Proxmox Host keine IP / kein ping zu OPNSense

Server
1

Hallo,

ich habe diese Sommerferien die Umstellung auf Linuxmuster vor, die Installation ist soweit fertig, gerade habe ich aber das Problem, dass ich auf dem Proxmox Host keine IP bekomme.

Vorerst noch Danke für die tolle Arbeit die Ihr leistet, ich habe auch schon Kontakt mit Eurer Hotline gehabt, die mir bei der Vorbereitung und dem Verständnis was Sinn gibt viel geholfen hat, tolles Team!

Der Post von Ersin ist mir bekannt und habe ich drurchgelesen.

Die Notation war auch bei mir das Problem, nach der Umstellung auf 10.0.0.20/16 statt der separaten Angabe der Netmask habe ich wieder eine IP auf dem Host und kann auch den Server (10.0.0.1) anpingen.

Ich kann aber weder die Firewall noch etwas ausserhalb pingen. Ich vermute gerade, in der Firewall könnte etwas geblockt sein, aber müsste ich sie dann nicht zumindest pingen können?

Ich bin beim Setup komplett an der Anleitung geblieben, IPs, Namen etc. sind alle möglichst nahe an den Empfehlungen. Es gibt kein Docker und kein OPSI bisher.

Aufgefallen ist mir das ganze nur, weil ich gerade einen Unifi-Ctrl installieren will und dafür einen LXC-Container zu nutzen gedachte.

Ausgabe der /etc/network/interfaces

auto lo
iface lo inet loopback

iface enp1s0f3 inet manual

iface enp8s0 inet manual

iface enp9s0 inet manual

iface enp1s0f0 inet manual

iface enp1s0f1 inet manual

iface enp1s0f2 inet manual

auto vmbr0
iface vmbr0 inet static
address 10.0.0.20/16
gateway 10.0.0.254
bridge-ports enp1s0f3
bridge-stp off
bridge-fd 0
#intern / green

auto vmbr1
iface vmbr1 inet manual
bridge-ports enp8s0
bridge-stp off
bridge-fd 0
#extern / red

ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp1s0f0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether a0:36:9f:a1:ab:dc brd ff:ff:ff:ff:ff:ff
3: enp8s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master vmbr1 state UP group default qlen 1000
link/ether 04:d9:f5:ca:bd:fa brd ff:ff:ff:ff:ff:ff
4: enp1s0f1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether a0:36:9f:a1:ab:dd brd ff:ff:ff:ff:ff:ff
5: enp9s0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether 68:05:ca:24:ea:8c brd ff:ff:ff:ff:ff:ff
6: enp1s0f2: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether a0:36:9f:a1:ab:de brd ff:ff:ff:ff:ff:ff
7: enp1s0f3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq master vmbr0 state UP group default qlen 1000
link/ether a0:36:9f:a1:ab:df brd ff:ff:ff:ff:ff:ff
8: vmbr0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether a0:36:9f:a1:ab:df brd ff:ff:ff:ff:ff:ff
inet 10.0.0.20/16 brd 10.0.255.255 scope global vmbr0
valid_lft forever preferred_lft forever
inet6 fe80::a236:9fff:fea1:abdf/64 scope link
valid_lft forever preferred_lft forever
9: vmbr1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 04:d9:f5:ca:bd:fa brd ff:ff:ff:ff:ff:ff
inet6 fe80::6d9:f5ff:feca:bdfa/64 scope link
valid_lft forever preferred_lft forever
10: tap200i0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master fwbr200i0 state UNKNOWN group default qlen 1000
link/ether 32:5f:8c:d9:a9:45 brd ff:ff:ff:ff:ff:ff
11: fwbr200i0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 72:3f:bd:ce:4c:0d brd ff:ff:ff:ff:ff:ff
12: fwpr200p0@fwln200i0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master vmbr0 state UP group default qlen 1000
link/ether c2:73:9c:f0:87:d5 brd ff:ff:ff:ff:ff:ff
13: fwln200i0@fwpr200p0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master fwbr200i0 state UP group default qlen 1000
link/ether 72:3f:bd:ce:4c:0d brd ff:ff:ff:ff:ff:ff
14: tap200i1: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master fwbr200i1 state UNKNOWN group default qlen 1000
link/ether 2a:46:b4:90:d1:01 brd ff:ff:ff:ff:ff:ff
15: fwbr200i1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether be:b7:a0:19:8f:41 brd ff:ff:ff:ff:ff:ff
16: fwpr200p1@fwln200i1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master vmbr1 state UP group default qlen 1000
link/ether 8e:f6:7b:ce:c2:ca brd ff:ff:ff:ff:ff:ff
17: fwln200i1@fwpr200p1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master fwbr200i1 state UP group default qlen 1000
link/ether be:b7:a0:19:8f:41 brd ff:ff:ff:ff:ff:ff
18: tap201i0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master fwbr201i0 state UNKNOWN group default qlen 1000
link/ether c6:30:71:07:e8:7b brd ff:ff:ff:ff:ff:ff
19: fwbr201i0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether ea:07:cb:e7:79:08 brd ff:ff:ff:ff:ff:ff
20: fwpr201p0@fwln201i0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master vmbr0 state UP group default qlen 1000
link/ether fa:92:af:bf:9a:d5 brd ff:ff:ff:ff:ff:ff
21: fwln201i0@fwpr201p0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master fwbr201i0 state UP group default qlen 1000
link/ether ea:07:cb:e7:79:08 brd ff:ff:ff:ff:ff:ff

2

Hallo kwon,

vielleicht verstehe ich dich falsch, aber meines Erachtens sollten (Proxmox-)Host und Server/OPNSense nicht im gleichen Netz hängen.

Ich würde den Host in ein eigenes Management-VLAN packen, in das du per WireGuard/OpenVPN/SSH-Tunnel kommst. Dann ist die Geschichte ordentlich getrennt.

Viele Grüße
Christoph

3

Um mein akutes Problem zu lösen folgende Ergänzung:

  • LXC konnte ich dennoch installieren, da ich bei der Installation schon dran gedacht hatte die Vorlagen für Debian und Ubuntu auf den Host zu laden
  • Installation des LXC auch problemfrei, der kann alles pingen was innerhalb des Netzes ist, aber an der Firewall kommt er nicht vorbei

Wie mache ich die Freigabe in der FW am klügsten?
Habe mir die FW schon komplett durchgesehen aber bin nicht sicher was der beste Weg wäre.
Gibt es eine Übersicht was bei der Installation der FW an Einstellungen vorgenommen wird?

VG
Marco

4

Hm. Guter Punkt.
Ich habe gerade nicht mehr auf dem Radar ob das bei der Standardanleitung an irgendeiner Stelle ein Thema war…
Im Moment ist das System noch recht jungfräulich, das heisst ich habe ausser der Installationseinrichtung bis zur ersten Anmeldung auf dem LMN noch nicht viel eingerichtet.

5

Ergänzung:
ich habe eben gesehen, dass es eine Alias-Gruppe in der FW gibt mit unter anderem der 10.0.0.9, was genau die IP ist, die ich dem Unifi-Container zugewiesen habe.

Müsste ich so nicht problemlos durch die FW kommen?

/etc/network/interfaces des LXC für die Unifi:
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 10.0.0.9/16
— BEGIN PVE —
post-up ip route add 10.42.0.254 dev eth0
post-up ip route add default via 10.42.0.254 dev eth0
pre-down ip route del default via 10.42.0.254 dev eth0
pre-down ip route del 10.42.0.254 dev eth0
— END PVE —

6

Hallo Marco,

ich habe mir gerade die Anleitung durchgelesen. Tatsächlich wird der von dir eingeschlagene Weg in der Dokumentation empfohlen.

Ich kann allerdings nur für mich sprechen: Ich würde den Host nicht ins grüne Netz hängen, sondern, wenn möglich, ein eigenes Management-VLAN aufspannen und den Host da rein packen.

Viele Grüße
Christoph

7

Hi Christoph,

  1. zum akuten Problem, ich habe im obigen Post selbst bemerkt dass der IP Bereich in der VM falsch ist; Vertipper, also das Problem ist behoben, die VM kann jetzt ins Netz.

  2. Deinen Hinweis finde ich sehr sinnvoll und werde den übernehmen sobald hier das wichtigste läuft. Ich denke das würde sich auch in der Doku gut machen, auch der oben bei mir aufgetauchte Fehler mit der Netmask wäre in der Doku gut aufgehoben, ich erinnere bei der Installation händisch die Netmask eingetragen zu haben weil es in der Anleitung so stand.
    Sobald ich etwas mehr Routine habe melde ich mich gerne freiwillig fürs DokuTeam. :slight_smile:

  3. dennoch müsste doch der Host so wie es gerade eingestellt ist auch ins Netz? Schon für Updates etc.

8

Hallo Marco,

zu 2.: Fände ich auch sinnvoll.

Zu 3.: Klar. Ist denn die 10.0.0.20 in der NoProxy-Gruppe (Alias in der OPNSense)?

Viele Grüße
Christoph

9

zu 3.:
war sie bis eben nicht, habe ich eben hinzugefügt und damit geht der Internetzugriff vom Host aus.
Fragt sich ob es für die Anleitung sinniger wäre, gleich Deine Lösung als Default zu nehmen oder in der FW die .20 hinzuzufügen. Aber in der Default Anleitung wie es gerade steht gibts auf dem Host dann kein Netz.

In jedem Fall schon mal vielen Dank!
LXC ist was feines, habe ich eben das erste mal getestet.

10

Hallo Marco,

freut mich, dass das Problem gelöst ist. Du kannst den Thread ja dann auch als gelöst markieren.

Ich fände es aber auch interessant, was andere zu der Thematik sagen, ob die Dokumentation hinsichtlich des Netzes, in dem sich der Virtualisierungshost befindet, geändert werden und ein Management-VLAN als Standard angeraten werden sollte.

Aber vielleicht sollte das in einen neuen Thread?!

Viele Grüße
Christoph

11

Hallo Christoph,

Ja jetzt läuft es erst mal und ich bin eben dabei die neuen APs in den Unifi einzupflegen.

Ich denke auch, dass Meldungen anderer User wichtig wären, ich finde die sehr präzise Doku ist gerade das was LiMu stark macht und das war einer der Gründe, weshalb ich mich dafür entschieden habe.
Und das aktive Forum natürlich wo man am Samstag Vormittag jemanden findet der gleich antwortet. :slight_smile:

12

Hallo kwon

Das Angebot wird sehr gerne angenommen. Beste Grüße

Thorsten