VLAN VMs haben zum Teil kein I-net
Hallo zusammen,
ich arbeite ja schon seit längerem - langsam aber stetig- an meinem kleinen "Heim"-Server Projekt und bin bisher mit dem Setup sehr zufrieden - danke an all die Hilfe hier im Forum.
Was ich bisher habe ist ein Server welcher auf Ubuntu Basis läuft und zudem unterschiedliche VM's über Libvirt/KVM durchaus vernünftig laufen. Einer dieser VM's ist mein PfSense Router.
Eigentlich mein letztes Setup wäre noch Vlans einzurichten was ich nun auch gemacht habe.
in Ubuntu "netplan" hatte ich ein VLAN angelegt und dieses VLAN über eine Brücke (br10) mit der Brücke (br1) was mein Haus LAN ist verbunden.
br10:
interfaces: [br0.10]
dhcp4: no
dhcp6: no
vlans:
br0.10:
link: br1
id: 10
In PfSene hatte ich dann das VLAN mit einer eigenen IP Range angelegt und den DHCP Server eingerichtet.
Anbei noch die Regeln meines VLAN. Das VLAN soll keinen Zugriff auf das Heimnetzwerk bekommen. Vom Heimnetzwerk würde ich aber gerne darauf zugreifen können. Zudem muss das VLAN Zugriff zum Internet haben.
Die VM die ich in KVM mit der Brücke br10 (Vlan) starte bekommen alle eine IP Adresse aus der in PfSense definierten IP Range. Ich kann auch alle VM's vom VLAN untereinander anpingen.
Zudem habe ich Testmäßig bei drei VM's den Zugriff zum Internet getesten.
1. VM mit Ubuntu 16 Test Server bekommt eine IP hat aber keinen Zugriff aufs Internet kann aber VM 2 und 3 anpingen
2. VM mit Ubuntu 22 Desktop bekommt eine IP kann über Firefox auf das Internet zugreifen (auch Google Seite), kann VM1 und 3 anpingen aber kann nicht die 8.8.8.8 anpingen
3. VM mit Windows 10 bekommt eine IP kann auch VM 1 und 2 anpingen aber nicht aufs Internet zugreifen.
Übersehe ich etwas bei der VLAN Regel oder habt ihr einen anderen Ansatz weswegen die VM's zum Teil keinen Zugriff auf das Inet bekommen.
Danke und Grüße
ich arbeite ja schon seit längerem - langsam aber stetig- an meinem kleinen "Heim"-Server Projekt und bin bisher mit dem Setup sehr zufrieden - danke an all die Hilfe hier im Forum.
Was ich bisher habe ist ein Server welcher auf Ubuntu Basis läuft und zudem unterschiedliche VM's über Libvirt/KVM durchaus vernünftig laufen. Einer dieser VM's ist mein PfSense Router.
Eigentlich mein letztes Setup wäre noch Vlans einzurichten was ich nun auch gemacht habe.
in Ubuntu "netplan" hatte ich ein VLAN angelegt und dieses VLAN über eine Brücke (br10) mit der Brücke (br1) was mein Haus LAN ist verbunden.
br10:
interfaces: [br0.10]
dhcp4: no
dhcp6: no
vlans:
br0.10:
link: br1
id: 10
In PfSene hatte ich dann das VLAN mit einer eigenen IP Range angelegt und den DHCP Server eingerichtet.
Anbei noch die Regeln meines VLAN. Das VLAN soll keinen Zugriff auf das Heimnetzwerk bekommen. Vom Heimnetzwerk würde ich aber gerne darauf zugreifen können. Zudem muss das VLAN Zugriff zum Internet haben.
IPv4+6 TCP * * LAN net * * none Block Traffic to LAN network
IPv4+6 TCP * * LAN40 net * * none Block Traffic to LAN40 network
IPv4 TCP OPT3 net * * * * none
Die VM die ich in KVM mit der Brücke br10 (Vlan) starte bekommen alle eine IP Adresse aus der in PfSense definierten IP Range. Ich kann auch alle VM's vom VLAN untereinander anpingen.
Zudem habe ich Testmäßig bei drei VM's den Zugriff zum Internet getesten.
1. VM mit Ubuntu 16 Test Server bekommt eine IP hat aber keinen Zugriff aufs Internet kann aber VM 2 und 3 anpingen
2. VM mit Ubuntu 22 Desktop bekommt eine IP kann über Firefox auf das Internet zugreifen (auch Google Seite), kann VM1 und 3 anpingen aber kann nicht die 8.8.8.8 anpingen
3. VM mit Windows 10 bekommt eine IP kann auch VM 1 und 2 anpingen aber nicht aufs Internet zugreifen.
Übersehe ich etwas bei der VLAN Regel oder habt ihr einen anderen Ansatz weswegen die VM's zum Teil keinen Zugriff auf das Inet bekommen.
Danke und Grüße
Please also mark the comments that contributed to the solution of the article
Content-ID: 667956
Url: https://administrator.de/contentid/667956
Printed on: October 13, 2024 at 09:10 o'clock
2 Comments
Latest comment
Du erlaubst nur TCP Traffic was eher kontraproduktiv ist, denn damit blockst du DNS Traffic der in der Regel UDP nutzt.
Dein Vorgehen ist auch strategisch falsch. Solange man am Testen ist schaltet man idealerweise die Firewall immer auf Durchzug (any any Scheunentorregel) und testet so die komplette IP Connectivity.
Erst wenn das alles sauber rennt macht man die Schotten dicht mit einem entsprechenden Regelwerk.
So geht man immer auf Nummer sicher das ein Fehler ausschliesslich nur am falschen Regelwerk liegen kann. Eigentlich logisch und sagt einem auch der gesunde IT Verstand.
Grundlagen zur pfSense im Hypervisor Betrieb auch hier:
pfSense in einer VM betreiben
Pfsense in Proxmox als Router
Dein Vorgehen ist auch strategisch falsch. Solange man am Testen ist schaltet man idealerweise die Firewall immer auf Durchzug (any any Scheunentorregel) und testet so die komplette IP Connectivity.
Erst wenn das alles sauber rennt macht man die Schotten dicht mit einem entsprechenden Regelwerk.
So geht man immer auf Nummer sicher das ein Fehler ausschliesslich nur am falschen Regelwerk liegen kann. Eigentlich logisch und sagt einem auch der gesunde IT Verstand.
Grundlagen zur pfSense im Hypervisor Betrieb auch hier:
pfSense in einer VM betreiben
Pfsense in Proxmox als Router