[SOLVED] VLAN Tagging an eine VM durchreichen

iScyen

Member
Oct 14, 2021
5
0
6
31
Hallo Zusammen :)

ich verwende zurzeit Zuhause Esxi und möchte die VMs alle zu Proxmox migrieren. Dafür nutze ich einen alten Testrechner um die Proxmox Umgebung Temporär aufzubauen. Anschließend würde ich auf die vorhandene Hardware Proxmox installieren und die VMs mihilfe der Backups wiederherstellen. Ein Cluster mit Shared Storage geht glaube ich zu weit :D

Auf dem Esxi Server läuft zur Zeit eine virtualisierte Sophos XG, die ich Übergangsweise noch auf Proxmox verwenden möchte. Würde da gerne irgendwann mal OPNSense anschauen. Leider habe ich das Problem, dass ich das VLAN Tagging nicht zur VM bekomme. Könnt ihr mir da weiterhelfen?

Zur Konfiguration:

1634242423631.png
1634242473403.png

Wenn ich das richtig verstehe brauche ich VLAN aware für das Tagging bis zur VM. Leider funktioniert dies nicht. Gebe ich der VM das VLAN (untagged) auf der Netzwerkkarte mit, funktioniert dies leider auch nicht.

Die VLANs sind jedoch richtig auf den Switch angelegt. Wenn ich eine zusätzliche Bridge erstelle und dem das VLAN zuweise funktioniert es, jedoch nur als untagged.

Code:
root@tr-pve01:~# cat /etc/network/interfaces
# network interface settings; autogenerated
# Please do NOT modify this file directly, unless you know what
# you're doing.
#
# If you want to manage parts of the network configuration manually,
# please utilize the 'source' or 'source-directory' directives to do
# so.
# PVE will preserve these directives, but will NOT read its network
# configuration from sourced files, so do not attempt to move any of
# the PVE managed interfaces into external files!

auto lo
iface lo inet loopback

iface enp3s0 inet manual

iface enp6s0 inet manual

auto vmbr0
iface vmbr0 inet static
        address xxx.xxx.xxx.xxx/24
        gateway xxx.xxx.xxx.xxx
        bridge-ports enp3s0
        bridge-stp off
        bridge-fd 0

auto vmbr13
iface vmbr13 inet manual
        bridge-ports enp6s0.13
        bridge-stp off
        bridge-fd 0
#VLAN13

auto vmbr4090
iface vmbr4090 inet manual
        bridge-ports enp6s0.4090
        bridge-stp off
        bridge-fd 0
#WAN

auto vmbr1
iface vmbr1 inet manual
        bridge-ports enp6s0
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2-4094
#All VLANs

Als Beispiel die Bridge vmbr4090 mit dem VLAN 4090 funktioniert. Dort kann sich die Sophos ins Internet einwählen. Auch vmbr13 funktioniert für meine Servernetze bisher einwandfrei.

Code:
root@tr-pve01:~# lspci | grep Ethernet
03:00.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller (rev 06)
06:00.0 Ethernet controller: Intel Corporation 82574L Gigabit Network Connection


Vielen Dank für eure Hilfe :)
 
Hallo iScyen

Dass die Verbindungen über die Bridges 13 und 4094 funktionieren, ist eigentlich normal, da sie sich wie normale „dumme“ Switches verhalten. D. h., alle an diese Bridges angeschlossene Devices (VMs oder physische) sind automatisch im VLAN13 bzw. VLAN4094

Im Fall der Bridge 1 musst du zwei Sachen berücksichtigen:
1. Die Bridge muss VLAN aware sein (das hast du bereits eingestellt)
2. Die einzelne Interfaces der VM müssen eine VLAN-ID zugewiesen bekommen (virtuelle NICs editieren). Alternativ kannst du auch einen einzigen virtuellen Netzwerkadapter verwenden und die VLANs in der VM konfigurieren.

Vielleicht hilft dir dieser beitrag weiter:
https://forum.proxmox.com/threads/switching-from-unmanaged-gbit-to-10g-vlan.80508/#post-356260

Gruss
 
Wobei da noch angemerkt werden müsste, dass wenn du einer virtuelle NIC kein VLAN Tag zuweist, die virtuelle NIC einfach sämtliche VLAN getaggte Pakete bekommt und sich dann das GastOS darum kümmern muss welche Pakete es davon nun annehmen will oder nicht. Wenn es darum geht das die Firewall VM tagged VLAN nutzen können sollte, dann kann es da ja durchaus gewünscht sein, dass man da kein VLAN tag für die virtio NIC hinterlegt. VLANs möchte man da ja eher über die Firewall VM verwalten, dass da auch zwischen den verschiedenen VLANs geroutet werden kann.
Da sieht deine vmbr1 also eigentlich schon ok aus.
 
Last edited:
Hi,

vielen Dank für eure Unterstützung :)

@Belegnor
genau die Bridge für das VLAN 13 und 4090 funktionieren. Wenn ich aber die Bridge VMBR1 nehme und auf der Netzwerkkarte das VLAN zuweise funktioniert es leider nicht.

VLAN 13 direkt auf der Bridge funktioniert:
1634298592226.png


VLAN 13 in der Netzwerkkarte funktioniert leider nicht:
1634298671659.png


Das war aber nur ein Test ob das VLAN überhaupt funktioniert. Ist ja auch dann nur Untagged. Für die Firewall brauchte ich Tagged VLANs.

Im Prinzip wollte ich es dann so haben - alle VLANs zur VM ohne Angabe eines VLANs:
1634298751514.png



@Dunuin
Genau, der VM Netzwerkkonfiguration habe ich kein VLAN mitgegeben. Die Firewall hat in jedem VLAN ein Beinchen und fungiert als Gateway. Leider funktioniert es nicht :D


Habt ihr noch Ideen? :)


Danke.
 
Hallo iScyen

Wenn ich mich täusche, hast du die folgende Konfiguration:

- enp6s0 >> vmbr1
- enp6s0.13 >> vmbr13
- enp6s0.4090 >> vmbr4090

Somit versuchst du, das VLAN13 über vmbr1 zu erreichen, obwohl dieses VLAN sich bereits hinter der vmbr13 befindet. Ich könnte mir vorstellen, dass dies zu Problemen führen kann, aber ganz sicher bin ich mir nicht.

Meine Empfehlung wäre, die Interfaces enp6s0.13 und enp6s0.4094 zu löschen und den jeweiligen virtuellen NICs die entsprechenden VLAN-IDs zuzuweisen. Wichtig ist, dass die vmbr1 als "VLAN aware" und der Switchport als Trunk konfiguriert sind.

Ich hoffe das hilft ... :)

[Edit]
Alternativ kannst du nur ein Interface anstelle der aktuellen vier verwenden und die VLANs in deiner Firewall konfigurieren. Dann musst du keine VLAN-IDs angeben. Ob das die bessere Lösung für dich ist, sein dahingestellt. Bei mir sieht es ähnlich wie bei dir aus, nur dass ich die VLAN-IDs auf den NICs konfiguriere.

1634316066396.png

Bis jetzt funktioniert alles ohne Probleme ... ;)

Gruss
 
Last edited:
Hi,

@Belegnor

Es funktioniert :) . Lag tatsächlich an den vorhanden Bridges. Nachdem ich diese gelöscht habe funktioniert das VLAN Tagging bis zur VM. Bedeutet ich nutze im Gegensatz zu deinem Screenshot nur eine Bridge und gebe nicht explizit ein VLAN mit.


Vielen Dank für eure Hilfe :)
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!