Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

VMWARE Esxi 5.5 auf Hetzner EX40 - Netzwerkprobleme

Moderatoren: irix, Dayworker

Member
Beiträge: 176
Registriert: 03.07.2013, 12:06

VMWARE Esxi 5.5 auf Hetzner EX40 - Netzwerkprobleme

Beitragvon mcdaniels » 02.11.2015, 13:48

Hallo,
ich weiß nicht ob es an der "interessanten" Netzwerkkonfiguration seitens Hetzner liegt, oder an mir. Vielleicht hab ich etwas falsch verstanden.

Hoffe, hier hat jemand den Nerv mir kurz auf die Sprünge zu helfen.

Konfiguration
Ich habe 1x ESXI Server mit einer offiziellen IP. (Management)
weiters hab ich mir eine zusätzliche IP bestellt (mit eigener MAC)
und ein Subnet /29, welches auf die zusätzliche IP geroutet wird.

Routervm
IPFire (Orange):
Net: 136.243.96.80 / 29
IP-IPFire: 136.243.96.81

IPFire (Red): Zusatz IP (sagen wir 1.2.3.4) mit entspr. GW,DNS

Grundsätzlich entspicht die Konfiguration diesem Post: https://communities.vmware.com/message/2028641#2028641

Leider Gottes macht sie alles (die Konfiguration) nur nicht verlässlich funktionieren:
Gebe ich zb. einem Debian in der orangen Zone die IP 136.243.96.83 und pinge von dieser Maschine aus zb. 8.8.8.8 funktioniert das ne Zeit lang (5 Minuten), dann plötzlich "Destination Host unreachable".

Der Clou ist: Ich habe gleichzeitig von der Router-VM auf die IP 136.243.96.83 (Debian) gepingt und bekam immer eine Antwort. Interessanterweise auch dann noch, wie ich das Debiansystem herunter gefahren habe.

Bevor ich die IP auf dem Debiansystem aktiviert habe, habe ich verifiziert, dass sie nicht vergeben ist (auf Ping keine Antwort) + es war definitiv Debian dass mir auf die IP geantwortet hat.

Ich sehe hier absolut keien Logik dahinter und weiß nicht mehr weiter...

Hat jemand von euch vlt Hetzner in dieser Konfiguration und ein funktionierendes System?

Danke!
LG

Guru
Beiträge: 2731
Registriert: 23.02.2012, 12:26

Beitragvon ~thc » 02.11.2015, 17:11

Es liest sich für mich so, als ob du vermutest, dass dein /29 Subnetz nicht rot ist - das ist es aber.

Wenn du ein /29er Subnetz zugewiesen bekommst, dann sollte von den sieben IP-Adressen eine ein Gateway ins Netz sein und eine die Broadcast-Adresse. Du kannst also effektiv fünf nutzen. Zusammen mit deinen zwei einzelnen hast du auf einer physischen Karte also sieben öffentliche IP-Adressen, die ein oder mehrere VMs behandeln können.

Die IPFire-Richtung Red->Orange ist "Closed. Use port forwarding". Damit ist klar, dass du in der DMZ (so wie im Grünen) eigene IP-Adressen vergibst und die Router-VM das dann per NAT/Port Forwarding abhandeln muss. Hier öffentliche IPs zuzuweisen, bringt nur den Router durcheinander.

Den Post hinter dem Link kann ich nur teilweise nachvollziehen.

Member
Beiträge: 176
Registriert: 03.07.2013, 12:06

Beitragvon mcdaniels » 02.11.2015, 19:08

Hallo,
ja ich dachte schon, dass das 29er Subnetz in die DMZ gehört und dann ein entsprechendes Portforwarding zu machen ist.

In den HowTos heißt es immer ROT ist per 2ter offizieller IP an den vSwitch dranzuhängen der an der physischen NIC hängt. Und eben nicht, dass hier auch die Subnetz IPs dran gehören.

Andererseits ist, wenn ich genauer drüber nachdenke, klar dass öffentl. IPs in der DMZ für Probleme sorgen.

EDIT: So, jetzt hab ich die VM auf Orange hängen mit IP 10.0.0.3/24 Gateway 10.0.0.1 (Ipfire DMZ), weiters habe ich auf ROT (IPfire) eine Subnet IP 136.243.96.81/29 vergeben, die laut Hetzner einen Gateway 136.243.90.55 hat.

BTW. Hetzner routet alles über die zweite offizielle IP! In dieser Konstellation bekomme ich allerdings logischerweise ein Network unreachable wenn ich nach draussen will. Wie bekomme ich hier die Route ins Netz.

Ich hatte es auch schonmal anders konfiguriert: Orange: 10.0.0.0 / 24. Dann dachte ich, ok, wenn Hetzner ohnehin das ganze Subnet auf die zweite IP routet, könnte ich ja ein DNAT auf der Firewall machen.

Sprich: Wenn eine Anfrage auf Rot mit eine Subnet IP kommt, dann mach ein DNAT in die DMZ auf 10.0.0.3 (debianserver.) Das hat funktioniert, allerdings eben auch nur sporadisch. Mal war die Maschine erreichbar, dann wieder nicht. Das "raus kommen" von den VMs ins Netz ist in dieser Konfig kein Problem.

Vielen Dank erstmal.
LG

Guru
Beiträge: 2731
Registriert: 23.02.2012, 12:26

Beitragvon ~thc » 02.11.2015, 19:57

...eine Subnet IP 136.243.96.81/29 vergeben, die laut Hetzner einen Gateway 136.243.90.55 hat.

Das ist aber bei IPv4 nicht möglich - eine IP kann immer nur alle Hosts in Ihrem Subnetz direkt erreichen - alles außerhalb ist nur über ein Gateway zu erreichen, der aber Teil des eigenen Subnetzes sein muss.

Bei deinem verlinkten Post hatte der TO auch schon eine /29-IP vergeben ohne Gateway. Das geht eigentlich auch nicht - wenn man raus will.

EDIT:
Aus dem Hetzner-Wiki:
Für IPv4 ist der Gateway die erste nutzbare Adresse des jeweiligen Subnetzes

Also probier' mal 82 als Adresse und 81 als Gateway.

Member
Beiträge: 176
Registriert: 03.07.2013, 12:06

Beitragvon mcdaniels » 02.11.2015, 21:08

Hey,

Zitat:
Für IPv4 ist der Gateway die erste nutzbare Adresse des jeweiligen Subnetzes

Also probier' mal 82 als Adresse und 81 als Gateway.


Hab ich auf ROT jetzt gemacht.

82 mit entspr. Subnet als Adresse, 81 als Gateway.

Ping auf der VM ipfire von 82 auf 81 -> Destination Host unreachable...

Guru
Beiträge: 2731
Registriert: 23.02.2012, 12:26

Beitragvon ~thc » 02.11.2015, 21:47

Dann scheint das wirklich ein Subnetz ohne Gateway zu sein, dass man über eine Router-VM zwingend mit dem Zweit-IP-Anschluß verheiraten muss, damit das Routing klappt - da muss ich leider passen.

Member
Beiträge: 176
Registriert: 03.07.2013, 12:06

Beitragvon mcdaniels » 02.11.2015, 22:03

HI,
vielen Dank dass du mich so geduldig unterstütz hast. Ich werd aus der Konfig einfach nicht schlau.

Versteh auch nicht warum es mit einer der Konfigurationen funktioniert / dann wieder nicht / dann wieder doch.

Zumindest für mich ist das nicht nachvollziehbar.

LG

Member
Beiträge: 10
Registriert: 07.09.2015, 15:03
Wohnort: Mannheim

Beitragvon StimmeDerVernunft » 03.11.2015, 14:33

mcdaniels hat geschrieben:HI,
vielen Dank dass du mich so geduldig unterstütz hast. Ich werd aus der Konfig einfach nicht schlau.

Versteh auch nicht warum es mit einer der Konfigurationen funktioniert / dann wieder nicht / dann wieder doch.

Zumindest für mich ist das nicht nachvollziehbar.

LG


So ist das eben leider manchmal...

Profi
Beiträge: 875
Registriert: 18.03.2005, 14:05
Wohnort: Ludwigshafen

Re: VMWARE Esxi 5.5 auf Hetzner EX40 - Netzwerkprobleme

Beitragvon Martin » 03.11.2015, 16:42

mcdaniels hat geschrieben:Ich habe gleichzeitig von der Router-VM auf die IP 136.243.96.83 (Debian) gepingt und bekam immer eine Antwort. Interessanterweise auch dann noch, wie ich das Debiansystem herunter gefahren habe.

Bevor ich die IP auf dem Debiansystem aktiviert habe, habe ich verifiziert, dass sie nicht vergeben ist (auf Ping keine Antwort) + es war definitiv Debian dass mir auf die IP geantwortet hat.


Das sieht aber trotzdem sehr nach doppelt belegter IP Adresse aus, da passt dann auch dieser 5 Minuten Rhythmus dazu (ARP timeout)

Member
Beiträge: 176
Registriert: 03.07.2013, 12:06

Beitragvon mcdaniels » 03.11.2015, 19:00

Hi,
IP war definitiv nicht doppelt belegt, aber danke für die Antwort. Die Netzverbindung extern -> intern ist nicht alle 5 Minuten in die Knie gegangen, sondern wie es ihr gerade gepasst hat ;-)

Profi
Beiträge: 875
Registriert: 18.03.2005, 14:05
Wohnort: Ludwigshafen

Beitragvon Martin » 03.11.2015, 20:18

Wenn bei ausgeschaltetem "Adreßinhaber" noch Ping-Antworten kommen, spielt noch jemand anderes falsch mit... ;)


Zurück zu „vSphere 5.5 / ESXi 5.5“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 7 Gäste