13
Verständnis zum Proxmox Netzwerk
Hallo zusammen,
ich habe ein Verständniss Problem mit dem Proxmox Netzwerk.
Der Proxmox Server hat folgende Netzwerkkarten:
1 x NIC OnBoard
2 x USB-NIC
Die OnBoard NIC ist mit dem Switch verbunden ( 192.168.207.x )
Die 1. WAN USB NIC, ist direkt mit dem Router verbunden ( 192.168.208.x)
Die 2. LAN USB NIC ist ebendfalls, wie die Onboard NIC, mit dem Switch verbunden ( 192.168.207.x )
( auf dem Proxmox Server ist eine Sophos XGS VM installiert daher die beiden USB NICs
die erste NIC wie gesagt ist ans WAN und die 2. NIC ans LAN angeschlossen)
Jetzt habe ich auf einer Proxmox VM, Windows 10 installiert mit einem Fernwartungtool, womit ich mich übers Internet
aufschalten kann.
Soweit funktioniert das auch.
Wenn ich allerdings den Switch ausschalte, denn der soll ja nicht die ganze Zeit eingeschaltet sein, funktioniert
die Fernwartung nicht mehr. der Rechner ist Offline.
Wenn ich jetzt die Onboard Nic mit den LAN USB Nic verbinde, dann klappt das wieder.
Allerdings komme ich dann nicht mehr mit einem Rechner, der im LAN Netz ( 192168.207.x) ist, auf dem
Proxmox Server. Klar der Server hängt ja nicht mehr am Switch.
Wie müßte man das Proxmox Netzwerk konfigurieren, damit ich immer auf die VM mit der Fernwartung komme.
Egal ob der Switch eingeschaltet ist, oder nicht.
Ich hoffe ich konnte mich einigermasen verständlich ausdrücken
Gruß
Juppi1
ich habe ein Verständniss Problem mit dem Proxmox Netzwerk.
Der Proxmox Server hat folgende Netzwerkkarten:
1 x NIC OnBoard
2 x USB-NIC
Die OnBoard NIC ist mit dem Switch verbunden ( 192.168.207.x )
Die 1. WAN USB NIC, ist direkt mit dem Router verbunden ( 192.168.208.x)
Die 2. LAN USB NIC ist ebendfalls, wie die Onboard NIC, mit dem Switch verbunden ( 192.168.207.x )
( auf dem Proxmox Server ist eine Sophos XGS VM installiert daher die beiden USB NICs
die erste NIC wie gesagt ist ans WAN und die 2. NIC ans LAN angeschlossen)
Jetzt habe ich auf einer Proxmox VM, Windows 10 installiert mit einem Fernwartungtool, womit ich mich übers Internet
aufschalten kann.
Soweit funktioniert das auch.
Wenn ich allerdings den Switch ausschalte, denn der soll ja nicht die ganze Zeit eingeschaltet sein, funktioniert
die Fernwartung nicht mehr. der Rechner ist Offline.
Wenn ich jetzt die Onboard Nic mit den LAN USB Nic verbinde, dann klappt das wieder.
Allerdings komme ich dann nicht mehr mit einem Rechner, der im LAN Netz ( 192168.207.x) ist, auf dem
Proxmox Server. Klar der Server hängt ja nicht mehr am Switch.
Wie müßte man das Proxmox Netzwerk konfigurieren, damit ich immer auf die VM mit der Fernwartung komme.
Egal ob der Switch eingeschaltet ist, oder nicht.
Ich hoffe ich konnte mich einigermasen verständlich ausdrücken
Gruß
Juppi1
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5491471534
Url: https://administrator.de/contentid/5491471534
Printed on: September 29, 2023 at 09:09 o'clock
13 Comments
Latest comment
Was soll der tiefere Sinn der 2 NICs (Onboard, LAN-USB) sein? Die LAN-USB wäre eigentlich komplett überflüssig.
Was die VM anbetrifft kommt es darauf an auf welche NIC die gemappt ist? Das hast du leider nicht beantwortet.
Wenn die auf eine der Switch NICs gemappt ist und du den Switch ausschaltest ist es klar das diese dann die Connectivity verliert. Sie muss dann zwangsweise auf die Router NIC gemappt sein.
Vielleicht helfen noch ein paar Infos zu der Thematik:
Pfsense in Proxmox als Router
Proxmox Anpassung Firewall
Was die VM anbetrifft kommt es darauf an auf welche NIC die gemappt ist? Das hast du leider nicht beantwortet.
Wenn die auf eine der Switch NICs gemappt ist und du den Switch ausschaltest ist es klar das diese dann die Connectivity verliert. Sie muss dann zwangsweise auf die Router NIC gemappt sein.
Vielleicht helfen noch ein paar Infos zu der Thematik:
Pfsense in Proxmox als Router
Proxmox Anpassung Firewall
"Was soll der tiefere Sinn der 2 NICs (Onboard, LAN-USB) sein?"
Hmm, jetzt wo Du es sagst.
Ziel ist es eigentlich, dass alle VMs und alle Rechner im "normalen" Lan über die Sophos FW VM ins Internet kommen.
Leider komme ich im Moment nicht auf den Proxmox Server. Aber ich meine es ist folgendermaßen gemappt.
Die Onboard NIC ist gemappt mit eno1 ( 192.168.207.x ) ohne Gateway
Das VM Netz ist auf die 2. USB NIC gemappt. Diese hat keine IP, sondern nur das Gateway der Sophos XGS (192.168.207.x)
Hmm, jetzt wo Du es sagst.
Ziel ist es eigentlich, dass alle VMs und alle Rechner im "normalen" Lan über die Sophos FW VM ins Internet kommen.
Leider komme ich im Moment nicht auf den Proxmox Server. Aber ich meine es ist folgendermaßen gemappt.
Die Onboard NIC ist gemappt mit eno1 ( 192.168.207.x ) ohne Gateway
Das VM Netz ist auf die 2. USB NIC gemappt. Diese hat keine IP, sondern nur das Gateway der Sophos XGS (192.168.207.x)
Moin,
Warum hast Du zwei Nics mit demselben IP-Netz konfiguriert (192.168.207.9/24)? Oder hast Du zwischen den NICs eine Bridge definiert? Ansonsten ist das voll neben der Kappe und führt zu unnötigen Komplikationen.
Mein Fazit: Entferne den 2. USB-NIC und schau was dann passiert.
lks
Warum hast Du zwei Nics mit demselben IP-Netz konfiguriert (192.168.207.9/24)? Oder hast Du zwischen den NICs eine Bridge definiert? Ansonsten ist das voll neben der Kappe und führt zu unnötigen Komplikationen.
Mein Fazit: Entferne den 2. USB-NIC und schau was dann passiert.
lks
1
OK, werde ich machen. Nur wie kommt z.B. die Proxmox Windows VM ( 192.168.207.x) nach draussen ?
Eigentlich sollte das doch reichen, wenn die VM das Gateway der Sophos XGS VM hat, oder ?
Eigentlich sollte das doch reichen, wenn die VM das Gateway der Sophos XGS VM hat, oder ?
Moin,
deine Nicht geht down wenn du den Switch aus machst. Daher läuft darüber auch nichts beim Proxmox.
Das ist halt kein ESXi.
Gruß
Spirit
deine Nicht geht down wenn du den Switch aus machst. Daher läuft darüber auch nichts beim Proxmox.
Das ist halt kein ESXi.
Gruß
Spirit
Hi,
ich vermute es gibt Verständnisprobleme bezüglich der bridges.
Kannst du uns mal einen Screenshot von deiner Netzwerkkonfig geben?
Es sollte klar sein: mit der physikalischen "eno1" Schnittstelle wird idR nichts konfiguriert. Stattdessen gibt es z.B. eine vmbr0 (oder andere Nummer), also eine Bridge, die auf dem eno1 liegt. Diese Bridge wird den VMs zugewiesen. Dier IP-Adresse, die du auf dieser Bridge konfigurierst ist gleichzeitig die Management-IP von Proxmox.
Dann gibt es eine vmbr1, eine weitere Bridge, die auf dem physiklaischen USB-Netzwerkport liegt und dein WAN sein soll (keine Ahnung, wie Proxmox die physikalisch nennt). Diese Bridge weißt du als 2. Netzwerkport deiner Firewall-VM zu und stellst sicher, dass der innerhalb der VM als WAN konfiguriert wird.
Bleibt noch der 2. USB-Netzwerkport. Du kannst nun z.B. eine 3. bridge drauf legen oder du baust für bridge0/1 ein Fallback oder Bond. Dazu einfach einen neuen Bond erstellen und die beiden physikalischen Ports mit Leerzeichen dazwischen reinschreiben. Wichtig, es kann sein, dass du eno1 erst aus der bridge entfernen musst, um ihn dem bond hinzu zu fügen. Dann musst du eine Failovermethode wählen, das alles zu erklären führt zu weit.
Schaue dir dazu folgende Infos an: https://pve.proxmox.com/wiki/Network_Configuration
Im Anschluss nimmst du diesen bond (bon0) und schreibst ihn als "bridge" Port in die vmbr0/1 und gibts dem bond0 dann eine IP - das ist dann die neue Management-IP von Proxmox.
Dann prüfen, ob alles korrekt ist und anschließend mit Apply die Einstellung übernehmen.
So kannst du z.B. sehr simpel eine Acitve-Backup Konfiguration konfigurieren:
Noch eine nette Info: Wenn du z.B. eine neue bridge erstellst und keinen bridge port hinterlegst, kannst du damit ein Proxmox-Internes Netzwerk bauen. Füge die bridge dann als 3. Netzwerkport deiner Sophos hinzu und gib diese bridge Test-VMs oder VMs/Containern, die übers Internet erreichbar sein sollen oder ein eigenes Netzwerk bekommen sollen. Damit kann man z.B. eine DMZ realisieren.
Was auch cool ist, wenn du deine bridge VLAN-Aware machst kannst du pro VM/Container z.B. einen VLAN-Tag hinzufügen und ermöglichst damit, dass du die VMs mit diesem VLAN-Tag untereinander kommunizieren können usw.
Coole Sache und ehrlich gesagt für mich verständlicher als ein ESXi.
MfG
ich vermute es gibt Verständnisprobleme bezüglich der bridges.
Kannst du uns mal einen Screenshot von deiner Netzwerkkonfig geben?
Es sollte klar sein: mit der physikalischen "eno1" Schnittstelle wird idR nichts konfiguriert. Stattdessen gibt es z.B. eine vmbr0 (oder andere Nummer), also eine Bridge, die auf dem eno1 liegt. Diese Bridge wird den VMs zugewiesen. Dier IP-Adresse, die du auf dieser Bridge konfigurierst ist gleichzeitig die Management-IP von Proxmox.
Dann gibt es eine vmbr1, eine weitere Bridge, die auf dem physiklaischen USB-Netzwerkport liegt und dein WAN sein soll (keine Ahnung, wie Proxmox die physikalisch nennt). Diese Bridge weißt du als 2. Netzwerkport deiner Firewall-VM zu und stellst sicher, dass der innerhalb der VM als WAN konfiguriert wird.
Bleibt noch der 2. USB-Netzwerkport. Du kannst nun z.B. eine 3. bridge drauf legen oder du baust für bridge0/1 ein Fallback oder Bond. Dazu einfach einen neuen Bond erstellen und die beiden physikalischen Ports mit Leerzeichen dazwischen reinschreiben. Wichtig, es kann sein, dass du eno1 erst aus der bridge entfernen musst, um ihn dem bond hinzu zu fügen. Dann musst du eine Failovermethode wählen, das alles zu erklären führt zu weit.
Schaue dir dazu folgende Infos an: https://pve.proxmox.com/wiki/Network_Configuration
Im Anschluss nimmst du diesen bond (bon0) und schreibst ihn als "bridge" Port in die vmbr0/1 und gibts dem bond0 dann eine IP - das ist dann die neue Management-IP von Proxmox.
Dann prüfen, ob alles korrekt ist und anschließend mit Apply die Einstellung übernehmen.
So kannst du z.B. sehr simpel eine Acitve-Backup Konfiguration konfigurieren:
Noch eine nette Info: Wenn du z.B. eine neue bridge erstellst und keinen bridge port hinterlegst, kannst du damit ein Proxmox-Internes Netzwerk bauen. Füge die bridge dann als 3. Netzwerkport deiner Sophos hinzu und gib diese bridge Test-VMs oder VMs/Containern, die übers Internet erreichbar sein sollen oder ein eigenes Netzwerk bekommen sollen. Damit kann man z.B. eine DMZ realisieren.
Was auch cool ist, wenn du deine bridge VLAN-Aware machst kannst du pro VM/Container z.B. einen VLAN-Tag hinzufügen und ermöglichst damit, dass du die VMs mit diesem VLAN-Tag untereinander kommunizieren können usw.
Coole Sache und ehrlich gesagt für mich verständlicher als ein ESXi.
MfG
Ok, vielen Dank erstmal für Eure Infos.
Ich werde die Netzwerkkonfig dann mal posten.
Mfg
Ich werde die Netzwerkkonfig dann mal posten.
Mfg
Hallo,
hier mal meine Netzwerkkonfig:
hier mal meine Netzwerkkonfig:
Guten morgen,
ich habe 4 Nics verbaut. Bei mir sieht das so aus
du kannst ja jeder vm eine NIC zuordnen, dann gebe dem win10 die gleiche NIC wie dem Sophos XGS VM.
Oder habe ich da etwas falsch verstanden?
lg
ich habe 4 Nics verbaut. Bei mir sieht das so aus
auto lo
iface lo inet loopback
iface eno1 inet manual
iface eno2 inet manual
iface enp2s0f0 inet manual
iface enp2s0f1 inet manual
auto vmbr0
iface vmbr0 inet static
address 192.168.50.254/24
gateway 192.168.50.253
bridge-ports eno1
bridge-stp off
bridge-fd 0
#Proxmox-254
auto vmbr1
iface vmbr1 inet manual
bridge-ports eno2
bridge-stp off
bridge-fd 0
#Webserver-58
auto vmbr2
iface vmbr2 inet manual
bridge-ports enp2s0f0
bridge-stp off
bridge-fd 0
#Bacula-248
auto vmbr3
iface vmbr3 inet manual
bridge-ports enp2s0f1
bridge-stp off
bridge-fd 0du kannst ja jeder vm eine NIC zuordnen, dann gebe dem win10 die gleiche NIC wie dem Sophos XGS VM.
Oder habe ich da etwas falsch verstanden?
lg
Hallo primeon,
ich möchte im Prinzip, das alle Proxmox VMs, sowie alle Rechner im Lan (192.168.207.x) über die Sophos VM,
ins Internet kommen. Ungefair so:
Lan \_________ 192.168.207.x ----- Sophos VM ----- 192.168.208.x ----- FritzBox ----- Internet
proxox VM /
Hoffe jetzt wird es klarer.
Gruß
Juppy1
ich möchte im Prinzip, das alle Proxmox VMs, sowie alle Rechner im Lan (192.168.207.x) über die Sophos VM,
ins Internet kommen. Ungefair so:
Lan \_________ 192.168.207.x ----- Sophos VM ----- 192.168.208.x ----- FritzBox ----- Internet
proxox VM /
Hoffe jetzt wird es klarer.
Gruß
Juppy1
Willst du das mit oder ohne (eigentlich überflüssige) USB NICs machen??
Idealerweise macht man das natürlich ohne diese USB NICs und nutzt dafür dann nur die Onboard NIC. Das erfordert dann aber immer einen kleinen preiswerten VLAN Switch ohne den das nicht zu realisieren wäre, weil du nur mit der einzelnen Onboard NIC dann VLANs nutzen musst um die Netzwerksegmente LAN/WAN der Firewall trennen zu können! VLANs kann bekanntlich nur ein kleiner managebarer Switch.
Die Lösung ist dann kinderleicht und im Handumdrehen erledigt!
So sähe es aus:
Dazu konfigurierst du den internen Proxmox vSwitch das er VLAN aware ist, also 802.1q VLAN Tags versteht. (Für Details dazu siehe hier)
Dann gibst du allen VMs die am LAN Port der Firewall hängen und auch dem LAN Port der Firewall selber einen VLAN Tag mit. Damit ist das interne lokale LAN an der Firewall und die dortigen VMs im VLAN 10 Segment abgetrennt.
Hier siehst du das am Beispiel einer OPNsense Firewall unter Proxmox mit VLAN ID 10:
(Network Device (net1) Port ist der lokale FW LAN Port bzw. VM Port und mit dem VLAN Tag 10 versehen!)
Den NIC Port des Proxmox Servers schliesst du dann an den kleinen VLAN Switch an und taggst dort den Port des Proxmox Servers mit 10 (hier Beispiel der VLAN ID für die internen VMs am lokalen LAN der Firewall).
Das hat den schönen Vorteil das du so über den VLAN Switch auch die VMs am LAN der Firewall mit einem PC über VLAN 10 direkt erreichen kannst (Management, Troubleshooting etc.) Deine privaten Rechner bzw. dein eigenes lokales LAN (Fritzbox LAN) ist dann im VLAN 1. So hast du beide Netze physisch vollkommen getrennt am Switch anliegen.
Das wäre dann eine Bilderbuchlösung mit der Onboard NIC des Proxmox.
Idealerweise macht man das natürlich ohne diese USB NICs und nutzt dafür dann nur die Onboard NIC. Das erfordert dann aber immer einen kleinen preiswerten VLAN Switch ohne den das nicht zu realisieren wäre, weil du nur mit der einzelnen Onboard NIC dann VLANs nutzen musst um die Netzwerksegmente LAN/WAN der Firewall trennen zu können! VLANs kann bekanntlich nur ein kleiner managebarer Switch.
Die Lösung ist dann kinderleicht und im Handumdrehen erledigt!
So sähe es aus:
Dazu konfigurierst du den internen Proxmox vSwitch das er VLAN aware ist, also 802.1q VLAN Tags versteht. (Für Details dazu siehe hier)
Dann gibst du allen VMs die am LAN Port der Firewall hängen und auch dem LAN Port der Firewall selber einen VLAN Tag mit. Damit ist das interne lokale LAN an der Firewall und die dortigen VMs im VLAN 10 Segment abgetrennt.
Hier siehst du das am Beispiel einer OPNsense Firewall unter Proxmox mit VLAN ID 10:
Den NIC Port des Proxmox Servers schliesst du dann an den kleinen VLAN Switch an und taggst dort den Port des Proxmox Servers mit 10 (hier Beispiel der VLAN ID für die internen VMs am lokalen LAN der Firewall).
Das hat den schönen Vorteil das du so über den VLAN Switch auch die VMs am LAN der Firewall mit einem PC über VLAN 10 direkt erreichen kannst (Management, Troubleshooting etc.) Deine privaten Rechner bzw. dein eigenes lokales LAN (Fritzbox LAN) ist dann im VLAN 1. So hast du beide Netze physisch vollkommen getrennt am Switch anliegen.
Das wäre dann eine Bilderbuchlösung mit der Onboard NIC des Proxmox.
Hi,
welche vmbr-Ports hast du bei deiner Sophos VM konfiguriert? Idealerweise in deinem Fall hat die Sophos 2x vmbr. vmbr0 als LAN und vmbr1 als WAN.
Dann hängst du den Netzwerkport deiner Windows VM einfach auch auf vmbr0 und fertig. Und wenn genau diese Einstellungen derzeit dein Problem verursachen, dann erstelle eine weitere vmbr4 (ohne bridge Port, Proxmox-Intern) und erstelle bei deiner Sophos VM eine 3. NIC und lege sie auf vmbr4 und ändere deine Windows-VM auch auf vmbr4 und konfiguriere dann halt innerhalb deiner Sophos das neue Interface und gebe dann allen deinen Proxmox-VMs auch die vmbr4.
Die vmbr3 kannst du auch wegwerfen oder wie weiter oben beschrieben die USB NIC als als Failover konfigurieren.
MfG
Hallo zusammen,
sorry das ich mich jetzt erst melde. War in Urlaub
Ich habe die VM mit der Sophos XGS jetzt noch einmal neu aufgesetzt. Diesmal nur mit der dem Lan Anschluss auf dem Bord (LAN) und einer USB-NIC (WAN) . Jetzt klappt es so wie ich das haben wollte. Keine Ahnung warum ich das damals so konfiguriet hatte.
Nochmal vielen Dank für Eure Unterstützung.
VG
sorry das ich mich jetzt erst melde. War in Urlaub
Ich habe die VM mit der Sophos XGS jetzt noch einmal neu aufgesetzt. Diesmal nur mit der dem Lan Anschluss auf dem Bord (LAN) und einer USB-NIC (WAN) . Jetzt klappt es so wie ich das haben wollte. Keine Ahnung warum ich das damals so konfiguriet hatte.
Nochmal vielen Dank für Eure Unterstützung.
VG