Container bekommt keine Verbindung mit gesetztem VLAN-Tag

[BurningSquirrel-de]

Hallo,

Aufbau: Ich habe 3 physische Netzwerkschnittstellen (NIC 1 und 3 sind baugleich) in meinem bare-metall verbaut, welche die VLAN IDs 1-11 bedienen.

- Die erste NIC ist die Proxmox Konfig NIC und wurde bei der Installation verwendet (vmbr0 + vlan-aware + bridge-vids 1-2). Diese ist per Kabel mit dem Switch verbunden, der Port ist im Switch auf ID 1 gestellt und ID 1 wird untagged vergeben.​

​

- Die zweite NIC habe ich als vmbr1 + vlan-aware + bridge-vids 3-6 eingerichtet. Kabel --> Port am Switch ist untagged ID 3 und tagged ID 4 und 5.​

​

- Die dritte NIC habe ich als vmbr2 + vlan-aware + bridge-vids 7-4094 eingerichtet. Kabel --> Port am Switch ist untagged ID 7 und tagged ID 8 und 11.​

Jede ID also jedes VLAN hat einen kleinen Alpine Container bekommen, aus dem ich die jeweiligen Netz anpinge (Rule testing in der Firewall, etc.)

Folgende Unregelmäßigkeit ist mir aufgefallen.

Sobald ich in den Netzwerkeinstellungen des Containers den VLAN-Tag der untagged IDs (3, 7) einfüge, bekommen die keine Netzverbindung, kurioserweise ist ID 1 von diesem Problem vollständig ausgenommen. Es macht keinen Unterschied, ob ich in den Netzwerkeinstellungen des Host in den "bridge-vids" die untagged IDs mit in die Einstellung rein nehme oder nicht (also ob ich für die zweite NIC bridge-vids 3-6 oder bridge-vids 4-6 schreibe). Lasse ich die VLAN-Tag Option in der Einstellung des jeweiligen Containers leer, dann bekomme ich eine Netzverbindung.

Kann das jemand auflösen?

Beste Grüße,
Fabian

 

[dcsapak]

was heißt konkret :

bekommen die keine Netzverbindung,

?

die sache ist wahrscheiinlich dass wenn du am switch die ports mit vlan 3/7 als 'untagged' markierst sie am pve falsch ankommt.
wenn eine vmbr vlan-aware ist, ist die default pvid immer '1', dh. wenn ein untagged paket reinkommt, wird es mit vlan '1' getaggt

sollte man mit 'bridge-pvid X' in der /etc/network/interfaces einstellen können

 

[anpa1234]

Den obigen Angaben zufolge, müssen vmbr1 und vmbr2 bereits am Switch getagged sein. Durch die Bridge reichst du das Tag durch und erst an der NIC der VM wird das explizit angegebene Tag entfernt.

 

[BurningSquirrel-de]

was heißt konkret :

Hallo,

ja das bedeutet das sich der Container (mit VLAN ID in den Container Einstellungen hinterlegt) verhält wie ein Gerät mit gezogenem LAN Kabel.

Nehme ich die VLAN-ID aus der Container Einstellung, dann läuft alles Ping, DHCP, DNS, usw.

Ich habe deinen Tipp mit dem 'bridge-pvid X' als treffend empfunden und diesen verfolgt. Es hat im ersten Schritt auch funktioniert, alle Container konnten mit eingetragenem VLAN Tag eine Verbindung wie gewünscht aufbauen.

Leider hat das dem Host sämtliche Verbindungen gezogen, außer Ping auf localhost sowie eigene festgelegte IP, Ping auf den DNS Server und zugriff über die WebGUI, ansonsten alles nicht reachable. Ich hänge mal hier die Konfiguration einer NIC an, die anderen sind aber alle analog.

auto vmbr1
iface vmbr1 inet static

address 192.168.3.1/24​

bridge-ports eno1​

bridge-stp off​

bridge-fd 0​

bridge-vlan-aware yes​

bridge-vids 4-6​

bridge-pvid 3​

Hab ich hier im Aufbau was falsch gemacht? Ich konnte den networking.service nach dem editieren der /etc/network/interfaces neu starten und status hat auch ein grünes active ausgegeben, syslog keine Fehler.

@anpa1234
Die Ports sind am Switch auf das VLAN geschaltet, die Software (Omada) ermöglicht / sieht vor die physische Verbindung als untagged zu markieren und alle virtuellen LANs als tagged.

 

[dcsapak]

schon versucht das vlan 3 zusätzlich auch in den 'vids' anzugeben (aus der doku geht leider nicht so klar hervor ob man das muss; 'man ifupdown-addons-interfaces')
ansonsten sieht es schon ok aus... die frage ist was nicht erreicht wurde?

mit der konfiguration kommt man vom host halt nur ins vlan 3