Proxmox / Opnsense und Vlans

K

klausseemann

Well-Known Member
Aug 4, 2019
79
0
46
49
moin,

ich beschreibe mal mein Vorhaben:
Ich habe eine Fritzbox 7590 mit der ich mit dem Internet verbunden bin.Diese soll später nur noch als Telefonanlage funktionieren, da wir in unserem Haus 1 DSL-anschluss mit meiner Oma teilen ( um Kosten zu senken ). Im Haus habe ich in allen wichtigen Räumen Cat 7 duplex gelegt um flexibel zu sein. Den Netzwerk-anschluss habe ich schon in meinem Schuppen verlegt und dort habe ich alle Cat-leitungen an einen TP-Link TL-SG1024DE aufgelegt. Der Smart Switch kann VLan und soll alle VLan welche ich in Opnsense eingestellt habe bedienen.

Der weg ist also Fritzbox -> Server mit Proxmox -> VM mit Opnsense als Firewall und VLan Manager -> Switch -> alle Geräte
Auf dem Server mit Proxmox sollen alle VM und Container auch über Opnsense laufen.
Die Container sollen untereinander mit einem VLan laufen aber auch in die anderen VLans aufgeschaltet werden können.


also ich habe das erst mal so:
vmbr0 -> WAN Server

vmbr1-> VLAN Opnsense
vmbr2-> WAN Opnsense

/etc/network/interfaces Von meinem HEIMSERVER

Code: 
auto lo
iface lo inet loopback

auto eno1
iface eno1 inet manual

auto eno2
iface eno2 inet manual

auto eno3
iface eno3 inet manual

auto vmbr0
iface vmbr0 inet static
        address  192.168.178.10
        netmask  24
        gateway  192.168.178.1
        bridge-ports eno1
        bridge-stp off
        bridge-fd 0
        bridge_std off
#Server / WAN /Internet

iface vmbr1 inet static
        address  192.168.178.11
        netmask  24
        gateway  192.168.178.1
        bridge-ports eno2
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2-4094
        bridge_std off
#Firewall / LAN - VLAN / Heimnetz

auto vmbr2
iface vmbr2 inet manual
        bridge-ports eno3
        bridge-stp off
        bridge-fd 0
#Firewall / WAN / Internet

Ich habe einen hp dl 380p mit 4 Lan-ports , Lan 1 nur für den Server , Lan 2 für Opnsense zugang zum Internet, Lan 3 für den Switch später.

Opnsense läuft
wie gehts weiter wenn ich nun einen container in proxmox erstelle braucht er ja eine netzwerk karte .

das wäre mein VLAN erzeugt in OPNSense

Dienste: DHCPv4: [Virtuell]
Subnetz 192.168.33.0
Subnetzmaske 255.255.255.0
Verfügbarer Bereich 192.168.33.1 - 192.168.33.254
Bereich 192.168.33.10 - 192.168.33.250



wenn ich jetzt eine netzwerk karte erstelle in dem container:
bridge :vmbr1
IPv4: 192.168.33.12/24
gateway: 192.168.33.1

läuft da nichts.
Muss da nicht sowas gebaut werden ?

Code: 
VLAN on the Host

To allow host communication with an isolated network. It is possible to apply VLAN tags to any network device (NIC, Bond, Bridge). In general, you should configure the VLAN on the interface with the least abstraction layers between itself and the physical NIC.

For example, in a default configuration where you want to place the host management address on a separate VLAN.
Example: Use VLAN 5 for the Proxmox VE management IP with traditional Linux bridge

auto lo
iface lo inet loopback

iface eno1 inet manual

iface eno1.5 inet manual

auto vmbr0v5
iface vmbr0v5 inet static
        address  10.10.10.2
        netmask  255.255.255.0
        gateway  10.10.10.1
        bridge_ports eno1.5
        bridge_stp off
        bridge_fd 0

auto vmbr0
iface vmbr0 inet manual
        bridge_ports eno1
        bridge_stp off
        bridge_fd 0

Example: Use VLAN 5 for the Proxmox VE management IP with VLAN aware Linux bridge

auto lo
iface lo inet loopback

iface eno1 inet manual


auto vmbr0.5
iface vmbr0.5 inet static
        address  10.10.10.2
        netmask  255.255.255.0
        gateway  10.10.10.1

auto vmbr0
iface vmbr0 inet manual
        bridge_ports eno1
        bridge_stp off
        bridge_fd 0
        bridge_vlan_aware yes
was muss ich machen um alle geräte in einzelne VLans zu bekommen ?
eigene VLANS und DHCP habe ich schon erstellt.
ich will das erst mal an der virtuell-VLan mit meinen eigenen vm und containern laufen haben und dann weiter aufräumen, da ich auch homematic-ip geräte habe und ein gäste WLAN bauen möchte.
 
Hi,

1.) Du kannst nur eine Gateway vergeben.
2.) vmbr (Virtual Bridges) brauchen nicht zwingend eine IP.
3.) eine vmbr mit "bridge_ports none" kann als interner Switch verwendet werden.
4.) wenn du "bridge_vlan_aware yes" kann er auch mit VLAN umgehen und du kannst das VLAN Handling in dem Router machen
 
wolfgang said:
Hi,

1.) Du kannst nur eine Gateway vergeben.
2.) vmbr (Virtual Bridges) brauchen nicht zwingend eine IP.
3.) eine vmbr mit "bridge_ports none" kann als interner Switch verwendet werden.
4.) wenn du "bridge_vlan_aware yes" kann er auch mit VLAN umgehen und du kannst das VLAN Handling in dem Router machen
Click to expand...
mein server hat 4 netzwerk ports und mal eine generelle frage kann ich 2 für wan als BOND zusammen fassen wie unten ist aus meiner oberen configuration:
Code: 
auto br0
iface br0 inet static
        address  192.168.178.11
        netmask  24
        gateway  192.168.178.1
    bridge_ports eno3 eno4
    bridge_fd 5
    bridge-vlan-aware yes
    bridge-vids 2-4094
    bridge_stp yes

und 2 für das LAN als BRIDGE zum netzwerk entlasten

Code: 
auto bond0
iface bond0 inet static
    address 192.168.178.10
    netmask 24
    network 192.168.178.000
    broadcast 192.168.178.255
    gateway 192.168.178.1
    dns-nameservers 192.168.178.1
    bond-slaves eno1 eno2
    bond-mode 0
    bond-miimon 100
    bond-updelay 200
    bond-downdelay 200
 
Ja du kannst 2 Network Ports zu einem Bond zusammen fassen aber du kannst Netzwerkkarten nicht zweimal verwenden.
Also einmal im bond und dann noch in der Bridge geht nicht.
Wenn du das machen willst geht das nur mit VLAN.
Auch würde ich dir bridge nicht br nennen sonder vmbrX da br nicht von unseren Parsern erkannt wird.
Bei deiner Bond Konfig fehlt auch noch "bond-mode active-backup"
Und nochmal du kannst nur eine Gateway pro Server haben.
 
ich habe das mal geändert, das mit dem gateway verstehe ich nicht.
wie sollte es aussehen ?


Code: 
source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback

auto eno1
iface eno1 inet manual
bond-master bond0
bond-primary eno1

auto eno2
iface eno2 inet manual
bond-master bond0

auto eno3
iface eno3 inet manual
bond-master bond1
bond-primary eno3

auto eno4
iface eno4 inet manual
bond-master bond1
auto bond0
iface bond0 inet manual
bond-slaves none
bond-mode balance-rr
bond-miimon 100
bond-updelay 200
bond-downdelay 200
#Server / WAN / Internet

auto bond1
iface bond1 inet manual
bond-slaves none
bond-mode balance-rr
bond-miimon 100
bond-updelay 200
bond-downdelay 200
#Server / LAN / Heimnetz

auto vmbr0
iface vmbr0 inet static
        address  192.168.178.10
        netmask  24
        broadcast 192.168.178.255
        gateway  192.168.178.1
        dns-nameservers 192.168.178.1
        bridge-ports bond0
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2-4094
        bridge_std off
#Server / WAN / Internet

auto vmbr1
iface vmbr1 inet static
        address  192.168.178.11
        netmask  24
        broadcast 192.168.178.255
        gateway  192.168.178.1
        dns-nameservers 192.168.178.1
        bridge-ports bond1
auto vmbr2
iface vmbr2 inet manual
        bridge-ports none
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2-4094
#Firewall / VLAN / Virtuell

        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2-4094
        bridge_std off
#Firewall / LAN - VLAN / Heimnetz

root@Server:~# mii-tool
No interface specified
usage: mii-tool [-VvRrwl] [-A media,... | -F media] [-p addr] <interface ...>
-V, --version display version information
-v, --verbose more verbose output
-R, --reset reset MII to poweron state
-r, --restart restart autonegotiation
-w, --watch monitor for link status changes
-l, --log with -w, write events to syslog
-A, --advertise=media,... advertise only specified media
-F, --force=media force specified media technology
-p, --phy=addr set PHY (MII address) to report
media: 1000baseTx-HD, 1000baseTx-FD,
100baseT4, 100baseTx-FD, 100baseTx-HD,
10baseT-FD, 10baseT-HD,
(to advertise both HD and FD) 1000baseTx, 100baseTx, 10baseT
root@Server:~#




root@Server:~# find /lib/modules/`uname -r` -iname bonding*
/lib/modules/5.0.21-1-pve/kernel/drivers/net/bonding
/lib/modules/5.0.21-1-pve/kernel/drivers/net/bonding/bonding.ko
root@Server:~#
Click to expand...
root@Server:~# ifconfig -a
bond0: flags=5187<UP,BROADCAST,RUNNING,MASTER,MULTICAST> mtu 1500
ether 2c:44:fd:95:9f:1c txqueuelen 1000 (Ethernet)
RX packets 9208 bytes 1510465 (1.4 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1454 bytes 465907 (454.9 KiB)
TX errors 0 dropped 3 overruns 0 carrier 0 collisions 0

bond1: flags=5187<UP,BROADCAST,RUNNING,MASTER,MULTICAST> mtu 1500
ether 2c:44:fd:95:9f:1e txqueuelen 1000 (Ethernet)
RX packets 7244 bytes 1068150 (1.0 MiB)
RX errors 0 dropped 12 overruns 0 frame 0
TX packets 1419 bytes 145706 (142.2 KiB)
TX errors 0 dropped 3 overruns 0 carrier 0 collisions 0

eno1: flags=6211<UP,BROADCAST,RUNNING,SLAVE,MULTICAST> mtu 1500
ether 2c:44:fd:95:9f:1c txqueuelen 1000 (Ethernet)
RX packets 4616 bytes 768981 (750.9 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 738 bytes 226605 (221.2 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device interrupt 25

eno2: flags=6211<UP,BROADCAST,RUNNING,SLAVE,MULTICAST> mtu 1500
ether 2c:44:fd:95:9f:1c txqueuelen 1000 (Ethernet)
RX packets 4592 bytes 741484 (724.1 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 716 bytes 239302 (233.6 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device interrupt 94

eno3: flags=6211<UP,BROADCAST,RUNNING,SLAVE,MULTICAST> mtu 1500
ether 2c:44:fd:95:9f:1e txqueuelen 1000 (Ethernet)
RX packets 3637 bytes 535440 (522.8 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 722 bytes 73376 (71.6 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device interrupt 25

eno4: flags=6211<UP,BROADCAST,RUNNING,SLAVE,MULTICAST> mtu 1500
ether 2c:44:fd:95:9f:1e txqueuelen 1000 (Ethernet)
RX packets 3607 bytes 532710 (520.2 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 697 bytes 72330 (70.6 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device interrupt 94

ens3f0: flags=4098<BROADCAST,MULTICAST> mtu 1500
ether 38:ea:a7:33:8b:6c txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

ens3f1: flags=4098<BROADCAST,MULTICAST> mtu 1500
ether 38:ea:a7:33:8b:6d txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0




lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Lokale Schleife)
RX packets 2084 bytes 1272007 (1.2 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 2084 bytes 1272007 (1.2 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

tap100i0: flags=4419<UP,BROAmii-tool
DCAST,RUNNING,PROMISC,MULTICAST> mtu 1500
ether 5e:58:2f:9b:ac:85 txqueuelen 1000 (Ethernet)
RX packets 457 bytes 46270 (45.1 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 6448 bytes 853370 (833.3 KiB)
TX errors 0 dropped 965 overruns 0 carrier 0 collisions 0

tap100i1: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 1500
ether 2a:b5:0b:b3:49:f6 txqueuelen 1000 (Ethernet)
RX packets 1362 bytes 133692 (130.5 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 6567 bytes 880749 (860.1 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

vmbr0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.178.10 netmask 255.255.255.0 broadcast 192.168.178.255
inet6 fe80::2e44:fdff:fe95:9f1c prefixlen 64 scopeid 0x20<link>
ether 2c:44:fd:95:9f:1c txqueuelen 1000 (Ethernet)
RX packets 8525 bytes 1257982 (1.1 MiB)
RX errors 0 dropped 1616 overruns 0 frame 0
TX packets 961 bytes 410429 (400.8 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

vmbr1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.178.11 netmask 255.255.255.0 broadcast 192.168.178.255
inet6 fe80::2e44:fdff:fe95:9f1e prefixlen 64 scopeid 0x20<link>
ether 2c:44:fd:95:9f:1e txqueuelen 1000 (Ethernet)
RX packets 7381 bytes 911762 (890.3 KiB)
RX errors 0 dropped 1604 overruns 0 frame 0
TX packets 56 bytes 5834 (5.6 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

vmbr2: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet6 fe80::3c2c:1aff:fe29:4e32 prefixlen 64 scopeid 0x20<link>
ether 3e:2c:1a:29:4e:32 txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 14 bytes 2152 (2.1 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
Click to expand...

root@Server:~# cat /proc/net/bonding/bond0

Ethernet Channel Bonding Driver: v3.7.1 (April 27, 2011)



Bonding Mode: load balancing (round-robin)

MII Status: up

MII Polling Interval (ms): 100

Up Delay (ms): 200

Down Delay (ms): 200



Slave Interface: eno1

MII Status: up

Speed: 1000 Mbps

Duplex: full

Link Failure Count: 1

Permanent HW addr: 2c:44:fd:95:9f:1c

Slave queue ID: 0



Slave Interface: eno2

MII Status: up

Speed: 1000 Mbps

Duplex: full

Link Failure Count: 1

Permanent HW addr: 2c:44:fd:95:9f:1d

Slave queue ID: 0

root@Server:~#



root@Server:~# cat /proc/net/bonding/bond1

Ethernet Channel Bonding Driver: v3.7.1 (April 27, 2011)



Bonding Mode: load balancing (round-robin)

MII Status: up

MII Polling Interval (ms): 100

Up Delay (ms): 200

Down Delay (ms): 200



Slave Interface: eno3

MII Status: up

Speed: 1000 Mbps

Duplex: full

Link Failure Count: 1

Permanent HW addr: 2c:44:fd:95:9f:1e

Slave queue ID: 0



Slave Interface: eno4

MII Status: up

Speed: 1000 Mbps

Duplex: full

Link Failure Count: 1

Permanent HW addr: 2c:44:fd:95:9f:1f

Slave queue ID: 0

root@Server:~#
Click to expand...

root@Server:~# tail -f /var/log/syslog

Oct 13 17:49:52 Server kernel: [ 2718.891565] vmbr0: received packet on bond0 with own address as source address (addr:2c:44:fd:95:9f:1c, vlan:1)

Oct 13 17:49:53 Server kernel: [ 2719.247527] vmbr1: received packet on bond1 with own address as source address (addr:2c:44:fd:95:9f:1e, vlan:0)

Oct 13 17:50:00 Server systemd[1]: Starting Proxmox VE replication runner...

Oct 13 17:50:01 Server systemd[1]: pvesr.service: Succeeded.
Click to expand...
 
source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback

auto eno1
iface eno1 inet manual
bond-master bond0
bond-primary eno1

auto eno2
iface eno2 inet manual
bond-master bond0

auto eno3
iface eno3 inet manual
bond-master bond1
bond-primary eno3

auto eno4
iface eno4 inet manual
bond-master bond1
auto bond0
iface bond0 inet manual
bond-slaves none
bond-mode balance-rr
bond-miimon 100
bond-updelay 200
bond-downdelay 200
#Server / WAN / Internet

auto bond1
iface bond1 inet manual
bond-slaves none
bond-mode balance-rr
bond-miimon 100
bond-updelay 200
bond-downdelay 200
#Server / LAN / Heimnetz

auto vmbr0
iface vmbr0 inet static
address 192.168.178.10
netmask 24
broadcast 192.168.178.255
gateway 192.168.178.1
dns-nameservers 192.168.178.1
bridge-ports bond0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
bridge_std off
#Server / WAN / Internet

auto vmbr1
iface vmbr1 inet static
address 192.168.178.11
netmask 24
broadcast 192.168.178.255
gateway 192.168.178.1
dns-nameservers 192.168.178.1
bridge-ports bond1
auto vmbr2
iface vmbr2 inet manual
bridge-ports none
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
#Firewall / VLAN / Virtuell

bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
bridge_std off
#Firewall / LAN - VLAN / Heimnetz
Click to expand...

Also eigentlich kann ich es nicht da ich nicht weiß welches Device nun genau mit den weiteren Systemen (Fritzbox, Internet) verbunden ist. Aber so in etwa sollte es gehen

Was ich aber nicht verstehe. Wieso legst Du zwei Bridges (vmbrX) an welche beide ins selbe Netzwerk zeigen. Das ist doch Sinnlos.
 
danke werde ich gleich testen.

ich baue mein netzwerk um und wenn alles fertig ist kommt erst ein Router ->Server -> 24-port-Switch für VLAN
aber zum testen bis es soweit ist sollen beide bound / vmbr ins selbe netz.
wenn opnsense rundläuft und ich die Vlans richtig habe wird es umgesteckt wie oben beschrieben.
 
Ich habe das selbe Szenario wie Du. Aber ich habe keine Bridge (vmbr) mit fester IP versehen. Ich habe ein Interface welchem ich ein VLAN Interface zugeordnet habe und diesem VLAN Interface habe ich dann eine Feste IP für Management/Corosync/CEPH vergeben. Eiegntlich sind es 3 VLAN Interfaces wollte es nicht so komplex erklären.

Die vmbr0 ist bei mir für den Proxmoxserver nur virtuell nicht mit einer IP versehen. vmbr0 zeigt auf das VLAN 0 und ist für das WAN Interface.
Alle anderen VLAN's insgesamt 7 Stück sind nur virtuell und werden in der virtuellen Firewall opnsense geroutet.
 
ich habe noch nicht so viel erfahrung mit proxmox und opnsense und arbeite mit stück für stück nach vorne.
wenn ich jemanden hätte der alles für mich einstellt wäre ich dankbar aber leider habe ich in meinem bekanntenkreis nur windows nutzer.
 
Für Deinen derzeitigen Abschnitt reicht eine gewisse Netzwerkkenntnis eigentlich völlig aus. Und das was Du da aktuell baust mit Bridge und VLAN Konfiguration findet man zu Hauf im Internet als Info.

Hier mal meine Netzwerkkonfiguration für einen meiner 5 Proxmoxknoten. Ich betreibe das ganze im übrigen Privat in meinem Wohnzimmer :)

Code: 
root@n1-pve-cluster:~# cat /etc/network/interfaces
auto lo
iface lo inet loopback

iface eno1 inet manual

auto vmbr0
iface vmbr0 inet manual
bridge_ports eno1
bridge_stp off
bridge_fd 0





# corosync cluster network
auto eno1.321
iface eno1.321 inet static
address 10.32.1.5
netmask 255.255.255.0


# ceph storage cluster network
auto eno1.322
iface eno1.322 inet static
address 10.32.2.5
netmask 255.255.255.0




# Bridge VLAN's für die virtuellen Maschinen
iface eno1.34 inet manual
iface eno1.40 inet manual
iface eno1.60 inet manual
iface eno1.80 inet manual
iface eno1.90 inet manual
iface eno1.120 inet manual


auto vmbr34
iface vmbr34 inet manual
bridge_ports eno1.34
bridge_stp off
bridge_fd 0

auto vmbr40
iface vmbr40 inet static
address 10.6.4.5
netmask 255.255.255.0
gateway 10.6.4.1
bridge_ports eno1.40
bridge_stp off
bridge_fd 0

auto vmbr60
iface vmbr60 inet manual
bridge_ports eno1.60
bridge_stp off
bridge_fd 0

auto vmbr90
iface vmbr90 inet manual
bridge_ports eno1.90
bridge_stp off
bridge_fd 0

auto vmbr120
iface vmbr120 inet manual
bridge_ports eno1.120
bridge_stp off
bridge_fd 0

auto vmbr80
iface vmbr80 inet manual
bridge_ports eno1.80
bridge_stp off
bridge_fd 0

Da ich nur ein Interface habe mache ich keine Bridge für das System sondern nur die vmbrX Bridge's für Proxmox.
2 Netzwerksegmente eno1.321 und eno1.322 (VLANS) sind nicht für die virtuellen Systeme und benötigen daher keine Bridge (vmbrX).
Die beiden Segmente sind für das Corosync (Proxmox Cluster) und für den CEPH Cluster. Das ist natürlich nur kosmetischer Natur da eh alles über ein Netzwerkinterface geht, aber ich wollte es zu mindest theoretisch korrekt machen.

vmbr40 ist dann das Management Netzwerk und dem entsprechend sind die Proxmox Server auch darüber erreichbar. Alle anderen Interface also die vmbrX sind dann ausschließlich für die virtuellen Maschinen.
So ist vmbr90 mein Client-Netzwerk. Fernsehr, Tablet, Handy und Notebooks kommen in das Netzwerk und kommunizieren dann mit den virtuellen Maschinen insbesondere natürlich mit der Firewall.


Bei Fragen einfach fragen.

Grüße
 
was muss ich machen damit ich auch ein 10.0.0.0 Netzwerk benutzen kann ?
muss ich das meiner fritzbox noch bei bringen oder wie geht das ?

der server hängt zur zeit an einem switch der nach der fritzbox kommt.
 
Bei mir hängt die Fritzbox direkt am Switch mit untagged Port. Die Fritzbox hat eine 192.168.x.x IP und steht so gesehen in einer DMZ oder wie man bei opnSense sagt an der WAN Schnittstelle.
In opnSense habe ich dann das Netzwerk der Fritzbox 192.168.x.x an WAN gebunden und Intern verwende ich 10.x.x.x
Das geht aber nicht wenn Du WLAN über Fritzbox machen willst. Ich habe mir ein AccessPoint besorgt der VLAN kann, damit alles sauber getrennt ist.
 
ich möchte über unifi wlan bauen und die fritzbox soll nur noch router / telefonanlage sein.
es soll alles durch den server mit der firewall gehen.
ich frage nich nur gerade wie ich das jetzt zum testen bauen soll.

ich gehe von der fritzbox in den swich von dort in den server und dann vom server ( er hat 4 netzwerk ports ) port 2 an dem ein 10.0.0.0 netz erzeugt wird in einen testrechner der sich dann im 10.0.0.0 netz befindet ist das soweit richtig ?

und am 10.0.0.0 netz werden vlan erstellt was ich dann von meinem switch weiter trennen kann.

soweit richtig ?
 
Soweit passt es fast.

10er Netz hat mit dem VLAN nichts zu tun. Du kannst auch ein VLAN machen und irgendein Subnetz darüber laufen lassen. Oder 10.
Entscheiden ist was am Port dran hängt der das VLAN hat.

Du hast einen Testclient der per Kabel an den Switch soll. Du steckst den Testclient an einen Port mit VLAN und somit muss der Client auch VLAN können und mit der selben ID.
An dem Port mit dem Proxmox Rechner musst Du alle VLAN IDs anbinden inklusive untagged oder VLAN 0 bei Netgear Switch. Denn im Proxmox laufen ja alle Netze zusammen auf die Firewall (opnSense).

Du kannst zum testen doch den Gastport der Fritzbox nehmen.
Ich habe auch unifi. Dort sagst du dem WLAN das es VLAN machen soll und an dem Port des Switch es wo der AP dran hängt gibst du die selbe VLAN ID wie in der WLAN Konfig des unifi AP
 
so mal meine network/interfaces in kurzform:

Code: 
auto lo
iface lo inet loopback

auto eno1
iface eno1 inet manual

auto eno2
iface eno2 inet manual

auto eno3
iface eno3 inet manual

auto eno4
iface eno4 inet manual

iface eno4.40 inet manual

auto vmbr1
iface vmbr1 inet static
        address  192.168.178.11
        netmask  24
        bridge-ports eno2
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2-4094
        bridge_std off
#Firewall / WAN

auto vmbr2
iface vmbr2 inet manual
        bridge-ports eno3
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2-4094
#Firewall / LAN / VLAN

auto vmbr4
iface vmbr4 inet manual
        bridge-ports eno4
        bridge-stp off
        bridge-fd 0

auto vmbr40
iface vmbr40 inet manual
        address 10.6.4.2
        netmask 255.255.255.0
        gateway 10.6.4.1
        bridge_ports eno4.40
        bridge_stp off
        bridge_fd 0
#Management Netzwerk
wenn ich einen pc an eno4 direkt dranhänge müsste ich doch wenn ich die vmbr40 als netzwerk auswähle das subnetz 10.6.4.2 angesprochen werden oder ?

wenn ich vmbr 1 als WAN für opnsense nehme und vmbr40 für das LAN wie wird das eingestellt, da werde ich immer nach dhcp server und nameserver, gateway gefragt, je nachdem was ich da mache kann ich nach 8.8.8.8 pingen oder eben nicht aber ein update der firewall bekomme ich immer time out.
 
Last edited:
Wenn du einen PC am Switch mit tagged Port VLAN40 an schließt und dein PC VLAN kann und du eine IP hast mit 10.6.4.x dann solltest du das Subnetz ansprechen können

Für Lan verbist
 
woher weis ich ob der pc vlan kann ;-( ich ein laptop den ich zum testen direkt an eno4 /vmbr40 hängen würde.
oder ich erstelle zum testen erst mal einen eno 3 mit der konfig von vmbr40 dann sollte ich das nezt auf jeden fall erreichen, nur wie komme ich dann ins wan ist opnsense geblockt oder sind die regeln schon erstellt das ich raus kann ?
 
Du kannst auch erstmal ohne VLAN arbeiten.
Per Default darf glaube aller Traffic von lan raus ins WAN. Du solltest also mit dem Notebook und entsprechender Konfig surfen können. Musst halt IP, Gateway und DNS korrekt einstellen.
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back