OPNsense und Hyper-V

Started by Andi_s75, Today at 11:36:48 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
Today at 11:36:48 AM Last Edit: Today at 11:53:23 AM by Andi_s75
Hallo zusammen,

mein Name ist Andreas, ich bin 50 Jahre alt und seit rund 20 Jahren in der IT tätig. Aktuell erweitere ich meine Netzwerk‑ und Firewallkenntnisse – bisher haben mir in meiner Laufbahn solide Grundkenntnisse in diesem Bereich ausgereicht. Meine Netzwerkkenntnisse würde ich derzeit bei etwa 30 % einordnen.
Derzeit baue ich eine kleine Testumgebung auf, bestehend aus einem Hyper‑V‑Server (Windows Server 2025), einem Zyxel‑Switch GS1950‑8 sowie einer FritzBox 7490.

Aktuelle Konfiguration:


HYper-V Server mit 2 physikalische Nics.
OPNSense als VM - 2 Virtuelle Switche WAN/LAN
Nic 1 WAN DHCP Adresse 192.168.x.x von Fritzbox
Nic 2 LAN statische IP 172.16.1.254 OPNsense

VLANS
10 - MGMT - 172.16.10.254
20 - Server - 172.16.20.254
30 - Client - 172.16.30.254
40 - Drucker - 172.16.40.254
50 - WiFi - 172.16.50.254

Alles nach bestem Wissen konfiguriert. Als Einstiegshilfe dienten YouTube Videos. :-D

Ich benötige kurz Unterstützung bei der Konfiguration Verbindung Hyper-V LAN Schnittstelle und Switch best practise. Leider habe ich eine Fehler und ich vermute das liegt am Uplink zum Switch. Oder meine Testumgebung ist Schrott.

Besten Dank euch

Andreas


Today at 12:01:41 PM #1 Last Edit: Today at 12:04:17 PM by Monviech (Cedrik)
Bei Hyper-V braucht man pro VLAN ein eigenes interface im vswitch, den Tag stellt man im interface ein.

Das bedeutet in der virtuellen OPNsense hat man dann mehrere interfaces ohne dort vlans zu definieren (hn0, hn1, hn2 ... hnX) (also access ports, kein trunk port)

Falls man den ganzen Trunk braucht muss man den NIC ohne vSwitch zur VM durchreichen via PCIe passthrough.
Hardware:
DEC740
Today at 12:50:40 PM #2
Danke für deine Rückmeldung. D.h. als Bsp im Hyper-V --> VLAN11_vSwitch als internes Netz erstellen. Extern ja nicht möglich, es kann ja nur ein Netzwerk einen physischen Adapter zugeordnet werden, oder lieg ich hier jetzt falsch?

Danke dir!
Today at 12:56:44 PM #3
Ich kenn mich nicht konkret mit Hyper-V aus, nur mit VMware. In ESXi hättest du einen vSwitch an der phys. Schnittstelle und dann für jedes VLAN eine Portgruppe an diesem vSwitch. Vielleicht hilft das ja.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 01:04:49 PM #4
Vielleicht hilft das um es zu erklären:

Code Select
PS C:\WINDOWS\system32>  Get-VMNetworkAdapter -VMName "opn-dev-02.ad.pischem.com" | fl Name,SwitchName


Name       : Netzwerkkarte
SwitchName : vswitch01

Name       : Netzwerkkarte
SwitchName : vswitch01

Name       : Netzwerkkarte
SwitchName : vswitch01

Name       : Netzwerkkarte
SwitchName : vswitch01



PS C:\WINDOWS\system32> Get-VMNetworkAdapterVlan -VMName "opn-dev-02.ad.pischem.com" | fl OperationMode,AccessVlanId


OperationMode : Access
AccessVlanId  : 17

OperationMode : Access
AccessVlanId  : 2

OperationMode : Access
AccessVlanId  : 14

OperationMode : Access
AccessVlanId  : 6
Hardware:
DEC740
Today at 01:37:05 PM #5
Quote from: Monviech (Cedrik) on Today at 12:01:41 PMBei Hyper-V braucht man pro VLAN ein eigenes interface im vswitch, den Tag stellt man im interface ein.
Das kann man auch anders machen, wenn man das Server-OS einsetzt. 
Aber woran es hier trotz 20 Jahren scheitert, ist ja auch noch vollkommen offen.
Today at 01:38:23 PM #6
Danke euch. Da bin ich schonmal ein ganzes Stück weiter. Leider kann ich aber erst wieder in 1 Woche weitermachen, da ab in den Süden. Würde mich einfach nochmal melden, wenn ich wieder da bin!

Code Select

PS C:\Users\Administrator> Get-VMNetworkAdapter -VMName "FW-OPNsense" | fl Name,SwitchName


Name       : WAN
SwitchName : WAN-Switch

Name       : LAN
SwitchName : LAN-Switch

Name       : Netzwerkkarte
SwitchName : LAN-Switch

Name       : Netzwerkkarte
SwitchName : LAN-Switch

Name       : Netzwerkkarte
SwitchName : LAN-Switch

Name       : Netzwerkkarte
SwitchName : LAN-Switch

Name       : Netzwerkkarte
SwitchName : LAN-Switch



PS C:\Users\Administrator> Get-VMNetworkAdapterVlan -VMName "FW-OPNsense" | fl OperationMode,AccessVlanId


OperationMode : Untagged
AccessVlanId  : 0

OperationMode : Untagged
AccessVlanId  : 0

OperationMode : Access
AccessVlanId  : 11

OperationMode : Access
AccessVlanId  : 22

OperationMode : Access
AccessVlanId  : 33

OperationMode : Access
AccessVlanId  : 44

OperationMode : Access
AccessVlanId  : 55




Today at 01:40:53 PM #7 Last Edit: Today at 01:43:09 PM by Andi_s75
Quote from: Bob.Dig on Today at 01:37:05 PM
Quote from: Monviech (Cedrik) on Today at 12:01:41 PMBei Hyper-V braucht man pro VLAN ein eigenes interface im vswitch, den Tag stellt man im interface ein.
Das kann man auch anders machen, wenn man das Server-OS einsetzt. 
Aber woran es hier trotz 20 Jahren scheitert, ist ja auch noch vollkommen offen.


Den Spruch hättest du dir einfach mal sparen können. Oft scheitert sowas an solchen Menschen wie dir!  Ganz ehrlich! Gut, dass solche Menschen wie du alles verstehen. Ist immer wieder die selbe Art in solchen Foren. Hoffe Du hattest jetzt deinen Selbstwert steigern können.
Today at 05:26:47 PM #8 Last Edit: Today at 05:28:36 PM by JamesFrisch
Hi Andreas.

Eins vorweg, ich würde nicht auf Hyper-V setzten.
Wenn du aus der Windows Welt kommst, mag dies auf den ersten Blick einfacher erscheinen.
Proxmox ist aber IMHO einiges besser dafür geeignet. Gerade wenn du jetzt noch nichts am laufen hast.

Aber egal ob Hyper-V oder Proxmox,  Firewall auf Hypervisor den Nachteil, dass bei jedem Hypervisor reboot dein Internet wegfällt.
Das wäre mir persönlich zu doof, aber deine Entscheidung.

Wenn wenn du dich für OPNsense auf Hypervisor entscheidest, gibt es zwei Möglichkeiten:

A: passthrough des NIC
B: virtuelle Bridges

Bei A reichst du den NIC an die OPNsense durch. Der Hypervisor hat dadurch keinen Zugriff mehr auf den NIC.
Falls dein NIC server grade ist und vNIC kann, kannst du auch nur einen der 64 virtuellen NICs durchreichen.

Vorteil von Variante A ist, dass der NIC sich bare metal verhält. Alles läuft auf dem NIC, egal welches offloading und was für Zauberdinge es sonst noch gibt.

Bei Option B ist halt der NIC in Software. Mit allen Nachteilen davon. Dafür ist es einfacher einzurichten, weil du einen NIC nicht exklusiv durchreichen musst an OPNsense.

Das nächste Problem ist deine Fritzbox. AFAIK kann die keinen sauberen bridge mode. Ist die Kabel, Kupfer oder Glas? Braucht es DECT? Ansonsten würde ich versuchen die Fritte durch einen Konverter / Bridge zu ersetzten.

Finde gerade in der Anfangszeit sollte man möglichst viele Fehler ausschliessen und das Setup möglichst einfach halten.
Darum würde ich dir dringend empfehlen OPNsense zuerst bare metal laufen zu lassen.
Du kannst die OPNsense dann immer noch später virtualisieren, mit einem simplen xml Export und Import.

Print
Go Up Pages1
User actions