[SOLVED] Switch-Trunk in VM durchreichen

A

anothatuber

New Member
Dec 29, 2021
2
0
1
49
Hallo,

da meine physische OPNsense-Box hardwaremäßig Probleme bereitet, dachte ich mir, ich virtualisiere sie kurz mal in Proxmox. Tja, war wohl leider nix mit kurz mal.

Physisch hat die OPNsense zwei LAN-Schnittstellen, eine für WAN, eine für LAN. WAN kommt untagged vom Modem, LAN geht als verschiedene VLAN an den Trunk-Port meines Switches und dort an den Proxmox-Server sowie AP usw. Funktioniert auch alles seit jeher.

Auf meinem Proxmox-Server laufen über die eine Schnittstelle sowieso schon alle VLAN vom Switch tagged auf die VLAN aware Linux Bridge vmbr0 und gehen dort jeweils in die ganzen VM (z.B. net0: virtio=...,bridge=vmbr0,tag=7). Und diese Bridge meinte ich nun als net0 einfach der virtuellen OPNsense zur Verfügung stellen zu können (der WAN-Port käme über einen separaten LAN-Port meines Servers, ist hier also egal).

Aber egal wie ich es anstelle, ich bekomme auf die OPNsense nur eine Verbindung, wenn ich Proxmox-seitig in deren Netzwerkkarte ein Tag angebe. Klar könnte ich nun fünf Netzwerkkarten mit jeweils einem anderen Tag angeben und hätte dann in der OPNsense fünf Netzwerkkarten zur Verfügung. Aber sollte es nicht auch möglich sein, alle VLAN getaggt gemeinsma über eine Netzwerkkarte dort einzuleiten? Dann bräuchte ich mich bei Änderungen um einen Layer weniger kümmern.
Aber ich bekomme es anscheinend nicht hin, dass die OPNsense-VM die getaggten Pakete zu sehen bekommt.

Fragen:
1. Ist es grundsätzlich möglich, dass die VM die getaggten Pakete sieht?
2. Wenn ja, muss die Bridge dann VLAN aware sein oder nicht?
3. Wie kann ich sowas debuggen (also in der VM sehen ob Pakete getaggt oder ungetaggt kommen)?

Grüße,
Arno
 
Hallo,
Wir fahren folgende Kombination bei uns im RZ und die funktioniert sehr gut.
An der Bridge für die VMs liegt bei uns ein Tagged Modus / Trunk an.
Die Bridge ist ganz normal, also ohne Vlan Aware, eingerichtet und jede VM bekommt einen Vlan Tag wenn sie im untagged Modus läuft. Hat sie keinen Tag dann liegt also Vlan 1 per default untagged an.
Möchte ich jetzt eine VM im tagged Modus laufen lassen kann ich in der VM Vlan Interface auf dee Netzwerkkarte einrichten, unter Linux z.B. mit vconfig add eth0.50 und da eine IP drauf setzen. Das funktioniert wie schon gesagt sehr gut.
Vlan aware Bridges oder
Openvswitch benutzen wir derzeit gar nicht, ebenso wenig SDN. Welche Vlans dann an den Trunks Anliegen steuern wir mit allow Listen auf den Switchen.
 
Wenn du es simpel und nachvollziehbar halten willst, mach einfach 5 virtuelle NICs. Theoretisch müsste auch ein Tagging in der VM gehen bei einer VLAN aware Bridge, aber ich weiß nicht was man da konfigurieren muss. Bei VMware musste man dafür VLAN 4095 setzen und dann hatte der vSwitch die Tags weiter gegeben. Bei einer Linux Bridge geht das bestimmt auch irgendwie.
 
Vielen Dank für eure Bemühungen um Erklärung und Hilfen.

Inzwischen hatte ich Tests gemacht mit einer Ubuntu-VM mit den gleichen Bridges und dort konnte ich innerhalb in der VM mit Wireshark die Tags in den Ethernet-Frames sehen. Ebenso konnte ich dann per vconfig die ein VLAN hinzufügen das auch funktionierte.
Schlussendlich habe ich mich dann zu einem Neustart von Proxmox durchgerungen und plötzlich funktionierte auch in der OPNsense-VM alles wie es sollte. Es muss sich also wohl irgendwo einfach was verkanntet gehabt haben.

Schlußendlich nutze ich als jetzt eine VLAN aware Linux-Bridge für die aber in Proxmox kein VLAN gesetzt ist. Die Verwaltung der einzelnen VLAN wird innerhalb der OPNsense-VM erledigt.
Das kommt mir auch sehr entgegen, da ich so relativ einfach die Konfiguration zwischen VM und realer Hardware hin und herkopieren kann. Das Einzige was immer zu beachten ist, ist die Anpassung der Netzwerkinterface-Namen. Das geht gut über Suchen und Ersetzen in der Configurationsdatei der OPNsense (XML-Datei).

Was ich an dieser Stelle auch noch erwähnen möchte falls jemand den Thread wegen eines ähnlichen Szenarios findet:
Nochmal einen guten Tag hat es mich gekostet herauszufinden, weshalb die PPPoE-Einwahl aus der virtuellen OPNsense nicht funktionierte, wohl jedoch aus der Bare-Metal-OPNsense. Ich hatte (wie ich es immer mache) die virtuelle Netzwerkkarte als VirtIO-Device angelegt. Das funktioniert für das LAN- und das Management-Interface tadellos, aber nicht für die PPPoE-Einwahl. Nach Umschaltung auf E1000 klappt auch PPPoE.

Grüße,
Arno
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back