VLAN Ubiquiti

P

Philipp1596

New Member
May 25, 2021
5
0
1
28
Hallo zusammen,

ich bin neu im Umgang mit Proxmox, dies mal vorne weg gesagt.
Ich habe bei mir zuhause ein Ubiquiti Netzwerk mit mehreren VLAN´s.
Prinzipiell sieht es so aus:
Management LAN 192.168.0.1/24 (Standardmäßig VLAN ID 1)
Privat LAN 192.168.10.1/24 (VLAN ID 10)
SmartHome LAN 192.168.30.1/24 (VLAN ID 30)

Mein Server, auf dem Proxmox läuft, hat nur einen Ethernet Port.
Diesen Port habe ich auf einen Port am Switch mit dem Profil "All" angesteckt.
Das Switchport Profil "All" hat als natives LAN das Management LAN, weshalb ich die vmbr0 eine IP aus dem Management LAN vergeben habe. Aus einem anderen Bereich finde ich ihn nicht mehr und kann ihn auch nicht anpingen.

Jetzt würde ich gerne einem Container eine IP aus dem Range 192.168.30.XXX vergeben, was der VLAN ID 30 entspricht.

Bisher habe ich bei vmbr0 "VLAN aware" angehakt und im Container sowie die VLAN ID 30, als auch eine IP aus dem Range eingetragen.
Leider kann ich diese dann nicht erreichen und auch nicht anpingen.

Wo liegt hier der Fehler?

Vielen Dank für eure Hilfe schon mal.
 
Hallo,

zuerst einmal die Frage - nutzt du traditionelle Bridges oder OVS (OpenSwitch)? Sollte dir nicht klar sein, was ich meine, nutzt du den Standard, also ersteres ;)
In diesem Fall ist das Feld "VLAN ID" in der VM uninteressant - du kannst es einfach leer lassen. Stattdessen legst du beim Host eine neue Bridge, z.B. "vmbr30" an, die als Interface "eno1.30" hat, wenn eno1 dein Netzwerkinterface ist - 30 definiert an dieser Stelle die VLAN ID.

Die Doku ist etwas missverständlich, demnach sollte es wohl auch mit der VLAN ID beim Client klappen - meiner Erfahrung nach geht das aber nicht. Entweder man nutzt OVS und setzt die VLAN ID beim Client (oder keine, wenn man alle VLANs durchreichen will, also im Client selbst) oder man erstellt auf dem Host für jedes VLAN eine separate Bridge, die man dem Client zuweist...

Korrigiert mich bitte, wenn ich was falsches geschrieben habe - zumindest hat es bei mir aber so immer funktioniert...
 
antimon said:
Hallo,

zuerst einmal die Frage - nutzt du traditionelle Bridges oder OVS (OpenSwitch)? Sollte dir nicht klar sein, was ich meine, nutzt du den Standard, also ersteres ;)
In diesem Fall ist das Feld "VLAN ID" in der VM uninteressant - du kannst es einfach leer lassen. Stattdessen legst du beim Host eine neue Bridge, z.B. "vmbr30" an, die als Interface "eno1.30" hat, wenn eno1 dein Netzwerkinterface ist - 30 definiert an dieser Stelle die VLAN ID.

Die Doku ist etwas missverständlich, demnach sollte es wohl auch mit der VLAN ID beim Client klappen - meiner Erfahrung nach geht das aber nicht. Entweder man nutzt OVS und setzt die VLAN ID beim Client (oder keine, wenn man alle VLANs durchreichen will, also im Client selbst) oder man erstellt auf dem Host für jedes VLAN eine separate Bridge, die man dem Client zuweist...

Korrigiert mich bitte, wenn ich was falsches geschrieben habe - zumindest hat es bei mir aber so immer funktioniert...
Click to expand...

Er schreibt doch er hat eine linux bridge genommen.


Die Konfig ist richtig, ich würde den switch nochmal überprüfen.

Für das vlan aware musst du den server neustarten, falls noch nicht getan..

Hin und wieder gibt es auch probleme mit dem nic treiber der dann keine vlans kann, kommt häufig mit bonds zusammen vor.

Wenns hart auf hart kommt, mirror port beim switch anlegen und mal mit wireshark lauschen ob die vlans wirklich getaggt sind.
 
Ne ganz dumme Frage:
Ich hab jetzt nirgendwo etwas von Routing gelesen. Wie kommt man aus dem Management LAN den in dein Smarthome LAN? Da muss ein Routing vorhanden sein, sonst kannst du von der 192.168.0.0/24 grundsätzlich nicht zur 192.168.30.0/24 gelangen.

BTW: Ich weiß, es ist zu Hause nicht so dramatisch, aber VLAN ID 1 als Management ist irgendwie nicht so toll. Jedes Gerät das untagged im Netz unterwegs ist, hat dadurch Zugriff auf das Management LAN und je nach Konfig der Firewall dann auch Zugriff auf die Geräte deiner Infrastruktur.
In kritischeren Setups ist das ein No Go... (Wollte ich nur kurz los werden ;) )

Achso, noch eine Sache:
Bei einer vlan aware bridge ist das Erstellen von virtuellen Interfaces a la eth1.30 etc. nicht nötig. Das ist der Vorteil dieser Funktion. Du verwendest die Bridge vmbr0 und setzt in der VM config das Tag. Das ist alles. Funktioniert hier bei uns im Betrieb völlig Problemlos.
Der Port am Switch, auf dem dann vmbr0 anliegt, muss natürlich auch ein tagged port sein. Unter Cisco nennt sich das Trunk, bei Unifi stellst du den Port auf ein entsprechendes Profil, das alle VLANs enthält, die du über vmbr0 erreichen können möchstes. Das Profil "All" wäre z.B. ein solches. ABER: Du musst auch im Unifi Controller ein Netz mit entsprechendem VLAN Tag konfigurieren, damit dein Switch dieses VLAN auch kennt. Sonst verwirft er entsprechend getaggte Pakete.
 
Last edited:
  • Like
Reactions: ph0x
Ingo S said:
Ne ganz dumme Frage:
Ich hab jetzt nirgendwo etwas von Routing gelesen. Wie kommt man aus dem Management LAN den in dein Smarthome LAN? Da muss ein Routing vorhanden sein, sonst kannst du von der 192.168.0.0/24 grundsätzlich nicht zur 192.168.30.0/24 gelangen.

BTW: Ich weiß, es ist zu Hause nicht so dramatisch, aber VLAN ID 1 als Management ist irgendwie nicht so toll. Jedes Gerät das untagged im Netz unterwegs ist, hat dadurch Zugriff auf das Management LAN und je nach Konfig der Firewall dann auch Zugriff auf die Geräte deiner Infrastruktur.
In kritischeren Setups ist das ein No Go... (Wollte ich nur kurz los werden ;) )

Achso, noch eine Sache:
Bei einer vlan aware bridge ist das Erstellen von virtuellen Interfaces a la eth1.30 etc. nicht nötig. Das ist der Vorteil dieser Funktion. Du verwendest die Bridge vmbr0 und setzt in der VM config das Tag. Das ist alles. Funktioniert hier bei uns im Betrieb völlig Problemlos.
Der Port am Switch, auf dem dann vmbr0 anliegt, muss natürlich auch ein tagged port sein. Unter Cisco nennt sich das Trunk, bei Unifi stellst du den Port auf ein entsprechendes Profil, das alle VLANs enthält, die du über vmbr0 erreichen können möchstes. Das Profil "All" wäre z.B. ein solches. ABER: Du musst auch im Unifi Controller ein Netz mit entsprechendem VLAN Tag konfigurieren, damit dein Switch dieses VLAN auch kennt. Sonst verwirft er entsprechend getaggte Pakete.
Click to expand...
Sorry für die späte Antwort.
Das Routing habe ich auf der Ubiquiti Seite konfiguriert und funktioniert auch soweit. Bspw. bin ich mit meinem Laptop im Privat LAN und kann auch auf das Management oder Smart Home Lan zugreifen. Also das funktioniert soweit.

Bzgl. des Management LANs, in dem Switch Port Profil "All", welches automatisch erstellt wird, wird das Management LAN als natives LAN verwendet. Die VLAN ID 1, habe ich gelesen, wird dann automatisch zugewiesen. Da kann ich selbst nichts daran ändern.

Ich werde das von dir geschriebene mit einem separat erstellten Profil ohne das Management LAN versuchen. Des Weiteren versuche ich es mit OVS noch, ob ich dort was hinbekomme.

Eine Frage habe ich noch:
Im angehängten ist meine aktuelle Netzwerkkonfiguration. Wenn ich nun die Linux Bridge, welcher meine IP für zum Aufruf der Oberfläche zugewiesen ist, entferne, dann kann ich per Netzwerk nicht auf die Oberfläche zugreifen, richtig?
Muss ich hier nicht der eno1 eine IP zuweisen, oder wäre das so soweit schon richtig?

Vielen Dank für eure Hilfe und einen schönen Sonntag noch.
 

Attachments

  • Netzwerkkonfiguration Proxmox.png
    Netzwerkkonfiguration Proxmox.png
    21.9 KB · Views: 53
Eine Frage habe ich noch:
Philipp1596 said:
Im angehängten ist meine aktuelle Netzwerkkonfiguration. Wenn ich nun die Linux Bridge, welcher meine IP für zum Aufruf der Oberfläche zugewiesen ist, entferne, dann kann ich per Netzwerk nicht auf die Oberfläche zugreifen, richtig?
Click to expand...
Genau.
Philipp1596 said:
Muss ich hier nicht der eno1 eine IP zuweisen, oder wäre das so soweit schon richtig?
Click to expand...
Häng davon ab wie man deine WebGUI erreichen können soll. Sagen wir mal beispielsweise dein Management VLAN wäre VLANID2. Dann kannst du ein neues VLAN Interface erzeugen mit dem Namen "vmbr0.2" und dem eine IP und ein Gateway verpassen und gleichzeitig der vmbr0 die IP und das Gateway entfernen.
 
Philipp1596 said:
Bzgl. des Management LANs, in dem Switch Port Profil "All", welches automatisch erstellt wird, wird das Management LAN als natives LAN verwendet. Die VLAN ID 1, habe ich gelesen, wird dann automatisch zugewiesen. Da kann ich selbst nichts daran ändern.
Click to expand...
Nun ja, doch. Du kannst für dein Management einfach ein eigenes VLAN definieren und das ebenfalls tagged auf die Leitung geben.
VLAN 1 sollte im Idealfall überhaupt nicht genutzt werden und schon gar nicht fürs Management.
 
Sorry für die späte Antwort.
Das Routing habe ich auf der Ubiquiti Seite konfiguriert und funktioniert auch soweit. Bspw. bin ich mit meinem Laptop im Privat LAN und kann auch auf das Management oder Smart Home Lan zugreifen. Also das funktioniert soweit.
Click to expand...
Achso okay, dann kann man das ja schonmal ausschließen. Dann ist es vielleicht wirklich ein nicht konsistent durch geführtes VLAN
Bzgl. des Management LANs, in dem Switch Port Profil "All", welches automatisch erstellt wird, wird das Management LAN als natives LAN verwendet. Die VLAN ID 1, habe ich gelesen, wird dann automatisch zugewiesen. Da kann ich selbst nichts daran ändern.
Click to expand...
Du kannst für jedes Device auswählen, welches Netzwerk das Management LAN sein soll. Ist etwas versteckt und man kommt nicht gleich drauf bei Unifi, aber du findest das im Reiter "Device" unter "Services":
1623220524013.png
Dort hast du die verschiedenen Port-Profile zur Auswahl. Du erstellst ein Profil "Management" o.ä., weißt dem das Management VLAN zu und stellst es an den Geräten als Management VLAN dort ein.
Ich werde das von dir geschriebene mit einem separat erstellten Profil ohne das Management LAN versuchen. Des Weiteren versuche ich es mit OVS noch, ob ich dort was hinbekomme.
Click to expand...
Du kannst dir OVS gerne ansehen. Aber denk dran: Je mehr du gleichzeitig ausprobierst, desto schwieriger wird es, einen Überblick zu behalten. Man kann sich da leicht verzetteln. Es liegt auf jeden Fall nicht daran, das die normale VLAN Konfiguration prinzipiell nicht funktioniert. Es hat sich nur irgendwo ein Fehler eingeschlichen.
Eine Frage habe ich noch:
Im angehängten ist meine aktuelle Netzwerkkonfiguration. Wenn ich nun die Linux Bridge, welcher meine IP für zum Aufruf der Oberfläche zugewiesen ist, entferne, dann kann ich per Netzwerk nicht auf die Oberfläche zugreifen, richtig?
Muss ich hier nicht der eno1 eine IP zuweisen, oder wäre das so soweit schon richtig?

Vielen Dank für eure Hilfe und einen schönen Sonntag noch.
Click to expand...
Ganz genau, wenn du kein Interface mehr zur Verfügung hast, das eine von dir erreichbare Adresse hat, dann kannst du Proxmox nicht mehr erreichen.
In der Regel setzt man die IP Adresse auf das Interface vmbr0 oder eine andere Bridge. Aber du kannst auch ein VLAN Interface einrichten und diesem z.B. eine IP im Management Netz zuweisen.
Das geht auch über die GUI:
1623221677319.png
Wenn du diesem Interface nun eine Management IP zuweist, kannst du PVE über diese Adresse erreichen, wenn du am Switchport, wo der Server dran hängt, ein Profil aktiv hast, wo dieses VLAN Tag aktiv ist. Am Router natürlich ebenfalls, wenn dein PC nicht auch im Management VLAN ist. Anschließend kannst du die Adresse bei vmbr0 entfernen. Aber: Wenn du an deinen VLANs rumspielst und z.B. die VLAN konfig in deinem Netzwerk verdaddelst kannst du auch Proxmox nicht mehr erreichen. Das ist nichts das man nicht reparieren kann, aber es kostet manchmal viel Zeit beim Basteln.
Solange du noch bastelst, würde ich deshalb die Adresse auf vmbr0 als "Notnagel" noch da lassen.
Oh und wichtig: Dokumentation... schreib dir die Adressen und VLANs irgendwo auf, sonst findest du in einem halben Jahr NICHTS mehr wieder und weißt nicht, wie du deine Geräte zum Konfigurieren erreichen kannst ;) (Ist mir vor einiger Zeit zu Hause mal passiert und hat mich einiges an Zeit gekostet).
 
Hallo zusammen,

vielen Dank euch für die Hilfe. Habe es nun hinbekommen.
Es war tatsächlich sehr einfach und ich habe den Wald vor lauter Bäumen nicht gesehen.
Diese Anleitung hat mir geholfen: https://www.networkshinobi.com/proxmox-ve-with-open-vswitch/

Da Dokumentation alles ist, vor allem für nachfolgende, habe ich grundsätzlich alles im Management dokumentiert.
Jetzt läuft alles so, wie ich es gerne hätte.

Vielen Dank nochmal für eure Hilfe! :)

Wünsche euch noch eine angenehme Restwoche.

Grüße Philipp
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back