Linux VirtualMachine Netzwerkprobleme

Computer: Hardware Netzwerk
#1

Hallo zusammen!

Vorwort zum Problem:

Ich habe auf einem ESX Server einen Deepofix Mail Server installiert. Soweit hat auch alles geklappt. Anschliessend habe ich in der interfaces die IP, die Netzwerkmaske und die default route eingetragen. In der resolv.conf ist der DNS Server eingetragen.

Nun endgültig zu meinem Problem:

Ich kann von der Mailserver VM nach aussen pingen (auch Namensauflösung geht) und ich kann aus dem selben Subnetz, in dem sich die VM befindet auf selbige pingen. Allerdings kann ich „von aussen“ (also von Rechnern die sich in einem anderen Netzwerk befinden) NICHT auf die Mail VM pingen. Genauer gesagt: ich kann die Maschine nicht von aussen erreichen! Im selben Subnetz befinden sich noch 4 weitere VMs, die alle einwandfrei funktionieren und erreichbar sind. Auch ein IP-Adresskonflikt kann ich ausschliessen.

iptables gibt in allen chains ACCEPT für entweder die IP oder anywhere aus…

Da ich erst noch dabei bin, mich in Linux (genauer Debian) einzuarbeiten, ist mir wohl irgendwo etwas entgangen bei der Einrichtung…

Hat jemand eine Idee, woran das liegen könnte?

Mfg

Alex

#2

Hallo Alex,
ich kann Dir hier nicht weiterhelfen.
Hoffe die anderen könne das besser.
Gruß
Anton

#3

Moin,

da Du von Subnetzen redest, vermute ich mal, dass der Mailserver eine interne IP hat (192.168.x.x) oder ähnliches.
Die VM benötigt eine externe IP-Adresse unter der sie von außen erreichbar ist. Du bekommst ja von Deinem Provider eine externe Adresse zugewiesen. Die Rechner von außerhalb wissen aber nicht, dass Deine interne IP sich auf einem Server innerhalb Deines Netzes befindet, das HINTER dieser externen IP-Adresse liegt.

D. h. Du musst für diesen Mailserver (und somit den VM-Server) direkt mit dem Internet verbinden und eine externe IP-Adresse Deines Providers zuweisen.

Von drinnen nach draußen ist das natürlich kein Problem, da hier die interne Adresse keine Rolle spielt.

Ich hoffe, ich konnte Dir damit weiter helfen.

Gruß
Thomas

#4

Hallo Thomas!

Die VM hat eine externe IP (5.104.xxx.xxx)

Die ESX Maschine steht auch nicht bei mir zuhause sondern in einem RZ…

Wie gesagt, auf dem Host laufen noch 4 andere VMs, die alle problemlos erreichbar sind. Ich habe mir die Maschine mal auf meiner VMWare Workstation lokal installiert, um zu sehen ob’s ein generelles Problem ist - ist es wohl nicht. Allerdings hab ich in der Konfig der VM (per Weboberfläche) gesehen, das in der Netzwerkkonfiguration das Netzwerk standardmässig auf local steht (man kann’s auf internet umstellen). Jetzt weiss ich nur nicht, ob das auf der ESX VM genauso ist (ich habe dort keine VM mit GUI laufen). Gibt’s da irgendwie ne möglichkeit innerhalb der Netzwerkkonfiguration von Debian was umzustellen? Wie gesagt, ich bin noch kein Linux Profi - daher glaube ich fast, es gibt noch irgendwo ein Konfig File, das ich noch nicht kenne…

Gruß Alex

#5

Hallo!

Scheint kein ganz triviales Problem zu sein. Die Antworten auf folgende Fragen könnten uns weiterhelfen, das Problem einzugrenzen:

* Output von „route -n“
* Subnet-Maske?
* Wieviele externe IP-Adressen wurden dir zugewiesen?

(Wenn möglich nur das dritte Oktet IP-Adresse verschleiern).

LG

#6

Hi!

Also route -n regibt:

Dest: 217.79.###.1
Gateway: 0.0.0.0
Genmask: 255.255.255.255
Flags: UH
Metric: 0
Ref: 0
Use: 0
Iface: eth0

auf dem „Rückwärtigen Weg“:

Dest: 0.0.0.0
Gateway 217.79.###.1
Genmask: 0.0.0.0
Flags: UG
Metric: 0
Ref: 0
Use: 0
Iface: eth0

(Musste es von Hand abtippen, da ich aktuell ja nur per VSphere auf die Maschine zugreifen kann)

Wobei die 217er IP das für mich zugewiesenen Standardgateway ist. Im selben Subnetz ist übrigens auch die IP der ESX Maschine…

Die Subnetmask ist die 255.255.255.255

Zugewiesen bekommen hab ich 10 IPs (5.104.###.2 - .11)

#7

…Allerdings kann

ich „von aussen“ (also von Rechnern die sich in einem anderen
Netzwerk befinden) NICHT auf die Mail VM pingen. Genauer
gesagt: ich kann die Maschine nicht von aussen erreichen!..

Hallo Alex,

das ist eine Gleichung mit 100.000 Unbekannten.

Die verschiedenen VM’s und der „pingende“ Rechner befinden sich alle im selben Netz, das lediglich in unterschiedliche Subnetze gegliedert ist, oder meinst Du mit „von außen“, das Subnetz ist per Internet oder Router angebunden.

Kann irgendwo eine Firewall dazwischen hängen?

Wenn ich recht verstehe, hast Du für eine Netzwerkkarte verschiedene Adressen vergeben und unterschiedichen virtuellen Rechnern zugeordnet. Die sind in unterschiedlichen Subnetzen?
Ist denn nur die eine IP nicht erreichbar, oder alle?

Tschüß, Matthias

#8

Hi Matthias,

sorry, ich habe mich da wohl etwas zu undeutlich ausgedrückt… Mit der Aussage Netzwerk meinte ich natürlich Subnetz… aus dem selben Subnetz (5.104.###.x) lässt sich die VM anpingen - nur halt nicht aus anderen Subnetzen. Eine Firewall hängt nicht dazwischen (abgesehen davon würden sonst die anderen VMs auch nicht erreichbar sein). Die Host Maschine ist ein gemieteter Server bei Webtropia, hängt also somit direkt im Internet. Die VMs befinden sich übrigens alle im selben Subnetz. Es sind ALLE VMs ausser die eine erreichbar (also auch die entsprechenden IPs)

Grüße, Alex

#9

Nachtrag: Mit „von aussen“ meine ich über andere Subnetze (ich kann nur die eine Maschine nicht anpingen - alle anderen schon)

#10

Hallo

Hast Du die Defaultroute gesetzt ?

Michael

#11

Wenn Du die Route in der interfaces meinst, ja…

Das ist meine interfaces:

This file describes the network interfaces available on your system

and how to activate them. For more information, see interfaces(5).

The loopback network interface

auto lo
iface lo inet loopback

The primary network interface

allow-hotplug eth0
iface eth0 inet static
address 5.104.###.3
netmask 255.255.255.255
post-up ip route add 217.79.###.1 dev eth0
post-up ip route add default via 217.79.###.1

#12

Das ist ein ziemlich komplexes System, und Fehler können da überall sein. Ich kenne auch ESX und Deepofix nicht persönlich.

Wenn ping innerhalb des Subnetzes klappt aber nicht nach draußen, dann klingt das erstmal nach einer Konfiguration des Routers. Natürlich könnte auch eine lokale Firewall sowas machen, aber davon wüsste man hoffentlich.

Insbesondere wenn die Namensauflösung über einen DNS außerhalb des Subnetzes klappt, dann ist die Netzwerkverbindung wohl in Ordnung, und es werden nur einzelne Protokolle / Dienste geblockt. Ping-In zu unterdrücken wäre für einen LanWAN Router auch keine ungewöhnliche Konfiguration.

Um mehr zu sagen, bräuchte ich viel mehr Details. Troubleshooting in dem Bereich misst man schnell in Tagen.

Grüße,

  • laotzu
#13

Moin,

sorry, das hatte ich missverstanden.

Da die Firewall ja auch keine Regeln enthält, die dem widersprechen, habe ich leider keine Ideen mehr, außer ggf. das SELinux noch aktiviert ist.

Ich hoffe, Du findest noch eine Lösung.

Gruß
Thomas

#14

Hi

Schon etwas gefunden ?

Wie versuchst Du den Router zu erreichen ? Ping ?

Versuch mal „telnet Server smtp-port“.

Michael