Anfängerfragen

H

holger-65

New Member
May 6, 2023
4
0
1
Hallo zusammen,

ich habe vor ein paar Tagen mein MiniPC mit 6NIC’s bekommen und tue mich (Aufgrund meines Alters) etwas schwer das alles zu kapieren/überblicken. Evtl. hat jemand ein Tipp für mich, was ich mir auf jeden Fall mal durchlesen sollte, oder sagt, was ich bisher habe ist vollkommener Quatsch.

Mein Plan war eigentlich WAN->Fritzbox->MiniPC mit Proxmox [lan0] – darauf OpnSense mit Ausgabe auf lan1-5 (evtl. auch auf einem Port noch ein kleiner Switch und stattdessen z.b. lan5 als GastLan und/oder lan4 als VPN, oder mal schauen…)

Nach anfänglichen Problemen mit der Installation von Proxmox (kein Bild/Monitor schaltet ab) habe ich den Umweg über Debian gewählt und anschließend Proxmox nach installiert.



Beim 1. Versuch, hatte ich 5 LAN’s per Passthroug an OpnSense weitergeleitet

Aktuell gehe ich über vmbr‘s - LinuxBridges

Geht beides, aber gibt es etwas zu bevorzugen, oder gravierende Nachteile bei xy?



Aktuell geht

lan0 (10.11.12.2) zur Fritzbox (damit ich aus dem 192.168.1.* Netz auf Proxmox zugreifen kann.

lan1 ist das aktuelle Netz hinter opnsense(192.168.1.*)

lan6 geht auch zur Fritzbox (das WAN für opensense)

ich vermute mal hier ist irgendwas falsch, auch wenn es so funktioniert.


Immer diese Anfängerfragen, und dann auch noch bei dem Wetter, aber die fülle was man lesen kann erschägt einen (mich) :)
 
holger-65 said:
Aktuell geht

lan0 (10.11.12.2) zur Fritzbox (damit ich aus dem 192.168.1.* Netz auf Proxmox zugreifen kann.

lan1 ist das aktuelle Netz hinter opnsense(192.168.1.*)

lan6 geht auch zur Fritzbox (das WAN für opensense)

ich vermute mal hier ist irgendwas falsch, auch wenn es so funktioniert.
Click to expand...
Dein lan0 verstehe ich nicht ganz. Warum gibst du nicht PVE einfach eine IP im 192.168.1.0/24 subnetz für das Management und teilst PVE dann deine OPNsense VM IP (vermutlich 192.168.1.1) als Gateway und DNS zu? Dann wäre dein PVE webUI/SSH wenigstens auch durch die OPNsense geschützt und du könntest direkt vom LAN aus dein PVE managen, selbst wenn die OPNsense oder Fritzbox mal nicht laufen würden.

Außerdem kannst du dich mal mit VLANs beschäftigen. Dann bräuchtest du nicht einen Unmanaged Switch für jedes Subnetz sondern könntest einen einzelnen Managed Switch betreiben der alle Subnetze bedienen kann. Wenn der managed Swich mit tagged VLAN umgehen kann, dann üblicherweise auch mit LACP-Bonds. Dann könnte man z.B. 4 NICs zu einem LACP-Bond bündeln und über diesen dann alle VLANs zum Switch laufen lassen, was dann 4-fache Bandbreite and etwas mehr Redundanz erlauben würde.

Was ich hier mache ist Fritzbox mit 192.168.0.1/24 Subnetz. OPNsense VM die zwischen verschiedensten (VLAN getrennten) Subnetzen routet. 192.168.43.0/24 wäre z.B. mein LAN, 192.168.42.0/24 meine DMZ und 192.168.44.0/24 für Gäste und 192.168.50.0/24 für IoT. Mein PVE Server hat dann nur eine IP 192.168.43.30 im LAN Subnetz mit 192.168.43.1 als Gateway und DNS-Server was meine OPNsense VM ist. Für jedes Subnetz hat mein PVE Server dann eine eigene Bridge ohne IP, damit ich VMs/LXCs den verschiedensten Subnetzen zuordnen kann. Und die OPNsense VM hat dann eine Virtio NIC an jeder der Bridges, damit sie mit voller Geschwindigkeit (typisch so 20 Gbit...nur dadruch limitiert, wie schnell deine CPU die Pakete verarbeiten kann) zwischen den Netzen routen kann. Auf die 1/2.5 Gbit wirst du ja erst gedrosselt, sobald die Pakete über die NIC den Server verlassen müssen.
 
Warum gibst du nicht PVE einfach eine IP im 192.168.1.0/24 subnetz für das Management und teilst PVE dann deine OPNsense VM IP (vermutlich 192.168.1.1) als Gateway und DNS zu?
Click to expand...
Danke erstmal, hört sich gut an und ist hoffentlich auch nicht allzu schwer.
Nach diversen try und vielen errors, geht zumindest die Firewall wieder,
komme allerdings nicht mehr aufs PVE. (nur noch direkt auf die Console)

haste noch ein Tip, was ich ändern müsste, damit es wieder läuft?
etc/host habe ich auf 192.168.1.2 geändert,
etc/interfaces habe ich einiges versucht, aktuell:
iface vmbr0 inet static
address 192.168.1.2/24
gateway 192.168.1.1
bridge-stp off
bridge-fd 0

das Thema VLAN schiebe ich glaube ich noch etwas nach hinten, primär sollte proxmox als das dienen, wofür er gemacht ist, das mit der firewall war/ist nur ein goodie und sollte erstmal halbwegs laufen, bevor ich nochmal alles neu machen muss
 
1683398822443.png

auto lo
iface lo inet loopback

auto enp2s0
iface enp2s0 inet static
address 192.168.0.2/24
gateway 192.168.0.1
dns-nameservers 192.168.0.1

auto enp3s0
iface enp3s0 inet manual
auto enp4s0
iface enp4s0 inet manual
auto enp5s0
iface enp5s0 inet manual
auto enp6s0
iface enp6s0 inet manual

iface enp7s0 inet manual

auto vmbr0
iface vmbr0 inet manual
bridge-ports enp3s0 enp4s0 enp5s0 enp6s0
bridge-stp off
bridge-fd 0


so siehts bei mir zur Zeit aus, enp7 ist per Passthroug eingbunden und bekommt die IP von der Fritzbox zugewiesen
auf enp3-enp6 komme ich auf die firewall bzw. ins internet, aber nicht auf die PVE-Oberfläche
über enp2s0 komme ich ans PVE, aber nicht auf die Firewall bzw. ins Internet.
die Firewall liegt auf 192.168.0.1.

irgendwie könnte das besser laufen z.b. über enp2s0-enp6s0 komme ich ins internet und aufs PVE
 
Also erst einmal ist das Bridgen von enp3s0-enp6s0 eine ziemliche Verschwendung. Damit machst du die 4 NICs zu einem dummen 4-Port Switch.
Und dann vergibt man die IP+gateway üblicherweise auf der Bridge und nicht auf der NIC. Also das...
Code: 
iface vmbr0 inet static
address 192.168.1.2/24
gateway 192.168.1.1
...war schon korrekt. Musst du dann natürlich noch eine NIC an der vmbr0 haben die dann zu einem Switch führt, an dem dann dein Rechner hängt, mit dem du auf das PVE webUI willst.
 
ich glaube das mit den Netzwerken ist nicht meine Welt, was ich mit der Firewall später mal mache, kann ich noch nicht sagen, mir geht es erstmal um die "richtige" Konfiguration, damit ich von meinen loaklen Rechner sowohl aufs PVE und ins Internet komme.

Das geht bei mir immer nur dann, wenn ich mit einem NIC(enp7) zur Fritzbox gehe und mit 2 NIC's zum Switch (1x um an PVE zu kommen und 1x fürs INET)
Gefühlt würde ich sagen, das ist falsch und ich müsste nur 1 statt 2 Ports belegen, aber das klappt leider irgendwie nicht

auto enp2s0
iface enp2s0 inet manual
auto enp3s0
iface enp3s0 inet manual
auto enp4s0
iface enp4s0 inet manual
auto enp5s0
iface enp5s0 inet manual
auto enp6s0
iface enp6s0 inet manual

iface enp7s0 inet manual

auto vmbr9
iface vmbr9 inet static
bridge-ports enp2s0
address 192.168.0.2/24
gateway 192.168.0.1
dns-nameservers 192.168.0.1
bridge-stp off
bridge-fd 0

auto vmbr0
iface vmbr0 inet manual
bridge-ports enp3s0 enp4s0 enp5s0 enp6s0
bridge-stp off
bridge-fd 0
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back