Netzwerk-Konfiguration mit transparenter vmbr

[demolitionwoman]

Hallo.
Ich verzweifle an der Netzwerk-Konfiguration in Proxmox und hoffe, ihr könnt mir helfen. Ich möchte das Proxmox Management und die VMs trennen, deshalb habe ich eine zweite Bridge erstellt, diese mit einer zweiten physischen Netzwerkkarte verbunden und die VMs an diese vmbr gehängt. Den VMs habe ich dann statische IP-Adressen gegeben und ihnen ihr Gateway mitgeteilt (das nicht Teil der virtuellen Umgebung ist). Laut einer Anleitung hier im Forum sollte das funktionieren, wenn die 2. vmbr selbst keine IP-Adresse hat. Aber es funktioniert nicht. Die VMs können sich gegenseitig anpingen, aber sie kommen nicht nach draußen. Wo ist mein Denkfehler?
Ich habe auch versucht, der zweiten Bridge ein Netzwerk zu geben und den VMs IPs aus diesem Netzwerk. Da hatte ich aber auch nur eine Verbindung der VMs untereinander. Egal ob ich die neue Bridge oder die IP von Proxmox als Gateway einsetze.
Könnt ihr mir helfen?
Danke im Vorraus!
Sarah

 

[shanreich]

Post mal bitte deine Netzwerkkonfiguration (cat /etc/network/interfaces)

 

[demolitionwoman]

auto lo
iface lo inet loopback

iface eno1 inet manual
#Management

iface eno3np0 inet manual

iface eno4np1 inet manual
#nicht benutzt

iface eno2 inet manual

auto enp24s0f0
iface enp24s0f0 inet static
address 10.x.x.x/26
#NFS

auto enp24s0f1
iface enp24s0f1 inet static
address 10.x.x.x/26
#CIFS

auto enp94s0f0
iface enp94s0f0 inet static
address 10.x.x.x/26
#NFS

auto enp94s0f1
iface enp94s0f1 inet manual
#war mal fuer CIFS - jetzt Switch fuer VMs

auto vmbr0
iface vmbr0 inet static
address 10.x.x.77/24
gateway 10.x.x.1
bridge-ports eno1
bridge-stp off
bridge-fd 0

auto vmbr2
iface vmbr2 inet manual
bridge-ports enp94s0f1
bridge-stp off
bridge-fd 0

source /etc/network/interfaces.d/*

 

[Falk R.]

Also die Netzwerkkonfiguration sieht OK aus.
Du kannst zur Kontrolle der zweiten Bridge mal eine IP geben und schauen ob du dann das Gateway erreichst. Wenn ja, ist bei den VMs ein Konfigurationsfehler, wenn du auch von da nichts erreichst ist der Fehler eindeutig hinter der Netzwerkkarte.

 

[noPa$$word]

Ich zähle 6 Netzwerkkarten und jene die genutzt werden sind auch mit einem Netzwerkkabel verbunden und haben physikalischen Zugriff zum Gateway? Die Netzwerkverbindung bzg dessen Gateway funktioniert auch richtig?

 

[demolitionwoman]

Ja, wenn ich der Netzwerkkarte enp94s0f1 eine IP gebe, kann ich die anpingen. Die muss also verbunden und funktionstüchtig sein.

 

[demolitionwoman]

Also die Netzwerkkonfiguration sieht OK aus.
Du kannst zur Kontrolle der zweiten Bridge mal eine IP geben und schauen ob du dann das Gateway erreichst. Wenn ja, ist bei den VMs ein Konfigurationsfehler, wenn du auch von da nichts erreichst ist der Fehler eindeutig hinter der Netzwerkkarte.

Wenn ich der Bridge eine IP gebe, komme ich auch nicht raus. Das hab ich schon ausprobiert. Ich war so fokusiert darauf, das Problem in Proxmox zu lösen, dass ich gar nicht darüber nachgedacht habe, dass das Problem außerhalb davon sein könnte. Danke!

 

[news]

Vielleicht ist das noch ein unbekannter Tipp für Dich, SNAT und DNAT über VNETs

# https://pve.proxmox.com/wiki/Setup_Simple_Zone_With_SNAT_and_DHCP

Damit hätte man dann auch in den Zonen eine DHCP und kann diese über VLANs noch VM zusätzlich voneinander Trennen.

 

[shanreich]

Vielleicht ist das noch ein unbekannter Tipp für Dich, SNAT und DNAT über VNETs

# https://pve.proxmox.com/wiki/Setup_Simple_Zone_With_SNAT_and_DHCP

Damit hätte man dann auch in den Zonen eine DHCP und kann diese über VLANs noch VM zusätzlich voneinander Trennen.

Allerdings läuft der VM Traffic nach draußen dann erst wieder über das Interface, auf dem die default Route ist (in diesem Fall das Management-Interface weil dort der GW konfiguriert ist). Der VM-Traffic ist dann nicht getrennt vom Management Traffic, was ja das eigentliche Ziel ist.

Nur um sicher zu gehen: Wie sieht denn deine Verbindung nach draußen (zum Gateway) aus? Haben die jeweiligen Netzwerkkarten einen eigenen Switch? Oder hängen beide an dem selben Switch und sind nur in unterschiedlichen Subnets? Oder hast du die Netzwerk-Karten einfach direkt an den Gateway gehängt?