Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

kein Zugriff auf DHCP-Server auf VM hinter 2,5G-Adapter

Alles zu vSphere 8

Moderatoren: irix, Dayworker

Member
Beiträge: 146
Registriert: 21.02.2004, 22:33
Wohnort: Müggelheim
Kontaktdaten:

kein Zugriff auf DHCP-Server auf VM hinter 2,5G-Adapter

Beitragvon Rene_Mhm » 23.11.2023, 14:53

Hallo,

ich habe diverse VMs vom meinem alten ESXi7-Host auf eine neue Hardware mit 8.02 umgezogen.
Zwar bekam ich z.B. völlig problemlos wieder die USB-Fritz!-Card an eine alte XP-VM, welche hier die 2 bis 3 pro Jahr ankommedne Faxe verarbeitet.
Aber es gelingt mir uns Verrecken nicht, DHCP zu bekommen. Und zwar sowohl für VMs wie auch für physische PCs. DHCP-Server ist hierbei ein Win2016-Server, welcher mit umgezogen ist und ansonsten auch in allen anderen bisher testbaren Punkten problemlos arbeitet.

Nun habe ich die ESXi-FireWall in Verdacht. Und ich glaube mich zu entsinnen, dass ich ein ähnliches Spielchen beim Umzu von 6 zu 7 ebenfalls schon einmal hatte. Allerdings bilde ich mir ein, dass ich die FW damals per shell komplett ausschalten konnte. Aber "esxcli network firewall set --enabled false" hat hier bisher an der Stelle auch nichts gebracht. Auch "esxcli network firewall unload" bringt anscheinend nichts. Also zumindest nicht mehr, als dass ich beim Versuch die Regel "DHCP-Client" unter Netzwerk / FireWallregeln zu aktivieren eine Bestätigung und keinen fehler bekomme. Aber aktiviert ist diese dann trotzdem nicht. Und nach "esxcli network firewall load" gibt es beim Aktivierungsversuch wieder die Meldung "Fehler beim Aktivieren des DHCP-Client-Regelsatzes."
Ich drehe mich hier also momentan ziemlich im Kreis, und wäre daher für entsprechnde Hilfe überaus dankbar.

Guru
Beiträge: 2745
Registriert: 23.02.2012, 12:26

Re: FireWall nicht deaktivierbar?

Beitragvon ~thc » 23.11.2023, 16:40

Ich habe unter 8.0.2 einen DHCP-Server (kea unter Debian 12) als VM laufen und kann dir zumindest sagen. dass weder die ESXi-Firewall noch sonst irgendwelche ESXi/vSwitch/VM Defaults daran Schuld sein können.

Member
Beiträge: 146
Registriert: 21.02.2004, 22:33
Wohnort: Müggelheim
Kontaktdaten:

Re: FireWall nicht deaktivierbar?

Beitragvon Rene_Mhm » 23.11.2023, 17:07

Hatte inzwischen versucht, die dhcp-Regel per shell zu aktivieren.

Code: Alles auswählen

esxcli network firewall ruleset set --enabled=true -r dhcp

Dies führt dann zu

Code: Alles auswählen

Invalid operation requested: Can not enable/disable this ruleset, it is owned by system service.

Nun verstehe ich nur nicht, welcher Dienst da seine Finger im Spiel hat.

Wäre mir unklar, aber für den Fall, dass es da doch einen Zusammenhang gibt: Der Host selbst hat eine feste IP.

Guru
Beiträge: 2745
Registriert: 23.02.2012, 12:26

Re: FireWall nicht deaktivierbar?

Beitragvon ~thc » 23.11.2023, 17:21

Wahrscheinlich gar kein Dienst - sondern irgendwas in der VM selbst, dem vSwitch, dem pSwitch oder, oder....

Einfach mal so an der ESXi-Firewall herumzubohren, wird dir nicht viel bringen.
Bei einem Host mit fester IP sollten die beiden ESXI-DHCP-Firewallregeln aus (disabled) sein.

Member
Beiträge: 146
Registriert: 21.02.2004, 22:33
Wohnort: Müggelheim
Kontaktdaten:

Re: FireWall nicht deaktivierbar?

Beitragvon Rene_Mhm » 23.11.2023, 18:28

Die VM selbst fällt raus. Ist unverändert und die interne FireWall ist aus.

Ich kann offenbar auch andere FireWall-Regeln nicht aktivieren.
Auf meinem alten 7.0U2 ist genau diese Regel (dhcp) aktiviert.

Eigentlich wäre es mir am liebsten, die FireWall des Hosts komplett zu deaktivieren. Brauche ich hier intern wirklich nicht.
Die (nur) zweitbeste Lösung wäre, die DHCP-Regel aktivieren zu können.

Die Switche selbst haben ja, soweit ich das sehen konnte, keine "eigenen" FireWall-Einstellungen, sondern laufen wirklich nur als "dummer" Switch.

King of the Hill
Beiträge: 13011
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Re: FireWall nicht deaktivierbar?

Beitragvon irix » 23.11.2023, 23:10

Die FW des ESXi hat nichts aber auch garnichts mit dem Trafic der Gaeste zu tun... ich lass mal Distributed FW aussen wo welche ja genau dafuer da ist(Mikrosegmentierung).

Der ESXi selber spielt auch nciht DHCP und FW ist die welche aktiv wird wenn du den VMK von Static auf DHCP stellen wuerdest. Das es zumind. mal in einer vAPP nen DHCP gab lassen wir mal weg.

Gruss
Joerg

Benutzeravatar
Member
Beiträge: 141
Registriert: 05.04.2011, 20:08

Re: FireWall nicht deaktivierbar?

Beitragvon Santa » 24.11.2023, 08:23

Schuß ins Blaue: im vSwitch ist der Promiscuous-Modus nicht aktiviert.
https://kb.vmware.com/s/article/1002934

Member
Beiträge: 146
Registriert: 21.02.2004, 22:33
Wohnort: Müggelheim
Kontaktdaten:

Re: FireWall nicht deaktivierbar?

Beitragvon Rene_Mhm » 24.11.2023, 11:16

irix hat geschrieben:Die FW des ESXi hat nichts aber auch garnichts mit dem Trafic der Gaeste zu tun...
OK, dann hatte ich hier einen Denkfehler. Ging dabei von so einer Art GateKeeper-Funktion der FireWall auf den Switches aus.

Warum sich die DHCP-Regel auf der FW bei der 8.0U2 nicht aktivieren läßt, auf meiner alten 7.0U2 aber aktiviert war, verstehe ich dann allerdings trotzdem noch nicht.

Santa hat geschrieben:Schuß ins Blaue: im vSwitch ist der Promiscuous-Modus nicht aktiviert.
Ja, ist nicht aktiviert.
Ist/war er aber auf dem Switch meines 7.0U2er Host ebenfalls nicht. Und habe gerade noch einmal dort getestet, läuft.
Aber auch der Gegentest, Promiscuous-Modus auf dem neuen Switch aktiviert, hat bisher leider nichts gebracht.

Werde jetzt ersteinmal, allerdings ohne wirkliche Hoffnung und nur der Vollständigkeit halber, das "ReBoot-tut-gut"-Spiel spielen.

Member
Beiträge: 146
Registriert: 21.02.2004, 22:33
Wohnort: Müggelheim
Kontaktdaten:

Re: FireWall nicht deaktivierbar?

Beitragvon Rene_Mhm » 24.11.2023, 13:32

@Admins: Denke, es wäre toll, wenn der Titel z.B. in "kein Zugriff auf DHCP-Server auf VM hinter 2,5G-Adapter" oder ähnliches geändert werden könnte.

Ich bin jetzt so weit, dass es funktioniert.
- Die VMs bekamen eigenartigerweise nach dem o.g. ReBoot brav ihre Adressen. Nicht jedoch externe phys. Geräte.
- Der Promiscuous-Modus hatte, sowohl bei Aktivierung auf dem Switch wie auch auf dem Network, nichts gebracht.

Der Host hat 2 Netzwerkkarten, mit jeweils 1G bzw. 2,5G. Auf der 1er hatte ich (nur) den Host und alle VMs auf der 2,5er Karte. War eher Zufall, da ohnehin beide nur gleichmäßig mit 1000er Link betrieben werden.
Tja, die VM mit dem DHCP-Server mal eben mit auf die 1000er Karte, und alles ist fein.

Muss jetzt nochmal schauen, ob es einfach grundsätzlich nur an der 1000er geht, oder nur an der Karte welche auch den Host bedient.
Wir werden sehen!

Nachtrag:
Gerade noch einmal mit dem Management-Notwork hin und her gespielt. Das spielt keine Geige. Die Geschichte steht und fällt mit der 2,5G-karte. Warum auch immer ?!?!?!
Auch ein Festbrennen des Links auf 1000voll brachte (natürlich) nichts.

Was das an Stunden an Sucherei gekostet hat !!!


Zurück zu „vSphere 8“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast