ciao in sti giorni sto smanettando a livello molto polleggiato sulla conf dell'oggetto, in soldoni l'ipv4 pubblico (e tutto il resto delle conf di rete) va benone sotto debian e router os ma non sotto opnsense che sarebbe poi proprio quello che voglio usare, sotto opnsense tengo la configurazione default quindi mi pare nessuna regola firewall che può bloccare l'accesso da interfaccia pubblica (su cui tengo abilitato temporaneamente ssh e gui), ah pure con ipfire non va (non ho estrapolate le config ma alla fine quelle sono), sarà un caso che entrambi sono basati su freebsd? secondo voi cosa mi sfugge?
ah su questo server la console kvm è virtuale quindi ha un po' di limitazioni e diciamo che non riesco a fare diagnosi con sistema acceso (sto studiando meglio la cosa ma sono poco ottimista) insomma con opnsense o ipfire avviato il server rimane offline e lì mi fermo come diagnosi
grazie

host proxmox

auto eth0
iface eth0 inet manual

auto vmbr0
iface vmbr0 inet manual
        bridge-ports eth0
        bridge-stp off
        bridge-fd 0
        bridge_maxwait 0

auto vmbr1
iface vmbr1 inet static
        address 10.0.0.2/24
        bridge-ports none
        bridge-stp off
        bridge-fd 0

vm debian

auto eth0
iface eth0 inet static
        address a.b.c.141
        netmask a.b.c.248
        gateway a.b.c.137
        up route add -net a.b.c.136 netmask 255.255.255.248 gw a.b.c.137 dev eth0

auto eth1
iface eth1 inet static
        address 10.0.0.1
        netmask 255.255.255.0
default via a.b.c.137 dev eth0 onlink
10.0.0.0/24 dev eth1 proto kernel scope link src 10.0.0.1
a.b.c.136/29 dev eth0 proto kernel scope link src a.b.c.141

vm ros

# ADDRESS             NETWORK          INTERFACE
0 10.0.0.1/24         10.0.0.0         local
1 a.b.c.141/29        a.b.c.136        ether1

#     DST-ADDRESS         GATEWAY          DISTANCE
0  As  0.0.0.0/0          a.b.c.137               1
  DAc 10.0.0.0/24         local                   0
  DAc a.b.c.136/29        ether1                  0

vm opnsense


<wan>
      <if>vtnet0</if>
      <descr/>
      <enable>1</enable>
      <spoofmac/>
      <blockpriv>1</blockpriv>
      <blockbogons>1</blockbogons>
      <ipaddr>a.b.c.141</ipaddr>
      <subnet>29</subnet>
      <gateway>WAN_GWv4</gateway>
    </wan>
    <gateway_item>
      <interface>wan</interface>
      <gateway>a.b.c.137</gateway>
      <name>WAN_GWv4</name>
      <priority/>
      <weight/>
      <ipprotocol>inet</ipprotocol>
      <interval/>
      <descr/>
      <defaultgw>1</defaultgw>
    </gateway_item>
Destination        Gateway            Flags     Netif Expire
default            10.0.0.1           UGS      vtnet1
10.0.0.0/24        link#2             U        vtnet1
10.0.0.1           link#2             UHS         lo0
a.b.c.136/29       link#1             U        vtnet0
a.b.c.141          link#1             UHS         lo0
127.0.0.1          link#4             UH          lo0
    • [cancellato]

    nexus Se ti dico che non c'ho capito un'"h" ti offendi? 😅

    Il problema nello specifico qual è? Hai un server dedicato (dove?) con una /29 allocata? E non riesci ad assegnare uno di questi indirizzi ad una VM?

    Come hai configurato proxmox? Interfacce delle VM sul bridge giusto?

    Filtro lato cloud provider sui MAC address?

    • nexus ha risposto a questo messaggio
    • cdman ha messo mi piace.

      [cancellato] Se ti dico che non c'ho capito un'"h" ti offendi?

      ma figurati anche perché se tu che sei parecchio sul pezzo non hai capito allora mi sono spiegato male per davvero!

      [cancellato] Il problema nello specifico qual è?

      usando debian o ros come router virtuale con ipv4 a loro assegnato la connettività è ok, con opnsense/ipfire non lo era

      [cancellato] Hai un server dedicato (dove?) con una /29 allocata?

      server dedicato sì (non ho indicato il fornitore per evitare pubblicità ma se torna utile lo cito) /29 no (con quel che costa...che poi in verità non mi servirebbe nemmeno), mi forniscono uno di quei 5 ip

      [cancellato] E non riesci ad assegnare uno di questi indirizzi ad una VM?

      l'assegnazione non da problemi né con debian né con ros ma li dava con opnsense/ipfire

      [cancellato] Come hai configurato proxmox?

      è la prima configurazione che ho riportato nel primo messaggio (al netto della breve parte relativa al mac, vedi sotto, e poco altro)

      [cancellato] Interfacce delle VM sul bridge giusto?

      [cancellato] Filtro lato cloud provider sui MAC address?

      non avevo accennato a quelle cose perché le relative configurazioni andavano bene sia nei casi funzionanti che in quelli non funzionanti, comunque confermo che la wan della vm/router virtuale è attestata sul bridge dell'host a cui è ovviamente assegnata l'interfaccia fisica dell'host, ed il fornitore non blocca la connettività a priori ma invia dei warning se il mac in uscita sia quello dell'interfaccia fisica e poi credo che alla fine blocchi pure, così nella configurazione di rete dell'host imposto cambio del mac dell'interfaccia fisica e spoofing via snat del mac della wan della vm

      come avrai notato ho utilizzato verbi al passato perché nel frattempo mi son rimesso a mente più fresca sulla questione e mi reso conto che 1) opnsense tirava su un rotta sbagliata per motivi che boh non ho capito 2) ipfire di default giustamente non ha servizi esposti su wan e filtra icmp...di notte bisogna dormire, soprattutto alla mia età

      grazie per l'interessamento 🤓

        • [cancellato]

        OK hai risolto, ma...

        nexus nella configurazione di rete dell'host imposto cambio del mac dell'interfaccia fisica e spoofing via snat del mac della wan della vm

        mmmmmmm mi piace poco 'sta roba. Al di la che un hypervisor non dovrebbe mai essere pubblicamente raggiungibile se non si vuole mettere l'esplosivo nelle proprie fondamenta, ma se mi parli di SNAT non è un bidging, è una soluzione per aver sempre parecchi problemi. Mi chiedo il senso di dare 5 IP (che sono quelli usabili in una /29, tolto il gateway...) ma contemporaneamente filtrare i MAC address, vogliono per forza che sia un unico sistema ad usarli tutti? Boh, mi pare un controsenso ma non sapendo il contesto nel complesso non ci metto bocca 😉

        Bene così comunque, a volte basta il brainstorming per ragionare su scenari che non si avevano ipotizzato 😉

        • nexus ha risposto a questo messaggio

          [cancellato] mi piace poco 'sta roba

          eh lo so è un accrocchio poco elegante concordo anche io nella mia gnurantezza atavica ma alla fine è efficace e la soluzione con vm router sw alla fine consente comunque di non avere i servizi dell'host/hypervisor esposti pubblicamente, in questo senso nulla cambia rispetto alla soluzione senza vm router sw cioè con tutte le vm come host di "lan" dell'hypervisor, in entrami i casi apro "soltanto" le porte strettamente necessarie sulle vm di "esercizio" (la 80 e la 443 sulla vm con server/proxy web per dirne una) più quelle della vpn di gestione, però con la soluzione vm router sw ho più elasticità di gestione (certo anche più rischi...esplode per x motivi quella e mi tocca andare di rescue o vkvm...), penso che la soluzione più da best practice diciamo sarebbe avere due host distinti ma alla fine bisogna anche trovare un equilibrio e per ora non ho chissà che esigenze e mi posso accontentare di soluzioni "viabili" ma poco eleganti

          [cancellato] se mi parli di SNAT non è un bidging

          lo snat è riferito al mac ebtables -t nat -A POSTROUTING -j snat --to-src xx:xx:xx:xx:xx:xx -o ethx dove il mac è appunto quello dell'interfaccia fisica cui poi assegno un mac fittizioifconfig ethx hw ether yy:yy:yy:yy:yy:yy vabeh non è la scoperta dell'acqua gassata, riguardo il bridging delle interfacce intendo che ad uno dei bridge virtuali dell'host (il primo nella configurazione del mio messaggio) è associata la "wan" della vm software router e al secondo bridge sono associate le varie "lan" (e queste sono effettivamente in bridge tra loro) delle varie vm compresa quella software router ovviamente

          [cancellato] Mi chiedo il senso di dare 5 IP

          ribadisco che l'ip assegnato a me è solo uno 😛 ma senza dubbio appartiene ad una subnet /29 non so per quali motivi di gestione lato fornitore

          [cancellato] a volte basta il brainstorming per ragionare su scenari che non si avevano ipotizzato

          👍

          Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
          P.I. IT16712091004 - info@fibraclick.it

          ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile