12
ESXi im Netzwerk nicht erreichbar
Guten Morgen liebe Community,
ich habe ein kleines Problem in meiner Homeumgebung.
Der alte Zustand war folgender:
Internet <--> Watchguard XTM5 mit Opnsense <--> Switch Dachgeschoss <--> 1teSwitch 1 OG <-->2te Switch 1OG <-->VMWare Appliance
Der neue Zustand sieht so aus:
Internet <--> VMWare Appliance <--> Switch Dachgeschoss ....
Verwendete Netze:
192.168.1.0 /24 192.168.1.254 Opnsense // 192.168.1.253 VMWare
10.10.20.0 /24 VLAN TAG 20
Die VMWare Appliance ist eine HUNSN Firewall auf der halt VMWare läuft. Dort gibt es aktuell 2 Maschinen, einmal die Opnsense und ein Docker Server.
Beim alten Zustand war es so dass ich die VMWare Appliance Problemlos aus dem internen Netz erreichen konnte.
Nehme ich jetzt die Watchguard vom Netz und setze die VMWare Appliance an Ihre stelle funktioniert in soweit alles nach Plan dass die Clients entsprechende IP´s aus Ihren Netzen bekommen und darüber auch ins Internet kommen.
Problem ist aber dass ich die VMWare Maschine selbst nicht erreichen kann.
In der VMWare Umgebung sind folgende Switche und Portgruppen eingerichtet:
Standard VMNetwork Switch mit entsprechender Portgruppe und 2 Uplinks
WAN Switch mit dazugehöriger Portgruppe und einem Uplink
LAN Switch mit einer Portgruppe die als VLAN TAG 4095 hat und 3 Uplinks beinhaltet.
Klemme ich mich mit einem Laptop an einen der VMNetwork Ports und geb mir ne statische IP aus dem 192.168.1.0 Netz kann ich mit der Kiste kommunzieren.
Bei dem Dachgeschoss Switch kann ich auf dem entsprechenden Port die MAC und IP Adresse der VMWare Maschine zwischendurch sehen bleibt aber trotzdem nicht ansprechbar aus dem internen Netz.
Bei den Switchen handelt es sich um Ubiquiti 8 Port Switche die keine gesonderten Einstellungen auf den Ports haben.
Über ein bisschen Input für eine Lösung von euch würde ich mich freuen.
Wünsche euch allen einen guten Start in den Tag und denkt dran es ist Bergfest :D
ich habe ein kleines Problem in meiner Homeumgebung.
Der alte Zustand war folgender:
Internet <--> Watchguard XTM5 mit Opnsense <--> Switch Dachgeschoss <--> 1teSwitch 1 OG <-->2te Switch 1OG <-->VMWare Appliance
Der neue Zustand sieht so aus:
Internet <--> VMWare Appliance <--> Switch Dachgeschoss ....
Verwendete Netze:
192.168.1.0 /24 192.168.1.254 Opnsense // 192.168.1.253 VMWare
10.10.20.0 /24 VLAN TAG 20
Die VMWare Appliance ist eine HUNSN Firewall auf der halt VMWare läuft. Dort gibt es aktuell 2 Maschinen, einmal die Opnsense und ein Docker Server.
Beim alten Zustand war es so dass ich die VMWare Appliance Problemlos aus dem internen Netz erreichen konnte.
Nehme ich jetzt die Watchguard vom Netz und setze die VMWare Appliance an Ihre stelle funktioniert in soweit alles nach Plan dass die Clients entsprechende IP´s aus Ihren Netzen bekommen und darüber auch ins Internet kommen.
Problem ist aber dass ich die VMWare Maschine selbst nicht erreichen kann.
In der VMWare Umgebung sind folgende Switche und Portgruppen eingerichtet:
Standard VMNetwork Switch mit entsprechender Portgruppe und 2 Uplinks
WAN Switch mit dazugehöriger Portgruppe und einem Uplink
LAN Switch mit einer Portgruppe die als VLAN TAG 4095 hat und 3 Uplinks beinhaltet.
Klemme ich mich mit einem Laptop an einen der VMNetwork Ports und geb mir ne statische IP aus dem 192.168.1.0 Netz kann ich mit der Kiste kommunzieren.
Bei dem Dachgeschoss Switch kann ich auf dem entsprechenden Port die MAC und IP Adresse der VMWare Maschine zwischendurch sehen bleibt aber trotzdem nicht ansprechbar aus dem internen Netz.
Bei den Switchen handelt es sich um Ubiquiti 8 Port Switche die keine gesonderten Einstellungen auf den Ports haben.
Über ein bisschen Input für eine Lösung von euch würde ich mich freuen.
Wünsche euch allen einen guten Start in den Tag und denkt dran es ist Bergfest :D
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4808592275
Url: https://administrator.de/contentid/4808592275
Printed on: July 27, 2024 at 12:07 o'clock
12 Comments
Latest comment
Moin.
Wofür ist diese Portgruppe? Dieses VLAN muss ja auch auf den Switches konfiguriert sein.
Dur schreibst etwas von VLAN 20. Dieses muss die virtuelle OpnSense ja auch kennen und entsprechend auf den Switches müssen die Uplink Ports zur OpnSense auch getagged sein.
Konntest du die Konfig der Wachtguard OpnSense nicht exportieren und versuchsweise in die Virtuelle importieren?
Die Schnittstellen müssen natürlich angepasst werden, da jetzt andere Bezeichnungen vorliegen.
Gruß
Marc
Zitat von @Njord90:
LAN Switch mit einer Portgruppe die als VLAN TAG 4095 hat und 3 Uplinks beinhaltet.
LAN Switch mit einer Portgruppe die als VLAN TAG 4095 hat und 3 Uplinks beinhaltet.
Wofür ist diese Portgruppe? Dieses VLAN muss ja auch auf den Switches konfiguriert sein.
Dur schreibst etwas von VLAN 20. Dieses muss die virtuelle OpnSense ja auch kennen und entsprechend auf den Switches müssen die Uplink Ports zur OpnSense auch getagged sein.
Konntest du die Konfig der Wachtguard OpnSense nicht exportieren und versuchsweise in die Virtuelle importieren?
Die Schnittstellen müssen natürlich angepasst werden, da jetzt andere Bezeichnungen vorliegen.
Gruß
Marc
Moin Marc,
die Portgruppe 4095 dient dazu dass die Opnsense VM das VLAN Tagging übernimmt.
Die VLAN´s sind in der Opnsense auch so angelegt und im Unifi Controller sind die Netzwerke als VLAN ONLY eingestellt so dass halt Dreh- und Angelpunkt die Opnsense bleibt.
Das einspielen der alten Konfig wäre natürlich noch eine Idee die ich verfolgen könnte, danke für den Hinweis.
Wobei an sich ja eigentlich vom Ablauf her sich nichts verändert hat nur dass die physische Opnsense durch eine virtuelle ausgetauscht wurde.
die Portgruppe 4095 dient dazu dass die Opnsense VM das VLAN Tagging übernimmt.
Die VLAN´s sind in der Opnsense auch so angelegt und im Unifi Controller sind die Netzwerke als VLAN ONLY eingestellt so dass halt Dreh- und Angelpunkt die Opnsense bleibt.
Das einspielen der alten Konfig wäre natürlich noch eine Idee die ich verfolgen könnte, danke für den Hinweis.
Wobei an sich ja eigentlich vom Ablauf her sich nichts verändert hat nur dass die physische Opnsense durch eine virtuelle ausgetauscht wurde.
Zitat von @Njord90:
Wobei an sich ja eigentlich vom Ablauf her sich nichts verändert hat nur dass die physische Opnsense durch eine virtuelle ausgetauscht wurde.
Wobei an sich ja eigentlich vom Ablauf her sich nichts verändert hat nur dass die physische Opnsense durch eine virtuelle ausgetauscht wurde.
Und genau das ist eben der nicht triviale Teil des Konstrukts.
Die Portgruppe 4095 enthält alle VLANs von 1-4095, oder wie muss ich das verstehen?
Mach mal bitte einen Screenshot der vSwitches des ESX.
Die Uplinks der Unifi Switche sind auch entsprechend mit allen VLANs getagged bzw. stehen auf "All"? Die Ports der Switches, welche an den ESX gehen sind ebenfalls entsprechend getagged?
Gruß
Marc
http://discusscomputerx.blogspot.com/2021/05/vmware-esxi-host-and-virtu ...
Ggf. da ein Denkanstoß? 4095 TRUNK wurde auch beshrieben.
Ggf. da ein Denkanstoß? 4095 TRUNK wurde auch beshrieben.
du weist das 4095 in der Regel fast IMMER intern irgendwo genutzt genauso wie VLAN ID 0
Ich glaube bei VMWare bedeutet die 4095 das alle VLAN´s durchgelassen werden Richtung VM wenn ich das recht in erinnerung habe.
Warum legst du nicht für jedes VLAN eine Portgruppe mit VLAN ID an ? Ist dann doch deutlich übersichtlicher ?
Bzw zum testen wäre das durchaus mal ein Testcase
Ich glaube bei VMWare bedeutet die 4095 das alle VLAN´s durchgelassen werden Richtung VM wenn ich das recht in erinnerung habe.
Warum legst du nicht für jedes VLAN eine Portgruppe mit VLAN ID an ? Ist dann doch deutlich übersichtlicher ?
Bzw zum testen wäre das durchaus mal ein Testcase
Zitat von @radiogugu:
Die Portgruppe 4095 enthält alle VLANs von 1-4095, oder wie muss ich das verstehen?
https://docs.vmware.com/de/VMware-vSphere/7.0/com.vmware.vsphere.network ...
Hier mal die Verlinkung nach der ich auf den Gedanken kam die ID 4095 zu setzen bei der Portgruppe.
Hat halt per se den charmanten Vorteil dass ich nicht x Portgruppen mit VLAN ID´s anlegen und der VM zuweisen muss sondern nur in der Opnsense VM selbst die VLAN´s definiere.
Zitat von @radiogugu:
Die Uplinks der Unifi Switche sind auch entsprechend mit allen VLANs getagged bzw. stehen auf "All"? Die Ports der Switches, welche an den ESX gehen sind ebenfalls entsprechend getagged?
Die Ports der Unifi Switche stehen auf "All"
Zitat von @radiogugu:
Mach mal bitte einen Screenshot der vSwitches des ESX.
Kann ich heute Nachmittag liefern wenn ich wieder zuhause bin und an die Kiste dran komme :D.
Grundlegender Gedanke bei der ganzen Geschichte war auch folgender:
Mein LAN Netz (192.168.1.0/24) soll als Managment Netz für Switche/AP/Server dienen.
Die Clients der verschiedenen Parteien im Haus bekommen ihre eigenen Netze über VLAN:
10.10.10.0 /24 Erdgeschoss VLAN 10
10.10.20.0 /24 Wohnung 1 VLAN 20
10.10.30.0 /24 Wohnung 2 VLAN 30
Dementsprechend hat der LAN Switch in der VMWare 3 NIC´s zugewiesen bekommen mit der Portgruppe VLAN4095 und dem entsprechenden TAG so dass halt das VLAN Handling bei der Opnsense liegt und der VMWare Switch das ganze einfach zur Opnsense durchschleift.
Physikalisch gesehen hab ich zwar 3 NIC´s die bedient werden aber der Opnsense wird das ganze nur als eine NIC angeboten.
Darauf liegt halt das LAN Netz und die VLAN´s sind einfach mit auf dieser einen NIC aufgelegt.
Mein LAN Netz (192.168.1.0/24) soll als Managment Netz für Switche/AP/Server dienen.
Die Clients der verschiedenen Parteien im Haus bekommen ihre eigenen Netze über VLAN:
10.10.10.0 /24 Erdgeschoss VLAN 10
10.10.20.0 /24 Wohnung 1 VLAN 20
10.10.30.0 /24 Wohnung 2 VLAN 30
Dementsprechend hat der LAN Switch in der VMWare 3 NIC´s zugewiesen bekommen mit der Portgruppe VLAN4095 und dem entsprechenden TAG so dass halt das VLAN Handling bei der Opnsense liegt und der VMWare Switch das ganze einfach zur Opnsense durchschleift.
Physikalisch gesehen hab ich zwar 3 NIC´s die bedient werden aber der Opnsense wird das ganze nur als eine NIC angeboten.
Darauf liegt halt das LAN Netz und die VLAN´s sind einfach mit auf dieser einen NIC aufgelegt.
Also dein vSwitch hat 3 Nic´s als Uplink zum Physischen Netzwerkswitch ?
Vom Switch aus gehen 3 Kabel, je ein Link pro VLAN , an die Netzwerkkarten ?
Wenn dem so ist warum dann die VLAN ID 4095 ?
Vom Switch aus gehen 3 Kabel, je ein Link pro VLAN , an die Netzwerkkarten ?
Wenn dem so ist warum dann die VLAN ID 4095 ?
Zitat von @Mr-Gustav:
Also dein vSwitch hat 3 Nic´s als Uplink zum Physischen Netzwerkswitch ?
Vom Switch aus gehen 3 Kabel, je ein Link pro VLAN , an die Netzwerkkarten ?
Wenn dem so ist warum dann die VLAN ID 4095 ?
Also dein vSwitch hat 3 Nic´s als Uplink zum Physischen Netzwerkswitch ?
Vom Switch aus gehen 3 Kabel, je ein Link pro VLAN , an die Netzwerkkarten ?
Wenn dem so ist warum dann die VLAN ID 4095 ?
Nein nicht ein VLAN pro Uplink.
Die NIC´s werden gebündelt an die Opnsense durchgereicht.
In der Opnsense selbst tauchen die 3 physikalischen NIC´s somit nur als eine NIC auf.
Diese NIC hat als grundlegendes Netz das LAN Netz.
Zusätzlich sind die VLAN´s noch mit auf diese NIC gelegt.
Hier mal bildlich dargestellt vielleicht lässt sich dass einfacher gedanklich verfolgen:
Warum sind gem. deiner Zeichnung LAN1/LAN2/LAN3 zusammen auf einem vSwitch ? hat das spezielle gründe ?
Ich verstehe halt nicht warum du die 3 VLANs auf der NIC in der Firewall zusammen fasst und dann auf dem vSwitch mit 3 Nic´s nach außen willst.
Was passiert denn wenn du es erstmal nur mit einer externen NIC ( LAN 1 ) versuchst ?
Ich verstehe halt nicht warum du die 3 VLANs auf der NIC in der Firewall zusammen fasst und dann auf dem vSwitch mit 3 Nic´s nach außen willst.
Was passiert denn wenn du es erstmal nur mit einer externen NIC ( LAN 1 ) versuchst ?
Zitat von @Mr-Gustav:
Warum sind gem. deiner Zeichnung LAN1/LAN2/LAN3 zusammen auf einem vSwitch ? hat das spezielle gründe ?
Ich verstehe halt nicht warum du die 3 VLANs auf der NIC in der Firewall zusammen fasst und dann auf dem vSwitch mit 3 Nic´s nach außen willst.
Was passiert denn wenn du es erstmal nur mit einer externen NIC ( LAN 1 ) versuchst ?
Warum sind gem. deiner Zeichnung LAN1/LAN2/LAN3 zusammen auf einem vSwitch ? hat das spezielle gründe ?
Ich verstehe halt nicht warum du die 3 VLANs auf der NIC in der Firewall zusammen fasst und dann auf dem vSwitch mit 3 Nic´s nach außen willst.
Was passiert denn wenn du es erstmal nur mit einer externen NIC ( LAN 1 ) versuchst ?
Der Standard vSwitch macht direkt Loadbalancing mit. Dementsprechend dienen die 3 NIC´s einfach nur als Failover/Lastenverteilung.
Für jedes VLAN eine eigene NIC zu bedienen ist in meiner Situation nicht wirklich zielführend. In dem Haus leben zwar 3 Parteien aber halt alles Familie und die Netzwerkgeschichte obliegt mir.
Grundsätzlich hätte ich auch einfach das 192er für alle durchhämmern können und wäre fertig damit aber ich möchte halt schon das die Clients der Parteien immer getrennt voneinander sind.
Kannst du mir deinen Gedankengang vielleicht weiter ausführen warum erstmal nur eine LAN NIC? Wirklich was ändern würde sich dadurch ja aktuell nicht außer dass das Hausnetzwerk dann nur mit einem Bein an die Opnsense geht.
Ich vermute die Problematik evt. im Standard vSwitch für das Management Network des ESXi selbst.
Werd am Wochenende aber mal ein paar Screenshots etc. nachschieben.
Hatte gestern noch ein bisschen rumprobiert und mich komplett vom ESXi ausgesperrt also erstmal Rolle Rückwärts :D
Nur mal als Info für spätere Leser und Hilfe suchende.
Ich konnte das Problem ausmachen:
Problem war dass im TCP/IP Stack der vmk0 das default Gateway mit 192.168.1.1 stehen geblieben ist.
Ein kurzer Wechsel auf IP dynamisch beziehen hat auch nicht geholfen.
Erst nachdem ich im TCP/IP Stack selbst die 1 gegen 254 ausgetauscht habe kam taucht der ESXi Host endlich als ansprechbarer Client im Netzwerk auf.
Ich danke allen die sich die Mühe gemacht haben mir zu helfen
Ich konnte das Problem ausmachen:
Problem war dass im TCP/IP Stack der vmk0 das default Gateway mit 192.168.1.1 stehen geblieben ist.
Ein kurzer Wechsel auf IP dynamisch beziehen hat auch nicht geholfen.
Erst nachdem ich im TCP/IP Stack selbst die 1 gegen 254 ausgetauscht habe kam taucht der ESXi Host endlich als ansprechbarer Client im Netzwerk auf.
Ich danke allen die sich die Mühe gemacht haben mir zu helfen