heinz189
Goto Top

VLAN VMs haben zum Teil kein I-net

Hallo zusammen,

ich arbeite ja schon seit längerem - langsam aber stetig- an meinem kleinen "Heim"-Server Projekt und bin bisher mit dem Setup sehr zufrieden - danke an all die Hilfe hier im Forum.

Was ich bisher habe ist ein Server welcher auf Ubuntu Basis läuft und zudem unterschiedliche VM's über Libvirt/KVM durchaus vernünftig laufen. Einer dieser VM's ist mein PfSense Router.

Eigentlich mein letztes Setup wäre noch Vlans einzurichten was ich nun auch gemacht habe.

in Ubuntu "netplan" hatte ich ein VLAN angelegt und dieses VLAN über eine Brücke (br10) mit der Brücke (br1) was mein Haus LAN ist verbunden.

br10:
interfaces: [br0.10]
dhcp4: no
dhcp6: no
vlans:
br0.10:
link: br1
id: 10

In PfSene hatte ich dann das VLAN mit einer eigenen IP Range angelegt und den DHCP Server eingerichtet.

Anbei noch die Regeln meines VLAN. Das VLAN soll keinen Zugriff auf das Heimnetzwerk bekommen. Vom Heimnetzwerk würde ich aber gerne darauf zugreifen können. Zudem muss das VLAN Zugriff zum Internet haben.

IPv4+6 TCP 	* 	* 	LAN net 	* 	* 	none 	  	Block Traffic to LAN network 	
IPv4+6 TCP 	* 	* 	LAN40 net 	* 	* 	none 	  	Block Traffic to LAN40 network 	
IPv4 TCP 	OPT3 net 	* 	* 	* 	* 	none 	  	

Die VM die ich in KVM mit der Brücke br10 (Vlan) starte bekommen alle eine IP Adresse aus der in PfSense definierten IP Range. Ich kann auch alle VM's vom VLAN untereinander anpingen.

Zudem habe ich Testmäßig bei drei VM's den Zugriff zum Internet getesten.

1. VM mit Ubuntu 16 Test Server bekommt eine IP hat aber keinen Zugriff aufs Internet kann aber VM 2 und 3 anpingen
2. VM mit Ubuntu 22 Desktop bekommt eine IP kann über Firefox auf das Internet zugreifen (auch Google Seite), kann VM1 und 3 anpingen aber kann nicht die 8.8.8.8 anpingen
3. VM mit Windows 10 bekommt eine IP kann auch VM 1 und 2 anpingen aber nicht aufs Internet zugreifen.

Übersehe ich etwas bei der VLAN Regel oder habt ihr einen anderen Ansatz weswegen die VM's zum Teil keinen Zugriff auf das Inet bekommen.

Danke und Grüße

Content-ID: 667956

Url: https://administrator.de/contentid/667956

Printed on: October 13, 2024 at 09:10 o'clock

aqui
Solution aqui Sep 07, 2024 updated at 13:18:58 (UTC)
Goto Top
Du erlaubst nur TCP Traffic was eher kontraproduktiv ist, denn damit blockst du DNS Traffic der in der Regel UDP nutzt.
Dein Vorgehen ist auch strategisch falsch. Solange man am Testen ist schaltet man idealerweise die Firewall immer auf Durchzug (any any Scheunentorregel) und testet so die komplette IP Connectivity.
Erst wenn das alles sauber rennt macht man die Schotten dicht mit einem entsprechenden Regelwerk.
So geht man immer auf Nummer sicher das ein Fehler ausschliesslich nur am falschen Regelwerk liegen kann. Eigentlich logisch und sagt einem auch der gesunde IT Verstand. face-wink
Grundlagen zur pfSense im Hypervisor Betrieb auch hier:
pfSense in einer VM betreiben
Pfsense in Proxmox als Router
Heinz189
Heinz189 Sep 07, 2024 at 21:22:00 (UTC)
Goto Top
Du hast natürlich recht. Das wäre der bessere Ansatz gewesen alles aufzumachen und dann anzufangen einzuschränken. Merkt man halt, dass ich kein IT'ler bin.

Es lag so wie es aussieht an der TCP Einschränkung. Abgeändert auf any hat die Lösung gebracht.

Danke für den Denkanstoß bzw. die Lösung.