Proxmox in neuem Kernel 2.6.32-37 plötzlich mit Fehlfunktionen / IPv6 fehlt / pve-firewall startet nicht

Proxmox - PVE-FirewallWarum mit dem Kernel-Update auf 2.6.32-37 plötzlich alles anders funktioniert und bei alten Einstellungen der Host in einen Hacker-Host verwandelt wird, ist uns noch nicht vollständig klar, aber wir kommen schrittweise dahinter! Es passierten jedoch plötzlich mehrere Dinge, die so gar nicht erwartet werden konnten!

  • Fehlermeldung im Log: kernel: ipv6: Unknown parameter `disabled‘
  • IPv6 startet nicht mehr
  • offensichtlicher Bug: Wenn IPv6 nicht läuft, startet PVE-Firewall nicht
  • unqualifizierter Traffic via bridged Netzwerkkarten via MAC

Alles zusammen führt dann zum absoluten GAU, für die wir jetzt schon ein festgestellt haben, daß Einstellungen, die im alten Kernel so gesetzt werden mußten, plötzlich wenn diese gesetzt sind, den Betrieb stören – Wie diese Fehler abgestellt werden können, wird im folgenden Wiki-Artikel beschrieben und kann sicherlich anderen Admins helfen, wenn die gleiche Probleme bekommen: wiki.1awww.com/wiki/Proxmox-Error_kernel:_ipv6:_Unknown_parameter_%60disabled%27

Auch interessant für Admins, die Proxmox für Virtualisierung einsetzen:

Analyse des Ausfalls – Ein Grund dafür: PVE-Firewall blockte alle Verbindungen in/out

Host war ausgefallen und OVH läßt uns hängen

8 Gedanken zu „Proxmox in neuem Kernel 2.6.32-37 plötzlich mit Fehlfunktionen / IPv6 fehlt / pve-firewall startet nicht“

  1. Inzwischen haben wir von den Entwicklern von Proxmox erfahren, daß die Parametrierungen tatsächlich geändert worden sind und diese sind abhängig vom RetHat-Kernel, aufgrund des openvz Supports:

    pve-kernel 2.6.32 = rhel6 kernel
    pve-kernel 3.10 = rhel7 kernel

  2. Eine weitere Information von den Entwicklern von Proxmox war zwischenzeitlich eingegangen:

    This local.conf is not coming from proxmox.
    So, somebody have writen it manually.

    (But I think we should add a check in pve-firewall if ipv6 is enabled or not )

    Die Einstellungen für local.conf wurden vorher im Github für Proxmox beschrieben, warum auch immer:

    # Until the 2015-09-26 – until the big crash:
    #https://github.com/outime/ipv6-dhclient-script/issues/1

    Lesen Sie dazu unbedingt unseren Workarround in unserem Wiki unter:

    wiki.1awww.com/wiki/Proxmox-Error_kernel:_ipv6:_Unknown_parameter_%60disabled%27

  3. Ein weiterer Kommentar eines Mitgliedes, des pve-devel bestätigt nun auch auch unsere Probleme im Grub-Loader, im Problemfall wieder auf die vorherige Kernel-Version zurück zu kommen, hier der Kommentar von M.R. – wir haben heute, den 20.05.2015, 19:43 Uhr folgende Mail erhalten:

    Hi all,

    I might have found the cause for the sometimes failing grub install. As
    I updated the grub packages today I discovered very extended install
    time for the grub package which was related to the post-install script.
    The script ran for several minuttes and while running consuming a full
    core 100%.

    The cause for this was strictly related to the package os-prober which
    is used to find additional OS’s and when you have attached a big
    number of iSCSI LUNs for KVM and/or CT storage this means that
    os-prober will scan all available connected LUNs for additional OS’s.

    Could this be the cause for failing grub install?

    As a side note os-prober is completely useless on a bare-metal
    installer and I think installing proxmox on top of Debian should remove
    this package too?

  4. ein weiteres Mitglied (E.M.) in pve-devel schreibt:

    Yes os-prober is useless on a server (I have yet to meet a dual boot
    server and similar problems have been reported in Debian:
    https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=701814

    os-prober has priority extra ( apt-cache show os-prober | grep Priority
    ) so it is dafe to remove it but grub-common recommends it, which is why
    it was installed in the first place.

    IMHO the proper way to fix this, would be to convince the debian grub
    maintainers to move the dependency in the grub-common package from
    ‚Recommends‘ to ‚Suggest‘
    and maybe add the os-prober as a dependency of the ‚desktop‘ task of the
    debian installer so that Debian desktop users have it installed.

  5. jetzt bestätigt ein weiteres pve-devel – Mitglied (W.B), daß IPv6 in Verbindung mit einem Kernel-Problem, dazu führt, daß unqualifizierter Traffic über falsche Schnittstellen bei Proxmox gesendet wurde! Genau dies ist passiert, was dann zur Einstufung des Hosts als angeblicher „Hacker-Host“, geführt hat! Damit sind sämtliche Erkenntnisse des Hosts-Ausfalles, beschrieben in unserem Artikel: https://blog.1awww.com/2015/05/03/host-war-ausgefallen-und-ovh-laesst-uns-haengen/ die wir beschrieben haben, nun durch Statements von Entwicklern und Experten im pve-devel-Team bestätigt worden! Hier der Original-Text der Mail, ohne die angefügten Patches:

    Add a workaround for an ipv6 multicast kernel bug where ipv6 multicast
    interfaces are rendered inert when another socket gets bound after them.
    This problem got fixed somewhere between 3.10 and 3.16, so this patch
    can be removed when we upgrade the kernel accordingly.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.