phill93
Goto Top

Komisches Routing Problem

Hallo,

sitze gerade an meiner Spielwiese und hab ein verzwicktes Problem wo ich nicht mehr weiterkomme.

Netzwerkdiagramm:
netzwerk

Ich möchte von einem PC aus dem Hausnetz auf die VM maas.vm.zuhause.lan zugreifen. Im Router ist auch die entsprechende Route in das Netz eingetragen (Gateway für 192.168.0.0/24 ist 10.0.0.15). Jetzt kann ich auch beide IPs der VM pingen und die VMs erreiche ich auch (Ping und SSH). Nur auf das Webinterface vom maas komme ich nur über die 10ner IP des Servers, über die 192.168.0.1er bekomme ich immer einen Timeout egal für was (SSH, HTTP) nur Pings gehen durch.

Lieg ich da richtig wenn ich von einem Routing Fehler ausgehe?

Gruß

Phill93

Content-Key: 347964

Url: https://administrator.de/contentid/347964

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 01.09.2017 aktualisiert um 19:07:44 Uhr
Goto Top
Zitat von @Phill93:

Lieg ich da richtig wenn ich von einem Routing Fehler ausgehe?

Nein.

Eher ein konfigurationsfehler des ESXi. ode r "Firewall/Routing auf Maas falsch eingestellt. Welches OS ist denn da drauf? Läuft der Dienst denn überhaupt auf dem anderen Port?

lks
Mitglied: aqui
aqui 01.09.2017 aktualisiert um 19:11:23 Uhr
Goto Top
Im Router ist auch die entsprechende Route in das Netz eingetragen
Du meinst im Telekom Router, weil dieser Router das Default Gateway aller Endgeräte im 10.0.0.0 /24er Netz ist, richtig ?
Das wäre dann soweit OK
Nur auf das Webinterface vom maas komme ich nur über die 10ner IP des Servers
"maas" ist der Hypervisor der die VMs bedient ??
Lieg ich da richtig wenn ich von einem Routing Fehler ausgehe?
Nein, vermutlich nicht.
Dem Kollegen LKS kann man da zustimmen. Routing passiert ja nur im Layer 3 also max. IP Layer. Wenn ein Ping durchgeht, dann ist in der Regel auch das Routing OK.
Routing selber kennt nur IP Adressen nicht aber Anwendungen die darüber per UDP oder TCP transportiert werden, deshalb ist dem Routing selber erstmal egal ob Web, Mail, oder was auch immer. Logisch und weisst du vermutlich ja auch selber.

Ohne die Konfiguration des Hypervisors und der NICs jetzt genauer zu kennen weil du dazu keine Angaben machst jetzt mal geraten....
Das Verhalten wäre eigentlich normal.
Der Hypervisor hat eine einzige NIC und die hängt ja physisch im 10er Netz über das er ja auch erreichbar ist.
An dieser NIC im 10er Netz hängt per Bridging auch die virtuelle NIC des Routers der ja dort vermutlich auch in einer VM rennt.
Der Router hat dann sein zweites virtuelles NIC Bein im vSwitch was im 192.168.0.0 er Netz hängt wo auch alle VMs mit ihren virtuellen NICs hängen.
Ein Traceroute (Win: tracert) zeigt dir dann den oder die Routerhops an und das die Pakete auch wirklich über den Router gehen. Traceroute oder Pathping ist also immer dein Freund hier !
Der Hypervisor selber aber hat ja gar keine Verbindung in das vSwitch Netz was er ja auch gar nicht muss.
In einer klassischen Konfig würde man also sagen: "Works as designed"
Aber das ist jetzt nur geraten....
Grundlagen auch im Routing Tutorial was das Szenario ja grundsätzlich beschreibt:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Mitglied: Phill93
Phill93 01.09.2017 um 19:31:27 Uhr
Goto Top
Hallo,

der Router ist ein physisches Gerät (Synology RT1900ac).

Die VM maas.vm.zuhause.lan ist ein Ubuntu mit einem Metal as as Service (maas) Provider den ich zum Provisinieren der VMs nutze. Diese hat über eine Bridge eine Verbindung in das Heimnetz.

Traceroute zu 10.0.0.15:
traceroute 10.0.0.15
traceroute to 10.0.0.15 (10.0.0.15), 64 hops max, 52 byte packets
 1  10.0.0.15 (10.0.0.15)  3.335 ms  0.894 ms  0.815 ms

Traceroute zu 192.168.1.1 (hab oben ein falsches Subnet)
traceroute 192.168.1.1
traceroute to 192.168.1.1 (192.168.1.1), 64 hops max, 52 byte packets
 1  10.0.0.1 (10.0.0.1)  1.336 ms  0.970 ms  0.936 ms
 2  192.168.1.1 (192.168.1.1)  1.401 ms  1.411 ms  1.149 ms

Gruß

Daniel
Mitglied: aqui
aqui 02.09.2017 aktualisiert um 10:04:21 Uhr
Goto Top
der Router ist ein physisches Gerät
Umso besser...dann muss man nicht mit VM Routern frickeln...
Hier dann die Kardinalsfrage: Hast du auf dem Synology eine statische Default Route auf die 10.0.0.1 eingestellt ?
Das wäre wichtig !
Es gilt dann exakt das was oben im Routing Tutorial steht und was oben schon angemerkt ist. Normal hat der Hypervisor ja kein Bein im 192.168.0.0er Netz bzw. 192.168.1.0er Netz und damit auch keine Connectivity im 192.168er Netz. Also auch so wäre das Verhalten erklärbar.
Denkbar auch

Dadurch das du einen physischen Router hast muss der Hypervisor dann aber auch eine 2te NIC haben die an den vSwitch gekoppelt ist und per Bridging im 192.168.1.0er Netz hängt.
Ein etwas unglückliches Konstrukt, denn es birgt die Gefahr eines Backdoor Routers über den Hypervisor.

Die Traceroutes sind etwas merkwürdig...wenigstens der 2te. Der Erste ist eh Blödsinn denn Traceroute im eigenen Netz ist ja sinnfrei, da du da ja keine Hops sehen kannst.
Komisch ist der 2te, denn hier sollte eigentlich die 10.0.0.15 (Synology Interface) ja als next Hop Interface auftauchen was nicht der Fall ist. Stattdessen kommt da nur die .1 also der Internet Router.
Das sollte nicht so sein, wäre nur so erklärbar das der Internet Router ein ICMP Redirect schickt an deinen Client auf die 10.0.0.15 und der das auch akzeptiert und dann die .15 direkt anspricht.
Spätestens beim 2ten Traceroute sollte dann die .15 als next Hop auftauchen. Tut es das ??

Letztlich wirst du das aber nur mit einem Wireshark Trace auf dem Client klären können. Installier den da mal und lass den mitsniffern während du den Traceroute ausführst.
Irgendwie ist das Ergebnis schon komisch und normal blocken die lokalen Firewalls der Clients eigentlich ICMP Redirects. Auch bei Routern müsste man es explizit konfigurieren.