@Rallvesh

Нет доступа с гостевой машины одного Proxmox на другой хост Proxmox, в чём ошибка?

Добрый день. Прошу помощи, запутался в, казалось бы, очевидных вещах.
Арендованы сервера в хетцнере, на них установлен проксмокс. Создан vSwitch в интерфейсе, назначен VlanID 4000. На хостах добавлен сабинтерфейс с номером VLAN и бридж vmbr0 в следующих конфигурациях:
- Хост A enp5s0.4000 10.10.0.1/8, vmbr0 10.10.1.1/24
- Хост B enp5s0.4000 10.2.0.1/8, vmbr0 10.2.1.1/24

Хосты видны друг другу, пинги и ssh проходят без проблем.
На хосте B поднят контейнер, назначен бридж vmbr0 с адресом 10.2.1.10/24. С этого контейнера идут пинги до 10.2.1.1 и 10.2.0.1, но нет доступа до 10.10.0.1. В tcpdump на хосте A вижу следующую картину:
09:06:15.455238 IP 10.2.1.10 > 10.10.0.1: ICMP echo request, id 1183, seq 1, length 64

И, судя по всему, ответ обратно не отправляется:
08:20:18.580785 IP 10.10.0.1 > 10.10.0.1: ICMP host 10.2.1.10 unreachable, length 68

Конфигурация iptables на хосте A (убрал все правила, связанные с открытием портов и с пробросом портов):
*nat
:PREROUTING ACCEPT [63160714:14866295490]
:INPUT ACCEPT [1595076:96622921]
:OUTPUT ACCEPT [4465488:3553158324]
:POSTROUTING ACCEPT [72333500:18758066821]
-A POSTROUTING -s 10.10.0.0/16 -o enp5s0 -j SNAT --to-source a.b.c.d
*filter
:INPUT DROP [531:30092]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [546442:35156441]
-A INPUT -s 10.0.0.0/8 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s 10.0.0.0/8 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -s 10.10.0.0/16 -i vmbr0 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Догадываюсь, что упускаю какую-то мелочь, но понимание никак не приходит.
  • Вопрос задан
  • 65 просмотров
Решения вопроса 2
@Rallvesh Автор вопроса
Было очевидно, что решение проблемы лежит на поверхности. Я не проверил, что на хосте A не было маршрута до 10.2.1.10. Премного благодарен за помощь.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы