PVE V-Lan + Firewall Einstellungen

[Anonymous2k]

Hallo zusammen,

ich möchte gerne meine Hardware Firewall auf einer VM auslagern und bräuchte mal etwas Hilfe dabei.

Nach einem Tutorial habe ich jetzt die V-Lan Einstellungen eingerichtet:



eno1 läuft an einen Netgear Switch und enp5s0 würde dann an das Modem laufen.

Der Port 9 am Switch ist in jedem V-Lan als Tagged eingerichtet (Port 1 ist meine pfSense):



Die Sophos Firewall hat folgende Netzwerk Einstellungen:



Um das ganze jetzt zu testen habe ich zwei Container eingerichtet, einer ist im V-Lan 10:



Und der zweite im V-Lan 20:



In der Sophos Firewall ist das V-Lan 20 eingerichtet:



Allerdings lässt sich die Firewall aus dem V-Lan 20 (rechts) nicht anpingen, aus dem V-Lan 10 (links) funktioniert es ohne Probleme:



Könnt ihr mich hier auf den richtigen Weg bringen?

 

[Anonymous2k]

0 Hilfe, sehr cool

 

[aaron]

0 Hilfe, sehr cool

Wenn niemand Hilfe weiß, kann es gut sein, zu posten, was zu in der Zwischenzeit noch so probiert hast. Das hilft erfahrungsgemäß deutlich mehr als passiv aggressiv um Aufmerksamkeit zu buhlen

Zum Problem: Wenn ich das richtig sehe, hast du das VLAN 20 innerhalb des FW Gasts konfiguriert?
Allerdings hat die FW auf der ersten NIC schon von PVE Seite den Tag 10 bekommen. Wenn du dann innerhalb der VM noch ein VLAN 20 auf die NIC konfigurierst, hast du von außen gesehen ein VLAN in VLAN, auch bekannt als QinQ.
Vom VLAN Tag 10 weiß die FW selbst wenig, da es sich hier um eine Konfig handel wie wenn du auf einem Switch auf einem Port VLAN 10 als untagged konfiguriert hast.

Du kannst es auf eine der zwei Varianten umbauen:
Entweder hat die NIC an die FW keinen VLAN Tag von PVE Seite und du machst das nur innerhalb der VM, oder du gibst der VM noch eine weitere NIC die mit vmbr0 verbunden ist, und gibts dem Interface den Tag 20.

 

[kleinp]

0 Hilfe, sehr cool

Sowas mag ich wie Harnwegsinfekt :-(