Hallo zusammen,
ich bin auf ein Problem gestoßen, bei dem ich mir nicht sicher bin, ob es sich um ein Konfigurationsproblem oder einen Bug in der Software handelt. Ziel ist es, mehrere Proxmox-Knoten über VXLANs an eine OPNsense anzubinden. Die Proxmox-Knoten bilden ein HA-Cluster.
Auf Basis verschiedener Anleitungen, unter anderem aus diesem Forum, konnte ich das Setup aufbauen. In der OPNsense habe ich eine Bridge erstellt, der ich die VXLAN-Interfaces zugeordnet habe. Jedes VXLAN-Interface bildet ein VXLAN-Device ab und kommuniziert jeweils mit einem Proxmox-Knoten. Die Kommunikation läuft: Ich kann von allen Knoten über die OPNsense ins Internet und ins VPN.
Jetzt zu meinem Problem:
Im Betrieb ist mir aufgefallen, dass manche VMs immer wieder sporadisch nicht erreichbar sind. Nach längerer Analyse konnte ich feststellen, dass die ARP-Tabelle in der OPNsense die entsprechenden IP-Adressen regelmäßig wieder verliert. Dadurch ist ein Zugriff nicht möglich. Weiterhin konnte ich feststellen, dass sobald ich von einer der betroffenen VMs eine Verbindung zur OPNsense aufbaue, z. B. durch einen Ping, die ARP-Tabelle die IP-Adresse der VM auflistet. Das erklärt, warum es manchmal funktioniert und manchmal nicht.
Bei weiterer Analyse mittels Packet Capture auf der Bridge und den VXLAN-Interfaces sehe ich, dass eine ARP-Anfrage als Broadcast gesendet wird, jedoch nur in der Bridge und einem der VXLAN-Interfaces. Das bedeutet, dass nur einer der Proxmox-Knoten die ARP-Anfrage erhält, was erklärt, warum die ARP-Tabelle die IP-Adressen der anderen Knoten nicht kennt.
Ich habe außerdem festgestellt, dass wenn ich z. B. ein VLAN-Interface der Bridge hinzufüge, den ARP-Broadcast erhält. Es scheint also am VXLAN-Interface zu liegen. Auffällig ist, dass immer das erste VXLAN-Interface in der Bridge den Broadcast erhält, das zweite, dritte usw. jedoch nicht. Tausche ich die Reihenfolge, indem ich die Interfaces beim VXLAN-Device vertauscht anlege, wandert der Fehler nicht mit.
Unterm Strich würde ich also sagen, dass die Bridge ein Problem damit hat, mit mehr als einem VXLAN-Interface umzugehen.
Ich hoffe, man konnte mir folgen. Hat jemand dieses Problem schon einmal gehabt und kann es bestätigen? Oder hat jemand eine Idee, wie ich das Problem lösen kann?
Vielen Dank im Voraus für jede Antwort.
Viele Grüße
Niklas
Version: 25.10.1_2
Lizenz: Business
Hast du die Tunables für die Bridge gesetzt, die die Filterfunktion vom Member-Interface auf das Bridge-Interface verschieben?
Hallo Patrick,
ich habe folgende gesetzt:
- net.link.bridge.pfil_member = 0
- net.link.bridge.pfil_bridge = 1
Auch nach dem Ändern der Tunables, inkl. Neustart der OPNsense, hat sich leider nichts geändert.