pixel24
Goto Top

VLAN auf dem Proxmox - Konzept

Hallo zusammen,

wir haben im Unterricht (Externvorbereitung FISI) das Thema VLAN zwar durch genommen bzw. angesprochen. Jedoch völlig ohne praktischen Bezug. Nun möchte ich hier eine Testumgebung aufsetzen um das auch mal praktisch anzuwenden.

Im Unterricht wurde das Thema lediglich so erwähnt dass man für seine unterschiedlichen VLAN's eine ID hat, diese im Switch (der muss es natürlich können) die VLAN-ID konfiguriert und schon wären die virtuellen Netze voneinander getrennt.

Ich habe an dem Testsystem zwar einen entsprechenden Switch (Ciso CBS250-48P-4X) aber bin mir nicht sicher ob das überhaupt relevant ist da die Systeme die ich per VLAN trennen möchte allesamt VM's unter Proxmox sein werden. Bis auf PVE ist jedoch noch nichts installiert.

Bisher habe ich auf dem PVE zwei Bridges eingerichtet:

Name: vmbr0 (LAN)
daran ist die erste NIC gebunden, 192.168.17.1/24 -> Port1 am o.g. Cisco

Name: vmbr1 (WAN)
daran ist die zweite NIC gebunden, -> Zu einem Router ins Internet (DHCP)

Auf dem fertigen System sollen nun folgende VM's installiert/eingerichtet werden. Wie ich die Systeme an und für sich konfiguriere und einrichte (ohne VLAN) ist mir bekannt:

- pfSense (als Router/Firewall)
- ads01 (LDAP, Samba, Kerberos für Benutzer, Freigaben, Drucker)
- db01 (Datenbankserver)
- cloud01 (Nextcloud)
- ox01 (Groupware)
- media01 (Media/Streaming-Server)

Jetzt wäre mein Gedanke ein VLAN für intern zu machen in welchem lediglich die internen Clients/Geräte und der ads01 sowie der db01sind.

Ein weiteres VLAN für eine DMZ in welche die VM's kommen die von extern erreichbar sein sollen was dann: cloud01, ox01 und media01 wären.

Wo konfiguriere ich nun die VLAN's? Das macht nach meinem Verständnis doch nur auf dem Proxmox Sinn da die VM's ja physikalisch überhaupt nicht an den Switch angeschlossen sind.

Oder macht mein Vorhaben so überhaupt keinen Sinn?

Beste Grüße
pixel24

Content-ID: 63765750521

Url: https://administrator.de/forum/vlan-auf-dem-proxmox-konzept-63765750521.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

aqui
Lösung aqui 10.10.2023 aktualisiert um 17:28:47 Uhr
Goto Top
Wo konfiguriere ich nun die VLAN's?
Vom VLAN Verständnis her liegst du richtig...
Vielleicht hilft das etwas zum weiteren VLAN Verständnis. Insbesondere wenn man nur eine NIC am Proxmox hat wie bei NUCs etc.:
Pfsense in Proxmox als Router
pixel24
pixel24 10.10.2023 um 18:09:53 Uhr
Goto Top
Danke für die schnelle Rückmeldung. Ich zweifel gerade daran ob mein Vorhaben so überhaupt einen Sinn ergibt.

Wenn ich mir nun die VLAN-Konfiguration ausdenke:

VLAN-ID 10 (für inern)
VLAN-ID 20 (für DMZ)

würde ich jetzt z.B. der vmbr0, welche ja ins LAN zeigt die Option "VLAN Aware" geben. Der Bridge vmbr1 die ins WAN zeigt nicht.

Die beiden VM's die nur intern erreichbar sein sollen (ad01 und db01) gebe ich in der PVE-Konfiguration unter Netzwerkkarte die VLAN-ID 10 mit.

Den VM's die von außen zugänglich sind (ox01, cloud01 etc.) konfiguriere ich im PVE die VLAN-ID 20

Dann können doch die VM's z.B. ads01 nicht mit der VM ox01 kommunizieren, oder? Das ist jedoch notwendig da ox01 (wie andere VM's in der DMZ auch) Domain-Member sind und mit ads01 kommunizieren müssen.

Oder ich stehe gerade völlig auf dem Schlauch.
Spirit-of-Eli
Lösung Spirit-of-Eli 10.10.2023 um 22:09:58 Uhr
Goto Top
Moin,

stell dir die VLans doch einfach wie separate Switche vor. Die Netze kannst du nicht zusammen stecken. Also brauchst einen Router/Gateway dazwischen.
Vlans ersetzen doch nur die physische Infrastruktur zur Trennung für zu einer logischen Trennung.

Was miteinander kommunizieren kann, regelst du dann mit na Firewall.

Gruß
Spirit
aqui
Lösung aqui 10.10.2023 aktualisiert um 22:24:57 Uhr
Goto Top
Du stehst vermutlich wirklich etwas auf dem Schlauch.... face-wink
Wenn du VMs trennen willst platzierst du sie ja in 2 oder mehr unterschiedlichen, getrennten Netzen. Sie liegen so also in getrennten Netzen bzw. VLANs, können damit logischerweise ohne einen Router oder Firewall nicht kommunizieren.
Wenn sie kommunizieren sollen dann müssen sie entweder im gleichen Netzwerk / VLAN liegen oder sie müssen sich über einen Router oder Firewall erreichen können. Kollege @Spirit-of-Eli hat es oben schon gesagt.

Liegen also ad01 und db01 in einem VLAN Segment 10 und ox01 und cloud01 im VLAN 20 können sie sich VLAN übergreifend natürlich nicht erreichen.
Ist ja auch so gewollt, denn VLANs sind bekanntlich eine Layer 2 Segmentierunsgtechnik zum Trennen von Layer 2 Netzsegmenten.
Soll also ad01 (was ist as01?? Ein weitere VM??) in VLAN 10 mit ox01 in VLAN 20 kommunizieren geht das nicht bzw. nur über einen Router oder Firewall die zwischen den beiden Netzen routen kann.
Folglich musst du also eine Router VM mit 2 virtuellen NICs haben, die ein Bein im VLAN 10 und eins im VLAN 20 hat um diese beiden Netze / VLANs routingtechnisch zu verbinden.
Alternativ müssen sie in ein gemeinsames L2 Netzwerk. Je nachdem.

Eigentlich doch eine ganz simple Logik...?!
pixel24
pixel24 11.10.2023 um 08:35:11 Uhr
Goto Top
Danke für Eure Geduld und Erklärungen! Ich habe mir Gestern noch einige Texte und Videos zum Thema VLAN angeschaut bzw. gelesen. Ich denke für das was ich eigentlich vor habe ist VLAN einfach nicht das Mittel der Wahl. Ich hatte zugegebener Maßen auch anfänglich Schwierigkeiten das VLAN-Konzept wie man es mit physischen Switches macht gedanklich in mein Proxmox-VM-Konzept zu übersetzen. Ich denke ich habe es nun verstanden.

Ich versuche mal zu erläutern was mein eigentliches Ziel ist, wird prinzipbedingt etwas ausführlicher face-sad

Der Supermicro-Server der hier für die Testumgebung zu Verfügung steht hat drei GB-LAN-NIC. Diese sind in PVE folgenden Bridges zugeordnet:

LAN1 -> vmbr0
LAN2 -> vmbr1

vmbr0 ist für das LAN und vmbr1 für das WAN. Die esrte VM die ich aufsetze ist immer die pfSense die natürlich zwei virtuelle NIC's hat und an beiden Bridges hängt, den ZUgang zum Internet bereitstellt und den eingehenden Verkehr regelt bzw. reglementiert. Soweit ist das ja keine Raketenwissenschaft.

Darüberhinaus betreibe ich auf den PVE's immer folgende weitere VM's:

ad01: Ist der ADS mit Samba, LDAP, Kerberos, DHCP/DNS. Stellt Shares und Druckdienste bereit
db01: Wie der Name vermuten lässt laufen hier die Datenbanken
cloud01: Hier läuft die Nexctcloud-Instanz die Fraigaben von ad01 gemountet hat
ox01: Hier läuft Open-Xchange, also die Groupware inkl Mailsystem
media01: Hier läuft mein Jellyfin-Server der alle MEdien bereitstellt. Die Freigaben ebenfalls von ad01 gemountet hat.

Bishher habe ich alles diese VM's einfach mit einer virtuellen NIC an vmbr0 "angestöpselt". Den Zugriff von extern (die Zugriffe laufen über HTTPS) habe ich auf der pfSense mittels HA-Proxy eingerichtet.

Jetzt kam mir der Gedanke bzw. im Unterricht wurde dass immer wieder erwähnt das Systeme die von extern erreichbar sein sollen besser in einer DMZ platziert werden. Das wären bei mir also:

- cloud01
- ox01
- media01

Das ist der erste "Themenblock" den ich mit dieser Installation angehen möchte. Es gibt noch einen weiteren.

Auf meinen Systemen bekommt kein Gerät vom ad01 eine IP dass an diesem nicht registriert / eingerichtet ist. Dies ist auch so gewünscht. Suboptimal ist das natürlich für ein Gäste-WLAN da man jedes Gerät am ad01 anlegen muss.

Wäre es nun eine Möglichkeit eine dritte Bridge (vmbr2) für eine - nennen wir es einfach mal DMZ anzulegen. Die LAN3 daran zu binden die physikalisch zu den Gäste-WLAN-AP's zeigt. Die pfSense bekommt eine dritte virtuelle NIC die an vmbr2 gebunden wird. Auf der pfSense könnte ich dann auf dieser Schnittstelle einen DHCP-Server laufen lassen der die Gast-Geräte mit Adressen versorgt und darüber kommen sie ins Internet ohne dass sie sich im internen Netzwerk befinden.

Weiter dachte ich dass ich dann die VM's die von extern erreichbar sein sollen ebenfalls an diese Bridge hänge. Den Zugriff auf die VM's in der DMZ (sowohl von intern als auch von extern) muss ich dann natürlich über die pfSense regeln.

Ob bei diesem gedanklichen Konzept nun VLAN's noch gewinnbringend eingesetzt werden können kann ich jetzt nicht abschätzen.

Macht das Ganze so einen Sinn?

Beste Grüße
pixel24
aqui
Lösung aqui 11.10.2023 aktualisiert um 09:02:38 Uhr
Goto Top
Wäre es nun eine Möglichkeit eine dritte Bridge (vmbr2) für eine - nennen wir es einfach mal DMZ anzulegen.
Das macht auch Sinn aber wenn du dann wieder VLANs vermeiden willst benötigst du eben unbedingt deine 3te NIC, denn die musst du dann an ein weiteres DMZ Segment binden um die VMs dann dort einzuhängen.
Die pfSense Firewall bekommt dann analog dazu eine 3te vNIC die dann das DMZ Segment bedient.
Auch keine Raketenwissenschaft... 😉
die VM's die von extern erreichbar sein sollen ebenfalls an diese Bridge hänge.
Das wäre dann korrekt und wie oben schon beschrieben eine klassische DMZ Lösung.
Suboptimal ist das natürlich für ein Gäste-WLAN da man jedes Gerät am ad01 anlegen muss.
Kommt drauf an wie man sein Gäste WLAN betreibt?! Eine einfache Lösung könnte sein an der Firewall an VLAN Interface einzurichten und dort IPs per DHCP der Firewall zu vergeben. Ohne VLANs benötigst du wieder eine physische NIC.
Alternativ kann man auf ad01 einen DHCP Server nur für das Gast WLAN einrichten und dann nur diesen Scope per DHCP Forwarding (Relay) aus dem Gastsegment bedienen.
Da gibt es mehrere Wege nach Rom...
Auf der pfSense könnte ich dann auf dieser Schnittstelle einen DHCP-Server laufen lassen der die Gast-Geräte mit Adressen versorgt
Bedeutet dann aber das deine Gäste dann zusammen mit deinen DMZ Hosts das DMZ Segment benutzen. Ob das eine gute Idee ist musst du selber entscheiden. Wenn du allerdings wieder VLAN frei bleiben willst hast du keine andere Wahl.
VLAN's noch gewinnbringend eingesetzt werden können kann ich jetzt nicht abschätzen.
Wir leider auch nicht, da wir deine zukünftigen Planungen nicht kennen.
Ohne VLANs bist du mit deinen 3 Segmenten (NICs) WAN, DMZ und LAN dann am Ende. Du siehst ja selber das du deine Gäste dann zusammen mit deinen DMZ Hosts in ein Segment legen muss. Normalerweise ein securitytechnisches NoGo weil Gastsegmente bekanntlich immer getrennt sein sollten aber wenn du VLAN frei bleiben willst hast du ja keine andere Wahl oder musst noch eine zusätzliche NIC in den Supermicro einbauen.
pixel24
pixel24 11.10.2023 um 09:34:57 Uhr
Goto Top
Da es ja ein Übungs-Projekt ist werde ich die Variante mit der 3. NIC an vmbr2 für DMZ testen.

Dass die WLAN-Gäste mit im DMZ hängen stellt für mich jetzt kein Problem dar. Aus der weiten Welt (von extern) sind diese Hosts ja auch zugänglich.

Wenn ich es auf die klassische Art gelöst habe werde ich es alternativ nochmal mit VLAN's versuchen face-smile
aqui
aqui 11.10.2023 um 12:44:39 Uhr
Goto Top
pixel24
pixel24 17.10.2023 um 17:29:49 Uhr
Goto Top
Hallo zusammen,

hier ist nochmal die Nervensäge aus "Jugend forscht" face-smile

ich versuche nach wie vor ein vernünftiges Konzept zu entwickeln und die Hintergründe zu verstehen. Ich habe mir das zum besseren Verständnis mal auf-skizziert (siehe Anhang). Sehr vereinfacht, ein Design-Preis gibt es dafür nicht.

Am physischen Switch würde ich allen Ports die auf LAN und auf die DMZ zugreifen sollen die VLAN-ID's 10 & 20 geben.

Für das Gäste-WLAN nutze ich eine eigne Linux-Bridge (VMBR2) die an LAN3 gebunden und mit der VLAN-ID 20 konfiguriert wird. Die pfSense ist mit einem 3. Adapter daran angebunden auf welcher ein, auf der pfSense laufender DHCP-Server, die WLAN-Gäste mit IP-Adressen versorgt und diese raus ins Internet leitet. Die Ports (am physischen Switch) an welchen ein AP für das Gäste-WLAN hängt wird ausschließlich auf die VLAN-ID 20 konfiguriert.

Alle Ports (am physischen Switch) die auf LAN bzw. LAN & DMZ zugreifen sollen bekommen die VLAN-ID 10 bzw. 10 & 20.

Wäre das vom Aufbau her so korrekt?

Beste Grüße
pixel24
Übersicht-aufbau
aqui
aqui 17.10.2023 aktualisiert um 18:03:22 Uhr
Goto Top
die auf LAN bzw. LAN & DMZ zugreifen sollen bekommen die VLAN-ID 10 bzw. 10 & 20.
Da hast du dich wohl vertippt wenn die DMZ laut deiner eigenen Zeichnung die VLAN ID 30 hat?! 🤔
Ansonsten ist die Aussage falsch!

Der Rest sieht soweit ganz korrekt aus:
  • vmbr0
    • muss auf "VLAN aware" im Proxmox Setup geklickt sein
    • VMs bekommen dann ein VLAN Tag 10 oder 30 je nachdem ob sie im LAN oder DMZ Segment arbeiten
    • Der Link der LAN1 NIC auf den Switch muss auf der Switchseite als Trunk (tagged 10 und 30) konfiguriert sein
    • 10 und 30 Tags müssen auf die vNIC der pfSense VM durchgereicht werden damit die Firewall das LAN und DMZ Segment routet.
    • Über Accessports in 10 und 30 auf dem Switch hast du bequem direkten Zugang zum LAN und DMZ Netzwerk als auch zum Gastnetzwerk (20)
  • vmbr1 (WAN) reicht nur durch auf den Router. Kein VLAN Aware erforderlich
  • vmbr2 ebenso. Switchseite muss in einen UNtagged Accessport in VLAN 20
pixel24
pixel24 17.10.2023 um 18:11:57 Uhr
Goto Top
Ups, ja. Das war ein Vertipper. Den Rest habe ich exakt so vorgesehen wie Du es geschrieben hast. Ich denke so hat das Ganze Hand&Fuß wie wir in Baden sagen face-smile

Dann markiere ich den Beitrag wieder als gelöst. Ich vermute mal stark dass ich während der Umsetzung noch die ein oder andere Frage habe werden. Ich denke das Konzept habe ich soweit verstanden.

Vielen Dank für die Unterstützung!
aqui
aqui 17.10.2023 um 18:19:42 Uhr
Goto Top
Ganze Hand&Fuß wie wir in Baden sagen
Sagt man so auch an der Küste! 😉