Virtueller LAN-Adapter "type macvlan" scheint von aussen her nicht erreichbar zu sein [Gelöst]

[jmar83]

Hallo zusammen

Folgende Befehle werden ausgeführt, ich poste aber das ganze Log:

Code: Alles auswählen

Option 'Promiscuous Mode' konfigurieren:
- Der Befehl 'ip link set dev eth0 promisc on' wurde ausgeführt.
Die Option 'Promiscuous Mode' wurde eingeschaltet.


VLAN hinzufügen:

[b]- ip link add link eth0 address ca:fe:ba:be:12:34 habridge type macvlan mode bridge
- ifconfig habridge 192.168.178.254 netmask 255.255.255.0 up
- route add -net 192.168.178.0 netmask 255.255.255.0 gw 192.168.178.1 dev habridge metric 205
[/b]
Das VLAN wurde hinzugefügt und konfiguriert.

- Ich bin im 192.168.178.0/24-Netz
- "ping 192.168.178.254" gibt keine Antwort
- "telnet 192.168.178.254 80" gibt keine Antwort
- Die IP des phys. Adapters 192.168.178.4 ist erreichbar
- Unter Raspbian habe ich das Problem nicht
- Der "Advanced IP Scanner" findet die IP 192.168.178.254 (...aber wahrscheinlich Arbeitet der intern nicht mit ping/ICMP)
- Wenn ich mich per SSH auf 192.168.178.4 (phys. Adapter IP) einloggen, dann kann ich dort unter der Konsole
-> Die IP 192.168.178.254 pingen
-> "telnet 192.168.178.254 80" geht dort ebenfalls


"iptables" sollte ja kein Problem sein, wird bei Debian (wie bei Raspbian) ja auch nicht vorinstalliert. (?)


Hier noch der (spezifische) Teil der Datei /etc/sysctl.conf, musste das anpassen weil der VLAN-Adapter "type macvlan" sonst die gleiche MAC-Adresse wie der phys. LAN-Adapter bekommt (WTF, für was soll sowas gut sein, das kann ja unmöglich gut gehen?? Oder sehe ich da was falsch? ):

Code: Alles auswählen

# J.M., 2019-07-17 {
#net.ipv6.conf.all.disable_ipv6 = 1
net.ipv4.conf.all.arp_ignore = 1
net.ipv4.conf.all.arp_announce = 2
# } J.M., 2019-07-17

Hier die Ausgabe von "ifconfig":

Code: Alles auswählen

eth0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 1500
        inet 192.168.178.4  netmask 255.255.255.0  broadcast 0.0.0.0
        ether 08:00:27:43:7a:41  txqueuelen 1000  (Ethernet)
        RX packets 164985  bytes 36532348 (34.8 MiB)
        RX errors 0  dropped 1384  overruns 0  frame 0
        TX packets 149310  bytes 16976104 (16.1 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

habridge: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.178.254  netmask 255.255.255.0  broadcast 192.168.178.255
        inet6 fe80::c8fe:baff:febe:1234  prefixlen 64  scopeid 0x20<link>
        ether ca:fe:ba:be:12:34  txqueuelen 1000  (Ethernet)
        RX packets 11672  bytes 910568 (889.2 KiB)
        RX errors 0  dropped 1250  overruns 0  frame 0
        TX packets 55  bytes 2902 (2.8 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Lokale Schleife)
        RX packets 20293  bytes 1180210 (1.1 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 20293  bytes 1180210 (1.1 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Hier die Ausgabe von "route" :

Code: Alles auswählen

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         fritz.box       0.0.0.0         UG    0      0        0 eth0
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 habridge
192.168.178.0   fritz.box       255.255.255.0   UG    205    0        0 habridge

...wie bereits gesagt habe ich auf Raspbian dieses Probleme nicht mit der gleichen Konfiguration!?

Vielen Dank für die Feedbacks!

[jmar83]

- Eine "Locally administered" MAC-Adresse macht auch keinen Unterschied zu "cafebabe...." - ping von einem anderen phys. Gerät aus geht damit jedenfalls auch nicht, telnet ebenfalls nicht...
- `rp_filter = 0` für alle NICs in der /etc/sysctl.conf-Datei hinzuzufügen bringt leider auch nix...

[jmar83]

...und den Gateway beim VLAN-Adapter auf denselben Wert zu stellen wie die VLAN-eigene IP bringt ebenfalls nix.

`rp_filter = 0`

Und ein zusätzliches `net.ipv4.conf.all.accept_local = 1` hat leider auch keine Wirkung!!

[jmar83]

Bringt ebenfalls nix:

Code: Alles auswählen

ip rule add pref 1000 lookup local
ip rule del pref 0
ip rule add pref 100 to 192.168.178.254 iif habridge lookup local
ip rule add pref 200 to 192.168.178.254 lookup 100
ip route add default dev habridge table 100

-> https://unix.stackexchange.com/question ... d-to-devic


Das auch nicht:

ip link set dev habridge promisc on

[jmar83]

Hier noch die Ausgabe von "ip addr":

Code: Alles auswählen

ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:43:7a:41 brd ff:ff:ff:ff:ff:ff
    inet 192.168.178.4/24 scope global eth0
       valid_lft forever preferred_lft forever
3: habridge@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 26:13:18:73:47:a7 brd ff:ff:ff:ff:ff:ff
    inet 192.168.178.254/24 brd 192.168.178.255 scope global habridge
       valid_lft forever preferred_lft forever
    inet6 fe80::2413:18ff:fe73:47a7/64 scope link
       valid_lft forever preferred_lft forever

Bringt auch nix: `net.ipv4.conf.all.forwarding=1` (https://serverfault.com/questions/25841 ... e-sth-else)

[TomL]

Bedauerlicherweise kann man mit dieser Aussage "Virtueller LAN-Adapter "type macvlan" scheint von aussen her nicht erreichbar zu sein" absolut gar nix anfangen. Was bedeutet das?

Bedeutet von "außerhalb" aus Sicht der VM oder aus Sicht des Hosts?
Bedeutet "von außerhalb" via Portfreigabe aus dem Internet?
Bedeutet "macvlan" das das NIC gemeint ist, oder eine dahinter laufende VM?
Bedeutet "erreichen", dass die VM nicht erreicht wird ... von wem?
Bedeutet "erreichen", dass die VM irgendwas nicht erreichen kann ... was oder wen?

Vielleicht versuchst Du mal mit einfachen Worten zu erklären, was Du bisher an von diesem Probem beroffenen Einrichtungen hast, in welcher Beziehung die zueinander stehen und was Du überhaupt erreichen möchtest. Anhand der gegebenen Infos verstehe ich nur Bahnhof.

[jmar83]

Habe noch hier gepostet, evtl. ergibt sich dabei was?
-> https://unix.stackexchange.com/question ... hine-but-i

[jmar83]

Was ich will ist einfach ne 2. IP einrichten, diese aber nicht an den phys. Adapter binden sondern einen Adapter "type macvlan" einrichten damit dieser als Bridge mit dem phys. LAN-Adapter fungieren kann.

Gleiche IP-Adressklasse für beide.

Auf der phys. IP kann ich von einem anderen Rechner her pingen und Port 80 aufrufen. Mit der macvlan-IP nicht.

Die macvlan-IP kann ich aber pingen, wenn ich mich per SSH auf dem Gerät einlogge auf dessen Debian 9 1 phys. Adapter (LAN) sowie 1 virtualler Adapter "type macvlan" existiert. Ich kann mich bei der macvlan-IP also "selbst" anpingen (innerhalb des Systems), aber nicht von einem remote-Client. Gleiches gilt für Services wie Apache azufrufen!!

[jmar83]

Und noch zur Ergänzung:

- Der Advanced IP Scanner erkennt die IP und die MAC dahinter "von aussen" (-> Das läuft auf Window$)
- Raspbian ist gleich konfiguriert, macht aber keinen Stress...

[jmar83]

Nun habe ich den Übeltäter endlich gefunden: Es war die von VirtualBox verwendete virtuelle Netzwerkarte "Intel Desktop Gigabit Adapter" (Oder sowas in der Art) Nun habe ich auf Paravirtualisierung der Netzwerkkarte gesetzt ("virtio") gesetzt, das mir nun unter Debian einen "Red Hat, Inc Virtio network device" mit "lsipci" anzeigt.

Statt irgend einen alten amd640-NIC-Controller zu verwenden wie hier vorgeschlagen wird: https://forums.virtualbox.org/viewtopic.php?f=7&t=59215

Jetzt kann ich die macvlan-Adapter-IP problemlos "remote" anpingen und auch den Port 80 aufrufen.

[jmar83]

@TomL: Trotzdem vielen Dank für die Nachfrage!

[TomL]

Sorry... war aber leider umsonst... da muss ich passen, das übersteigt meine Kenntnisse.

[jmar83]

...hat leider doch nix gebracht, heute wieder gleicher Zustand mit anderen virt. Netzwerkkarten mit VirtualBox... ich könnte kotzen!!

[jmar83]

Hier geht's weiter -> viewtopic.php?f=27&t=174741&p=1217252#p1217252