Xen Server und Problem mit NAT

[sledge0303]

Hallo Leute,

jetzt hab ich auch mal eine Frage aus dem Bereich "blöde Fragen" ;)
Es geht um eine Xen Installation auf dem OVH Testserver mit nur einer IP nach außen. Die domU kriegen keinen Zugang zum Internet, die importierten Devices werden nicht erkannt. Für die Kommunikation eth0->bridge->domU wurde ein Interface namens intern geschaffen.
OS: Debian Etch und Xen Version 3.0.3 aus Etch-Sourcen installiert.

Zu meiner Konfiguration:

dom0:

Code: Select all

/etc/xen/xend-config.sxp

(vif-script vif-bridge)
(network-script network-route)
(dom0-min-mem 48)
(dom0-cpus 0)

Interface "intern" als Bridge

Code: Select all

/etc/network/interfaces

auto intern
iface intern inet static
pre-up brctl addbr intern
post-down brctl delbr intern
	address 192.168.1.1
	netmask 255.255.255.0
	network 192.168.1.0
	broadcast 192.168.1.255
	bridge_fd 0
	bridge_hello 0
	bridge_stp off

Startskript für domU

Code: Select all

kernel = "/boot/vmlinuz-2.6.18-3-xen-vserver-686"
ramdisk= "/boot/initrd.img-2.6.18-3-xen-vserver-686"
memory = 64
name = "apache2"
vif = [ 'bridge=intern' ]
disk = ['phy:/dev/lvmxen/apache2,sda1,w','phy:/dev/lvmxen/apache2-swap,sda2,w']
ip="192.168.1.2"
netmask="255.255.255.0"
gateway="192.168.1.1"
hostname = "apache2"
root = "/dev/sda1 ro"
extra = "3"

intern läßt sich auch starten und innerhalb der dom0 anpingbar.

Konfiguration domU

Code: Select all

apache2:~# cat /etc/network/interfaces
auto lo
iface lo inet loopback

Code: Select all

cat /etc/resolv.conf
nameserver 127.0.0.1
nameserver 192.168.1.1

Damit die Datenpakete in die domU durchgereicht werden, habe ich diese IPTables gesetzt.

Code: Select all

eingehend 
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to $ProviderIP

ausgehend
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to $ProviderIP

Sind die domU hochgefahren, können diese auch nicht angepingt werden, weder untereinander noch von der dom0 aus. Diese Einstellungen habe ich eigentlich auf meinen Xen Server mit mehreren statischen IPs gesetzt und es funktionierte auch problemlos.

Ich denke mir mal da ist ein logischer Fehler drin. Problem bei der Sache ist, die MAC Adresse ausgehend darf sich nicht ändern, sonst wird der Server (wieder einmal) vom Switch rausgeschmissen.

Hat jemand eine Idee wo mein logischer Fehler, denke mal das es einer ist, beheimatet ist?

[lord_pinhead]

Warum versuchst du es nicht mal mit den ebtables wenn du schon eine Ethernet Bridge hast? So wie ich das lese, weiß iptables ja nichtmal die IP wohin es direkt umleiten soll weil das Interface ja immer eth0 ist und du die Bridge nicht berücksichtigst.

[sledge0303]

Warum versuchst du es nicht mal mit den ebtables wenn du schon eine Ethernet Bridge hast? So wie ich das lese, weiß iptables ja nichtmal die IP wohin es direkt umleiten soll weil das Interface ja immer eth0 ist und du die Bridge nicht berücksichtigst.

Stimmt. Unabhängig davon seh ich gerade das mein Posting nicht komplett ist und deswegen undurchsichtig wirkt. Das Problem liegt aber woanders, muss den Server eh nochmal neu aufsetzen und bei der Neuinstallation berücksichtigen.

Danke aber trotzdem für den Hinweis ;)

[sledge0303]

Habe schon in einigen Foren gelesen dass das nicht mit einer Bridge funktionieren soll wenn man nur eine IP hat.
Hatte vorhin iptables rules gesetzt, eingeschlossen wurde noch die Bridge, danach war der Server vom Switch gesperrt worden wegen MAC Adressenkonflikt.

[lord_pinhead]

Schonmal http://rootwiki.unixfreunde.de/index.php/XEN:Portal gelesen?

Intern hab ich es mal hiermit http://www.formann.de/2005/09/xen-netzwerksetup/ probiert und es hat geklappt, die Kiste läuft jetzt einwandfrei und man merkt nicht das es Virtuallisiert ist.

[sledge0303]

Schonmal http://rootwiki.unixfreunde.de/index.php/XEN:Portal gelesen?

Intern hab ich es mal hiermit http://www.formann.de/2005/09/xen-netzwerksetup/ probiert und es hat geklappt, die Kiste läuft jetzt einwandfrei und man merkt nicht das es Virtuallisiert ist.

Ich habe Xen auf andere Server zu laufen und das ohne Probleme. Allerdings sind dort mehr als eine IP verfügbar ;)
Auch das Howto von Johannes ist mir bekannt, lokal funktioniert es auch prima.
Das gemeine bei der OVH Kiste ist: ich kriege keinen Connect über die domU in das Internet. Nachdem zuerst getestet wurde, hatte ich wegen der späten Uhrzeit aufgehört. Morgens als weitergetestet werden sollte, waren über 40 Mails angekommen. Die sagten mir, 1.5 Stunden später wurde der Server erstmals vom Switch ausgesperrt, 10min später wieder entsperrt... mit Ausnahme einer Unterbrechung von mehr als 70min gings fröhlich weiter im 5 Minutentakt.
Als Grund wurde mir vom Support ein MAC Adressenkonflikt angegeben.
Der Zugang zum Internet erfolgt über eth0, also über die Schnittstelle mit der "originalen" MAC.
Aus den Sourcen kann ich Xen nicht bauen wegen dem 2.6.16.33 Kernel der den verbauten VIA SATA Controler nicht unterstützt :-(
Selbe war mit dem Kernel bauen, siehe anderen Thread hier im Forum. Hab die Kiste neu aufgesetzt, Kernelsourcen gezogen und siehe da --> lief problemlos durch...
IOW: die Testkiste ist mir echt unheimlich... :D