Guten Abend!
Ich setze gerade einen neuen Proxmox Server auf und versuche, pfSense als Router zu virtualisieren. Leider funktioniert der Internetzugriff der virtualisierten Maschinen nicht, die echten Clients am Switch haben dagegen Zugriff. Bisher waren Proxmox und pfSense getrennte Maschinen, hat wunderbar funktioniert. Aber Man(n) braucht halt neue Herausforderungen ;-)
Mein Setup:
Der Server (pve-main) hängt an einem Trunk Port eines Unifi Switches und es ist OVS im Einsatz (der Effekt ist allerdings mit Linux Brideges der gleiche); alle Vlans un der untagged Traffic werden an den Server weitergeleitet.
Konfiguriert sind 4 Vlans:
- 10: Modem network => Zugriff auf das DSL Modem Vigor 130. Dieses hängt am Switch und der Port ist auf VLAN 10 konfiguriert.
- 20: Guest network... aktuell noch nicht genutzt.
- 30: home network: Das wird neben dem Gastnetzwerk durch zwei Unifi AP-AC-PRO als WLAN verteilt.
- 40: restricted network: diverse Geräte der Haustechnik, Lüftung, Heizung, KNX etc. und ein iMac.
- Auf dem untagged Network läuft nix, der alte Router ist abgeklemmt.
Die pfsense hat je ein Netzwerkinterface für jedes VLAN:
Hier die interfaces des hosts:
Das Problem ist nun, das mein iMac im Vlan 40 am Unifi-Switch Internetzugriff hat, der Host pve-main und auch eine darauf laufender Testcontainer im VLAN 40 jedoch nicht.
- Ein Ping von pve-main auf den virtualisierten Router funktioniert
- die DNS Auflösung funktioniert
- Der Ping auf google.de funtkioniert
- der http Zugriff funktioniert nicht, u.a. funktioniert apt update nicht und auch ein "telnet google.de 80" bekommt keine Verbindung.
- Ich habe auf der (virtualisierten) pfSense ein Paketmitschnitt am LAN Port gemacht (.2 ist der pve-main und der .254 pfSense), das Kommando war "apt update" auf pve-main:
Wie es scheint, gehen die Pakete zwar raus, aber es kommt keine Antwort.
Interessanterweise habe ich auf dem iMac vollständigen Internetzugriff. Auch ein testweise installiertes Ubuntu (via Parallels) auf dem iMac hat vollständigen Zugriff.
Habt Ihr eine Idee, was hier falsch läuft? Wie oben geschrieben, ist der Effekt mit einer Linuxbridge in identischer Konfiguration der gleiche, scheint also ein systematisches Problem zu sein. Möglicherweise ist auch die Firewall der pfSense das Problem, ich möchte aber erstmal Konfigurationsprobleme in der Virtualisierung ausschließen.
Vielen Dank für sachdienliche Hinweise!
Schönen Abend, Thomas
Ich setze gerade einen neuen Proxmox Server auf und versuche, pfSense als Router zu virtualisieren. Leider funktioniert der Internetzugriff der virtualisierten Maschinen nicht, die echten Clients am Switch haben dagegen Zugriff. Bisher waren Proxmox und pfSense getrennte Maschinen, hat wunderbar funktioniert. Aber Man(n) braucht halt neue Herausforderungen ;-)
Mein Setup:
Der Server (pve-main) hängt an einem Trunk Port eines Unifi Switches und es ist OVS im Einsatz (der Effekt ist allerdings mit Linux Brideges der gleiche); alle Vlans un der untagged Traffic werden an den Server weitergeleitet.
Konfiguriert sind 4 Vlans:
- 10: Modem network => Zugriff auf das DSL Modem Vigor 130. Dieses hängt am Switch und der Port ist auf VLAN 10 konfiguriert.
- 20: Guest network... aktuell noch nicht genutzt.
- 30: home network: Das wird neben dem Gastnetzwerk durch zwei Unifi AP-AC-PRO als WLAN verteilt.
- 40: restricted network: diverse Geräte der Haustechnik, Lüftung, Heizung, KNX etc. und ein iMac.
- Auf dem untagged Network läuft nix, der alte Router ist abgeklemmt.
Die pfsense hat je ein Netzwerkinterface für jedes VLAN:
Hier die interfaces des hosts:
Code:
pve-main:~# cat /etc/network/interfaces
# network interface settings; autogenerated
# Please do NOT modify this file directly, unless you know what
# you're doing.
#
# If you want to manage parts of the network configuration manually,
# please utilize the 'source' or 'source-directory' directives to do
# so.
# PVE will preserve these directives, but will NOT read its network
# configuration from sourced files, so do not attempt to move any of
# the PVE managed interfaces into external files!
allow-vmbr0 bond0
iface bond0 inet manual
ovs_bonds eno1 enp5s0
ovs_type OVSBond
ovs_bridge vmbr0
ovs_options bond_mode=balance-tcp lacp=active
auto lo
iface lo inet loopback
iface enp5s0 inet manual
iface eno1 inet manual
allow-vmbr0 vlan40
iface vlan40 inet static
address 172.29.40.2
netmask 24
gateway 172.29.40.254
ovs_type OVSIntPort
ovs_bridge vmbr0
ovs_options tag=40
#restricted network (host)
allow-vmbr0 vlan50
iface vlan50 inet static
address 172.29.50.2
netmask 24
ovs_type OVSIntPort
ovs_bridge vmbr0
ovs_options tag=50
#cluster network (host)
allow-ovs vmbr0
iface vmbr0 inet manual
ovs_type OVSBridge
ovs_ports bond0 vlan40 vlan50
Code:
pve-main:~# ip route
default via 172.29.40.254 dev vlan40 onlink
172.29.40.0/24 dev vlan40 proto kernel scope link src 172.29.40.2
172.29.50.0/24 dev vlan50 proto kernel scope link src 172.29.50.2Das Problem ist nun, das mein iMac im Vlan 40 am Unifi-Switch Internetzugriff hat, der Host pve-main und auch eine darauf laufender Testcontainer im VLAN 40 jedoch nicht.
- Ein Ping von pve-main auf den virtualisierten Router funktioniert
- die DNS Auflösung funktioniert
- Der Ping auf google.de funtkioniert
- der http Zugriff funktioniert nicht, u.a. funktioniert apt update nicht und auch ein "telnet google.de 80" bekommt keine Verbindung.
- Ich habe auf der (virtualisierten) pfSense ein Paketmitschnitt am LAN Port gemacht (.2 ist der pve-main und der .254 pfSense), das Kommando war "apt update" auf pve-main:
Wie es scheint, gehen die Pakete zwar raus, aber es kommt keine Antwort.
Interessanterweise habe ich auf dem iMac vollständigen Internetzugriff. Auch ein testweise installiertes Ubuntu (via Parallels) auf dem iMac hat vollständigen Zugriff.
Habt Ihr eine Idee, was hier falsch läuft? Wie oben geschrieben, ist der Effekt mit einer Linuxbridge in identischer Konfiguration der gleiche, scheint also ein systematisches Problem zu sein. Möglicherweise ist auch die Firewall der pfSense das Problem, ich möchte aber erstmal Konfigurationsprobleme in der Virtualisierung ausschließen.
Vielen Dank für sachdienliche Hinweise!
Schönen Abend, Thomas
Last edited:
