[SOLVED] vm in eigenem subnetz

V

virshling

Well-Known Member
Sep 1, 2018
47
3
48
64
Servus,
ich hätte Bedarf an einer Anleitung in Sachen Netzwerkkonfiguration.
In meinem kleinen Cluster laufen auf einem pve eine Hand voll VMs und Container. Es gibt da aktuell nur eine Bridge (vmbr0), womit der pve und seine Gäste im selben Netzwerk liegen. Nun soll aber eine VM da drauf, die in einem eigenen Netz wohnen soll. DSL-Router/Firewall stellen einen eigenen Nic zur Verfügung, sodass sie auch Kontakt nach draußen bekommt. Auch der pve hat einen NIC übrig. Nun weiß ich aber nicht, ob ich das auf dem pve mit einer zweiten Bridge machen soll oder gar machen muss. Am liebsten wäre mir eine Konfig, die auch den pve von der Kommunikation der neuen VM mit der Außenwelt isoliert. Wer die neue VM hackt, sollte nicht sehen können, dass am Port 8006 eine Proxmox-GUI lauscht. Der Dokumentation konnte ich keine Hinweise entnehmen, wie das gehen könnte. Kann mir jemand auf die Sprünge helfen?
 
Last edited:
Also eine gescheite Netzsegmentierung schaffst du nur mit VLANs. Hast du dafür einen passenden Switch?
 
Leider nein.
Ich muss aber einen Server installieren, der eine VoIP-Telefonanlage bedient. Da ich so etwas nicht in meinem Produktivnetz haben will, hoffte ich, es sei möglich, das Ding quasi isoliert auf dem pve laufen zu lassen. Aber wenn nicht, installiere ich es halt auf Hardware.
 
Es scheint mir, dass dir einige Grundlagen fehlen, sowohl in der Virtualisierung, als Netzwerk und auch PBX.

An der nicht vorhandenen Netztrennung ändert es doch auch nichts, wenn du eine PBX direkt auf Blech installierst, das System braucht doch trotzdem noch eine LAN Verbindung. Weiterhin musst du auch bedenken, dass an so eine PBX auch irgendwie die Telefone ran müssen, also muss du zwangsläufig die PBX irgendwie im internen Netz verfügbar machen - oder was war deine Vorstellung davon?

Ein VLAN-fähiger Switch kostet heute auch nicht mehr die Welt. Falls du SIP Telefone in Hardware betreiben willst, wäre womöglich eh ein neuer Switch mit VLAN und PoE eine Option.

Aber natürlich ist es auch eine Option zwei LAN Kabel und zwei Bridges an zwei verschiedene VMs durchzureichen. Mit einem VLAN musst du aber dann das Zeug nicht doppeln,
 
An der nicht vorhandenen Netztrennung ändert es doch auch nichts, wenn du eine PBX direkt auf Blech installierst
Click to expand...
Stell Dir zwei getrennte Netze vor: ein altes, das Produktivnetz A (in dem die pve wohnen) und ein Neues, das Telefonnetz B. Der Unterschied, den es macht, wenn ich einen schwarzen kasten (PBX) an den Switch von Netz B hänge oder aber versuche, den PBX als VM auf einem pve zu realisieren, der eigentlich im falschen Netzwerk (A) steht, ist recht offenkundig.

Aber natürlich ist es auch eine Option zwei LAN Kabel und zwei Bridges an zwei verschiedene VMs durchzureichen
Click to expand...
Und auf eben diese Option bezog sich meine Frage.
 
Ich glaube es gab da ein paar Missverständnisse.
Du baust dir einfach eine zweite Bridge wo die zweite Netzwerkkarte rein kommt. Dem PVE gibst du keine IP auf der zweiten Bridge, sondern verbindest nur deine VM.
Damit sind die beiden Netze getrennt, solange die nirgendwo außerhalb eine Verbindung haben.
 
  • Like
Reactions: virshling
@virshling recht offenkundig ist aber auch, dass dir das so nichts bringen wird. Was willst du denn mit einer PBX die im eigenen Netz versauert und von keinen anderen Teilnehmern erreichbar ist? Irgendwie muss doch dein Rechner da hin wenn du ein Softphone nutzen willst oder ein physisches Endgerät.

Aufgrund der mir aktuell vorliegenden Infos kann ich zumindest keinen Sinn in deiner Unternehmung erkennen, da offensichtliche Verbindungen stattfinden müssen, die hier ggf. gar nicht bedacht sind. Wenn du also eine Gesamtheitliche Lösung haben möchtest, die state of the Art ist, sinnvoll ist und skalierbar, dann müsstest du mal einen Netzplan erstellen oder weiter ausführen was deine Idee ist.
 
  • Like
Reactions: Bob.Dig
Hallo Falk,
das war tatsächlich der Punkt, der mir nicht klar war. Ich war nicht sicher, ob der pve nicht immer an einer Bridge mithört.
Wenn sich das so leicht getrennt halten lässt, indem die Bridge ohne IP des pve konfiguriert wird, ist das ja erfreulich. Wird nachher gleich ausprobiert. Danke!

@sb-jw: Ich weiß nicht mehr, wie ich Dir noch antworten soll, um das Missverständnis auszuräumen. In das Telefonnetz kommen Telefone, ja. Und ein Gateway nach draußen gibt's natürlich auch. Die einzige Anforderung ist, es getrennt vom Netzwerk zu halten, in dem der pve sich befindet. Danke

Bernhard
 
Ich glaube, ich habe allmählich eine Ahnung was du willst. Mir scheint aber, dass du es besser lösen könntest und du dir ggf. so auch Probleme ins Netz holst. Ein Netzplan auf dem die einzelnen physischen Endgeräte ersichtlich sind wäre dabei hilfreich. So wissen wir aktuell nicht wie dein Netz aussieht und welche Endgeräte du in welcher Stückzahl zur Verfügung hast.

virshling said:
DSL-Router/Firewall stellen einen eigenen Nic zur Verfügung, sodass sie auch Kontakt nach draußen bekommt.
Click to expand...
Das hört sich für mich nicht so an als ob du tatsächlich zwei physische getrennte Netze betreibst, sondern ein Router mit einer Firewall, die dann aber zwei NICs an den PVE Node durchreichen soll. Wenn das tatsächlich so ist, dann hast du zwei unabhängige Verbindungen, die du zu einem Gerät führst und hast damit eine potenzielle Loop Gefahr in deinem Netzwerk erstellt.

Ich kann dir nur das Angebot machen mir meine Gedanken dazu zu machen und dir eine Lösung zu präsentieren, doch dafür benötige ich halt mehr Infos. Wie du es machst liegt alleine bei dir, zwingen kann ich dich nicht ;)
 
Bin da bei sb-jw, es fehlen wichtige Details. Ich rate aber einfach mal mit und werfe das neue SDN in den Raum. Darüber kann man u.a. eigene Netze im PVE aufmachen, die dann auf dem Node geNATet werden. Damit erhält man ebenfalls mehr Sicherheit. Unaufgeforderte eingehende Verbindungen gehen damit aber nicht, was je nach Anwendungsfall ein NoGo sein kann.
 
Wenn das tatsächlich so ist, dann hast du zwei unabhängige Verbindungen, die du zu einem Gerät führst und hast damit eine potenzielle Loop Gefahr in deinem Netzwerk erstellt.
Click to expand...
Ja, das ist genau so.
danke für Deinen Hinweis auf die Loopgefahr; die macht mir auch Sorgen. Tatsächlich stehe ich gerade unerwartet und zum ersten Mal vor dieser Situation und kann die Loopgefahr, nicht einschätzen. Leider spielt Zeit noch eine Rolle, deshalb gerade kein Netzplan.
 
Der Router (Opnsense) trennt die Netze. Ein NIC pro Netzwerk. Kein tagged VLAN (können die Switches nicht)
 
  • Like
Reactions: Bob.Dig
Ich denke, ich werde diesen PBX nun auf Hardware installieren und auf die Vorzüge der Virtualisierung verzichten. Die saubere physische Trennung ist mir wichtiger.

@Bob.Dig Danke für den Tip mit dem SDN. Wenn mal mehr Zeit ist, schaue ich mir das genauer an.
 
virshling said:
Ich denke, ich werde diesen PBX nun auf Hardware installieren und auf die Vorzüge der Virtualisierung verzichten. Die saubere physische Trennung ist mir wichtiger.

@Bob.Dig Danke für den Tip mit dem SDN. Wenn mal mehr Zeit ist, schaue ich mir das genauer an.
Click to expand...
Loopgefahr hast du keine!
Wenn die Sense zwei verschiedene Netze auf zwei verschiedenen Ports bedient, ist das ein ganz klassisches Setup ohne VLANs.
 
An die anderen, ein Loop ist niemals möglich, wenn die NICs auf verschiedene Bridges connecten. Da muss eine VM erst den Loop schließen, wenn diese Traffic zwischen zwei Bridges weiterleitet.
 
virshling said:
Der Router (Opnsense) trennt die Netze. Ein NIC pro Netzwerk. Kein tagged VLAN (können die Switches nicht)
Click to expand...
Wenn der Router und der Proxmox Host direkt verbunden sind, also nicht durch deine nicht VLAN-fähigen Switche durch müssen, dann fügst Du einfach eine zweite NIC hinzu, machst ebenfalls eine Bridge dazu, so wie schon bei der ersten, und dann gibst Du der zweiten Bridge einfach keine IP-Adressen auf dem Proxmox Host, fertig ist deine Trennung. Die zweite Bridge wird dann mit deiner neuen (DMZ-)VM verbunden.
 
Last edited:
Bob.Dig said:
Wenn der Router und der Proxmox Host direkt verbunden sind, also nicht durch deine nicht VLAN-fähigen Switche durch müssen, dann fügst Du einfach eine zweite NIC hinzu, machst ebenfalls eine Bridge dazu, so wie schon bei der ersten, und dann gibst Du der zweiten Bridge einfach keine IP-Adressen auf dem Proxmox Host, fertig ist deine Trennung. Die zweite Bridge wird dann mit deiner neuen (DMZ-)VM verbunden.
Click to expand...
Stand da oben schon mal, bevor es tot diskutiert wurde. ;)
 
  • Like
Reactions: Bob.Dig
Danke Falk.
Das sähe dann etwa so aus, haut das hin?

Code: 
auto lo
iface lo inet loopback

iface enp8s0f0 inet manual

iface enp8s0f1 inet manual

iface ens6 inet manual

auto vmbr0
iface vmbr0 inet static
        address 10.0.0.29/24
        gateway 10.0.0.50
        bridge-ports enp8s0f0
        bridge-stp off
        bridge-fd 0

auto vmbr1
iface vmbr1 inet manual
        bridge-ports enp8s0f1
        bridge-stp off
        bridge-fd 0
 
Sieht ok aus, wichtiger ist aber das Setup außerhalb vom PVE.
Solange du keiner VM beide bridges zuweist, hast du eine saubere Trennung bis zur Sense.
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back