[SOLVED] Netzwerkfragen (mal wieder :)

antiager

Active Member
Jan 15, 2020
155
5
38
63
61191 Rosbach vor der Höhe
Hallo Forum,

ich bin neu bei Proxmox 6.0, ich habe viele Jahre Vmware gemacht.

Proxmox beeindruckt mich durch seine Geschwindigkeit und die Vielfalt.

Die Netzwerkkonfig allerdings ist im Moment noch ein Horror für mich. Ich habe einige Tage feste gegoogelt ohne wirklich weitergekommen zu sein.

Mein System: Server mit mehreren Netzwerkkarten auf 192.168.111.37 (vmbr0) funktioniert einwandfrei. Solang ich mich im 111er Netz bewege.

Was will ich machen: zusätzlich zu den Vms die im 111er Netz laufen, möchte ich Vms erstellen die bsbw. in 192.168.25.0/24 laufen und auch ins Inet können.

Meine Versuche eine zweite Bridge mit einer zweiten physikalischen Netzwerkarte zu erstellen und damit die 25er Vms zu betreiben sind gescheitert, weil ich wohl das dahinterliegende Prinzip nicht richtig verstanden habe.

Nics sind Switches?

Ja, ich hänge fest.

Alle Beispiele die ich im Internet gefunden habe scheinen meinen Fall nicht richtig abzubilden.

Was ist best practice um das von mir geschilderte Problem zu lösen?

Und eine weitere kurz zu beantwortende Frage, sind in der V6 bei bestimmten Netzkonfigänderungen immer noch Neustarts notwendig?

Ich bedaure, das da jetzt schon wieder einer auftaucht und dasselbe Thema befragt aber ich komme alleine nicht weiter!

Danke für eure Hilfe!
 
Moin, eine Brücke kann über mehre physikalische NICs (Netzwerkkarten) gehen.

Beispiel. An NIC0 hängt dein 111er und an NIC1 hängt dein 25er so packst du NIC0 und NIC1 auf die Brücke. Oder du erstellst zwei Brücken und dann zwei netzwerkkarte in deiner vm.
 
Teil uns mal die Namen der NICs mit und an welcher welches ip Netz fängt.
 
Ja, an ETH0, hängt 192.168.111.0/24 da läuft auch das Management vom Proxmox und auch ein Gateway ins Internet.

Die 111 er Maschinen nutzen das über vmbr0.

An Eth1 läuft das 192.168.111.25 mit eigenem Gateway ins Inet.

Ziel ist, das die Vms im 111er und 25 er Netz keinen Zugriff aufeinander haben. Beide sollen ihr eigenes Gateway nutzen können.
 
So wie du das schreibst, kann es ja nicht gehen. Eth0 und eth1 liegen im selben Netzwerkbereich und es liegt alles im 192.168.111.x -Netz.

Du kannst die Netzwerkkarten entweder mit VLANs auf einem entsprechenden Switch separieren, oder die Netzwerkkarten auf zwei physikalische Switche aufteilen. Die Gateway-Einstellungen sind dann bei der Client-Konfiguration zu machen.

Proxmox selber sollte nur ein Gateway haben.
 
Er meint 192.168.25.0/24 an eth1. Wenn die ein eigenes Gateway in's Internet haben, reichts schon IP Forwarding zwischen eth0 und eth1 nicht zu erlauben.

Wenn hingegen Proxmox als Gateway fuer die VMs hinter der eth1 Bridge genutzt werden soll, und Proxmox soll dann ein separates Default Gateway fuer diese Netze zu nutzen, ist das allermindeste source-based Policy Routing mit unterschiedlichen Routing Tables, siehe z.B. iproute2.

VLANs zur Separation sind auch möglich, erhöhen aber den Aufwand. Wenn ausschliesslich die VMs an eth1 liegen, ist weder VLAN noch eth1 notwendig (dummy Interfaces lassen grüßen).

Mit Proxmox 6.1 sind Netzwerkänderungen ohne Reboot möglich, wenn ifupdown2 Tools installiert sind. Aber auch ohne gehts völlig ohne Reboots.
https://forum.proxmox.com/threads/adding-bridge-without-rebooting.29438/#post-147661
 
Er meint 192.168.25.0/24 an eth1. Wenn die ein eigenes Gateway in's Internet haben, reichts schon IP Forwarding zwischen eth0 und eth1 nicht zu erlauben.

Wenn hingegen Proxmox als Gateway fuer die VMs hinter der eth1 Bridge genutzt werden soll, und Proxmox soll dann ein separates Default Gateway fuer diese Netze zu nutzen, ist das allermindeste source-based Policy Routing mit unterschiedlichen Routing Tables, siehe z.B. iproute2.

VLANs zur Separation sind auch möglich, erhöhen aber den Aufwand. Wenn ausschliesslich die VMs an eth1 liegen, ist weder VLAN noch eth1 notwendig (dummy Interfaces lassen grüßen).

Mit Proxmox 6.1 sind Netzwerkänderungen ohne Reboot möglich, wenn ifupdown2 Tools installiert sind. Aber auch ohne gehts völlig ohne Reboots.
https://forum.proxmox.com/threads/adding-bridge-without-rebooting.29438/#post-147661
Genau die zweite NIC 192.168.25.1/24 hat ein eigenes Gateway ins Inet (ein Lancom stellt für die 111er und 25er jeweils ein eigenes Gateway ins Inet zur Verfügung). Ziel sind zwei Netze ein "Produktivnetz 111" und ein zweites "Testnetz 25" die komplett voneinander getrennt sind. Unter VMware (über Gui) habe ich das öfter schon so gemacht. Unter Proxmox scheitere ich schon weil ich das Prinzip anscheinend nicht verstanden habe. Könntet Ihr mir eine Beispiel Conf nennen? Das wäre Super! Danke schonmal.
 
1. Wenn Du mit VLANs arbeiten willst: Versuch doch mal, einfach in den Netzwerkadapter Eigenschaften deiner VMs die VLAN ID einzutragen. Die Config am Switch bzw. Lancom ist dann aber Deine Aufgabe. Die Bridge selber auf dem Host muss nicht unbedingt "VLAN aware" gesetzt werden, in dem Fall würden keine neuen Subbridges angelegt werden, die mit "brctl show" zu sehen waeren.

2. Keine Lust auf VLANs? Einfach das Routing zwischen eth1 und eth0 verhindern. Das muesste sogar per Default der Fall sein, "net.ipv4.ip_forward = 1" ist jedenfalls in einer neuen Installation nicht in /etc/sysctl.conf gesetzt und entsprechende Firewall Regeln gibt es auch nicht. D.h. Eigentlich muesstest Du bereits jetzt nicht in der Lage sein, von einer 192.168.25.0/24 VM einen Host im 192.168.111.0/24 Netz anzupingen. Trotzdem mal mit einem tcpdump nachträglich ueberpruefen ob da ausser etwaigen Multicasts irgend was rueber schwappt, in dem Fall einfach noch mal melden.

3. Mit der eingebauten Proxmox Firewall im Webinterface kann man zumindest die Netze voneinander firewallen. Klicke links im Menu auf den Host, dann auf Firewall. Dort kannst Du zwei "in" Regeln anlegen fuer jeweils von 192.168.25.0/24 zu 1921.68.111.0/24 und umgekehrt. Das ist aber keine Layer 2 Isolation sondern nur ein Paketfilter. Und wird auch nur benötigt, sollten eth0 und eth1 miteinander reden können (s.o.).

4. Proxmox laeuft auf Debian Linux. Unter der Haube kannst Du quasi alles machen, was das Herz begehrt.

Also ist meine derzeitige Vermutung: Du musst exakt nichts tun. Halt nur in den einzelnen VMs tatsaechlich IP, Subnetzmaske und Gateway richtig setzen.
 
Achso, natuerlich muss die Netzwerkkonfiguration auf dem Host auch stimmen, d.h. fuer eth1 bzw. vmbr1 dann in /etc/network/interfaces:

Code:
iface eth1 inet manual
iface eth1 inet6 manual

auto vmbr1
iface vmbr1 inet static
        bridge_ports eth1
        bridge_stp off
        bridge_fd 0
#TESTNET

Nach Ändern von Netzwerk Config den Host neu starten oder im Forum suchen, wie es ohne Neustart geht. Die VMs im 192.168.25.0/24 Netz nutzen dann vmbr1 als Netzwerkadapter.
 
Achso, natuerlich muss die Netzwerkkonfiguration auf dem Host auch stimmen, d.h. fuer eth1 bzw. vmbr1 dann in /etc/network/interfaces:

Code:
iface eth1 inet manual
iface eth1 inet6 manual

auto vmbr1
iface vmbr1 inet static
        bridge_ports eth1
        bridge_stp off
        bridge_fd 0
#TESTNET

Nach Ändern von Netzwerk Config den Host neu starten oder im Forum suchen, wie es ohne Neustart geht. Die VMs im 192.168.25.0/24 Netz nutzen dann vmbr1 als Netzwerkadapter.

Was ist denn mit dem Gateway im 25 er Netz?
 
Was soll mit dem sein? Das ist der Lancom Router. Das interessiert den Proxmox Host ja nicht, der hat selber keine IP Konfiguration auf eth1 bzw. vmbr1. Deine VMs aber, und die muessen den Lancom Router als Default Gateway konfiguriert haben. Den Lancom Router schliesst Du an eth1 an, fertig.

PS. Überschreib bloss nicht die Konfiguration fuer eth0 / vmbr0, sonst kommst Du nicht mehr auf den Proxmox Host drauf.
 
Was soll mit dem sein? Das ist der Lancom Router. Das interessiert den Proxmox Host ja nicht, der hat selber keine IP Konfiguration auf eth1 bzw. vmbr1. Deine VMs aber, und die muessen den Lancom Router als Default Gateway konfiguriert haben. Den Lancom Router schliesst Du an eth1 an, fertig.

PS. Überschreib bloss nicht die Konfiguration fuer eth0 / vmbr0, sonst kommst Du nicht mehr auf den Proxmox Host drauf.

Ok, von etho lass ich ganz gewiss die Finger, soweit ist mir das schon klar. Aber in der Eth1 Konfig ist kein Garteway definiert ist das ok?
 
eth1 hat KEINE IP Konfiguration. Völlig sinnlos, solange sich auf eth1 nicht auch Clients befinden, die auf Proxmox herumadministrieren sollen.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!