NEWS
Problem mit Zugriff aus VLAN nach 2. virt. Netzwerkkarte
-
@wildbill Keiner eine Idee? Hab ich es zu kompliziert beschrieben? Nochmal einfach:
Vorher
iobroker-Master hat 192.168.100.14
iobroker-Slave hat 192.168.20.65Beide VLAN sind per Edgerouter 4-Firewall getrennt, für den iobroker-Master gibt es eine Ausnahme ins 20er Netz.
Rechner und Tablets können den Master aus dem 20-Netz anpingen, SSH und iobroker Admin/VIS sind erreichbar. Der Slave ist im 20er eh erreichbar.
Nachher
iobroker-single hat 192.168.100.14 und auf zweiter NIC 192.168.20.65
iobroker kann vom 20er-Netz auf beiden IPs angepingt werden. Aber auf 192.168.100.14 geht kein SSH, kein iobroker-Admin/VIS mehr. Das ist jetzt alles nur noch auf 192.168.20.65 erreichbar.@Thomas-Braun Du bist doch Linux-Spezi. hast Du eine Idee, woran das liegt?
Gruss, Jürgen
@wildbill sagte in Problem mit Zugriff aus VLAN nach 2. virt. Netzwerkkarte:
Du bist doch Linux-Spezi.
Aber kein Netzwerker. Kann ich nix zu sagen.
-
@wildbill sagte in Problem mit Zugriff aus VLAN nach 2. virt. Netzwerkkarte:
Du bist doch Linux-Spezi.
Aber kein Netzwerker. Kann ich nix zu sagen.
-
@thomas-braun Ok, ja, hast Recht, ist wohl eher was für Netzwerker. Schönen Abend. :blush:
@wildbill deine Linux-Distribution konnte dem ganzen nicht entnehmen aber
- Dienste könnten an eine Netzwerkschnittstelle oder IP-Adresse gebunden sein.
Das Bild ist vom iobroker, bei SSH & Co kann es auch einstellgestellt werden. Wobei Default in der Regel alle Schnittstellen sind - Firewall auf der Linux-Büchse?
- Dienste könnten an eine Netzwerkschnittstelle oder IP-Adresse gebunden sein.
-
@wildbill deine Linux-Distribution konnte dem ganzen nicht entnehmen aber
- Dienste könnten an eine Netzwerkschnittstelle oder IP-Adresse gebunden sein.
Das Bild ist vom iobroker, bei SSH & Co kann es auch einstellgestellt werden. Wobei Default in der Regel alle Schnittstellen sind - Firewall auf der Linux-Büchse?
@bananajoe Hi, dachte ich hatte es erwähnt. Es ist jeweils Debian Bullseye im Einsatz.
Firewall ist nix auf den Linuxen am Laufen. Ich habe ja quasi nur den iobroker-lxc in Proxmox gestoppt, eine weitere Netzwerkkarte hinzugefügt mit dem zweiten VLAN und wieder gestartet. Deshalb ist auch kein Dienst an irgendeine Netzwerkkarte gebunden. Zumindest nicht von mir aktiv geändert. Von Geräten aus dem VLAN 100 ist iobroker ja sowohl per SSH als auch mit den diversen Diensten, die auf ihm laufen, erreichbar. Aber eben nur unter 192.168.100.14. Geräte aus dem VLAN 20 erreichen ihn genauso per SSH, nur eben nicht unter 192.168.100.14 (was ja vorher ging) sondern nur noch per 192.168.20.65. Gleiches gilt für die iobroker-Adapter. Vor der Umstellung, als ich den Slave aber bereits aufgelöst und die Adapter auf den Master, der da ausschließlich die 192.168.100.14 hatte, verschoben hatte, war die Verbindung auf diese IP bei einigen möglich. nach der Umstellung musste ich bei manchen Geräten explizit die IP aus dem VLAN 20 angeben, damit die Verbindung wieder lief.Es scheint mir schon irgendwie ein Binding zu geben, welches Linux aber dann automatisch erstellt. Wenn eine Anfrage (abseits Ping) aus einem VLAn kommt, zu dem eine passende lokale IP existiert, so wird die Anfrage nur beantwortet, wenn sie auch an diese IP kommt. Nur, wo stell ich das ein. Ich hatte diesen Effekt auch bereits mal bei Ubuntu (OK, das setzt auf Debian auf) und auch mal bei Manjaro. Mit einer einzigen IP regelt alles die Firewall auf dem Router, bei mehreren IPs in verschiedenen VLAN regelt sich Linux das selber hin, unabhängig davon, was im Router die Firewall erlauben würde.
Gruss, Jürgen
- Dienste könnten an eine Netzwerkschnittstelle oder IP-Adresse gebunden sein.
-
@bananajoe Hi, dachte ich hatte es erwähnt. Es ist jeweils Debian Bullseye im Einsatz.
Firewall ist nix auf den Linuxen am Laufen. Ich habe ja quasi nur den iobroker-lxc in Proxmox gestoppt, eine weitere Netzwerkkarte hinzugefügt mit dem zweiten VLAN und wieder gestartet. Deshalb ist auch kein Dienst an irgendeine Netzwerkkarte gebunden. Zumindest nicht von mir aktiv geändert. Von Geräten aus dem VLAN 100 ist iobroker ja sowohl per SSH als auch mit den diversen Diensten, die auf ihm laufen, erreichbar. Aber eben nur unter 192.168.100.14. Geräte aus dem VLAN 20 erreichen ihn genauso per SSH, nur eben nicht unter 192.168.100.14 (was ja vorher ging) sondern nur noch per 192.168.20.65. Gleiches gilt für die iobroker-Adapter. Vor der Umstellung, als ich den Slave aber bereits aufgelöst und die Adapter auf den Master, der da ausschließlich die 192.168.100.14 hatte, verschoben hatte, war die Verbindung auf diese IP bei einigen möglich. nach der Umstellung musste ich bei manchen Geräten explizit die IP aus dem VLAN 20 angeben, damit die Verbindung wieder lief.Es scheint mir schon irgendwie ein Binding zu geben, welches Linux aber dann automatisch erstellt. Wenn eine Anfrage (abseits Ping) aus einem VLAn kommt, zu dem eine passende lokale IP existiert, so wird die Anfrage nur beantwortet, wenn sie auch an diese IP kommt. Nur, wo stell ich das ein. Ich hatte diesen Effekt auch bereits mal bei Ubuntu (OK, das setzt auf Debian auf) und auch mal bei Manjaro. Mit einer einzigen IP regelt alles die Firewall auf dem Router, bei mehreren IPs in verschiedenen VLAN regelt sich Linux das selber hin, unabhängig davon, was im Router die Firewall erlauben würde.
Gruss, Jürgen
@wildbill die Meldung klingt ja nun schon anders, ich hatte verstanden das nur noch aus dem 192.168.20.er Netz der Zugriff funktioniert ...
- haben die Geräte im 192.168.20.x Netzwerk ein Gateway?
- ist über das Gateway das 182.168.100.x Netzwerk erreichbar? (ja, denn Ping geht ja)
- Wenn das Gateway eine Firewall ist - gibt es denn eine Zugriffsregel welche den Zugriff auf den entsprechenden Port / Protokoll vom 192.168.20.x im 192.168.100.x Netzwerk erlaubt?
Ich tippe auf Punkt 3 ...
-
@wildbill die Meldung klingt ja nun schon anders, ich hatte verstanden das nur noch aus dem 192.168.20.er Netz der Zugriff funktioniert ...
- haben die Geräte im 192.168.20.x Netzwerk ein Gateway?
- ist über das Gateway das 182.168.100.x Netzwerk erreichbar? (ja, denn Ping geht ja)
- Wenn das Gateway eine Firewall ist - gibt es denn eine Zugriffsregel welche den Zugriff auf den entsprechenden Port / Protokoll vom 192.168.20.x im 192.168.100.x Netzwerk erlaubt?
Ich tippe auf Punkt 3 ...
@bananajoe Ja, es gibt ein Gateway (Egderouter 4). Dort ist die Firewall so gesetzt, dass aus dem VLAN 20 die 192.268.100.14 erreichbar ist und vice-versa. Das funktioniert ja auch, solange der iobroker nur die IP 192.168.100.14 hat. Dann ist er von dort erreichbar. Sobald er zusätzlich eine zweite virtuelle NIC hat mit IP aus dem VLAN 20 ist er aus dem VLAN 20 nur unter der IP 192.168.20.65 und aus dem VLAN 100 nur unter 192.168.100.14 erreichbar. Außer der zweiten Netzwerkarte in Proxmox ändert sich nichts.
Ich habe es auch nochmals mit einem nackten frischen Debian als VM getestet, gleiches Verhalten. Mit einer IP aus nur einem VLAN und passenden Firewall- und Routing-Settings ist die VM aus beiden VLAN erreichbar. Sobald eine zweite IP aus dem jeweils anderen VLAN hinzukommt, geht auf beide IPs nur noch PING, SSH und Webdienste laufen dann ausschließlich nur noch unter der jeweiligen VLAN-IP.Gruss, Jürgen
-
@bananajoe Ja, es gibt ein Gateway (Egderouter 4). Dort ist die Firewall so gesetzt, dass aus dem VLAN 20 die 192.268.100.14 erreichbar ist und vice-versa. Das funktioniert ja auch, solange der iobroker nur die IP 192.168.100.14 hat. Dann ist er von dort erreichbar. Sobald er zusätzlich eine zweite virtuelle NIC hat mit IP aus dem VLAN 20 ist er aus dem VLAN 20 nur unter der IP 192.168.20.65 und aus dem VLAN 100 nur unter 192.168.100.14 erreichbar. Außer der zweiten Netzwerkarte in Proxmox ändert sich nichts.
Ich habe es auch nochmals mit einem nackten frischen Debian als VM getestet, gleiches Verhalten. Mit einer IP aus nur einem VLAN und passenden Firewall- und Routing-Settings ist die VM aus beiden VLAN erreichbar. Sobald eine zweite IP aus dem jeweils anderen VLAN hinzukommt, geht auf beide IPs nur noch PING, SSH und Webdienste laufen dann ausschließlich nur noch unter der jeweiligen VLAN-IP.Gruss, Jürgen
Kleines Update:
Ich habe noch ein drittes VLAN im Bereich 192.168.98.0/24, in welchem nur meine Switche und Access Points liegen. Dient als Managment LAN. Darin läuft auf einer VM ein Unifi controller. Der hat die IP 192.168.98.65. Von diesem aus sind sowohl die 192.168.100.14 als auch die 192.168.20.65 pingbar und per SSH erreichbar. Scheint also, dass Linux/Debian bei mehr als einer Netzwerkkarte aus verschiedenen IP-Bereichen bei eingehendem Verkehr nur das zulässt, was dann für die Karte aus dem jeweils eigenen Netz kommt. Ankommender Verkehr aus dem jeweils anderen Netz wird blockiert, ankommender Verkehr aus irgendeinem anderen Netz kommt wieder durch.Gruss, Jürgen
-
Kleines Update:
Ich habe noch ein drittes VLAN im Bereich 192.168.98.0/24, in welchem nur meine Switche und Access Points liegen. Dient als Managment LAN. Darin läuft auf einer VM ein Unifi controller. Der hat die IP 192.168.98.65. Von diesem aus sind sowohl die 192.168.100.14 als auch die 192.168.20.65 pingbar und per SSH erreichbar. Scheint also, dass Linux/Debian bei mehr als einer Netzwerkkarte aus verschiedenen IP-Bereichen bei eingehendem Verkehr nur das zulässt, was dann für die Karte aus dem jeweils eigenen Netz kommt. Ankommender Verkehr aus dem jeweils anderen Netz wird blockiert, ankommender Verkehr aus irgendeinem anderen Netz kommt wieder durch.Gruss, Jürgen
@wildbill öhm, jetzt habe ich es vom Gedanken her: Der Rückweg ist falsch / fehlt. Goldene Netzwerkregel.
Wenn du von der IP 192.168.20.99 auf die 192.168.100.14 zugreifst geht das Paket üb er dein Gateway 192.168.20.254 zur 192.168.100.254 zur 192.168.100.14
Die 192.168.100.14 hat aber ja auch die IP-Adresse 192.168.20.65
Und deren Routing schickt die Antwort dann über die 2. NIC raus.Jetzt hat dein Rechner eine Frage an die 192.168.20.254 zur Weiterleitung übermittelt, bekommt die Antwort aber von der 192.168.20.65
Das funktioniert nicht
-
@wildbill öhm, jetzt habe ich es vom Gedanken her: Der Rückweg ist falsch / fehlt. Goldene Netzwerkregel.
Wenn du von der IP 192.168.20.99 auf die 192.168.100.14 zugreifst geht das Paket üb er dein Gateway 192.168.20.254 zur 192.168.100.254 zur 192.168.100.14
Die 192.168.100.14 hat aber ja auch die IP-Adresse 192.168.20.65
Und deren Routing schickt die Antwort dann über die 2. NIC raus.Jetzt hat dein Rechner eine Frage an die 192.168.20.254 zur Weiterleitung übermittelt, bekommt die Antwort aber von der 192.168.20.65
Das funktioniert nicht
@bananajoe Ja, das hört sich sinnvoll an, an den Rückweg hab ich so gar nicht gedacht. Hört sich plausibel an :dizzy_face:
Dann werde ich damit leben, bevor ich nun Himmel und Hölle in Bewegung setze. Die Links und Lesezeichen habe ich bereits alle mal angepasst, iobroker läuft und tut alles, was er soll.
Die Frage wäre somit eher nur noch akademischer Natur und ich bin dennoch zufrieden.Danke fürs Mitdenken und schubbsen in die richtige Gedankenrichtung. :+1:
Gruss, Jürgen
-
@bananajoe Ja, das hört sich sinnvoll an, an den Rückweg hab ich so gar nicht gedacht. Hört sich plausibel an :dizzy_face:
Dann werde ich damit leben, bevor ich nun Himmel und Hölle in Bewegung setze. Die Links und Lesezeichen habe ich bereits alle mal angepasst, iobroker läuft und tut alles, was er soll.
Die Frage wäre somit eher nur noch akademischer Natur und ich bin dennoch zufrieden.Danke fürs Mitdenken und schubbsen in die richtige Gedankenrichtung. :+1:
Gruss, Jürgen
Support us
851
Online32.5k
Benutzer81.7k
Themen1.3m
Beiträge