[gelöst] KVM / virtuelle Maschine unter eigener IP

[jack88]

Hallo zusammen,

ich versuche auf einem Rootserver eine virtuelle Maschine einzurichten, die unter einer eigenen IP von außen erreichbar sein soll. Die IP der VM liegt nicht im gleichen Subnetz wie die Haupt-IP des KVM-Hosts:

Haupt-IP 1.1.1.2 / Rootserver (KVM-Host)
Zusätzliche IP: 2.2.2.2 (für die VM)

2.2.2.2 ist auf den KVM-Host geroutet also auf 1.1.1.2.

Die VM soll unter der IP 2.2.2.2 direkt erreichbar sein.

Aktuell habe ich dafür auf dem KVM-Host in /etc/network/interfaces eine bridge wie folgt eingerichtet:

Code: Alles auswählen

auto lo eth0 
iface lo inet loopback

iface eth0 inet manual

auto br0
iface br0 inet static
        address   1.1.1.2
        netmask   255.255.255.0
        gateway   1.1.1.1

        bridge_ports eth0

Der KVM-Host ist unter 1.1.1.2 erreichbar. Leider weiß ich nicht welche weiteren Einstellungen erforderlich sind, damit die VM unter der IP 2.2.2.2 erreichbar ist.

Ich habe versucht die IP innerhalb der VM wie folgt einzurichten:

/etc/network/interfaces

Code: Alles auswählen

auto lo eth0

iface lo inet loopback

iface eth0 inet static
        address 2.2.2.2
        netmask 255.255.255.224
        gateway 1.1.1.2

Leider ist die VM weder von außen erreichbar noch ist eine Verbindung nach außen möglich?

Vielen Dank im Voraus für jede Hilfe
jack

[PatrickOliver]

Hi,

ich bin in Sache KVM noch ganz am Anfang und habe meine Bridge wie folgt konfiguriert.

Code: Alles auswählen

auto eth0
iface eth0 inet manual
    bond-master bond0

auto eth1
iface eth1 inet manual
    bond-master bond0

auto bond0
iface bond0 inet manual
    bond-mode 802.3ad
    bond-lacp-rate 1
    bond-miimon 100
    bond-downdelay 200
    bond-updelay 200
    bond-slaves none

auto bri0
iface bri0 inet manual
    bridge_ports bond0
    bridge_stp no
    bridge_fd 7
    bridge_maxwait 10

Die IP-Adresse der VM habe ich dann nur in der VM konfiguriert!

[PatrickOliver]

Oh, ich habe deinen Beitrag wohl nicht richtig gelesen.

iface eth0 inet static
address 2.2.2.2
netmask 255.255.255.224
gateway 1.1.1.2

Bist du dir damit sicher?
Deine VM ist in einem ganz anderen Netz als dein Host!
Die VM kann zwischen 2.2.2.0 (Netz) und 2.2.2.31 (BC) kein 1.1.1.2 (Gateway) finden.

[jack88]

Vielen Dank erst mal für die schnelle Hilfe.

Deine VM ist in einem ganz anderen Netz als dein Host!

Ja, genau das ist mein Problem, die Host-IP liegt in einem anderen Netz als die IPs der VMs. Deshalb klappt das wohl auch nicht mit Verbindung über die Haupt-IP-Bridge.

Eine Idee wäre evtl. für die VMs ein eigenes lokals Netzwerk einzurichten und die externen IPs auf die lokalen umzuleiten und umgekehrt. Nur weiß ich leider nicht wie ich das im Detail realisieren könnte?

vg
jack

[PatrickOliver]

Du könntest den Host mit einer IP-Adresse in dein Zielnetz stecken und Host plus Client in ein gemeinsames, privates Netz.
Auf dem Host könntest du dann das Forwarding in der /etc/sysctl.conf aktivieren ...

Code: Alles auswählen

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

... um im Anschluß per IPTables auf dem Host die Pakete von der VM umzubiegen.

Code: Alles auswählen

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Das ist allerdings nur grob erklärt und es sollte dazu jemand etwas schreiben, der sich damit besser auskennt.
Du möchtest z.B. ggf. gar nicht, dass die VM von außen erreichbar ist, aber selbst auf das Internet zugreifen kann.

[jack88]

Du könntest den Host mit einer IP-Adresse in dein Zielnetz stecken und Host plus Client in ein gemeinsames, privates Netz.

Könntest Du das etwas genauer erklären?

Ich möchte, daß beide (HOST + Gast) jeweils unter der eigenen öffentlichen IP-Adresse uneingeschränkt erreichbar sind. Wie gesagt liegen die Adressen in verschiedenen Netzen.

vg
jack

[r4pt0r]

IIRC darf dafür das physische interface (eth0) keine IP bekommen, nur die Bridges die darauf zeigen. Der Host nutzt dann z.b. br0 mit IP 1.1.1.2 und die VM br1 mit IP 2.2.2.2.

Setze ggf auch mal "bridge_stp off" in der konfiguration der bridges. Ich hatte diesbezüglich mal Probleme mit einer VM die mit STP auf der bridge einfach keine Netzwerkverbindungen zustande brachte. Seitdem setze ich das pauschal für alle Netzwerkbrücken auf virtualisierungs-hosts und hatte keine konnekteirungsprobleme mehr, auch bei unterschiedlichen (sub)netzen auf der selben NIC.

Alternativ könntest du als eth0.1 eine zweite Konfiguration auf das physische interface legen und eth0.1 als interface für die VM festlegen. (nie selber probiert, sollte aber theoretisch funktionieren)

[jack88]

darf dafür das physische interface (eth0) keine IP bekommen, nur die Bridges die darauf zeigen

Ja das habe ich auch so eingerichtet.

Der Host nutzt dann z.b. br0 mit IP 1.1.1.2 und die VM br1 mit IP 2.2.2.2.

Hier habe ich das Problem, daß meine zusätzliche IP von der Bridge belegt wird. Mir stehet leider kein Subnetz mit mehreren IPs zur Verfügung sondern nur ein einzelne zusätzliche IP.
Gibt es evtl. eine Möglichkeit diese IP im Gast zu verwenden? Ich habe bei Hetzner ein Tutorial gefunden wie man auch mehrere einzelen IPs aus unterschiedelichen Subnetzen für die VMs einrichten kann

http://wiki.hetzner.de/index.php/Proxmox_VE

Leider funktioniert es bei mir nicht, keine Ahnung warum. Proxmox benutze ich zwar nicht, aber das sollte eigentlich keine Rolle spielen?

Alternativ könntest du als eth0.1 eine zweite Konfiguration auf das physische interface legen und eth0.1 als interface für die VM festlegen. (nie selber probiert, sollte aber theoretisch funktionieren)

Ja das wäre wahrscheinlich die einfachste Lösung. Soweit ich das sehe wird das allerdings in squeeze leider noch nicht unterstützt (macvtap, erst ab Kernel 2.6.34).

vg
jack

[ralfi]

Ich benutze macvtap seit einigen Monaten für VM Konfigurationen problemlos, verwende allerdings auch auch eine Mischung aus sid/exp mt den allerneuesten Pakten von Kernel, Libvirt und Qemu

[PatrickOliver]

Der Host soll auf das Netz 1.1.1/24 zugreifen, Teilnehmer in diesem Netz auf den Host.
Die VM soll auf das Netz 2.2.2/27 zugreifen, Teilnehmer in diesem Netz auf die VM.

/etc/network/interfaces auf dem Host

Code: Alles auswählen

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet manual

auto bridge_hostnetz
iface bridge_hostnetz inet static
	address        1.1.1.2
	network        255.255.255.0
	gateway        1.1.1.1
	bridge_ports   eth0
	bridge_stp     no
	bridge_fd      7
	bridge_maxwait 10

auto bridge_hostnetz_vlan_100
iface bridge_hostnetz_vlan_100 inet static
        address         1.1.2.2
        netmask         255.255.255.0
        vlan-raw-device eth0
        bridge_ports    eth0.20
        bridge_stp      no
        bridge_fd       7
        bridge_maxwait  10

auto bridge_vm
iface bridge_vm inet manual
	bridge_ports   eth0
	bridge_stp     no
	bridge_fd       7
	bridge_maxwait 10

Ich konfiguriere meine VMs aus der Shell und starte als root virsh.
Mit mit dem Kommando "list --all" ohne Anführungsstriche werden dir alle VMs angezeigt.
Die betroffene VM editierst du mit "edit betroffene_VM".
Der Editor verhält sich wie VIM (oder wird hier automagisch der Standard-Editor verwendet?).
Im Abschnitt "interface" steht folgendes.

Code: Alles auswählen

    <interface type='bridge'>
      <mac address='xx:xx:xx:xx:xx:xx'/>
      <source bridge='bridge_vm'/>
      <model type='virtio'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
    </interface>

Ggf. die VM runterfahren, starten und dann in der VM das Netzwerk konfigurieren.

Code: Alles auswählen

auto lo eth0

iface lo inet loopback

iface eth0 inet static
	address 2.2.2.2
	netmask 255.255.255.224

Als Gateway kannst du in der VM aber nur Rechner angeben, die auch im selben Netz sind!
Das Ganze habe ich aus meiner laufenden Konfig an deine Bedürfnisse angepasst und NICHT getestet.


Nachtrag:
Die Bridge bridge_hostnetz_vlan_100 habe ich dir als Beispiel für VLANs eingefügt.
Sollen Host und VM im gleichen VLAN sein und auch andere Teilnehmer im VLAN auf die VM zugreifen können, so kannst du in der KVM-Konfig der VM eben diese Bridge angeben.
In der VM benötigst du das Paket VLAN nicht, iirc.

[jack88]

Vielen dank erstmal für das ausführliche Konfigurationsbeispiel. Ich verstehe nur nicht ganz wie ich „Als Gateway in der VM nur Rechner angeben kann, die auch im selben Netz sind“, wenn die Host-IP und VM-IP nicht im selben netzt liegen?

Meine aktuelle Konfiguration ist nach diesem Hetzner-Tutorial erstellt: http://wiki.hetzner.de/index.php/KVM_mi ... e_easy_way)

Der Server steht allerdings nicht bei Hetzner sondern bei Hosteurope, vielleicht spielt das auch eine Rolle.
Leider gibt es bei Hosteurope offenbar keine Tutorials oder Informationen zu diesem Thema.

KVM-Host (Hosteurope):
IP: xx.yy.zz.24
Gateway: xx.yy.zz.1

VM:
IP: aa.bb.cc.129

KVM-Host

Code: Alles auswählen

auto lo
iface lo inet loopback

auto eth0 
iface eth0 inet static
  address xx.yy.zz.24
  netmask 255.255.255.255
  gateway xx.yy.zz.1
  pointopoint xx.yy.zz.1

auto  br1
iface br1 inet static
 address   xx.yy.zz.24
 netmask   255.255.255.255
 bridge_ports none
 bridge_stp off
 bridge_fd 0
 bridge_maxwait 0
 up route add -host aa.bb.cc.129 dev br1

KVM-Gast

Code: Alles auswählen

auto lo
iface lo inet loopback

auto eth0 
iface eth0 inet static
  address aa.bb.cc.129
  netmask 255.255.255.255
  gateway xx.yy.zz.24
  pointopoint xx.yy.zz.24

und die libvirt Netzkonfiguration des Gastes:

Code: Alles auswählen

<interface type='bridge'> 
       <mac address='52:54:00:0d:5c:68'/> 
       <source bridge='br1'/> 
       <model type='virtio'/> 
       <address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/> 
</interface>

Danach ist die VM weder von außen erreichber noch ist eine Verbindung ins Internet aus der VM möglich. Nur eine direkte Verbindung zwischen dem KVM-Host und der VM ist möglich, also:

Kvm-host:/# ssh root@aa.bb.cc.129 (Verbindung zur VM funktioniert)
Vm:/# ssh root@xx.yy.zz.24 (Verbindung zum KVM-Host funktioniert auch)

Die route up route add -host aa.bb.cc.129dev br1 scheint also zu funktionieren, weshalb ist also keine Verbindung nach draußen möglich?

vg
jack

[jack88]

PROBLEM GELÖST!!!!

Die zuletzt beschriebene Konfiguration funktioniert, das Problem war, daß ip_forward auf 0 stand!

Nachdem ich das Ip-Forwarding aktiviert habe:

echo "1" > /proc/sys/net/ipv4/ip_forward

läuft alles wie gewünscht. Das Dumme daran war, daß ich das am Anfang natürlich geprüft hatte und ip_forward stand auf 1. Später habe ich das default netzwerk von libvirt deaktiviert und den Server neu gestartet und habe es nicht bemerkt, daß ip_forward nun wieder auf 0 steht. Im Verlauf der weiteren Test bin ich davon ausgegangen, daß libvirt ip_forward automatisch aktiviert. Das passiert aber nur dann, wenn mindestens ein libvirt-netzwerk aktiv ist!

Hier nochmals die vollständige Lösung für all diejenigen die vielleicht irgendwann vor einem ähnlichen Problem stehen:

Haupt-IP: xx.yy.zz.24
Default Gateway: xx.yy.zz.1
Zusatz-IP: aa.bb.cc.129

KVM-Host

IP-Forwarding einschalten

Code: Alles auswählen

echo "1" > /proc/sys/net/ipv4/ip_forward

libvirt Netzkonfiguration des Gastes (virsh edit VM-Name)

Code: Alles auswählen

<interface type='bridge'> 
       <mac address='52:54:00:0d:5c:68'/> 
       <source bridge='br1'/> 
       <model type='virtio'/> 
       <address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/> 
</interface>

/etc/network/interfaces

Code: Alles auswählen

auto lo
iface lo inet loopback

auto eth0 
iface eth0 inet static
  address xx.yy.zz.24
  netmask 255.255.255.255
  gateway xx.yy.zz.1
  pointopoint xx.yy.zz.1

auto  br1
iface br1 inet static
 address   xx.yy.zz.24
 netmask   255.255.255.255
 bridge_ports none
 bridge_stp off
 bridge_fd 0
 bridge_maxwait 0
 up route add -host aa.bb.cc.129 dev br1
 # ggf. noch weitere IP-Adressen aus beliebigen Netzen

KVM-Gast

/etc/network/interfaces

Code: Alles auswählen

auto lo
iface lo inet loopback

auto eth0 
iface eth0 inet static
  address aa.bb.cc.129
  netmask 255.255.255.255
  gateway xx.yy.zz.24
  pointopoint xx.yy.zz.24

Das wars

Vielen Dank nochmals an alle!
jack

[PatrickOliver]

eth0 und bri1 haben in der Host-Konfiguration beide die gleiche IP Adresse?
Ich hätte mit etwas in der Art wie diesem hier gerechnet.

Code: Alles auswählen

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
	address xx.yy.zz.24
	netmask 255.255.255.255
	gateway xx.yy.zz.1
	pointopoint xx.yy.zz.1

auto  br1
iface br1 inet static
	bridge_ports   eth0
	bridge_stp     off
	bridge_fd      0
	bridge_maxwait 0
	up route add -host aa.bb.cc.129 dev eth0
	# ggf. noch weitere IP-Adressen aus beliebigen Netzen

Aber wenn es funktioniert, ist ja alles gut

[jack88]

eth0 und bri1 haben in der Host-Konfiguration beide die gleiche IP Adresse?

Ja, definitiv.

Ich hätte mit etwas in der Art wie diesem hier gerechnet.

Vielleicht würde das auch funktionieren, müßte man einfach mal testen.

vg
jack

[r4pt0r]

Habe hier an 2 Virtualisierungsservern für keine physische Schnittstelle bzw bond eine IP eingetragen. Adresse wird nur der bridge zugewiesen die der host nutzt, Gäste bekommen automatisch beim Start ein tap-device das sie dann als eth-Schnittstelle selbst verwalten. Am host sind keine IP-Konfigurationen für die Gäste hinterlegt.

Aber wenns funktioniert - why not

[jack88]

Habe hier an 2 Virtualisierungsservern für keine physische Schnittstelle bzw bond eine IP eingetragen.

Wenn Du Deine config Host+Gast kurz posten könntest würde ich das gerne mal testen.

vg
jack

[r4pt0r]

Hier mal vom länger laufenden Proxmox Server (etwas umfangreicher da nach und nach gewachsen...).

/etc/network/interfaces:
http://pastebin.com/nQ51xGmL

"broadcast" und "network" für bond0 sind/waren nötig, da für dieses Netz ein DHCP in einem OpenVZ Container läuft. Soll wohl nicht mehr nötig sein, ich habs aber noch drin da es mir nicht weh tut oder irgendwo dazwischenfunkt...

ifconfig:
http://pastebin.com/ByHYdNpZ

Wie gesagt werden die VMs per tun-device konnektiert: tap<VMID>i<iface-no>. macht die fehlersuche etwas einfacher...
VM 110 ist ein gateway an dem zwischen LAN, DMZ, 2 verschiedene VPN und Internet über 3 verschiedene Internetanbindungen geroutet werden - daher tap110i[0-6].

Insgesamt gibt es VMs in 4 Subnetzen auf diesem Host - eins davon identisch mit dem lokalen Netz (= Netz der Hostmaschine), 2 entsprechen den "remote-LANs" die per VPN angebunden sind und die DMZ bildet ebenfalls ein eigenes Subnetz... Bin heilfroh wenn das ganze mal endlich auf IPv6 migriert ist

[jack88]

Sorry, aber ich verstehe die Konfiguration leider nicht ganz. Könntest Du es evtl. an einem kurzen Beispiel verdeutlichen mit jeweils einer Konfigurationsdatei (/etc/network/interfaces) für Host + Gast in verschiedenen Subnetzen?

z.B.:

Host-IP: xx.xx.10.12
Default Gateway: xx.xx.10.1
VM-IP: yy.yy.7.18

vg
jack

[ralfi]

Ich habe das Problem mal mit einer Mischung aus Bridge Interface und Macvtap gelöst, hier dazu die Doku ...

PROBLEMBESCHREIBUNG: macvtap Interfaces sind im Bridge-Mode sehr gut geeignet, um QEMU-Maschinen in vorhandene Netzwerke einzubinden. Als logisches Netzwerkinterface ist es vollkommen transparent und unterstützt bpsw. problemlos DHCP.

Beispielkonfiguration

# z.B. mit /etc/rc.local #
$ ip link add link eth0 name macvtap1 type macvtap mode bridge

# z.B. dazu passende Netzwerkkonfiguration im libvirt XML-File

<interface type='direct'>
<mac address='52:54:00:92:54:1b'/>
<source dev='macvtap1' mode='bridge'/>
<model type='virtio'/>

Dies kann man nun bis zur Leistungsgrenze der Netzwerkschnittstellen ausreizen. Jede einzelne mit macvtap konfigurierte virtuelle Maschine kann in das vorhandene, mit der physikalischen eth0 Schnittstelle des KVM-Hosts an das vorhandene IP-Netzwerk angebundene Netz integriert werden. Das PROBLEM besteht nun darin, dass die virtuellen Maschinen nicht MITEINANDER kommunizieren. Dies liegt u.a. in einer per Default Richtlinie von libvirt erstellten Firewallregel auf dem KVM Host.

AUFGABE: Die Netzwerkkonfiguration soll so eingerichtet werden, dass sich die virtuellen Maschinen nicht nur in das Netzwerk des KVM-Hosts integrieren sondern auch untereinander kommunizieren.

LÖSUNG: Die Aufgabe kann durch Kombination eines als Bridge konfigurierten KVM-Host Interfaces in Verbindung mit der macvtap Konfiguration der virtuellen Maschinen eingerichtet werden.

Beispielkonfiguration

# /etc/network/interfaces des KVM Hosts
# physical ethernet device for use with bridged logical interfaces

auto eth0
iface eth0 inet manual

# interface bri0
auto bri0
iface bri0 inet static
address 10.8.1.2
broadcast 10.255.255.255
dns-nameservers 10.8.1.3 10.8.1.4
dns-search home.local
gateway 10.8.1.1
netmask 255.255.255.0
network 10.8.1.0
bridge_ports eth0
bridge_maxwait 0
bridge_fd 0
bridge_stp off

# erstellen eines logischen macvtap Interfaces bspw. mit /etc/rc.local
$ ip link add link bri0 name brivtap1 type macvtap mode bridge

# Anpassen der libvirt XML Netzwerkkonfiguration der virtuellen Maschine

<interface type='direct'>
<mac address='52:54:00:92:54:1b'/>
<source dev='brivtap1' mode='bridge'/>
<model type='virtio'/>
<address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
</interface>

Diese Konfiguration kann nun entsprechend angepasst (brivtap<X>) bis zur Leistungsgrenze der Netzwerkschnittstelle für verschiedene virtuelle Maschinen verwendet werden. Alle virtuellen Maschinen kommunizieren über das Bridge Interface des KVM Hostes sowohl mit dem Host-Netzwerk wie auch untereinander!