als virtuelle Maschinen auf einem Rechner. Nach Beratung habe ich versucht, bei der Firewall die (virtuellen?) Netzwerkkarten in der Konfiguration zu tauschen. Vorher war WAN Vt net1 und LAN Vt net0, nun ist es anders herum. Das war wohl eine blöde Idee, denn jetzt kann ich nicht mehr auf die Firewall zugreifen. Und ich komme nicht mehr ins Internet, was vorher ging.
Kann mir jemand verraten, wie ich wieder in das Konfigurationsmenü der Firewall komme?
Wenn ich das geschafft habe, mache ich für das nächste Problem einen neuen Thread auf.
Vielen Dank im Voraus
Michael

maxEG · 6. Juni 2024 um 19:45

Hallo Michael,
wenn Du die Netzwerkkarten der Firewall im Proxmox getauscht hast, kannst Du das nur auf dem Proxmox reparieren.
Dass Du die Netze getauscht hast, hast Du sicher mit einer Absicht gemacht. Was wolltest Du erreichen? Hast Du auch physikalisch Kabel getauscht?
Wenn Du nur bei der Firewall die Netze getauscht hast, solltest Du ja noch von intern auf den linuxmuster und den Proxmox kommen, oder?
LG
Max

michaelBI · 7. Juni 2024 um 04:41

Hallo Max,
danke für die schnelle Antwort. Ich habe die Netzwerkkarten getauscht, weil ich zwar über einen im grünen Netz befindlichen Laptop Proxmox erreiche, aber nicht mit meinen im grünen Netz angeschlossenen regulären Rechnern, mit denen die Schüler:innen arbeiten sollen. Diese können sich nicht anmelden. Ich hoffte, das Tauschen hilft. Physikalisch habe ich nichts verändert. Wäre auch nicht möglich, da Firewall und linuxmuster als virtuelle Maschinen auf einem Server installiert sind.
Zum Tauschen habe in dem Browser
https://10.0.0.254
eingegeben und mich dann direkt auf der Firewall eingeloggt. Wenn ich jetzt den gleichen Weg versuche, findet der Browser die Adresse nicht mehr. Proxmox erreiche ich noch. Komme ich von Proxmox aus auf die Firewall? Wenn ja, wie? Wenn nein, wie dann?
Liebe Grüße
Michael

maxEG · 7. Juni 2024 um 06:30

Hallo Michael,
ok, ich verstehe das jetzt so:
Du hast in der Firewall selbst die Schnittstellen geändert, nicht im Proxmox.
Wenn Du auf letzteren Zugriff hast, kommst Du ja über das Web-Interface des Proxmox auf eine Konsole jeder virtuellen Maschine. Da kannst du dann in der OPNSense die Zuordnungen wieder zurückdrehen.

Zu Deinen ursprünglichen Problemen:
Wo können sich die Schüler nicht anmelden? Am Proxmox? Versuche, Dir mal folgendes Schema klarzumachen:
Welche physikalische Netzwerkkarte ist in welchem Netz? Das findest Du auf dem Proxmox unter /etc/network/interfaces
Dort siehst Du, welche „virtuelle“ Schnittstelle (bei mir z.B. vmbr1) auf welche echte Netzkarte gebrückt ist. Beispiel bei mir ist die virtuelle schnittstelle vmbr1 auf der „echten“ enp7s0. Diese sieht man auch mit den Befehlen ifconfig oder wenn nicht installiert mit „ip a“.

auto vmbr1
iface vmbr1 inet manual
	bridge-ports enp7s0
	bridge-stp off
	bridge-fd 0

Dann schaust Du, welche virtuelle Schnittstelle in welcher Maschine wohin verbunden wird (bei den Maschinen kann man das sehen).

Wenn man sich nicht anmelden kann, würde ich erstmal schauen, ob es eine Verbindung gibt (ping).

LG
Max

MachtDochNix · 7. Juni 2024 um 08:55

Hallo Michael!

grafik

Bild der Doku entnommen: Siehe

https://docs.linuxmuster.net/de/latest/installation/install-from-scratch/basis_opnsense.html#erster-start-der-firewall

Passwort und anderes musst du logischerweise anpassen.

Beste Grüße

Thorsten

michaelBI · 7. Juni 2024 um 09:41

Hallo Max,
es war schwer (weil plötzlich Konsole), aber ich habe es geschafft, die Netzwerkkarten wieder richtig zu konfigurieren. Ich komme wieder ins Internet. Danke.
Nun zum eigentlichen Problem. Wo finde ich in Proxmox die Konsole? Ich habe eine auf der Firewall und eine auf linuxmuster. In linuxmuster finde ich keine Datei in

Danke im Voraus und liebe Grüße
Michael

michaelBI · 7. Juni 2024 um 10:29

Hallo Max,
vielleicht habe ich doch das Richtige gefunden. Ich tippe mal ab, was ich in der Konsole von linuxmuster gefunden habe (ctrl c geht nicht):
root@server01:/etc/netplan# cat 01-netcfg.yaml
network:
ethernets:
eth0:
addresses:
- 10.0.0.1/16
dhcp4: false
dhcp6: false
gateway4: 10.0.0.254
nameservers:
addresses:
- 10.0.0.1
- 10.0.0.254
search:
- linuxmuster.lan
routes:
- to: 10.0.0.0/16
via: 10.0.0.254
version: 2
root@server01:/etc/netplan#

Eine Zuordnung entdecke ich da nicht. Du?
Liebe Grüße
Michael

baumhof · 7. Juni 2024 um 16:18

Hallo Michael,

wow: jetzt bist du ein ganzes Stück weiter

Du kommst auf die lmn Console.
Gib mal
ip a
ein: das gibt dir die aktuelle IP und die MAC Adresse der Netzwerkkarte aus.
Poste das hier.
Dann schau, dass die Netzwerkkarte des lmn Servers in Proxmox im gleichen vtnetX steckt, wie die interne der OPNsense.

Dann versuch auch mal vom Server aus zu pingen: zuerst zur Firewall

ping 10.0.0.254

LG
Holger

michaelBI · 10. Juni 2024 um 07:07

Hallo Holger,
ip a ergibt das Folgende:

ping vom Server auf 10.0.0.254 funktioniert.
Gehe ich über Proxmox auf die Konsole der Firewall und logge mich ein, so erscheint

Wähle ich 1 (Assign interfaces) - auf dem Weg hatte ich die vertauschten NW-Karten wieder zurückgetauscht - so erscheinen die folgenden Zeilen:

Es erschließt sich mir leider nicht, ob die NW-Karte im gleichen vtnetX steckt wie die interne der Firewall.
Eine klassische Konsole mit Möglichkeit z. B. zum Pingen habe ich auf diesem Weg nicht gefunden.
Ich hoffe auf weitere Tipps.

Liebe Grüße
Michael

baumhof · 10. Juni 2024 um 12:59

Hallo Michael,

da du vom Server aus die Firewall anpingen kannst und da du vom Client aus ins Internet kommst, würde ich schätzen, dass da jetzt erst mal alles stimmt (und wahrscheinlich von Anfang an stimmte).

Ich schaue nach um sicher zu gehen:
Bild 1 sagt mir die MAC Adresse Servers und die IP Adresse: 10.0.0.1

Bild 2 sagt: vtnet0 ist LAN und vtnet1 ist WAN
Bild 3 sagt:
vtnet0 hat die MAC: 16:58:53:CD:9F:49
vtnet1 hat die MAC: 86:94:AA:5C:6F:FF

Jetzt kannst du hin gehen und in Proxmox bei der OPNsense schauen, in welchen virtuellen Switches diese Netzwerkkarten stecken, dann weißt du, wie der "Externe Switch heißt und wie der Interne. Und dann schaust du beim Server, in welchem der Steckt (ich weiß, klingt alles kompliziert: ist es aber nicht).

Die „klassische“ Konsole an der OPNsense findest du, wenn du die zweite Spalte anschaust nach dem Login (Siehe Bild 2).
Da steht:
8) Shell
das würde ich nehmen.
Es gibt aber auch
7) Ping host

Nimm mal 8 und ping den Server an: ich bin Neugierig
Mit
exit
kommst du von der Konsole wieder raus zu „Bild 2“

Wenn das alles klappt kommt der nächste Schritt: wir schalten einen Client ein.

LG

Holger

michaelBI · 11. Juni 2024 um 07:41

Hallo Holger,
wenn ich mir in Proxmox anschaue, wie die NW-Karten konfiguriert sind:, so finde ich
net0 mit virtio=16:58:53:CD:9F:49, bridge vmbr0,firewall=1 (also die gleiche MAC wie vtnet0)
und ähnlich
net1 mit der anderen MAC und bridge=vmbr1,firewall=1 (also MAC von vtnet1)
Es git noch eine dritte NW-Karte (net2) mit
e1000=76:8C:C1:A1:41:73, bridge=vmbr0,firewall=1,tag=20
Diese NW-Karte finde ich auch in Proxmox auf dem Server mit der gleichen MAC, bridge und firewall, nur ohne tag=20.
Ich schließe daraus, dass alles richtig verknüpft ist.
Wenn ich von der firewall aus pinge, erreiche ich sowohl die Rechner im roten Netz (192…) als auch die Rechner im grünen Netz (10…), natürlich auch den Server mit 10.0.0.1
Soweit bin ich zufrieden und wüsste nun gerne, wie man einen Clienten einschaltet.
Vielen Dank und liebe Grüße
Michael

MachtDochNix · 11. Juni 2024 um 10:26

Hallo Michael!

Hat er einen Einschaltknopf, dann diesen drücken. Aber Spaß beiseite:

Ist alles genau hier beschrieben: Muster-Client aufsetzen — linuxmuster.net latest Dokumentation

Du hast aber auch Glück, die Hotline wird besetzt sein, da heute Dienstag ist. 14.00 bis 18.00 Uhr siehe: Hotline – linuxmuster.net

Wenn wir helfen könnten, machen wir das gerne. Denn wir sind nicht nur linuxmuster.net sondern sind es auch: Nett!

Beste Grüße

Thorsten

PS: Dies war >>RTFM<< aber ganz nett verpackt.

baumhof · 12. Juni 2024 um 12:53

Hallo,

ich hab gerade eine Anydesksitzung mit Michael gehabt.
Die Ergebnisse sind wie folgt:

die Clients haben vom Server die korrekte IP bekommen.
auf dem Server lief der Dienst samba-ad-dc nicht

Ich habe alle vier Dateisysteme auf „checken beim nächsten boot“ gestellt und neu gebootet. Danach lief der samba noch immer nicht: aber ich konnte ihn anhalten und wieder starten: dann lief er.
Dann haben wir einen Client gesynct und konnten uns anmelden.
Firewall ist da und hat Platz.
WebUI funktioniert
Server hatte nur unter /srv/linbo/ nicht mehr viel Platz: da haben wir alte Images gelöscht (aber 40GB für /srv/linbo ist schon sehr wenig …).

Jetzt tut erstmal einiges wieder: alles ist natürlich noch nciht getestet.

LG

Holger