UDM und ESXi, kann kein Portforwarding auf den ESXi machen, alles andere geht

Es gibt 10 Antworten in diesem Thema, welches 2.749 mal aufgerufen wurde. Der letzte Beitrag () ist von gierig.

    Hallöchen, wieder mal Problemchen :loudly_crying_face:

    Ein Kumpel hat sich eine DM Pro zugelegt für seine recht umfangreiches Haus-Installation. Jetzt hab ich ihm einen ESXi aufgeschwatzt weil er verschiedene Dienste laufen hat und das eigentlich sonst bei mir ganz praktisch läuft. Der ESXi läuft, die VMs laufen, aber es ist unmöglich einen Port z.B. auf RDP oder irgendetwas anderes was auf dem ESXi läuft von Außen zu forwarden.

    Ich kann völlig Problemlos z.B. SSH oder auch die Weboberfläche vom ESXi selbst forwarden aber sobald ich eine IP nehme, die auf dem ESXi läuft, geht nix. Lustigerweise läuft das ganze aber Netzintern völlig problemlos. Hier kann ich alle Services erreichen. Hat jemand einen Tip woran das liegen kann? Ich kann auch auf der Console das syslog mitlaufen lassen und sehe auch meinen Verbindungsversuch aber passieren tut trotzdem nix.

    Grüsse, Jan

    Moin,
    es wäre gut, wenn du Screenshots machen würdest, was du bei Port Forwarding etc. eingestellt hast. (Am besten nicht die öffentliche IP zeigen)
    Vielleicht sieht man da ja schon das Problem.

    Also es laufen ja Portforwardings z.B. auf einen Raspberry der mit im Netz hängt und hier funktioniert das problemlos also kann ich auch ausschließen das es an den Einstellungen in der GUI der DM liegt.

    Mit RDP meine ich Windows. Das ist schon klar. Es geht auch darum (abseits aller Sicherheitsaspekte) das man den RDP-Port der VM von Außen erreichen kann. Es geht aber auch z.B. darum die Webseite einer Zoneminder-Installation (Kameraüberwachung) unter Linux von Außen erreichbar zu machen. Diese Forwardings gehen alle nicht und haben als einziges gemeinsam, dass sie auf dem ESXi laufen - also virtualisiert sind. Sobald ich ein Natives Gerät wähle funktioniert es. Ich suche also eher eine Möglichkeit das ganze zu debuggen, auf der DM schauen zu können was die bei dem Forwarding genau macht, als so basics wie man das einstellt. Intern im Netz mit den Netzinternen IPs funktioniert das alles völlig unauffällig. Mir scheint da nur irgendwas mit dem NAT nicht zu passen.

    TCPDump ist auf der UDM und kann sehr sehr gut Pakete mitschneiden die sich auch mit Wireshark

    analysieren lassen. Wireshark kann auch per remote ssh sich die traces direkt und live holen.

    Das gleiche auf dem EXI Host oder dem Guest...

    Conntrack zeigt dir gerne die Conntracttable an an (alternativ in /proc/net/nf_conntrack selber greppen)



    Bei dir wahrscheinlich die ESXi Firwall bzw. Security Profile passend zum host...

    Hallo PeaceMkr ,

    Du hast zwar geschrieben, dass das im LAN alles funktioniert, aber kommen denn die genannten Server auch alle ins Internet? Stimmen DNS und Gateway? Du hattest ja nicht geschrieben, dass die Hosts einer Domäne angehören. Da muss DNS natürlich auf jeden Fall funktionieren.

    Ich habe zum Beispiele diese VM in meinem ESXi laufen:

    Im Controller sehe ich meine VM natürlich auch, denn das USG ist mein DHCP-Server:

    Und ins Internet kommt sie auch: habe eben OS-Updates geladen.

    Wenn ich nun im Controller Einstellungen am Port-Forwarding machen möchte, dann sieht das bei mir so aus (legacy-GUI):

    Hier kann ich Quell- (Port) und Ziel-Port (Forward Port) neben dem eigentlichen Ziel (Forward IP) konfigurieren. Außerdem kann ich noch das / die Protokolle auswählen und ob es Logs geben soll.


    Das ist alles korrekt ausgefüllt und dennoch geht es nicht?


    Welche Informationen bekommst Du denn, wenn Du als root z.B. iptables -L -n | grep 514 auf der Console der UDM-Pro ausführst - falls verfügbar? 514 musst Du natürlich gegen Deinen Port tauschen. :winking_face:

    Bei mir:

    Code
    $ iptables -L -n | grep 514
RETURN     tcp  --  192.168.179.1        10.10.101.10         /* WAN_IN-3003 */ tcp dpt:514
RETURN     udp  --  192.168.179.1        10.10.101.10         /* WAN_IN-3003 */ udp dpt:514

    Kommen die IP-Pakete am Client an? Client-Firewall war ja schon :OK_button: , richtig?


    Müssen wir uns noch über VLANs unterhalten? Was gibt es sonst noch für Firewall-Regeln in der UDM?


    Cheers

    Ja das hab ich natürlich alles geprüft. Die VMs können alle ins Internet. Die Forwardings hab ich mit Logging versehen und da sehe ich sogar das er bei einer Anfrage von Aussen auch die richtige interne IP zum Forwarden zeigt aber passieren tut leider nix. Andere Forwardings auf Native Geräte funktionieren, VLANs gibts nicht. Ich habe testhalber mal von der DM auf einen Raspberry und hier mit iptables auf den ESX forwarded und das funktioniert auch. Die DM ist auch der DHCP-Server, der ESXi hat eine statische IP.

    Heute bin ich mal dazugekommen da genauer zu schauen: Port 8080 soll auf IP 192.168.178.189 weitergeleitet werden.

    Folgenden Output bekomme ich mit iptables:

    Code
    # iptables -L -n | grep 8080
RETURN     tcp  --  0.0.0.0/0            192.168.178.189      tcp dpt:8080 /* 00000000006049644146 */
RETURN     tcp  --  192.168.178.189      0.0.0.0/0            tcp spt:8080 /* 00000000006049644146 */
LOG        tcp  --  0.0.0.0/0            192.168.178.189      tcp dpt:8080 ctstate NEW limit: avg 50/sec burst 100 LOG flags 0 level 4 prefix "[WAN_IN-RET-3019] "
RETURN     tcp  --  0.0.0.0/0            192.168.178.189      tcp dpt:8080 ctstate NEW /* 00000000004294970315 */

    Wenn ich jetzt mal mitlogge und das aus der messages rausziehe kommt auf dem Port bei einem Verbindungsversuch das hier raus:

    Code
    Feb  8 10:12:50 Dream-Machine-Pro user.warn kernel: [110490.359078] [PREROUTING-DNAT-33] IN=ppp1 OUT= MAC= SRC=XXX.XXX.XXX.XXX DST=XXX.XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=41236 DF PROTO=TCP SPT=59091 DPT=8080 WINDOW=64240 RES=0x00 SYN URGP=0
Feb  8 10:12:50 Dream-Machine-Pro user.warn kernel: [110490.359159] [WAN_IN-RET-3019] IN=ppp1 OUT=br0 MAC= SRC=XXX.XXX.XXX.XXX DST=192.168.178.189 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=41236 DF PROTO=TCP SPT=59091 DPT=8080 WINDOW=64240 RES=0x00 SYN URGP=0
Feb  8 10:12:51 Dream-Machine-Pro user.warn kernel: [110490.611195] [PREROUTING-DNAT-33] IN=ppp1 OUT= MAC= SRC=XXX.XXX.XXX.XXX DST=XXX.XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=41238 DF PROTO=TCP SPT=59092 DPT=8080 WINDOW=64240 RES=0x00 SYN URGP=0
Feb  8 10:12:51 Dream-Machine-Pro user.warn kernel: [110490.611277] [WAN_IN-RET-3019] IN=ppp1 OUT=br0 MAC= SRC=XXX.XXX.XXX.XXX DST=192.168.178.189 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=41238 DF PROTO=TCP SPT=59092 DPT=8080 WINDOW=64240 RES=0x00 SYN URGP=0

    Das schaut eigentlich völlig unspektakulär aus oder sieht da jemand ein Problem? Verbindung wird aber nicht hergestellt :-/

    Zitat von PeaceMkr

    Das schaut eigentlich völlig unspektakulär aus oder sieht da jemand ein Problem? Verbindung wird aber nicht hergestellt :-/

    Da gebe ich Dir recht. Und auf dem Server (192.168.178.189) selbst? Wie sieht's da aus?

    Mit was kriege ich da ein verwertbares Ergebnis? die 1 ist die DM.

    pktstat -n bringt mir das hier ausgegraut:

    Code
                tcp 192.168.178.189:8080 <-> 192.168.178.1:2669
            - 200 POST /inform
            tcp 192.168.178.189:8080 <-> 192.168.178.1:2670
            - 200 POST /inform
            tcp 192.168.178.189:8080 <-> 192.168.178.1:2671