V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
specimen
V2EX  ›  NAS

技术问题, pve 下端口转发不生效

  •  
  •   specimen · 313 天前 · 2629 次点击
    这是一个创建于 313 天前的主题,其中的信息可能已经有所发展或是发生改变。
    家里光猫桥接,一级路由是小米拨号,做了端口转发

    家里有一台 nas 主机跑了黑群晖,一台 allinone pve ,上面跑了 openwrt 、群晖、jellyfin 啥的

    现在的问题

    一是通过公网 ipv6 ,设置端口转发给 nas 主机访问正常,但是转发给 pve 上面的虚拟机都访问不了( ip 和端口设置检查没问题)

    二是通过 pve 下安装 ddnsgo 来配置,pve 下获取的 ip 貌似不是公网 ip ,只有在 nas 主机下获取的 ip 才是正确的
    29 条回复    2024-12-06 20:31:50 +08:00
    hutng
        1
    hutng  
       313 天前
    pve 接小米路由器的 lan 口?小米能 ping 它们通吗?一级一级排查吧。

    ddnsgo ,看一下获取 IP 方式?我这里是“通过接口获取”,目前没有问题
    specimen
        2
    specimen  
    OP
       313 天前
    @hutng 对,接了 lan 口,pve 下跑的 frp 是可以内网穿透的,就是端口映射不行
    weiyan
        3
    weiyan  
       313 天前 via iPhone
    看起来也许是没有开 pve 里网口的混杂模式?可以试试开一下混杂模式
    skyqqcc581
        4
    skyqqcc581  
       313 天前 via iPhone
    是不是用了旁路由?这样的话 PVE 开的机器不要用 openwrt 的网关,用原路由的网关就可以了
    specimen
        5
    specimen  
    OP
       313 天前
    @skyqqcc581 是旁路由没错,pve 网关不是设置旁路由而是主路由
    specimen
        6
    specimen  
    OP
       312 天前
    @weiyan 找了半天没看到怎么开,求个指引
    weiyan
        7
    weiyan  
       312 天前 via iPhone
    @specimen 看看 pve 里虚拟交换机是否设置为了混杂模式?
    specimen
        8
    specimen  
    OP
       312 天前
    @weiyan 请问下需要怎么查看和设置,我谷歌了一下午没研究透
    kirile
        9
    kirile  
       312 天前
    我跟你类似的架构 也有 nas 和 pve , 不过我网关是 pve 上的 ROS 。ddnsgo 有根据接口获取和直接网卡获取,感觉跟交换机混杂模式没啥关系。转发给 nas 可以,你试试转发给 pve 上的服务(比如 pve 自己的 8006 端口),如果这一步可以,那说明是 pve 的桥接网口那里的问题,看看 vmbr0 的 CIDR 和网关设置
    kirile
        10
    kirile  
       312 天前
    如果转发给 pve 的 8006 都不行,那说明是接线问题,一般要接 pve 的管理口
    4s4IYOLfT1s3InRR
        11
    4s4IYOLfT1s3InRR  
       312 天前   ❤️ 1
    4s4IYOLfT1s3InRR
        12
    4s4IYOLfT1s3InRR  
       312 天前
    ipv6 用不着端口转发,slaac 分配直接用跳板机的 v6 公网地址,所有服务用这个跳板机的公网 ip (不仅局限于 v6 ,v4 也可以)跳到内网
    specimen
        13
    specimen  
    OP
       311 天前
    @kirile #9 试了下,8006 的转发确实 ok ,看起来就是其他用了 vmbr0 的端口的服务会有问题
    specimen
        14
    specimen  
    OP
       311 天前
    @oldfriend #12 目前看 pve 拿到的 ipv6 地址,是可以直接访问 pve 本身 8006 端口的,但是其他端口的服务不行,是不是就意味着端口转发不用在主路由设置,要在 pve 上做流量的转发么?
    specimen
        15
    specimen  
    OP
       311 天前
    @oldfriend #11 根据这个指引完成配置了,感谢大佬
    4s4IYOLfT1s3InRR
        16
    4s4IYOLfT1s3InRR  
       311 天前
    @specimen 不不不,ipv6 我们一般是 slaac 分配,每一个 mac 都会有一个公网,pve 的是 pve 自己的,虚拟机又是一个公网,这就是跳板机的意义,至于为什么还做了隧道机,内网指向 v4 方便好记呗(为什么不用 dhcpv6 不要考虑,就直接不用就行了,安卓只支持无状态获取 v6 地址)
    4s4IYOLfT1s3InRR
        17
    4s4IYOLfT1s3InRR  
       311 天前
    不加跳板机你就要每个公网虚拟机或者 lxc 容器都要加一个 ddns ,可以但太麻烦,而且跳板机集中管理证书配置也省事
    4s4IYOLfT1s3InRR
        18
    4s4IYOLfT1s3InRR  
       311 天前
    @oldfriend v4 不需要,只有 v6 是这样
    4s4IYOLfT1s3InRR
        19
    4s4IYOLfT1s3InRR  
       311 天前
    虽然说 v4 可以直接路由器转发,可以,但是指向跳板机可以省下 ssl 证书配置的步骤,省事,当然不加证书也能用
    specimen
        20
    specimen  
    OP
       310 天前
    @oldfriend 是的,配置了证书,用起来很舒服
    ixuefeng
        21
    ixuefeng  
       170 天前 via iPhone
    我也是 pve+openwrt 环境,用不同端口区分了不同应用,遇到和楼主类似的问题,稍有区别:
    1 、DDNS 用的 dnspod ,在群晖 ddns 里设置的,用域名外网访问群晖都正常;
    2 、用域名访问 pve 后台提示无法与服务器建立安全连接,把域名用 ip 替代后就能正常访问;
    3 、无论用域名还是 ip 访问内网里的 openwrt ,还是 AC 等,浏览器都提示无法与服务器建立安全连接;
    4 、之前用 openwrt 下的 ddns 功能时一切都正常,改用自己域名后就不正常了
    求助各位,尤其 @oldfriend ,@weiyan ,@specimen
    weiyan
        22
    weiyan  
       170 天前
    @ixuefeng 第三点里你说的用 ip 访问内网设备,用的是内网 IP 还是公网 IP ?
    以及第二点里这个 ip 是内网 ip 还是公网 IP

    有可能是因为 ddns 把域名同时解析到了群晖的 ipv6 和 ipv4 地址上。所以你访问群晖正常,同时无法访问其他设备(因为默认走 ipv6 ,你用这个域名只能访问到群晖)
    ixuefeng
        23
    ixuefeng  
       170 天前 via iPhone
    @weiyan 指的公网 ip
    群晖和域名 A 记录解析我看都正确显示网关外网 ip 地址了
    怎么解决呢?
    weiyan
        24
    weiyan  
       170 天前
    @ixuefeng AAA 记录呢?如果有 AAA 记录说明是解析到群晖的 ipv6 地址上了。

    我并没有很清楚地了解你说的第四条,你的意思是之前用 openwrt 的 ddns 时,是可以在内网通过公网 ip+端口访问内网的设备,然后换了自己的域名后,就无法在内网通过公网 ip+端口访问内网的设备?
    ixuefeng
        25
    ixuefeng  
       170 天前 via iPhone
    @weiyan 我只添加了 A 记录
    第 4 条是指,之前用 openwrt 自带 ddns 时,可以在外网用域名(当时用的其他免费动态域名)访问内网的设备,后来因为自带 ddns 使用不稳定,就想起来改用群晖自带的 ddns 了,同时看介绍说群晖默认推荐 dnspod ,就照办了,使用了自己的域名
    ixuefeng
        26
    ixuefeng  
       170 天前 via iPhone
    我的问题不是在内网使用公网域名/ip 访问内网设备的回流问题,这个问题不存在。
    ixuefeng
        27
    ixuefeng  
       169 天前
    知道我的问题所在了,是 http 的原始访问链接自动变成 https 了,然后访问就被拒绝了

    不知道为什么会自动添加?我自己的域名,只有 nas.xxx.com (群晖 ddns 里填写的这个)这个域名会自动变成 https 访问,其他子域名都不会自动改变,不知道啥原因?
    ixuefeng
        28
    ixuefeng  
       169 天前
    弄好了,把内网各应用都配置好 https 访问和证书就好了,打扰各位了。
    KalGkFilt
        29
    KalGkFilt  
       16 天前
    @kirile 大佬,我遇到了一模一样的问题,ddns 到 pve 的 8006 端口可以,但 PVE 下其他的服务不行,请问 PVE 的桥接网口那里 vmbr0 的 CIDR 和网关设置,是要怎么设置呢?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5476 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 09:02 · PVG 17:02 · LAX 01:02 · JFK 04:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.