nach Update auf 22.x Internet für Proxmox-VLAN-VMs stark eingeschränkt

[effe]

Hallo,

ich habe nach dem Update auf 22.1 Probleme mit der Kommunikation von Proxmox-internen VMs über VLAN.
Geräte von außerhalb Proxmox funktionieren weiter perfekt.

Von der PVE-internen VM funktionieren DNS, tracerroute, ping problemlos, http/s funktioniert nicht.
Ich habe unter frischen PVE 6.x/7.x getestet - kein Unterschied.

Ich habe OPNSense 21.7 und 22.1 zum Test frisch installiert und konfiguriert. Die erzeugten Konfigurationsdateien ergeben im Vergleich keine relevanten Unterschiede.
Leider funktionieren sie unterschiedlich...
Für mich ist das momentan alles sehr unverständlich...

Meine Konfig als Bild gibts im Anhang.


/etc/network/interfaces:

Code: [Select]

auto lo
iface lo inet loopback

auto enp2s0
iface enp2s0 inet manual

auto enp1s0
iface enp1s0 inet manual
        ovs_type OVSPort
        ovs_bridge vmbr1

auto vlan010
iface vlan010 inet static
        address 10.185.10.1/24
        gateway 10.185.10.254
        ovs_type OVSIntPort
        ovs_bridge vmbr1
        ovs_options tag=10

auto vlan150
iface vlan150 inet static
        address 10.185.150.1/24
        ovs_type OVSIntPort
        ovs_bridge vmbr1
        ovs_options tag=150

auto vmbr0
iface vmbr0 inet dhcp
        bridge-ports enp2s0
        bridge-stp off
        bridge-fd 0
#red

auto vmbr1
iface vmbr1 inet manual
        ovs_type OVSBridge
        ovs_ports enp1s0 vlan010 vlan150
#green,VLANs

OPNSense:
- alles Standard - keine besonderen Einstellungen
- nur 3 IF angelegt (Bild Anhang)

Ergebnis OPNSense 21.7:

Code: [Select]

root@s-otc-01-185:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1400 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 3a:c0:68:93:80:d6 brd ff:ff:ff:ff:ff:ff
    inet 10.185.150.201/24 brd 10.185.150.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::38c0:68ff:fe93:80d6/64 scope link
       valid_lft forever preferred_lft forever

root@s-otc-01-185:~# traceroute dns.google.
traceroute to dns.google. (8.8.4.4), 30 hops max, 60 byte packets
 1  OPNsense.localdomain (10.185.150.254)  0.254 ms  0.236 ms  0.266 ms
 2  192.168.254.254 (192.168.254.254)  0.844 ms  0.820 ms  0.795 ms
 3  loopback1.0003.acln.01.ber.de.net.telefonica.de (62.52.201.186)  11.432 ms  11.844 ms  11.811 ms
 4  bundle-ether17.0003.dbrx.01.ber.de.net.telefonica.de (62.53.2.110)  12.340 ms bundle-ether17.0004.dbrx.01.ber.de.net.telefonica.de (62.53.2.114)  12.283 ms bundle-ether17.0003.dbrx.01.ber.de.net.telefonica.de (62.53.2.110)  12.286 ms
 5  ae11-0.0002.corx.02.ber.de.net.telefonica.de (62.53.25.245)  13.358 ms  13.466 ms  14.388 ms
 6  ae20-0.0002.dbrx.02.ber.de.net.telefonica.de (62.53.0.91)  13.103 ms ae21-0.0002.dbrx.02.ber.de.net.telefonica.de (62.53.0.101)  12.320 ms ae20-0.0002.dbrx.02.ber.de.net.telefonica.de (62.53.0.91)  12.156 ms
 7  ae1-0.0001.prrx.02.ber.de.net.telefonica.de (62.53.4.155)  12.396 ms  11.829 ms  11.791 ms
 8  as15169.berlin.megaport.com (194.9.117.34)  30.656 ms  30.135 ms  30.198 ms
 9  108.170.241.193 (108.170.241.193)  33.566 ms 108.170.241.161 (108.170.241.161)  29.922 ms 108.170.241.129 (108.170.241.129)  29.996 ms
10  142.251.66.239 (142.251.66.239)  32.728 ms 142.251.48.175 (142.251.48.175)  29.199 ms 209.85.252.245 (209.85.252.245)  33.740 ms
11  dns.google (8.8.4.4)  31.886 ms  31.863 ms  31.994 ms

root@s-otc-01-185:~# wget http://adac.de
URL transformed to HTTPS due to an HSTS policy
--2022-04-05 00:12:05--  https://adac.de/
Resolving adac.de (adac.de)... 193.30.38.230
Connecting to adac.de (adac.de)|193.30.38.230|:443... connected.
HTTP request sent, awaiting response... 301 Moved Permanently
Location: https://www.adac.de/ [following]
--2022-04-05 00:12:05--  https://www.adac.de/
Resolving www.adac.de (www.adac.de)... 193.30.38.230
Connecting to www.adac.de (www.adac.de)|193.30.38.230|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 334316 (326K) [text/html]
Saving to: ‘index.html’

index.html                              100%[============================================================================>] 326.48K  --.-KB/s    in 0.1s

2022-04-05 00:12:05 (2.86 MB/s) - ‘index.html’ saved [334316/334316]

root@s-otc-01-185:~#

Ergebnis OPNSense 22.1:

Code: [Select]

root@s-otc-01-185:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1400 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 3a:c0:68:93:80:d6 brd ff:ff:ff:ff:ff:ff
    inet 10.185.150.201/24 brd 10.185.150.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::38c0:68ff:fe93:80d6/64 scope link
       valid_lft forever preferred_lft forever

root@s-otc-01-185:~# traceroute dns.google.
traceroute to dns.google. (8.8.4.4), 30 hops max, 60 byte packets
 1  OPNsense.localdomain (10.185.150.254)  0.328 ms  0.460 ms  1.058 ms
 2  192.168.254.254 (192.168.254.254)  1.055 ms  1.119 ms  1.144 ms
 3  loopback1.0003.acln.01.ber.de.net.telefonica.de (62.52.201.186)  12.325 ms  12.326 ms  12.466 ms
 4  bundle-ether17.0004.dbrx.01.ber.de.net.telefonica.de (62.53.2.114)  12.268 ms  12.410 ms bundle-ether17.0003.dbrx.01.ber.de.net.telefonica.de (62.53.2.110)  13.478 ms
 5  ae10-0.0002.corx.01.ber.de.net.telefonica.de (62.53.25.239)  13.668 ms ae11-0.0002.corx.01.ber.de.net.telefonica.de (62.53.25.241)  13.420 ms ae11-0.0002.corx.02.ber.de.net.telefonica.de (62.53.25.245)  13.723 ms
 6  ae21-0.0001.dbrx.02.ber.de.net.telefonica.de (62.53.0.99)  13.322 ms ae21-0.0002.dbrx.02.ber.de.net.telefonica.de (62.53.0.101)  11.831 ms ae20-0.0002.dbrx.02.ber.de.net.telefonica.de (62.53.0.91)  11.586 ms
 7  ae0-0.0001.prrx.02.ber.de.net.telefonica.de (62.53.4.153)  11.283 ms ae1-0.0001.prrx.02.ber.de.net.telefonica.de (62.53.4.155)  11.689 ms  11.647 ms
 8  as15169.berlin.megaport.com (194.9.117.34)  31.341 ms  30.266 ms  30.236 ms
 9  108.170.241.225 (108.170.241.225)  30.707 ms 108.170.241.161 (108.170.241.161)  29.817 ms  29.883 ms
10  209.85.252.245 (209.85.252.245)  34.387 ms 216.239.49.13 (216.239.49.13)  34.361 ms 142.251.48.175 (142.251.48.175)  30.163 ms
11  dns.google (8.8.4.4)  33.264 ms  33.237 ms  33.209 ms

root@s-otc-01-185:~# wget http://adac.de
URL transformed to HTTPS due to an HSTS policy
--2022-04-05 00:07:10--  https://adac.de/
Resolving adac.de (adac.de)... 193.30.38.230
Connecting to adac.de (adac.de)|193.30.38.230|:443... failed: Connection timed out.
Retrying.

--2022-04-05 00:09:22--  (try: 2)  https://adac.de/
Connecting to adac.de (adac.de)|193.30.38.230|:443...


Ich habe noch PacketCaptures von beiden Sensen angefügt.

Für Hilfe wäre ich sehr dankbar!   

Grüße
Effe

[Patrick M. Hausen]

Hast du das Parent-Interface des VLANs (wohl vtnet1) in Interfaces > Assignments zugewiesen und aktiviert?

[effe]

Also du bist der Held des Tages und ich krieg die Krise...!!! 

Mal probehalber das Parent-IF erstellt und siehe da - es läuft...!

Also wenn ich im Nachhinein drüber nachdenke, dann macht das schon Sinn, dass ein Parent-IF vorhanden ist.
Fragt sich nur, warum das bis zur 21.7 auch ohne funktionierte!?!


Hab grad noch ein bissl getestet...
Parent-IF disabled und sogar wieder gelöscht - die Kommunikation läuft dennoch perfekt weiter...
...Bis zum nächsten Neustart der Sense...

Nun gut - ich bin erstmal glücklich! Danke!