VLAN Konfiguration

[AndrwHmmr]

Hallo,

ich habe momentan ein paar Probleme meinem Proxmox Host beizubringen VLANs zu verwenden.
Ich erstelle auf meiner OPNSense VLAN2, der Switch zwischen Proxmox und der Firewall weiß auch bescheid.
Auf dem Proxmox Host selbst kann ich das Gateway für VLAN2 Pingen.

Jedoch funktioniert das nicht in den Containern/VMs die VLAN2 benutzen sollen.
Sowohl Container als auch VM bekommen jedoch vom DHCP korrekt eine IP aus VLAN2 und ich sehe auch auf der Firewall DNS Anfragen von den IPs.
Die Leitung ist aber trotzdem faktisch tod.

Warum?

auto vmbr0
iface vmbr0 inet static
        address 10.1.1.7/24
        gateway 10.1.1.1
        bridge-ports enp1s0f0
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2-4094

Was mache ich falsch?

Vielen Dank im Vorraus!

 

[pakuzaz]

Container keine Ahnung aber bei vms kannst du im proxmox vlans direkt mitgeben

 

[AndrwHmmr]

Gude, danke für die Antwort.

Ich habe sowohl bei den VMs als auch den Containern das VLAN 2 definiert, wenn ich das nicht mache kommt auch die IP aus der anderen DHCP Range...

bridge -c vlan show zeigt mir das:


So wenn ich das richtig verstehe dann ist der Austritt des Ports des Containers Untagged? Das wäre ja "fatal" wenn die Packete von dem Container Untagged sind dann weiß der Switch ja gar nicht wohin damit :thinking:

 

[Dunuin]

So wenn ich das richtig verstehe dann ist der Austritt des Ports des Containers Untagged? Das wäre ja "fatal" wenn die Packete von dem Container Untagged sind dann weiß der Switch ja gar nicht wohin damit :thinking:

Man muss bei jedem Switch auch immer ein Standard-VLAN für jeden Port für untagged Traffic vorgeben. Kommt auf dem Port dann etwas ungetaggtes rein, dann wird das automatisch in das entsprechende VLAN geleitet.
Könntest du im Switch z.B. für den jeweiligen Port auch die PVID auf 2 setzen, damit das ungetaggte von den LXCs auch im VLAN 2 landet.
Ist dann nur problematisch, wenn du LXCs in verschiedenen VLANs haben willst.

Oder du machst dir mehrere Linux VLAN interfaces und dann mehrere Linux Bridges die VLAN unaware sind. Dann nehmen die Bridges untagged Traffic an, geben das an das VLAN Interface weiter und dieses fügt dann das Tag hinzu, damit es als tagged Traffic über die NIC zum Switch geht.
So mache ich das hier gerade. Ist aber etwas unschöner. Ich hab hier 10 VLANs am Proxmox Host und muss entsprechend 10 Bridges haben und 10 virtIO NICs für die OPNsense VM. Dafür muss dann aber auch keine VM oder LXC slebst irgendwas taggen, weil das alles vom Host übernommen wird.

 

[AndrwHmmr]

[...]
Oder du machst dir mehrere Linux VLAN interfaces und dann mehrere Linux Bridges die VLAN unaware sind. Dann nehmen die Bridges untagged Traffic an, geben das an das VLAN Interface weiter und dieses fügt dann das Tag hinzu, damit es als tagged Traffic über die NIC zum Switch geht.
So mache ich das hier gerade. Ist aber etwas unschöner. Ich hab hier 10 VLANs am Proxmox Host und muss entsprechend 10 Bridges haben und 10 virtIO NICs für die OPNsense VM. Dafür muss dann aber auch keine VM oder LXC slebst irgendwas taggen, weil das alles vom Host übernommen wird.

Vielen Dank für den Input und den Tipp.

Ich sehe jetzt mittlerweile per tcpdump korrekt getaggted pakete von dem Container sowohl auf den bridges als auch auf der NIC, dennoch nix. Ich vermute so langsam das das Problem wo anders im Netzwerk sitzt. *seufz*

 

[AndrwHmmr]

Selbst auf der Firewall kommt das VLAN 2 richtig getagged an *facepalm*, oh man vielleicht doch lieber was mit Holz machen...

 

[AndrwHmmr]

Oke... (Sorry für den Spam)

Es lag tatsächlich nie an Proxmox, ich habe jetzt ein neues VLAN auf meiner OPNsense (Physisch) erstellt.
Damit tuts, sogar ohne extra VLAN Interfaces auf den HVs einfach nur ne VLAN Aware Bridge und den Tag in den Optionen des Containers gesetzt, so wie es soll.

Warum? Keine Ahnung.

Happy, aber schwer verwirrt.