virtuelles VLAN erstellen

P

Proxxi

New Member
Oct 6, 2020
3
0
1
26
Hallo liebe Community,

ich würde auf meinem Proxmox Heimserver gerne ein virtuelles VLAN erstellen, damit ich einige VMs vom restlichen Netzwerk trennen kann.

Warum?
Ich würde sehr gerne eine theoretisch Windows Server Umgebung mit eigenen DNS, DHCP, Testclients, Softwareverteilungssystem, usw aufbauen.

Leider kenne ich mich mit Bridges usw überhaupt nicht aus ... gibt es dazu eventuell passende Wikis oder Anleitungen, die mir den Start erleichtern könnten oder wäre evtl jemand so nett und könnte mir kurz aufzeigen wie ich das ganze einstellen könnte, dass gewisse VMs in einem VLAN sind, jedoch trotzdem weiterhin Internetzugriff haben.

Wenn das ganze ohne zusätzliche Hardware umsetzbar ist, würde ich das bevorzugen, ansonsten muss ich mir halt einen managed Switch kaufen und zusätzlich eine 2. Netzwerkkarte, was nicht gerade günstig wäre ...

Ich hoffe mir kann einer Helfen ...

LG
 
Proxxi said:
Leider kenne ich mich mit Bridges usw überhaupt nicht aus ... gibt es dazu eventuell passende Wikis oder Anleitungen, die mir den Start erleichtern könnten
Click to expand...
Unser Wiki und unsers Doku helfen oft schon recht viel weiter :)

Proxxi said:
oder wäre evtl jemand so nett und könnte mir kurz aufzeigen wie ich das ganze einstellen könnte, dass gewisse VMs in einem VLAN sind, jedoch trotzdem weiterhin Internetzugriff haben.
Click to expand...
Hier muss man entscheiden: Wenn die VM nur über ein VLAN kommunizieren kann, und die Internetleitung nur untagged funktioniert, dann muss es zwangsläufig einen dritten Akteur geben (Router o.ä., kann man theoretisch auch in Software am PVE selbst machen) der dazwischen sitzt und VLAN tags wegnimmt/dazugibt. Das heißt dann aber auch, dass die VMs nicht mehr isoliert sind.

Am sinnvollsten würde mir für den beschriebenen Use-Case folgendes Setup erscheinen:
  • Eine neue Linux Bridge erstellen (vmbr1), ohne IP addresse in der GUI auszuwählen, damit ist der PVE host von dem Netz isoliert. Brücke auf VLAN-aware schalten.
  • Die zu "isolierenden" VMs erhalten zwei NICs (virtuelle Netzwerkkarten im Hardware-Tab): Eine auf vmbr0, standard-config für Internetzugang (kann dann auch jederzeit, selbst im laufenden Betrieb, auf "Disconnected" geschalten werden, also quasi "Kabel raus" damit die VM auch wirklich isoliert ist), und eine zweite auf vmbr1, mit dem spezifischen VLAN-Tag gesetzt. Damit ist in der VM selbst keine VLAN-Config mehr notwendig, der PVE host tagged die Pakete selbst korrekt. VMs auf der vmbr1 können jetzt miteindander reden, sofern sie den gleichen VLAN Tag haben.
 
  • Like
Reactions: Proxxi
Stefan_R said:
Unser Wiki und unsers Doku helfen oft schon recht viel weiter :)


Hier muss man entscheiden: Wenn die VM nur über ein VLAN kommunizieren kann, und die Internetleitung nur untagged funktioniert, dann muss es zwangsläufig einen dritten Akteur geben (Router o.ä., kann man theoretisch auch in Software am PVE selbst machen) der dazwischen sitzt und VLAN tags wegnimmt/dazugibt. Das heißt dann aber auch, dass die VMs nicht mehr isoliert sind.

Am sinnvollsten würde mir für den beschriebenen Use-Case folgendes Setup erscheinen:
  • Eine neue Linux Bridge erstellen (vmbr1), ohne IP addresse in der GUI auszuwählen, damit ist der PVE host von dem Netz isoliert. Brücke auf VLAN-aware schalten.
  • Die zu "isolierenden" VMs erhalten zwei NICs (virtuelle Netzwerkkarten im Hardware-Tab): Eine auf vmbr0, standard-config für Internetzugang (kann dann auch jederzeit, selbst im laufenden Betrieb, auf "Disconnected" geschalten werden, also quasi "Kabel raus" damit die VM auch wirklich isoliert ist), und eine zweite auf vmbr1, mit dem spezifischen VLAN-Tag gesetzt. Damit ist in der VM selbst keine VLAN-Config mehr notwendig, der PVE host tagged die Pakete selbst korrekt. VMs auf der vmbr1 können jetzt miteindander reden, sofern sie den gleichen VLAN Tag haben.
Click to expand...

Vielen Dank für deine schnelle Hilfe!

Wenn man jetzt mit der Netzwerkkarte " vmbr0" regulär im Netzwerk hängt, kann man dann nicht auch von allen Geräten im gesamten Netzwerk erreicht werden? Schließlich sind dann ja sowohl ein- als auch ausgehende Verbindungen über beide Netzwerkkarten möglich oder? Hier wäre für mich dann das Problem, dass der DHCP Server, den ich in dem VLAN einrichten möchte, auch von Geräten außerhalb meiner Testumgebung (VLAN) erreicht werden könnte, was vermutlich dazu führt, dass der Windows Server meiner Fritzbox reinfunkt und ein kleines Chaos in Sachen IP Adressen-Verteilung entsteht ...

Oder hab ich es falsch verstanden -> sorry bin hier leider ein Noob :D
 
Ja, korrekt. Ein DHCP server im "isolierten" Netz bräuchte dann also entweder eine Konfiguration um nur auf einem Interface (dem von vmbr1) zu arbeiten, oder die VM/der CT mit dem DHCP Server hätte dann eben nur eine Netzwerkkarte und im Normalbetrieb keinen Internetzugang.
 
  • Like
Reactions: Proxxi
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back