Proxmox + OPNsense + VLANs

Started by silke61, Today at 10:16:00 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
Today at 10:16:00 AM
Ich möchte sanft von einem alten unmanaged reinen Fritzbox-Netz zu einem neuen Netz kommen, das über VLANs segmentiert ist. Den Zugriff soll OPNsense regeln.
Aus verschiedenen Gründen möchte ich OPNsense unter Proxmox virtualisieren.
Der neue managed Switch ist so konfiguriert: untagged Ports (VLAN 1) für Uplink zur Fritzbox, unmanged Legacy-Switch, primärer Proxmox Port=OPNsense WAN-Port. Für die VLANs ist ein Port als Trunk mit den VLANs 10, 20, 30 und 99 eingerichtet. Dieser Port ist mit einer zweiten NIC des Proxmox-Rechners verbunden (für OPNsense LAN/VLAN).

Also Proxmox installiert, zwei bridges für die zwei NICs eingerichtet, der zweite davon vlan-aware, OPNsense mit zwei NICs, je eine für die beiden Proxmox-bridges. In OPNsense VLAN-Devices und Interfaces definiert, um mit VLAN 99 besser experimentieren zu können für dessen Netz auch DHCP eingerichtet.

Nun Test-VM mit einer NIC, verbunden mit der vlan-aware bridge und VLAN tag 99. VM bekommt IP, kann auch die OPNsense pingen, kommt aber nicht weiter, weder auf den Proxmox host noch auf die Fritzbox oder ins Internet. NAT habe ich sowohl mit "automatsch" als auch mit "hybrid" und zus. Regel, die alles erlaubt versucht. Blockierung für private Netze ist ausgeschaltet. Langsam gehen mir die Ideen aus, was da noch fehlen könnte.

Hat jemand eine Idee? Hier zur Veranschaulichung noch meine Proxmox /etc/network/interfaces:
Code Select
auto lo
iface lo inet loopback

iface enp1s0 inet manual

auto vmbr0
iface vmbr0 inet static
    address 192.168.178.205/24
    gateway 192.168.178.1
    bridge-ports enp1s0
    bridge-stp off
    bridge-fd 0

iface enp2s0 inet manual

auto vmbr1
iface vmbr1 inet manual
    bridge-ports enp2s0
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes
    bridge-vids 10 20 30 99
Today at 01:11:14 PM #1
Wie so oft: Habe es kurz nach meinem Post hinbekommen. Ich hatte die Firewall-Regel aus dem VLAN-Netz ins Internet falsch. Ich hatte als Destination das WAN-Netz und damit hat es nicht geklappt. Ich konnte mir nicht vorstellen, daß es "any" sein muß, was ja im Rahmen einer Firewall nicht sonderlich sinnvoll ist, schlißlich will man ja nicht alles offen haben. Lösung war dann eine zusätzliche Block-Regel für die anderen VLANs. Macht die Sache nicht unbedingt übersichtlicher aber es funktioniert erst einmal.
Today at 02:04:12 PM #2
Die Ziele im Internet, die du erreichen willst, sind aber nunmal "any", nämlich das ganze Internet.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 03:05:04 PM #3
Im Nachhinein kann ich das auch nachvollziehen. Ich hatte mir halt vorgestellt, daß ich nur die Firewall überwinden muß, also ins WAN kommen muß und der Rest dann schon irgendwie weiter geht. War halt eine falsche Vorstellung, über die man stolpern kann. Ist alles noch sehr neu für mich. Wie gesagt, bisher hatte ich an Firewall nur das, was die Fritzbox schon mitbringt. Dahinter war alles offen. Das zu ändern braucht neben neuer Hard- und Software auch einen gewissen Lernaufwand und da wühle ich mich gerade Schritt für Schritt durch.
Today at 03:06:30 PM #4
Nur deswegen erklär ich dir es ja nochmal - was die Idee dahinter ist. 🙂
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions