Proxmox - Hetzner - telnet error en local uniquement ...!

Tech
#1

Hello les barbus !

petite question , sur laquelle je bloque depuis quelques temps.
J’ai un serveur Proxmox sur Hetzner qui marche très bien .
Mais je bloque sur un problème que je n’arrive pas à résoudre .
Depuis mon serveur , ou n’importe quelle VM/LXC , je n’arrive pas à me contacter moi même …
( le port 25 est un exemple , mais c’est le cas sur n’importe quel port ) .
LXC → telnet « LXC IP » → OK
outside → telnet « public_ip » 25 → OK
LXC → telnet « public_ip » 25 → failed
ServerPX → telnet « public_ip » 25 → failed

C’est comme si il y avait un blocage quelque part , mais je ne vois pas ou …

( j’ai ouvert un ticket sur le support proxmox Network between LXC or/and VM | Proxmox Support Forum ) .

Ce doit être un souci iptables certainement , mais je vois pas ou/pourquoi ?

Merci :slight_smile:

#2

Qu’est ce qui te permet d’aller a l’extérieur?

  • un routeur?
  • un firewall/box internet?
#3

heu c’est un serveur . Le problème est sur le serveur ( ce n’était pas clair visiblement ) :slight_smile:

#4

Déjà il faudrait que tu donne un peux plus d’info sur ta config Proxmox. Il y a plein de méthodes différentes pour faire du réseau pour tes VM et conteneur sur un Proxmox (Bridge, route, masquerade,…) et en fonction de ce que tu as fais la réponse n’est pas là même. C’est probablement pour ça que tu n’as pas eu de réponse sur le forum proxmox

Mais il y a de grande chance que ce soit effectivement une route qui manque.

Et dernièrement: Telnet ? TELNET !?! On est en 2022. Telnet ne devrait même pas être installé sur un serveur, encore moins être actif.

#5

telnet c’est juste pour tester :slight_smile: ( j’aurai pu faire un dig / nmap / autre chose ))
C’est du bridge

auto enp0s31f6
iface enp0s31f6 inet static
address XXXXX.XXXx.XXX.XXXXX/26
gateway XXXXX.XXXx.XXX.XXXXX
up route add -net XXXXX.XXXx.XXX.XXXXX netmask 255.255.255.192 gw XXXXX.XXXx.XXX.XXXXX dev enp0s31f6

auto vmbr1
iface vmbr1 inet static
address 192.168.50.1
netmask 255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
post-up iptables -t nat -A POSTROUTING -s ‹ 192.168.50.0/24 › -o enp0s31f6 -j MASQUERADE

post-up iptables -t nat -A PREROUTING -i enp0s31f6 -p tcp --dport 25 -j DNAT --to 192.168.50.12:25
post-down iptables -t nat -D PREROUTING -i enp0s31f6 -p tcp --dport 25 -j DNAT --to 192.168.50.12:25

#6

Je dirais qu’il manque un

ip route add 192.168.50.0/24 dev vmbr1

(enfin l’équivalent pour ton fichier de conf d’interface)

#7

Il manque rien, c’est du NAT.

Si c’est du NAT, tu ne peux pas, de l’intérieur, accéder en port forward a tes serveurs internes, a moins de faire des règles de port forward spécifiques (ce qui est un peu idiot mais parfois nécessaire)

Dans ton cas, tout est serveur. Il aurait fallu préciser que tu parlais de la config du firewall.

#8

Ca fait plaisir d’aider ici…

2 « J'aime »
#9

AH ! formidable
iptables -t nat -A PREROUTING -i vmbr1 -p tcp --dport 25 -j DNAT --to 192.168.50.12:25

?

( disclaimer : je suis en bille en réseau , j’ai beau essayé , il y a toujours des trucs qui m’échappent … )

#10

Ma réponse était trop sèche? désolé je m’en était pas rendu compte :frowning:

J’ai l’impression que ton interface locale est vmbr1 donc ca serait ca, oui.
edit: je pense que tu devras préciser la destination, genre -p tcp -d XXXXX.XXXx.XXX.XXXXX -dport 25 pour que cela fonctionne. J’en suis pas sur, a voir.

#11

Et je suis grognon car j’ai mal dormis, pas de soucis :slight_smile:

#12

j’ai testé avec et sans , et cela ne marche pas mieux :confused:

#13

Tu peux faire un schéma? Je pense qu’il manque quelque chose pour comprendre ta config.
Mais d’une manière générale, si tu veux accéder de l’intérieur a ton IP public, ça marchera mal au mieux.

#14

on continue en PM , merci :slight_smile: