[SOLVED] Zugriff auf VLAN vom Proxmox-Host

[whiterabbit]

Hallo.
Ich hatte mir notiert, dass man sich mit diesem "Trick" kurzzeitig Zugriff auf ein VLAN vom Proxmox-Host geben kann, wenn man "mal kurz" direkt vom Proxmox-Server aus auf ein bestimmtes VLAN zugreifen möchte:

Unter /etc/network/interfaces ist wie üblich definiert:

...
auto vmbr2
iface vmbr2 inet manual
        bridge_ports bond0.2
        bridge_stp off
        bridge_fd 0
        bridge_maxwait 0
#VLAN.2
...

Dann konnte ich über diesen Weg auf ein VLAN zugreifen:

anlegen:
 ip address add 10.16.2.110/24 dev vmbr2

bzw. wieder entfernen:
 ip address del 10.16.2.110/24 dev vmbr2

Nun habe ich die Bridge neulich mal auf VLAN-aware umgestellt, so dass die Konfiguration nun z.B. so aussieht:

auto vmbr2
iface vmbr2 inet manual
    bridge-ports bond0
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes
    bridge-vids 1-13
#VLAN Bridge

Wenn ich das nun auf die gleiche Art versuche wie oben, klappt das aber leider nicht (mehr). Ich erreiche die IP der VM in VLAN.2 nicht mehr und kann nicht mehr per SSH zugreifen.
Weiß jemand, woran das liegt? Hängt das mit dem "bridge-vlan-aware yes" zusammen?

Danke für einen Tipp

 

[meyergru]

Ja, weil jedes Netzwerkinterface jetzt selbst das passende VLAN-Tag hinzufügen muss. Wenn Du beispielsweise eine VM anbindest, würdest Du vmbr2 und VLAN 2 nutzen, wo früher nur vmbr2 (ohne VLAN) notwendig war.

Es müsste aber mit

ip address add 10.16.2.110/24 dev vmbr2.2

funktionieren.

 

[whiterabbit]

... hatte ich auch schon vermutet, doch dann wird gemeldet:

Cannot find device "vmbr2.2"

 

[meyergru]

Aha. Dann muss das doch angelegt werden. Ich habe das on-the-fly nie selbst probiert, immer nur statisch in der /etc/network/interfaces angelegt.

Es geht dann aber so:

ip link add link vmbr2 name vmbr2.2 type vlan id 2
ip link set vmbr2.2 up
ip address add 10.16.2.110/24 dev vmbr2.2

Und zum Löschen:

ip link delete vmbr2.2

 

[whiterabbit]

Ok, super. Besten Dank!

 

[whiterabbit]

Hi. Ich habe das heute nochmal so ausprobiert ... das Interface wird angelegt und erhält auch die richtige IP im richtigen VLAN. Leider geht da aber trotzdem kein Traffic durch, d.h. ich erreiche die VM in VLAN.2 trotzdem nicht.
Leider stimmt noch etwas anderes nicht.

 

[meyergru]

Nur für den Fall, dass da noch eine Firewall oder eine fehlende Route reinspuckt - für eine Konfiguration per /etc/network/interfaces sähe das so aus:

auto vmbr2.2
iface vmbr2.2 inet static
        address 10.16.2.110/24

Dabei sollte - wie im dynamischen Fall auch - eine Route für 10.16.2.110 angelegt werden (siehe "ip r s").

 

[whiterabbit]

ich hatte "route" verwendet und gesehen, dass...

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

10.16.1.0       0.0.0.0         255.255.255.0   U     0      0        0 vmbr2.2

Das sah mir eigentlich richtig aus...

 

[meyergru]

Vertippt? 10.16.1.0

 

[whiterabbit]

Ja, du hast Recht. Vertippt ... in diesem Bsp 10.16.2.0 ...

 

[meyergru]

Und Du kannst dann 10.16.2.110 pingen, aber 10.16.2.x (für eine andere VM im VLAN 2 auf vmbr2) nicht?

Wohlgemerkt: Vom PVE Host aus! Es ist ja kein Gateway gesetzt.

 

[whiterabbit]

Und Du kannst dann 10.16.2.110 pingen, aber 10.16.2.x (für eine andere VM im VLAN 2 auf vmbr2) nicht?

Genau das.

 

[meyergru]

Firewall auf dem PVE ist disabled und die VM blockt auch nicht?

Falls alles sonst O.K., versuch mal die Konfiguration statisch zu machen und zu testen, ob das bei Dir auch Probleme macht. Bei mir geht das damit.
Wenn es dann geht, muss noch irgendetwas anderes fehlen - mir ist aber schleierhaft, was.

Wenn das auch nicht geht, würde ich behaupten, dass die VM nicht auf VLAN 2 konfiguriert ist oder lokal blockt.

 

[whiterabbit]

Also PVE -> Firewall -> "No firewall rule configured here."
Die VM, die ich erreichen will: Hardware: VLAN.2 -> Firewall off
Auf der VM selbst (es ist ein Ubuntu) läuft keine Firewall.
Ping kommt nicht an, ssh auch nicht.
Ich werde es vielleicht nochmal statisch versuchen ... aber ansonsten geht's halt auch über die Console.
(Hintergrund der ganzen Sache ist eigentlich nur das alte leidige Thema "Kein Clipboard über noVNC".)

 

[meyergru]

Da nehme ich inzwischen immer Rustdesk für.

 

[whiterabbit]

Meinst Du damit, dass Du Rustdesk innerhalb der VM oder direkt auf dem PVE installierst (oder alternativ noch parallel als LXC-Container)??
Mir ist noch nicht ganz klar, warum das das Clipboard-Problem bei Dir löst ...

 

[meyergru]

Innerhalb der VM - dann kann ich das Clipboard nutzen. Auf dem PVE habe ich ja ohnehin schon die Konsolen - mit Spice kann man übrigens auch darin Copy&Paste nutzen. Ich betreibe aber ohnehin meinen eigenen Rustdesk-Server, so dass ich dort auch Freunden helfen kann. Mit RDP können sie dabei ja nicht zusehen, mit Rustdesk schon - außerdem braucht es kein Windows Pro.

 

[whiterabbit]

Ok, das kann ich mal ausprobieren (wobei man vielleicht etwas overload hat, wenn man in jeder VM rustdesk installieren muss, oder??)
SPICE nutze ich eigentlich auch, doch in diesem Fall ist das ein Ubuntu-Server (ohne X11/wayland). Da klappt das mit dem Cliboard dann trotzdem nicht. Und xterm.js macht bei der Darstellung teilweise auch Zicken -- daher ist das auch nicht das gelbe vom Ei. Daher wollte ich eigentlich nur eine einfache ssh-Shell zu der Ubuntu-VM, in der das Clibboard funktioniert (hier läuft lokal klipper, KDE).