[Debian 6 64 Bit] OpenVZ Container haben kein Netzwerk

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von nedodu, 4. Nov. 2012.

  1. nedodu

    nedodu New Member

    Leider bin ich mit dem Thema Interfaces-Problem bei OpenVZ vom August immer noch nicht weiter, deswegen erlaube ich mir einen eigenen ausführlichen Thread zum Problem.

    Ich habe meinen Hostserver nach dem Tutorial Installation von OpenVZ + Verwaltung von VMs mit ISPConfig 3 (Debian 6.0) installiert, dass RAM-Problem hat sich erledigt, alles läuft außer halt die Netzwerkkonfiguration...

    /etc/network/interfaces des Hostsystems:

    Code:
    # This file describes the network interfaces available on your system
    # and how to activate them. For more information, see interfaces(5).
    
    # The loopback network interface
    auto lo
    iface lo inet loopback
    
    # The primary network interface
    allow-hotplug eth0
    iface eth0 inet static
        address [B]Korrekte IP-Adresse des Hauptservers[/B]
        netmask 255.255.255.128
        network 94.228.202.128
        broadcast 94.228.202.255
        gateway 94.228.202.129
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 94.226.216.12 94.226.217.12
        dns-search eine-domain.org
    
    # REMARK REMARK REMARK REMARK REMARK REMARK REMARK REMARK
    # REMARK REMARK REMARK REMARK REMARK REMARK REMARK REMARK
    # REMARK REMARK REMARK REMARK REMARK REMARK REMARK REMARK
    # REMARK REMARK REMARK REMARK REMARK REMARK REMARK REMARK
    /etc/network/interfaces der VM:


    [​IMG]
    >> URL ZUM BILD <<

    Netzwerkkarten im Server:

    2 x NetXtreme BCM5721 (logical name: eth0 & eth1). Aber nur eine ist an das Internet angeschlossen, die erste (also eth0).

    Code:
    root@pp:~# ifconfig
    eth0      Link encap:Ethernet  HWaddr 00:11:a5:fc:1b:db
              inet addr:[B]HOSTSERVER_IP[/B]  Bcast:94.228.202.255  Mask:255.255.255.128
              inet6 addr: 2a01:dd1:0:11:285:c1ff:fgfc:3dda/64 Scope:Global
              inet6 addr: fd85::205:c5fd:fqfy:3uda/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:347012 errors:0 dropped:0 overruns:0 frame:0
              TX packets:3781 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:22536759 (21.4 MiB)  TX bytes:1103971 (1.0 MiB)
              Interrupt:16
    
    lo        Link encap:Local Loopback
              inet addr:127.0.0.1  Mask:255.0.0.0
              inet6 addr: ::1/128 Scope:Host
              UP LOOPBACK RUNNING  MTU:16436  Metric:1
              RX packets:89 errors:0 dropped:0 overruns:0 frame:0
              TX packets:89 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:0
              RX bytes:7048 (6.8 KiB)  TX bytes:7048 (6.8 KiB)
    
    venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
              UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
              RX packets:21 errors:0 dropped:0 overruns:0 frame:0
              TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:0
              RX bytes:1323 (1.2 KiB)  TX bytes:0 (0.0 B)
    Dieser Thread konnte mir nicht helfen, habe ich aber schon gelesen.

    Hat jemand eine Anregung was da nicht korrekt funktioniert? Ich bin mit meinem Latein am Ende, ich bin nicht vom Tutorial abgewichen.

    Vielen Dank :)
    Nedodu
     
    Zuletzt bearbeitet: 4. Nov. 2012
  2. Till

    Till Administrator

    Poste mal Deine /etc/vz/vz.conf und /etc/sysctl.conf Dateien.
     
  3. nedodu

    nedodu New Member

    Dánke für die Antwort. :)

    /etc/vz/vz.conf:

    Code:
    ## Global parameters
    VIRTUOZZO=yes
    LOCKDIR=/var/lib/vz/lock
    DUMPDIR=/var/lib/vz/dump
    VE0CPUUNITS=1000
    
    ## Logging parameters
    LOGGING=yes
    LOGFILE=/var/log/vzctl.log
    LOG_LEVEL=0
    VERBOSE=0
    
    ## Disk quota parameters
    DISK_QUOTA=yes
    VZFASTBOOT=no
    
    # Disable module loading. If set, vz initscript do not load any modules.
    #MODULES_DISABLED=yes
    
    # The name of the device whose IP address will be used as source IP for CT.
    # By default automatically assigned.
    #VE_ROUTE_SRC_DEV="eth0"
    
    # Controls which interfaces to send ARP requests and modify APR tables on.
    NEIGHBOUR_DEVS=all
    
    ## Fail if there is another machine in the network with the same IP
    ERROR_ON_ARPFAIL="no"
    
    ## Template parameters
    TEMPLATE=/var/lib/vz/template
    
    ## Defaults for containers
    VE_ROOT=/var/lib/vz/root/$VEID
    VE_PRIVATE=/var/lib/vz/private/$VEID
    CONFIGFILE="basic"
    DEF_OSTEMPLATE="centos-5"
    
    ## Load vzwdog module
    VZWDOG="no"
    
    ## IPv4 iptables kernel modules
    IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length"
    
    ## Enable IPv6
    IPV6="no"
    
    ## IPv6 ip6tables kernel modules
    IP6TABLES="ip6_tables ip6table_filter ip6table_mangle ip6t_REJECT"
    
    /etc/sysctl.conf

    Ich habe an beiden Dateien nichts verändert und bin dem Tutoriel wie erwähnt strikt gefolgt. Ich verwende nur IPv4-Adressen, die Debian-Version ist up-to-date.
     
    Zuletzt bearbeitet: 5. Nov. 2012
  4. Till

    Till Administrator

    Du kannst ja mal versuchen die # vor der zeile:

    #VE_ROUTE_SRC_DEV="eth0"

    zu entfernen und neu zu starten. Vielleicht nimmt openvz bei der Wahl der netzwerkkarte das falsche device.
     
  5. nedodu

    nedodu New Member

    Habe ich gerade sofort probiert, ein guter Vorschlag hat aber leider nicht funktioniert. :(

    Wie ich hier mal kurz geschrieben habe, habe ich zu erst die IP-Adressen eingetragen aber dann wieder entfernt (also unter System > Server IP bearbeiten > IP Adressen), aber ich denke dieser kleine Mistake macht im Nachhinein ja wohl nichts. Die verwendeten IP Adressen sind mit dem Server assoziiert, habe ich getestet.

    Was mir aufgefallen ist:

    Die Netzmaske, das Gateway und die Nameserver sind in dieser Ausgabe nicht das gleiche wie in der /etc/network/interfaces des Hostsystems (siehe bitte Bild von #1). Ist das normal oder muss ich da etwas ändern? Habe mich damit nie so recht beschäftigt, weil`s immer lief ohne OpenVZ (sorry für meine Unwissenheit).

    [​IMG]
     
    Zuletzt bearbeitet: 5. Nov. 2012
  6. Till

    Till Administrator

    Wenn die IP's nicht mehr in /etc/network/interfaces auf dem hostsystem stehen, dann wurden sie korrekt entfernt.
     
  7. nedodu

    nedodu New Member

    Waren nur auskommentiert, habe diese aber jetzt komplett entfernt. Leider keine Änderung.

    Hier mal ifconfig von einem VPS auf dem System:

    Code:
    root@test:/# ifconfig
    lo        Link encap:Local Loopback
              inet addr:127.0.0.1  Mask:255.0.0.0
              inet6 addr: ::1/128 Scope:Host
              UP LOOPBACK RUNNING  MTU:16436  Metric:1
              RX packets:0 errors:0 dropped:0 overruns:0 frame:0
              TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:0
              RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
    
    venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
              inet addr:127.0.0.1  P-t-P:127.0.0.1  Bcast:0.0.0.0  Mask:255.255.255.255
              UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
              RX packets:0 errors:0 dropped:0 overruns:0 frame:0
              TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:0
              RX bytes:0 (0.0 B)  TX bytes:126 (126.0 B)
    
    venet0:0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
              inet addr:[B]IP_ADRESSE_DES_VPS[/B]  P-t-P:[B]IP_ADRESSE_DES_VPS[/B]  Bcast:0.0.0.0  Mask:255.255.255.255
              UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
     
  8. nedodu

    nedodu New Member

    Ich habe jetzt die letzten 7 Tage das OpenVZ Wiki studiert und nichts dazu gefunden, ein paar Leute befragt und keiner weiß was da nicht geht - scheint er selten zu sein dieses Problem, obwohl ich dem Tutorial gefolgt bin...
    Till, könntest du dir vielleicht die Serverkonfiguration mal ansehen (kostenpflichtig versteht sich) und je nach Möglichkeit mir bei diesem Problem helfen?
     
  9. Till

    Till Administrator

    Ich kann mir das gerne mal ansehen, hatte den Fehler aber bislang noch au keinem Server. Sowas kann auch mit dem netzwerk Routing des Rechenzentrums zusammen hängen.

    Schreib mir bitte mal über unser Ticket System projektfarm :: Support Ticket System oder per Email an support [at] projektfarm [punkt] de.
     
  10. nedodu

    nedodu New Member

    Ok das wäre glaub ich auch ganz gut, ich werde jetzt erstmal noch den Hoster anschreiben bzw. den für den ich das administriere (z. Z. mehr oder minder :)...) und mal fragen wie das mit dem Netzwerk im RZ so ist, das dauert leider ein paar Tage. Werde dann ein Ticket eröffnen wenn die keinen Plan haben was da nicht geht.


    Ich auch nicht, ich ärgere mich kaputt wenn es doch mein Fehler war und werde nochmals alles untersuchen.
     
  11. nedodu

    nedodu New Member

    Mir ist jetzt etwas aufgefallen, alles läuft wenn die Firewall von ISPConfig 3 deaktiviert ist. Wenn ich diese aktiviere, laufen die Container wie gehabt nur noch ohne Internet, deaktivieren bringt dann nichts mehr sie haben trotzdem kein Netz. Wenn ich dann das Hostsystem neu starte und die Firewall davor ausgeschaltet wurde läuft alles wunderbar. Aber das ist ja keine dauerhafte Lösung, komisch... Das ist auf 32 Bit und 64 Bit so, ein Frimwareproblem ist das nicht.
     
  12. Till

    Till Administrator

    Die Firewall darfst Du nicht anmachen auf einem openvz host da Du sonst die Verbindung zu den VM's blockierst. Eine Firewall ist ja auch nicht nötig da alle dort laufenden Dienste auch von außen erreichbar sein müssen.
     
  13. nedodu

    nedodu New Member

    Heilig's Blechle, vielen Dank für den Hinweis... ;) Stimmt ja wenn nichts weiter installiert ist braucht man die auch nicht, das kann man dann wohl als "epic fail" bezeichnen.

    Gestern habe ich herausbekommen das mir außerdem die Tigon TG3 Firmware fehlt(e), die braucht man - warum auch immer - für den OpenVZ-Betrieb. Hier steht wie man diese installiert wenn jemand auch das Problem hat: Debian Kernels and Tigon TG3 Firmware – The Novian Blog
     
  14. nedodu

    nedodu New Member

    Ich habe jetzt zwei VPS erstellt die beide Internet haben und sehr gut laufen, aber der dritte hat warum auch immer kein Internet.

    Log:

    Code:
    2012-12-09T16:42:19+0100 vzctl : CT 103 : Creating container private area (debian-6.0-x86_64)
    2012-12-09T16:42:34+0100 vzctl : CT 103 : Performing postcreate actions
    2012-12-09T16:42:34+0100 vzctl : CT 103 : CT configuration saved to /etc/vz/conf/103.conf
    2012-12-09T16:42:34+0100 vzctl : CT 103 : Container private area was created
    2012-12-09T16:42:57+0100 vzctl : CT 103 : CT configuration saved to /etc/vz/conf/103.conf
    2012-12-09T16:43:54+0100 vzctl : CT 103 : CT configuration saved to /etc/vz/conf/103.conf
    2012-12-09T16:44:39+0100 vzctl : CT 103 : CT configuration saved to /etc/vz/conf/103.conf
    2012-12-09T16:44:59+0100 vzctl : CT 103 : CT configuration saved to /etc/vz/conf/103.conf
    2012-12-09T16:45:21+0100 vzctl : CT 103 : CT configuration saved to /etc/vz/conf/103.conf
    2012-12-09T16:45:48+0100 vzctl : CT 101 : Stopping container ...
    2012-12-09T16:45:52+0100 vzctl : CT 101 : Container was stopped
    2012-12-09T16:45:52+0100 vzctl : CT 101 : Container is unmounted
    2012-12-09T16:46:14+0100 vzctl : CT 103 : Container is not running
    2012-12-09T16:46:21+0100 vzctl : CT 103 : Starting container...
    2012-12-09T16:46:21+0100 vzctl : CT 103 : Container is mounted
    2012-12-09T16:46:21+0100 vzctl : CT 103 : Adding IP address(es): [B]31.6.16.189[/B]
    2012-12-09T16:46:22+0100 vzctl : CT 103 : Setting CPU units: 1000
    2012-12-09T16:46:22+0100 vzctl : CT 103 : Container start in progress...
    2012-12-09T16:47:34+0100 vzctl : CT 103 : UB limits were set successfully
    2012-12-09T16:47:34+0100 vzctl : CT 103 : CT configuration saved to /etc/vz/conf/103.conf
    2012-12-09T16:47:53+0100 vzctl : CT 103 : Stopping container ...
    2012-12-09T16:47:57+0100 vzctl : CT 103 : Container was stopped
    2012-12-09T16:47:58+0100 vzctl : CT 103 : Container is unmounted

    Ich denke nicht das es wichtig ist aber die ersten zwei VPS haben die IP's 31.6.16.250 und 31.6.16.251. Das Hostsystem hat die IP 31.6.16.188 und die vom VPS der kein Internet hat ist 31.6.16.189 - also direkt danach. Löschen und neu anlegen bringt nichts, der VPS wurde adäquat erstellt. Leider habe ich nur 4 IP-Adressen und kann nicht testen ob es mit einer anderen gehen würde. Starten und laufen ist auch gleichzeitig kein Problem, ich denke nicht das es ein Lastproblem ist (Load 0.01).
     
    Zuletzt bearbeitet: 9. Dez. 2012
  15. nedodu

    nedodu New Member

    O.k. der erste VPS hat jetzt nach der erfolgreichen ISPConfig 3 Installation laut diesem Tutorial auch kein Internet mehr. Ich glaub das kam nach einem Neustart.

    Hat irgendjemand dafür eine Erklärung? Kann / sollte ja eigentlich nicht angehen, so etwas habe ich die letzten 5 Jahre nie erlebt...

    Im ISPConfig 3 Panel werden auch keine Feeds mehr geladen, latest news gibt es nicht. Diese wurden aber kurz nach der Installation angezeigt, es ging mal.

    PS: Das Tutorial ist top, aber /etc/init.d/openbsd-inetd restart geht nicht daher denke ich einfach mal das "openbsd" nicht mehr in den genannten Quellen verfügbar ist weil es anscheinend nicht installiert wurde. Daher habe ich das ausgelassen, brauche die Funktion aber so oder so nicht.
     
  16. Till

    Till Administrator

    Schau mal mit iptables -L ob die Firewall aus ist und kannst Du vom host aus einen externe Adresse wie google anpingen?

    Das ist ok, der restart erfolgt nur um Dienste zu deaktievieren für den Fall dass es nstalliert ist. Wenn es nicht installiert ist dann ist es also ok.
     
  17. nedodu

    nedodu New Member

    Danke für die schnelle Antwort. Die Firewall vom Hostsystem ist aus (keine vorhanden), die vom VPS hat tatsächlich Internet wenn die Firewall auch aus ist. Wenn diese ein ist kann ich mich zwar immer noch mit SSH einloggen, ein Ping auf Google.com geht aber nicht, ISPConfig ist erreichbar. Muss diese etwa von einem VPS auch ausgemacht werden?



    Code:
    root@myvps:~# iptables -L
    Chain INPUT (policy DROP)
    target     prot opt source               destination
    DROP       tcp  --  anywhere             loopback/8
    ACCEPT     all  --  anywhere             anywhere
    DROP       all  --  224.0.0.0/4          anywhere
    PUB_IN     all  --  anywhere             anywhere
    PUB_IN     all  --  anywhere             anywhere
    PUB_IN     all  --  anywhere             anywhere
    PUB_IN     all  --  anywhere             anywhere
    PUB_IN     all  --  anywhere             anywhere
    DROP       all  --  anywhere             anywhere
     
    Chain FORWARD (policy DROP)
    target     prot opt source               destination
    DROP       all  --  anywhere             anywhere
     
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    PUB_OUT    all  --  anywhere             anywhere
    PUB_OUT    all  --  anywhere             anywhere
    PUB_OUT    all  --  anywhere             anywhere
    PUB_OUT    all  --  anywhere             anywhere
    PUB_OUT    all  --  anywhere             anywhere
     
    Chain INT_IN (0 references)
    target     prot opt source               destination
    ACCEPT     icmp --  anywhere             anywhere
    DROP       all  --  anywhere             anywhere
     
    Chain INT_OUT (0 references)
    target     prot opt source               destination
    ACCEPT     icmp --  anywhere             anywhere
    ACCEPT     all  --  anywhere             anywhere
     
    Chain PAROLE (16 references)
    target     prot opt source               destination
    ACCEPT     all  --  anywhere             anywhere
     
    Chain PUB_IN (5 references)
    target     prot opt source               destination
    ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable
    ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply
    ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
    ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:36472
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:ftp-data
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:ftp
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:ssh
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:smtp
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:domain
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:www
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:pop3
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:imap2
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:https
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:imaps
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:pop3s
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:mysql
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:http-alt
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:tproxy
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:webmin
    ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
    ACCEPT     udp  --  anywhere             anywhere            udp dpt:mysql
    DROP       icmp --  anywhere             anywhere
    DROP       all  --  anywhere             anywhere
     
    Chain PUB_OUT (5 references)
    target     prot opt source               destination
    ACCEPT     all  --  anywhere             anywhere
     
    Chain fail2ban-dovecot-pop3imap (0 references)
    target     prot opt source               destination
    RETURN     all  --  anywhere             anywhere
     
    Chain fail2ban-pureftpd (0 references)
    target     prot opt source               destination
    RETURN     all  --  anywhere             anywhere
     
    Chain fail2ban-ssh (0 references)
    target     prot opt source               destination
    RETURN     all  --  anywhere             anywhere
    root@myvps:~# 

    Ein anderer VPS, Nr. 3 von 3 hat dauerhaft kein Internet (auch Debian) und auf diesem ist nichts installiert, löschen und neu erstellen ändert daran auch nichts. Nachtrag: Ach habe ich ja bereits erwähnt, sorry.
     
  18. Till

    Till Administrator

    Openvz ist ja keine Vollvirtualisierung, es läuft ja nur ein Kernel der die Prozesse des Hostsystems sowie der VM's managed. Es kann durchaus sein dass sich die Firewall in der VM auf den Host bzw. andere VM's auswirkt. Müsstest Du ggf. mal auf einer OpenVZ Mailingliste nachfragen die Dir das mehr im Detail benatworten können.
     
  19. nedodu

    nedodu New Member

    Das Hostsystem ist CentOS 6.3 vielleicht schneidet sich das deshalb ja irgendwie irgendwo, ich frage mal auf der Users-Mailingliste von denen nach, danke! :)

    Ich brauche den vServer jetzt leider dringend produktiv, die Frage mag naiv klingen aber kann ich nicht einfach BIND, Dovecot, DNS, Mail, phpMyAdmin und Co. alles außer nginx, MySQL und FTP deaktivieren (also Dienste stoppen) und dann halt so verwenden oder ist das Sicherheitsrisiko dann immer noch so groß? Taugt deiner Meinung nach CentOS als Hostserver für OpenVZ?
     
  20. Till

    Till Administrator

    Vserver nutzt man an sich ja dafürum das risiko aufzuteilen, also dass nur eine bestimmte Anzahl an Kunden von einem Hack betroffen ist. Die meisten Atacken passieren heuet über websites, aslo über die Scripte die Deine Kunden in Ihren webspaces betreiben. Du kannst auch sichere Server ohne Virtualisierung betreiben, d.h. openvz ist kein "must have", ich nutze es z.B. nur zum Vereinfachen von Backups.

    Soweit ich weißwird OpenVZ unter Centos entwickelt oder es gibt zumindest die neuesten Kernel für Centos, daher sollte es wohl gehen. Ich nutze es persönlich aber nur unter Debian, daher kann ich zu Centos und OpenVZ keine Aussagen machen.
     

Diese Seite empfehlen