Software-defined Networking (SDN) stack. VLANs direkt im Proxmox System möglich?

AcSpo

New Member
Feb 21, 2023
18
0
1
Hi Zusammen,

in der neuesten Version gibt es ja jetzt die SDN stack Integration in Proxmox selbst.

Bedeutet das, dass man im Grunde z.B. eine Fritz.box (ohne VLAN Fähigkeiten) nehmen kann und Proxmox dann selbst eigene VLANs für die LXC bzw. VMs machen kann, wenn man es direkt in Proxmox konfiguriert?

So, dass man also nicht noch auf VLAN fähige Router & Switchtes wie UniFi/Mikrotik o.ä. angewiesen ist?

Freue mich auf ein Feedback um es ein wenig besser zu verstehen.
 
Dein Router/Firewall in dem alles zusammen kommt, muss die VLANs auch konfiguriert haben, damit zwischen den Netzen geroutet werden kann. Wie das mit "dummen" Switches ist, weiß ich gerade nicht, ob die die VLAN Tags nicht angreifen. Wird evtl. auch vom jeweiligen Switch abhängen.
 
Schade, ich dachte, Proxmox übernimmt dann mehr oder weniger die Funktion des Routers und man könnte dann z.B. Geräte hinter Proxmox (mein Proxmox Server hat div. Netzwerkkarten) anschließen und die in einem separaten Netz betreiben, was nicht auf mein Hauptnetz zugreifen kann.
 
Wenn du interne Netz in einer Node meinst, dann geht das jetzt mit SDN deutlich leichter. Mit VXLANs sollte das auch deutlich leichter über mehrere Nodes in einem Cluster gehen.

Die Frage ist halt generell, wie man sein Netzwerk plant und wie sehr von außerhalb in das PVE interne VM Netz zugegriffen werden muss.

Wahrscheinlich ists besser du erklärst was du vor hast. Dann kann man die verschiedenen Möglichkeiten diskutieren :)
 
Hi,
anbei ein schnelles/einfaches Beispiel.

Laptop 1 soll ins Internet können und auf Netz von Laptop 2 zugreifen können
Laptop 2 soll ins Internet können aber nicht auf Netz von Laptop 1 zugreifen können.
SCR-20240110-kfho.png
 
In dem Fall ist es wohl wirklich am einfachsten alle Netze werden, ob physisch oder als VLAN bis zur zentralen Firewall "gezogen". Dann kann man dort die Regeln erstellen, welche Netze (oder spez. Hosts in einem Netz) wohin dürfen.

Alles andere wird schnell sehr kompliziert und unübersichtlich. Wie man die Netze an die Firewall bringt, hängt primär von deiner hardware ab. VLANs sind eine Option. Wenn die Firewall mehrere physische Ports hat und diese auch unterscheiden kann, könnte man mit echten Kabeln unterscheiden. Das Netz von Laptop 2 könnte z.B. über eine zweite NIC am PVE hosts direkt an die Firewall angeschlossen werden.
 
FRITZBoxen können kein VLAN. Von daher sind granulare VLAN-Regeln immer nur mit einer entsprechenden Firewall möglich. Selbst wenn eine verwendete Switch VLAN-Routing kann, bietet das noch keine Zugriffsbeschränkungen.
 
Hi,
anbei ein schnelles/einfaches Beispiel.

Laptop 1 soll ins Internet können und auf Netz von Laptop 2 zugreifen können
Laptop 2 soll ins Internet können aber nicht auf Netz von Laptop 1 zugreifen können.
View attachment 61114
Genau so wird das nicht funktionieren, da die Verbindung zur FB ins Internet immer über das 178er Netz geht.
Du kannst dir ja eine virtuelle Firewall, wie z.B. OPNSense installieren, dann kannst du über das Regelwerk dir solche Szenarien bauen.
 
Du kannst dir ja eine virtuelle Firewall, wie z.B. OPNSense installieren, dann kannst du über das Regelwerk dir solche Szenarien bauen.
Wenn zwischen 10.20.30.0/24 (PVE intern) und 192.168.178.0/24 (LAN) eine FW gesteckt wird und direkt geroutet wird (kein NAT), muss aber entweder die Fritzbox oder Laptop 1 noch eine explizite Route haben, die angibt, dass alles nach 10.20.30.0/24 and die IP der firewall im 192.168.178.0/24 Netz geschickt werden soll.

In der Situation wahrscheinlich ganz okay, aber das ganze Setup wird unübersichtlicher, da an min. zwei Stellen die Einstellungen passen müssen: Explizite route am default GW im LAN und die eigene FW, die beide Netze routet und mit den FW regeln kontrolliert, wer wohin darf.
 
Am besten das 178er Netz nur als WAN Netz für die Firewall nutzen und alles andere hinter der Firewall sauber trennen.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!