Proxmox - LAN aus virtuellen und physischen Maschinen
Hallo,
ich versuche meine Frage erst in Kurzform zu formulieren und gehe dann später etwas ins Detail. Ich möchte die virtuellen Maschinen auf meinem Proxmox hypervisor in dem selben LAN wie meine physischen Maschinen haben. Dieses LAN soll aber getrennt vom eigentlichen Netzwerk meines Routers sein, aber dennoch Internetzugang haben.
Bislang habe ich nur mit den virtuellen Maschinen gearbeitet und diese mit NAT mit Internet versorgt. Dafür habe ich an dieser Konfiguration orientiert: https://pve.proxmox.com/wiki/Network_Model
Nun möchte ich aber auch physische Clients in diesem LAN haben, die auch mit Internet versorgt werden, dabei weiß ich aber langsam nicht weiter.
IST-ZUSTAND
NIC eth0 ---------------> Verbindung zum Router (192.168.x.x)
NIC eth1 ---------------> Verbindung zu den physischen Clients (10.10.x.x)
BRIDGE vmbr0 -------------> Verbindung zu den virtuellen Maschinen (10.10.x.x)
Wie schaffe ich es, dass die virtuellen Maschinen und die physischen Maschinen im gleiche LAN sind und via NAT Zugang zum Internet haben?
Das hier war mein erster Versuch, jedoch haben hier nur die Maschinen Internetzugriff, die an eth1 hängen. Wenn ich es richtig verstanden habe, liegt es daran, dass nun zwei feste Routen in den gleiche IP-Bereich führen, aber nur die erste Route genutzt wird und die Bereiche getrennt voneinander sind.
route -n auf dem hypervisor:
Wonach muss ich suchen, wie realisiert man soetwas am besten? Ich möchte es lernen, daher würden mir Stichworte, Links oder ähnliche Lernhilfen schon sehr helfen. Aber momentan stehe ich auf dem Schlauch und weiß nicht mehr wirklich weiter.
Ist dies ein Fall wo man mit open vSwitch und virtuellen LANs arbeiten muss, oder denke ich dort in die komplett falsche Richtung?
Ich bin für jeden Tipp sehr dankbar!
Vielen Dank und viele Grüße
balus7
ich versuche meine Frage erst in Kurzform zu formulieren und gehe dann später etwas ins Detail. Ich möchte die virtuellen Maschinen auf meinem Proxmox hypervisor in dem selben LAN wie meine physischen Maschinen haben. Dieses LAN soll aber getrennt vom eigentlichen Netzwerk meines Routers sein, aber dennoch Internetzugang haben.
Bislang habe ich nur mit den virtuellen Maschinen gearbeitet und diese mit NAT mit Internet versorgt. Dafür habe ich an dieser Konfiguration orientiert: https://pve.proxmox.com/wiki/Network_Model
Nun möchte ich aber auch physische Clients in diesem LAN haben, die auch mit Internet versorgt werden, dabei weiß ich aber langsam nicht weiter.
IST-ZUSTAND
NIC eth0 ---------------> Verbindung zum Router (192.168.x.x)
NIC eth1 ---------------> Verbindung zu den physischen Clients (10.10.x.x)
BRIDGE vmbr0 -------------> Verbindung zu den virtuellen Maschinen (10.10.x.x)
Wie schaffe ich es, dass die virtuellen Maschinen und die physischen Maschinen im gleiche LAN sind und via NAT Zugang zum Internet haben?
Das hier war mein erster Versuch, jedoch haben hier nur die Maschinen Internetzugriff, die an eth1 hängen. Wenn ich es richtig verstanden habe, liegt es daran, dass nun zwei feste Routen in den gleiche IP-Bereich führen, aber nur die erste Route genutzt wird und die Bereiche getrennt voneinander sind.
route -n auf dem hypervisor:
Ziel Router [..... ] iface
10.10.x.0 0.0.0.0 eth1
10.10.x.0 0.0.0.0 vmbr0 auto eth0
iface eth0 inet static
address 192.168.x.x
netmask 255.255.255.0
gateway 192.168.x.x
auto eth1
iface eth1 inet static
address 10.10.x.x
netmask 255.255.255.0
gateway 10.10.x.x
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
post-up iptables -t nat -A POSTROUTING -s '10.10.x.0/24' -o eth0 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '10.10.x.0/24' -o eth0 -j MASQUERADE
auto vmbr0
iface vmbr0 inet static
address 10.10.x.x
netmask 255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
post-up iptables -t nat -A POSTROUTING -s '10.10.x.0/24' -o eth0 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '10.10.x.0/24' -o eth0 -j MASQUERADE Wonach muss ich suchen, wie realisiert man soetwas am besten? Ich möchte es lernen, daher würden mir Stichworte, Links oder ähnliche Lernhilfen schon sehr helfen. Aber momentan stehe ich auf dem Schlauch und weiß nicht mehr wirklich weiter.
Ist dies ein Fall wo man mit open vSwitch und virtuellen LANs arbeiten muss, oder denke ich dort in die komplett falsche Richtung?
Ich bin für jeden Tipp sehr dankbar!
Vielen Dank und viele Grüße
balus7
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 319178
Url: https://administrator.de/forum/proxmox-lan-aus-virtuellen-und-physischen-maschinen-319178.html
Ausgedruckt am: 11.05.2025 um 13:05 Uhr
2 Kommentare
Neuester Kommentar
Hallo balus7,
ich habe mir damals zu diesem Zweck eine virtuelle pfSense aufgesetzt, die zu beiden Netzen Kontakt hat (2 Bridges im Proxmox).
Das hatte für mich den charmanten Vorteil, dass ich den Zugriff ziemlich dediziert regeln konnte, etc.
Für ein Produktivsetup wird jedoch von virtualisierten Firewalls abgeraten, daher würde ich in diesem Falle einfach eine vernünftige Firewall ins Netz integrieren und die ganze Kommunikation per VLAN aufteilen.
Vermutlich geht das ganze auch mit Forwarding auf dem Proxmox-Host, halte ich aber für eher suboptimal.
Beste Grüße!
Berthold
ich habe mir damals zu diesem Zweck eine virtuelle pfSense aufgesetzt, die zu beiden Netzen Kontakt hat (2 Bridges im Proxmox).
Das hatte für mich den charmanten Vorteil, dass ich den Zugriff ziemlich dediziert regeln konnte, etc.
Für ein Produktivsetup wird jedoch von virtualisierten Firewalls abgeraten, daher würde ich in diesem Falle einfach eine vernünftige Firewall ins Netz integrieren und die ganze Kommunikation per VLAN aufteilen.
Vermutlich geht das ganze auch mit Forwarding auf dem Proxmox-Host, halte ich aber für eher suboptimal.
Beste Grüße!
Berthold
1
Hallo,
Dankeschön. Ich schau mir das mal an und versuche es ggf. einzubauen ;)
Gruß
balus7
Dankeschön. Ich schau mir das mal an und versuche es ggf. einzubauen ;)
Gruß
balus7
