PVE V-Lan + Firewall Einstellungen

Anonymous2k

New Member
Jul 9, 2022
2
0
1
Hallo zusammen,

ich möchte gerne meine Hardware Firewall auf einer VM auslagern und bräuchte mal etwas Hilfe dabei.

Nach einem Tutorial habe ich jetzt die V-Lan Einstellungen eingerichtet:

1.png

eno1 läuft an einen Netgear Switch und enp5s0 würde dann an das Modem laufen.

Der Port 9 am Switch ist in jedem V-Lan als Tagged eingerichtet (Port 1 ist meine pfSense):

1.png

Die Sophos Firewall hat folgende Netzwerk Einstellungen:

1.png

Um das ganze jetzt zu testen habe ich zwei Container eingerichtet, einer ist im V-Lan 10:

1.png

Und der zweite im V-Lan 20:

1.png

In der Sophos Firewall ist das V-Lan 20 eingerichtet:

1.png

Allerdings lässt sich die Firewall aus dem V-Lan 20 (rechts) nicht anpingen, aus dem V-Lan 10 (links) funktioniert es ohne Probleme:

1.png

Könnt ihr mich hier auf den richtigen Weg bringen?
 

Attachments

  • 1.png
    1.png
    39.1 KB · Views: 3
  • 1.png
    1.png
    39.1 KB · Views: 2

aaron

Proxmox Staff Member
Staff member
Jun 3, 2019
3,061
512
118
0 Hilfe, sehr cool :)
Wenn niemand Hilfe weiß, kann es gut sein, zu posten, was zu in der Zwischenzeit noch so probiert hast. Das hilft erfahrungsgemäß deutlich mehr als passiv aggressiv um Aufmerksamkeit zu buhlen :)

Zum Problem: Wenn ich das richtig sehe, hast du das VLAN 20 innerhalb des FW Gasts konfiguriert?
Allerdings hat die FW auf der ersten NIC schon von PVE Seite den Tag 10 bekommen. Wenn du dann innerhalb der VM noch ein VLAN 20 auf die NIC konfigurierst, hast du von außen gesehen ein VLAN in VLAN, auch bekannt als QinQ.
Vom VLAN Tag 10 weiß die FW selbst wenig, da es sich hier um eine Konfig handel wie wenn du auf einem Switch auf einem Port VLAN 10 als untagged konfiguriert hast.

Du kannst es auf eine der zwei Varianten umbauen:
Entweder hat die NIC an die FW keinen VLAN Tag von PVE Seite und du machst das nur innerhalb der VM, oder du gibst der VM noch eine weitere NIC die mit vmbr0 verbunden ist, und gibts dem Interface den Tag 20.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get your own in 60 seconds.

Buy now!