Ich möchte sanft von einem alten unmanaged reinen Fritzbox-Netz zu einem neuen Netz kommen, das über VLANs segmentiert ist. Den Zugriff soll OPNsense regeln.
Aus verschiedenen Gründen möchte ich OPNsense unter Proxmox virtualisieren.
Der neue managed Switch ist so konfiguriert: untagged Ports (VLAN 1) für Uplink zur Fritzbox, unmanged Legacy-Switch, primärer Proxmox Port=OPNsense WAN-Port. Für die VLANs ist ein Port als Trunk mit den VLANs 10, 20, 30 und 99 eingerichtet. Dieser Port ist mit einer zweiten NIC des Proxmox-Rechners verbunden (für OPNsense LAN/VLAN).
Also Proxmox installiert, zwei bridges für die zwei NICs eingerichtet, der zweite davon vlan-aware, OPNsense mit zwei NICs, je eine für die beiden Proxmox-bridges. In OPNsense VLAN-Devices und Interfaces definiert, um mit VLAN 99 besser experimentieren zu können für dessen Netz auch DHCP eingerichtet.
Nun Test-VM mit einer NIC, verbunden mit der vlan-aware bridge und VLAN tag 99. VM bekommt IP, kann auch die OPNsense pingen, kommt aber nicht weiter, weder auf den Proxmox host noch auf die Fritzbox oder ins Internet. NAT habe ich sowohl mit "automatsch" als auch mit "hybrid" und zus. Regel, die alles erlaubt versucht. Blockierung für private Netze ist ausgeschaltet. Langsam gehen mir die Ideen aus, was da noch fehlen könnte.
Hat jemand eine Idee? Hier zur Veranschaulichung noch meine Proxmox /etc/network/interfaces:
auto lo
iface lo inet loopback
iface enp1s0 inet manual
auto vmbr0
iface vmbr0 inet static
address 192.168.178.205/24
gateway 192.168.178.1
bridge-ports enp1s0
bridge-stp off
bridge-fd 0
iface enp2s0 inet manual
auto vmbr1
iface vmbr1 inet manual
bridge-ports enp2s0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 10 20 30 99
Wie so oft: Habe es kurz nach meinem Post hinbekommen. Ich hatte die Firewall-Regel aus dem VLAN-Netz ins Internet falsch. Ich hatte als Destination das WAN-Netz und damit hat es nicht geklappt. Ich konnte mir nicht vorstellen, daß es "any" sein muß, was ja im Rahmen einer Firewall nicht sonderlich sinnvoll ist, schlißlich will man ja nicht alles offen haben. Lösung war dann eine zusätzliche Block-Regel für die anderen VLANs. Macht die Sache nicht unbedingt übersichtlicher aber es funktioniert erst einmal.
Die Ziele im Internet, die du erreichen willst, sind aber nunmal "any", nämlich das ganze Internet.