Hi
Vorweg: Ich bin nicht der "Admin" der Maschine, ich helfe nur gerade mit bei der Fehlersuche, weil es mich u.a. auch betrifft.
Folgende Situation:
- potenter Server in einem Rechenzentrum
- Proxmox VE als KVM-Host ist installiert (AFAIK Debian-basiert)
- darauf laufen ein paar KVMs, u.a. auch meine
- in einer anderen KVM läuft pfSense (BSD) und baut einen GRE-VPN-Tunnel auf
- der Tunnel scheint auch super zu funktionieren...
... nur: Alle Antworten, die per GRE via Host an die VM gehen werden irgendwie an alle VMs auf dem Server geschickt, die per Netzwerk-Bridge am gleichen LAN-Port hängen.
Also haben alle VMs auf dem Server dauerhaft eingehenden Traffic, der nicht für sie bestimmt ist.
Hat jemand eine Idee, woran das liegen kann?
Und/oder eine Idee, wie man das verhindern kann? Ich hätte die Idee, das mit ebtables zu lösen, um allen eingehenden GRE-Traffic an der Bridge nicht an alle VMs zu schicken, sondern eben nur an die eine.
Leider habe ich noch nie mit ebtables gearbeitet. Kennt sich jemand damit aus und kann helfen? Idee wäre halt, entweder allen Traffic, der im Header als Protokoll "47" angibt, nur an die eine VM zu schicken. Oder auf Basis der Quell- oder Ziel-IP den Traffic des Tunnels eben nur an die eine VM zu schicken.
Ist irgendwie blöd, wenn alle VMs mit diesem Traffic zugespammt werden und entsprechend Auslastung an den Firewalls entsteht, weil die Pakete alle geblockt/verworfen werden müssen.
Vorweg: Ich bin nicht der "Admin" der Maschine, ich helfe nur gerade mit bei der Fehlersuche, weil es mich u.a. auch betrifft.
Folgende Situation:
- potenter Server in einem Rechenzentrum
- Proxmox VE als KVM-Host ist installiert (AFAIK Debian-basiert)
- darauf laufen ein paar KVMs, u.a. auch meine
- in einer anderen KVM läuft pfSense (BSD) und baut einen GRE-VPN-Tunnel auf
- der Tunnel scheint auch super zu funktionieren...
... nur: Alle Antworten, die per GRE via Host an die VM gehen werden irgendwie an alle VMs auf dem Server geschickt, die per Netzwerk-Bridge am gleichen LAN-Port hängen.
Also haben alle VMs auf dem Server dauerhaft eingehenden Traffic, der nicht für sie bestimmt ist.
Hat jemand eine Idee, woran das liegen kann?
Und/oder eine Idee, wie man das verhindern kann? Ich hätte die Idee, das mit ebtables zu lösen, um allen eingehenden GRE-Traffic an der Bridge nicht an alle VMs zu schicken, sondern eben nur an die eine.
Leider habe ich noch nie mit ebtables gearbeitet. Kennt sich jemand damit aus und kann helfen? Idee wäre halt, entweder allen Traffic, der im Header als Protokoll "47" angibt, nur an die eine VM zu schicken. Oder auf Basis der Quell- oder Ziel-IP den Traffic des Tunnels eben nur an die eine VM zu schicken.
Ist irgendwie blöd, wenn alle VMs mit diesem Traffic zugespammt werden und entsprechend Auslastung an den Firewalls entsteht, weil die Pakete alle geblockt/verworfen werden müssen.
Zuletzt bearbeitet:
