[SOLVED] openVswitch seltsames Verhalten

Discussion in 'Proxmox VE (Deutsch)' started by maxmox, Jan 10, 2019.

  1. maxmox

    maxmox New Member

    Joined:
    Jan 10, 2019
    Messages:
    7
    Likes Received:
    0
    Hallo,
    ich bin kein Profi, insbesondere was die Internas von (virtuellen)Switchen angeht
    und stehe vor folgendem Problem, das ich mir beim besten Willen nicht erklären kann:

    Ich habe auf einem proxmox Host einen virtuellen Router (pfSense) aufgesetzt,
    der meine internen VLANs untereinander mit dem Internet verbindet.

    Es funktioniert im Prinzip auch Alles genau so wie es soll
    und zwar für alle VLANs und die jeweils verbunden Geräte und zwar in meinem gesamten Netzwerk.

    Das Routing funktioniert jedoch nicht für virtuelle Maschinen, die auf dem selben Host laufen
    wie pfSense, das heißt damit auch auf derselbem virtuellen Bridge angekoppelt sind.
    Zumindest bekomme ich hierbei keine Internetverbindung über pfSense zustande.

    Zum Testen habe ich 2 identische virtuelle nackte debian Maschinen aufgesetzt,
    eine auf dem Host auf dem pfSense läuft und eines auf einem anderen zweiten Host.

    Bei dem System das auf dem zweiten Host läuft, funktionieren alle pings ins Internet und die
    Namensauflösung bei openDNS 208.67.220.220 problemlos
    (wie auch bei allen anderen Systemen im Netzwerk)

    Wenn ich dies jedoch bei dem exakt gleichen Rechner (exakt bis auf eine andere IP) versuche,
    der auf dem gleichen Host wie pfSense läuft funktionieren die pings zwar auch problemlos:

    Jedoch die Namensauflösung gelingt nur bei ungefähr jedem 3.-4. nslookup Versuch.
    Und das entweder sofort oder gar nicht.

    Dasselbe gilt übrigens für den internen Port des Proxmox Systems wenn ich hier das gateway
    testweise auf pfSense richte, erhalte ich dasselbe fehlerhafte Verhalten.

    Vermutlich hab ich irgendwas ganz grundlegendes wie oVs funktioniren soll nicht richtig verstanden
     
  2. wolfgang

    wolfgang Proxmox Staff Member
    Staff Member

    Joined:
    Oct 1, 2014
    Messages:
    4,321
    Likes Received:
    276
    Hallo,

    es ist schwer generell was mit so wenig Informationen zu sagen.
    Aber warum brauchst du openVswitch.
    Bei openVswitch sollte man sich auskennen, da es sehr viel zum konfigurieren gibt.
    Wir empfehlen das Linux Network model da es einfacher ist und auch weniger komplex ist.
     
    Stop hovering to collapse... Click to collapse... Hover to expand... Click to expand...
  3. maxmox

    maxmox New Member

    Joined:
    Jan 10, 2019
    Messages:
    7
    Likes Received:
    0
    Hallo,
    nun ja openVswitch verwende ich, weil das bei 10 verscheidenen VLANs irgendwie die naheliegende Lösung ist.
    Und ich hab ja eigentlich keine besondere Anforderungen an das Switching.

    Meine Konfiguration
    Ich hab nur von Proxmox WebGUI aus
    1 Bridge einen internen Port und einen LACP Bond für die 4 Netzwerkanschlüsse auf dem Host konfiguriert.
    Die Konfiguration sieht folgendermaßen aus:


    allow-vmbr0 bond0
    iface bond0 inet manual
    ovs_bonds eno1 eno2 eno3 eno4
    ovs_type OVSBond
    ovs_bridge vmbr0
    ovs_options bond_mode=balance-slb lacp=active

    auto lo
    iface lo inet loopback

    iface eno3 inet manual

    iface eno4 inet manual

    iface eno1 inet manual

    iface eno2 inet manual

    allow-vmbr0 proxmox_port
    iface proxmox_port inet static
    address 172.17.7.7
    netmask 255.255.0.0
    gateway 172.17.34.254
    ovs_type OVSIntPort
    ovs_bridge vmbr0
    ovs_options tag=17

    auto vmbr0
    iface vmbr0 inet manual
    ovs_type OVSBridge
    ovs_ports bond0 proxmox_port



    Und ich habe als VM eine pfSense Firewall/Router laufen, die einen virtuellen Netzanschluss zu jedem VLAN hat.

    Ein VLAN ist direkt mit einem Internet Gateway verbunden.
    VLAN 17 ist zum Beispiel ein internes LAN das über pfSense ins Internet geroutet wird.

    Alle physischen Geräte und auch die VMs auf allen anderen Hosts haben auf diese Weise problemlosen Zugriff ins Internet.
    Lediglich VMs die auf demselben Host laufen wie pfSense haben keine funktionierende Internetverbindung:
    Ich kann zwar problemlos pings erfolgreich ins Internet absetzen, jedoch scheitert eine Namensauflösung oder ein
    Seitenaufruf. (Dasselbe gilt übrigens für den internen Port wenn ich ihn versuche über pfSense zu routen)

    Ich hätte nun eigentlich erwartet, dass dieses einfache Anforderung in der Standardkonfiguration problemlos funktionieren müßte.

    Ich schliesse daraus, dass openVswitch Ursache für dieses Problem ist, und die Verbindung zwischen den internen
    TAP devices irgendwie anders funktioniert wie zwischen einem TAP device und dem Bond.

    Nachdem aber alle anderen Anforderungen an mein Setup problemlos mit oVs funktionieren, hätte ich dieses
    Problem schon gerne in den Griff bekommen.

    Allerdings habe ich die Vermutung, dass ich irgendwas was openVswitch betrifft komplett übersehen oder nicht verstanden hab.

    Ich brauch ja nicht zwingend eine fertige Lösung aber für einen Hinweis wo mein Denkfehler liegen könnte,
    wäre ich dankbar.
     
  4. maxmox

    maxmox New Member

    Joined:
    Jan 10, 2019
    Messages:
    7
    Likes Received:
    0
    Ok das war echt hart,

    aber der Fehler hat nichts mit openVswitch zu tun
    sondern mit den Virtio Netzwerktreibern in FreeBSD
    da ist in der Implementation etwas fehlerhaft und das wohl schon seit vielen Jahren.

    Details zum Fehler und zur Lösung:

    auf der netgate webseite (den Link darf ich als neuer user leider nicht setzen)
    aber die Suchbegriffe: pfSense virtio network KVM
    führen einen direkt dorthin

    Also bei Verwendung von pfSense entweder die Optionen wie dort Beschrieben einstellen
    oder aber die Intel E1000 Kartensimulation verwenden.
     
  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Dismiss Notice