pfSense на hetzner. Not allowed MAC addresses.
-
Здравствуйте. Срочно нужна помощь.
У нас есть выделенный сервер, расположенный на hetzner. На сервере развёрнут гипервизор Citrix Xen. В самом Xen-е развёрнуты виртуалки. На одной из этих VM установлен pfSense, который является маршрутизатором и фаерволом для всех остальных VM. У Xen-a и pfSense белые адреса, купленные у hetzner. У виртуалок за pfSense своя LAN c адресами 172.16.56.0/27.
Почти четыре года всё прекрасно работало, и вот от поддержки hetzner приходит письмо следующего содержания:
Dear Sir or Madam,We have noticed that you have been using other MAC addresses in addition to
the allowed at your Robot account.Server SB87 #584326 (148.251.77.249):
Allowed MAC addresses:
0C:C4:7A:00:36:EA
00:50:56:00:7F:43
00:50:56:00:2C:A1
00:50:56:00:73:84not allowed MAC addresses:
4a:25:ae:dc:2e:bb b6:1c:37:60:95:be d2:f3:93:10:9f:f9
Yours faithfully
Your Hetzner Team
У hetzner такая политика, что «чужие» MAC-адреса не должны попадать на порты их коммутаторов. Но вот кусок лога, который прислали их спецы (с моими, соответственно, IP-и МАС-адресами):
Jan 23 16:14:17 ff:ff:ff:ff:ff:ff 4a:25:ae:dc:2e:bb 0806 (1 packets)
Jan 23 16:14:17 ff:ff:ff:ff:ff:ff d2:f3:93:10:9f:f9 0806 (1 packets)
Jan 23 16:14:20 d2:f3:93:10:9f:f9 -> ff:ff:ff:ff:ff:ff udp 172.16.56.15 255.255.255.255 57252 1947 (1 packets)
Jan 23 16:14:24 d2:f3:93:10:9f:f9 -> ff:ff:ff:ff:ff:ff udp 172.16.56.15 172.16.56.31 57252 1947 (1 packets)
Jan 23 16:14:47 4a:25:ae:dc:2e:bb -> ff:ff:ff:ff:ff:ff udp 172.16.56.10 255.255.255.255 61268 1947 (1 packets)
Jan 23 16:14:51 4a:25:ae:dc:2e:bb -> ff:ff:ff:ff:ff:ff udp 172.16.56.10 172.16.56.31 61268 1947 (1 packets)
Jan 23 16:14:59 d2:f3:93:10:9f:f9 -> ff:ff:ff:ff:ff:ff udp 172.16.56.15 255.255.255.255 57252 1947 (1 packets)
Т.е. pfSense каким-то образом пропускает эти пакеты наружу. Уже голову сломал, как это исправить? Может кто-то подскажет, в какую сторону мне копать? В интернетах ответа не нашёл. (( Любые логи / конфиги выложу, если понадобятся. Заранее спасибо.
-
Добрый.
По фразе "We have noticed that you have been using other MAC addresses in addition to
the allowed at your Robot account" в гугле:
В самом низу есть решение:
https://unix.stackexchange.com/questions/509998/hetzner-reported-not-allowed-mac-addresses-in-subnetДля PVE на будущее )
https://forum.proxmox.com/threads/use-one-main-mac-address-of-the-server-for-all-ip-machines.53656/Зы. Оффтоп:
На сервере развёрнут гипервизор Citrix Xen.
Горе-горькое (
Если уж так любо это "чудо" - смотрите на Xen Orchestra. Но руками собирать прийдется.
У Хетцнера же Proxmox прямо из коробки можно развернуть, к-ый гораздо удобнее и интереснее почти заброшенного поделия.Зы2. Если надумаете перейти на PVE - пишите. Есть правильный вариант установки на ZFS, а не тот, что Хетцнер предлагает здесь https://community.hetzner.com/tutorials/install-and-configure-proxmox_ve?title=Proxmox_VE/en
-
Здравствуйте! Спасибо, что откликнулись! На Proxmox три сервера собрано, кроме мелких проблем пока не знал Лиха, и, кстати, не думал, что так плохо отзовётесь о Xen (Цитрус). Вроде как зарекомендовавший себя продукт, годами настояный. Мне так же говорили и о Proxmox когда-то :)))). Но речь не о том. Сейчас вышлю всё необходимое.
-
Так понятней? -
это хост (Xen) -
это pfSense -
и, кстати, не думал, что так плохо отзовётесь о Xen (Цитрус)
Citrix отдали Xen в свободное плаванье (?) Оставили они себе Citrix Virtual Apps и Desktops и тому подобное.
Неспроста это ) Для меня лично Xen - всё.В самом низу есть решение:
https://unix.stackexchange.com/questions/509998/hetzner-reported-not-allowed-mac-addresses-in-subnetПробуйте.
-
Оф. гайд PVE https://pve.proxmox.com/pve-docs/pve-admin-guide.html
3.3.5. Routed Configuration
You can avoid the problem by “routing” all traffic via a single interface. This makes sure that all network packets use the same MAC address.На 146% ваш случай и решение дано. Переходите на
темную сторонуPVE. Не пожалеете. Но только на ZFS )
Зы. У них еще и классный почтовый шлюз есть - PMG.