[SOLVED] VLAN Problem

[ceasar]

Ich habe 2 Proxmoxe und 4 VMs.



Ping von der 192.168.50.10 auf die 192.168.50.11 -> geht nicht
Ping von der 192.168.50.20 auf die 192.168.50.21 -> geht
Ping von der 192.168.50.30 auf die 192.168.50.31 -> geht nicht

Ändere ich überall (außer bei der OPNSense natürlich) das VLAN auf 200 komme ich von jeder VM auf die 192.168.50.21.
Klappt aber nur mit dem 200er VLAN. Setze ich die 192.168.50.10 VM auf VLAN 300 kann ich keine IP mehr anpingen.

Jetzt bin ich etwas ratlos. Hat jemand eine Idee warum das nicht geht oder was man noch probieren könnte?
Kann es sein das Proxmox mit dem Tagging innerhlab der VM nicht klar kommt also von seiten der OPNSense?

Ein Debian installiert, auf eth0 3x vlan interfaces angelegt eth0.100 / eth0.200 / eth0.300. IPs 192.168.50.100 / 192.168.50.120 / 192.168.50.130 und jetzt wird es komisch, denn ich komme wenn die VM in VLAN 200 steckt an alle IPs der Debian VM ran (obwohl durch vlan nur eine gehen sollt). Mit den anderen VLANs (100/300) geht garnix.

Proxmox1 -> vmbr0 (vlan aware) -> 1x debian mit 3 vlan interfaces auf eth0
-------------------------------------------------> 1x windows client welchen ich in alle 3 VLANs nacheinander gesteckt habe
= Selbst lokal lässt die virtuelle Bridge auf dem Proxmox nur vlan 200 durch also ist es kein Problem der Switchconfig oder der OPNSense, versteh ich nicht.

 

[gmed]

Ich verstehe das Konzept absolut nicht.
Warum baust du X VLAN's mit jeweils dem gleichen IP-Addressraum auf?
Was für eine Netzwerkmaske hat du gesetzt?
Eine Adresse 192.168.50.300/24 kann nicht funktionieren.

Was willst du da bauen?

 

[ceasar]

Stimmt das ist ein Fehler im Bild. Die OPNSense hat .11/.21./.31 nur die VLANs sind 100/200/300.

Die Netze sind nur für den Test so gewählt. Ziel ist es der Firewall einen Adapter zu geben statt für jedes VLAN einen, weil das in unnötig vielen Adaptern enden könnte und das Verwalten der VLAN Adapter in der Firewall für mich mehr sinn macht.
Damit man easy testen kann ob die Netze vom VLAN wirklich getrennt sind habe ich alle im selben Netz, sollte durch das VLAN eigentlich kein Problem sein.

Nach vielen hin und her habe ich Freitag nochmal alles neu erstellt und jetzt geht es aber nicht wie gewünscht über einen Adapter an der Firewall sondern über jeweils einen für jedes VLAN.

Edit: So sollte es final werden. Alles virtuell bzw nur teils physisch aber selbst mit mehreren Adaptern an der Firewall klappt das nicht zuverlässig

 

[gmed]

Du kannst nicht ein und den selben IP-Addressraum rein durch VLAN's segmentieren.
Beim Wechsel von VLAN-Ebene auf IP zum Routing muß da was durcheinander kommen.
Nimm verschiedene Adressräume und dann kann's laufen.
Oder unterteile dein 24-er Netz mit kleineren Netzmasken in einzelne Teile.
Das ist etwas Rechnerei, aber kein Hexenwerk.

 

[ceasar]

Ok mit anderen Adressräumen klappt es solange ich Proxmox zum taggen nehme. VLAN tagging in der VM geht weiterhin nicht.

Client 1: 192.168.50.10 | Server: 192.168.50.11
Client 2: 192.168.51.20 | Server: 192.168.51.21
Client 3: 192.168.52.30 | Server: 192.168.52.31



Nutze ich net4 und lege darauf in der OPNSense das VLAN dann klappt nichts (die anderen Adapter habe ich natürlich down gesetzt und den net4 up).


EDIT:
Entgegen der Anleitungen im Netz wie hier: https://linuxincluded.com/pfsense-vlans-on-proxmox/ scheint es nicht zu klappen mit einer Linux Bridge. Ich habe jetzt eine OVS Bridge eingerichtet und siehe da, es klappt sofort. Wieder zurück auf Linux Bridge und nichts geht mehr..