+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

SNAT прекращает доступ виртуальной машины к интернету через некоторое время., Proxmox Виртуальная Среда

yogita

Guest

20.09.2024 11:41:00

Привет, у меня довольно простая конфигурация, так как я ещё изучаю Proxmox и SNAT. У нас есть 1 хост в Proxmox Datacenter, и на нём 1 ВМ и 1 контейнер. Я настроил SNAT следующим образом: имя зоны: DHCP, имя vnet: vnet0, подсеть: 10.10.50.0/24 и диапазон IP-адресов: 10.10.50.2 - 10.10.50.5 (я пробовал и другие диапазоны, но результат всегда один и тот же). Моя ВМ и контейнер получают доступ в интернет в течение недели, а потом вдруг теряют его. Мне приходится удалять подсеть и диапазон IP-адресов и присваивать новые, и тогда всё снова работает какое-то время, прежде чем я снова потеряю доступ в интернет на ВМ… это уже произошло в третий раз подряд. У меня не настроены никакие правила брандмауэра. Нужна помощь эксперта, чтобы правильно настроить это, чтобы я периодически не терял доступ в интернет на своих ВМ. Я следовал этой статье поддержки для настройки SNAT - https://pve.proxmox.com/wiki/Setup_Simple_Zone_With_SNAT_and_DHCP. Спасибо, -Yogita.

yogita Guest	#2 0 09.10.2024 15:15:00 Отключение файрвола на уровне дата-центра, ноды и ВМ не помогло, я все равно сталкиваюсь с той же проблемой: ВМ теряет доступ в интернет.

shanreich Guest	#3 0 09.10.2024 15:25:00 Можешь скинуть вывод следующих команд? Код: cat /etc/network/interfaces ip r iptables -t nat -L iptables-save

yogita Guest	#4 0 09.10.2024 15:29:00 root@WG24000106:~# ip r default via NNN.NNN.NNN.NNN dev vmbr3 10.10.50.0/24 dev vnet1 proto kernel scope link src 10.10.50.1 34.120.255.244 dev vmbr3 scope link 192.168.19.0/24 dev vmbr0 proto kernel scope link src 192.168.19.70 192.168.100.1 dev vmbr3 scope link NNN.NNN.NN.NN/24 dev vmbr3 proto kernel scope link src NNN.NNN.NNN.NNN NNN.NNN.NNN.NNN dev vmbr3 scope link

yogita

Guest

09.10.2024 15:30:00

root@WG24000106:~# cat /etc/network/interfaces
# настройки сетевого интерфейса; сгенерировано автоматически
# Пожалуйста, НЕ изменяйте этот файл напрямую, если вы не знаете,
# что делаете.
#
# Если вам нужно управлять частями конфигурации сети вручную,
# используйте директивы 'source' или 'source-directory', чтобы сделать
# это.
# PVE сохранит эти директивы, но НЕ будет читать свою сетевую
# конфигурацию из файловых источников, поэтому не пытайтесь переместить
# какие-либо интерфейсы, управляемые PVE, во внешние файлы!
auto lo
iface lo inet loopback
auto enp5s0
iface enp5s0 inet manual
auto enp2s0
iface enp2s0 inet manual
iface enp3s0 inet manual
iface enp4s0 inet manual
auto vmbr0
iface vmbr0 inet static
address 192.168.19.70/24
bridge-ports enp5s0
bridge-stp off
bridge-fd 0
#LAN 2
auto vmbr3
iface vmbr3 inet dhcp
bridge-ports enp2s0
bridge-stp off
bridge-fd 0
#WAN 1
auto vmbr4
iface vmbr4 inet manual
bridge-ports none
bridge-stp off
bridge-fd 0
#wOS - WAN 2
auto vmbr5
iface vmbr5 inet manual
bridge-ports none
bridge-stp off
bridge-fd 0
#wOS - HA
auto vmbr6
iface vmbr6 inet manual
bridge-ports none
bridge-stp off
bridge-fd 0
#wOS - MGMT
source /etc/network/interfaces.d/*

yogita

Guest

09.10.2024 15:31:00

root@WG24000106:~# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
ts-postrouting all -- anywhere anywhere SNAT
all -- 10.10.50.0/24 anywhere to:NNN.NNN.NNN.NNN
Chain ts-postrouting (1 references)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
mark match 0x40000/0xff0000

yogita

Guest

09.10.2024 15:32:00

root@WG24000106:~# iptables-save # Сгенерировано iptables-save v1.8.9 в среду, 9 октября 13:31:34 2024 *raw REROUTING ACCEPT [830582:603263067] :OUTPUT ACCEPT [83230:32554519] -A PREROUTING -i fwbr+ -j CT --zone 1 COMMIT # Завершено в среду, 9 октября 13:31:34 2024 # Сгенерировано iptables-save v1.8.9 в среду, 9 октября 13:31:34 2024 *nat REROUTING ACCEPT [12626:1711173] :INPUT ACCEPT [6677:528537] :OUTPUT ACCEPT [8566:772031] OSTROUTING ACCEPT [8566:772031] :ts-postrouting - [0:0] -A POSTROUTING -j ts-postrouting -A POSTROUTING -s 10.10.50.0/24 -o vmbr3 -j SNAT --to-source NNN.NNN.NNN.NNN -A ts-postrouting -m mark --mark 0x40000/0xff0000 -j MASQUERADE COMMIT # Завершено в среду, 9 октября 13:31:34 2024 # Сгенерировано iptables-save v1.8.9 в среду, 9 октября 13:31:34 2024 *filter :INPUT ACCEPT [38317:12428843] :FORWARD ACCEPT [740101:569575763] :OUTPUT ACCEPT [83105:32541762] :ts-forward - [0:0] :ts-input - [0:0] -A INPUT -j ts-input -A FORWARD -j ts-forward -A ts-forward -i tailscale0 -j MARK --set-xmark 0x40000/0xff0000 -A ts-forward -m mark --mark 0x40000/0xff0000 -j ACCEPT -A ts-forward -s 100.64.0.0/10 -o tailscale0 -j DROP -A ts-forward -o tailscale0 -j ACCEPT -A ts-input -s 100.105.118.25/32 -i lo -j ACCEPT -A ts-input -s 100.115.92.0/23 ! -i tailscale0 -j RETURN -A ts-input -s 100.64.0.0/10 ! -i tailscale0 -j DROP -A ts-input -i tailscale0 -j ACCEPT -A ts-input -p udp -m udp --dport 41641 -j ACCEPT COMMIT # Завершено в среду, 9 октября 13:31:34 2024

shanreich

Guest

09.10.2024 15:35:00

Твой провайдер выдает тебе статический IP или динамический? Это правило говорит о том, что трафик SNAT'ится на 103.228.x.x: Код: SNAT all -- 10.10.50.0/24 anywhere to:103.228.x.x Но у тебя этот IP не настроен ни на одном интерфейсе. Так что я подозреваю, что, учитывая, что на интерфейсе WAN настроен DHCP, твой провайдер выдает тебе другой IP примерно раз в неделю, и это ломает твою SNAT-настройку.

yogita Guest	#9 0 09.10.2024 15:45:00 Спасибо, что разобрались с этим вопросом... У нашего провайдера динамический IP.

yogita Guest	#10 0 09.10.2024 15:48:00 Но у тебя этот IP-адрес ни на одном интерфейсе не сконфигурирован. — Что можно сделать, чтобы это исправить?

shanreich

Guest

#11

09.10.2024 15:53:00

Я думаю, лучшее решение — отключить SNAT на SDN VNet, а затем создать правило самостоятельно, с MASQUERADE, который динамически переводит IP-адреса — так он сможет справиться с изменяющимися IP-адресами. Так что я думаю, решение такое: Отключить SNAT в конфигурации SDN VNet и применить конфигурацию Flush NAT rules: iptables -t nat -F Создать новое правило SNAT, которое использует masquerading: Code: iptables -t nat -A POSTROUTING -s 10.10.50.0/24 -o vmbr3 -j MASQUERADE

yogita Guest	#12 0 09.10.2024 16:35:00 Огромное вам спасибо... попробуем и выложим результаты... будем надеяться, что получится... ещё раз спасибо за поддержку!

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры