Hallo zusammen
schon seit einiger Zeit beobachte ich an unserem DHCP Server, der als Gast auf Proxmox läuft, ein "Leck".
Folgendes Szenario:
Switchport VLAN-Trunk -> eth0 -> bond0 -> vmbr0 (vlan aware) -> VM (no vLAN TAG)
Ich hatte erst die Vermutung, das ein falsch gestecktes Kabel oder ein falsch konfigurierter Port ein vLAN mit dem native vLAN des Switches verbindet, aber dann würde ich nur Requests aus dem einen vLAN sehen. Ich sehe aber requests aus allen vLANs.
Ein solcher Request kommt dann doppelt an:
Der NAK erreicht natürlich den Host nicht, weil es ein anderes VLAN ist, das habe ich auch bereits mit tcpdump/Wireshark überprüft.
Ich kann auch aus einem vLAN heraus absolut nichts im native vLAN oder anderen vLANs erreichen, auch wenn ich mir eine passende IP Adresse verpasse. Switchseitig scheinen die vLANs daher dicht zu sein.
Das gilt auch für virtuelle Maschinen auf Proxmox, z.B. in der DMZ etc. Sobald ich ein vLAN Tag in der Guest Konfig eintrage landet der Traffic im korrekten vLAN.
Für mich bleiben da 3 Möglichkeiten:
1.) Die Firewall macht irgendwas blödes (Firmware BUG) (neueste Firmware ist installiert)
2.) Proxmox's Netzwerk Stack geht nicht (immer) souverän mit den vLAN Tags um
3.) Ich hab irgendwo einen blöden Bock geschossen (bisher konnte ich nichts finden)
Das Netz läuft an sich Problemlos, nur dieses Phänomen lässt mir keine Ruhe.
Hat jemand eine Idee wie man das tracken und/oder abstellen kann?
schon seit einiger Zeit beobachte ich an unserem DHCP Server, der als Gast auf Proxmox läuft, ein "Leck".
Folgendes Szenario:
- Wir haben viele verschiedene vLANs für die verschiedenen Bereiche, Server, DMZ, Standorte etc.
- Alle vLANs laufen auf unsere Zentrale Firewall / Router, so das Kommunikation zwischen den vLANs dort geroutet und gefiltert wird, je nach Firewall Regelwerk.
- Die Firewall stellt für jedes vLAN ein DHCP Relay zur Verfügung, so das jeder Request korrekt an den DHCP weitergeleitet wird
- Der DHCP erkennt dann aus welchem vLAN der Request stammt (DHCP REQUEST via x.x.x.x) und bedient das Netz mit dem richtigen Adressbereich
- An unserem DHCP Server sehe ich in den Logs regelmäßig DHCP-Requests aus den verschiedenen vLANs "via eth0" statt "via <Relay-IP>", die der Server dann natürlich mit "wrong network" und "DHCPNAK" beantwortet.
Switchport VLAN-Trunk -> eth0 -> bond0 -> vmbr0 (vlan aware) -> VM (no vLAN TAG)
Ich hatte erst die Vermutung, das ein falsch gestecktes Kabel oder ein falsch konfigurierter Port ein vLAN mit dem native vLAN des Switches verbindet, aber dann würde ich nur Requests aus dem einen vLAN sehen. Ich sehe aber requests aus allen vLANs.
Ein solcher Request kommt dann doppelt an:
Code:
Jun 12 08:10:22 dhcp-master dhcpd[9406]: DHCPREQUEST for 192.168.3.106 from xx:xx:xx:xx:xx:xx via eth0: wrong network.
Jun 12 08:10:22 dhcp-master dhcpd[9406]: DHCPNAK on 192.168.3.106 to xx:xx:xx:xx:xx:xx via eth0
Jun 12 08:10:22 dhcp-master dhcpd[9406]: DHCPREQUEST for 192.168.3.106 from xx:xx:xx:xx:xx:xx via 192.168.3.254
Jun 12 08:10:22 dhcp-master dhcpd[9406]: DHCPACK to 192.168.3.106 (xx:xx:xx:xx:xx:xx) via 192.168.3.254
Der NAK erreicht natürlich den Host nicht, weil es ein anderes VLAN ist, das habe ich auch bereits mit tcpdump/Wireshark überprüft.
Ich kann auch aus einem vLAN heraus absolut nichts im native vLAN oder anderen vLANs erreichen, auch wenn ich mir eine passende IP Adresse verpasse. Switchseitig scheinen die vLANs daher dicht zu sein.
Das gilt auch für virtuelle Maschinen auf Proxmox, z.B. in der DMZ etc. Sobald ich ein vLAN Tag in der Guest Konfig eintrage landet der Traffic im korrekten vLAN.
Für mich bleiben da 3 Möglichkeiten:
1.) Die Firewall macht irgendwas blödes (Firmware BUG) (neueste Firmware ist installiert)
2.) Proxmox's Netzwerk Stack geht nicht (immer) souverän mit den vLAN Tags um
3.) Ich hab irgendwo einen blöden Bock geschossen (bisher konnte ich nichts finden)
Das Netz läuft an sich Problemlos, nur dieses Phänomen lässt mir keine Ruhe.
Hat jemand eine Idee wie man das tracken und/oder abstellen kann?