In den bisherigen Beiträgen zur Konfiguration von Proxmox berücksichtigten wir zunächst nur das Hinzufügen von Bridges zu unserem Setup. Auch war es bisher so, dass nur eine Netzwerkkarte die Kommunikation übernahm. Im Folgenden setzen wir eine Dual Netzwerkkarte mit zwei Netzwerkports in unseren Host ein. Damit sind wir in der Lage zwei Verbindungen zu einem Bond zusammenzufassen, welches in der Terminologie als Link Aggregation bezeichnet wird.
Einem Bond liegen in unserem Fall zwei Netzwerkinterfaces zu Grunde, welche auch für das Management unserer PVE zur Verfügung stehen. Wo vormals die vmbr0 als standardmäßige Bridge konfiguriert war, tritt an dessen Stelle nun ein bond0, welches IP Adresse und Gateway übernimmt. Außerdem werden neben einem Bond auch VLANs zu unserem Setup hinzugefügt.

Schematisch sieht unser Setup wie folgt aus:

Unser Vorhaben gliedert sich wie folgt:

1. Herstellen der Anfangskonfiguration
2. Herstellen der erweiterten Konfiguration
3. Konfiguration der OPNsense
4. Eingliederung der VMs in unser Setup
5. Konfiguration der Firewall-Regeln
6. Konfiguration des Switches

verwendete Hardware: Netgear GS308EP


1. Herstellen der Anfangskonfiguration

Im ersten Schritt stellen wir eine Anfangskonfiguration her mit nur einem Bond und einer Bridge vmbr0. In der PVE sähe das aus wie folgt:



1.1 Hinzufügen eines Bonds

"Network" -> "Create" -> "Linux Bond"

  • Name: bond0
  • slaves: Name der Netzwerk-Devices z.B. enp3s0f0 / enp320f01
  • Bond mode: balance-xor
  • Hash policy: layer2+3


1.2. Hinzufügen einer Bridge

"Netzwerk" -> "Create" -> "Linux Bridge"

  • Name: vmbr0
  • IPv4: 192.168.2.155/24 (gleiche Management IP wie gehabt)
  • Gateway: unverändert
  • VLAN aware: aktiv
  • Bridge ports: bond0
  • Comment: Proxmox Management

2. Herstellen der erweiterten Konfiguration

In der erweiterten Konfiguration fügen wir unserem Setup VLANs und weitere Bridges hinzu. Im Ergebnis sollte dies wie folgt aussehen

2.1. Hinzufügen von weiteren Linux VLANs

"Network" -> "Create" -> "Linux VLAN"

  • Name: bond0.1 (Hinweis: an dieser Stelle müssen VLANs zu einem bestehenden Interface hinzugefügt werden. Dazu setzen wir das in Schritt 1 geschaffene bond0 Interface ein)

Es können nach Belieben weitere VLANs auf Basis unseres bond0 hinzugefügt werden, etwa bond0.10, bond0.20, bond0.30, etc.


2.2 Hinzufügen weiterer Linux Bridges

Sind alle VLANs in Schritt 2.1 hinzugefügt worden, können auf Basis der VLANS die zugehörigen Bridges erstellt werden.

"Network" -> "Create" -> "Linux Bridge"

  • Name: vmbr1
  • Bridge ports: bond0.10

Genauso verfährt man auch mit der nächsten Bridge. Je nachdem wie viele VLANs wir zur Verfügung haben, können weitere Bridges hinzugefügt werden.

  • Name: vmbr2
  • Bridge ports: bond0.20

etc.

3. Konfiguration der OPNsense

3.1 Hinzufügen der Bridges

In unserer PVE Umgebung werden nun sämtliche Netzwerkbrücken, die wir unter Punkt 2.1 erstellt haben, der OPNsense hinzugefügt. Dazu klicken wir unter "Add" -> "Network Device"
und wählen nacheinander einzeln jede vorhandene Bridge aus. Im Ergebnis sollte es so sein, dass wir der OPNsense die gleiche Anzahl an Netzwerk Devices wie vorhandene Bridges hinzufügen.

3.2 Assign Interfaces

Danach wechseln wir zur Konsole der OPNsense und wählen die Option "Assign interfaces" aus. Dann vergeben wir für jedes Interface ein Netzwerknamen. Sind alle Eingaben getätigt, erhalten wir folgendes Bild

3.3 Vergabe der IP-Adressen

Nun wählen wir eine VM aus, welche Zugang zur LAN Schnittstelle der OPNsense besitzen soll. Dazu reicht es aus das "Network Device" mit der entsprechenden Bridge zu versehen, hier vmbr1. Nach dem Aufrufen der Konfigurationsoberfläche im Browser, welche uns nun zur Verfügung steht, wechseln wir zur Option "Interfaces" -> [OPT1] und tätigen folgende Einstellungen:

  • Enable: enable Interface
  • IPv4 Configuration Type: Static IPv4
  • IPv4 address: 192.168.20.1/24

Wurden in Schritt 2.2 weitere Bridges, etwa vmbr3, hinzugefügt wird wie für das Interface [OPT1] verfahren. Für die weiteren Interfaces werden IP-Adressen entsprechend der VLAN ID vergeben. Also für [OPT2] die Adresse 192.168.30.1/24, usw. Zusätzlich müssen jedes Interface (hier: [LAN] und [OPT1]) der DHCP Server eingerichtet werden. Dazu wechseln wir zu "Services" -> "DHCPv4" -> [LAN] und setzen den Haken auf "enable". Weiter unten braucht es noch die Einstellung zur Range, welche wir frei wählen können. Gleichermaßen verfahren wir mit den restlichen Interfaces.


4. Eingliederung der VMs in unsere Setup

Damit unsere VMs in das richtige VLAN Netz eingegliedert werden, müssen sie mit der entsprechenden Bridge versehen werden. Dazu gehen wir unter "pve" -> "VM" bzw. Container" -> "Network" und editieren das Netzwerkinterface unter Verwendung der richtigen Bridge.

5. Konfiguration der Firewall-Regeln

Für die Kommunikation der VMs ist es erforderlich, dass die Firewallregeln geändert werden. Zu Testzwecken reicht es aus, den ein- und ausgehenden Datenverkehr mit Hilfe einer "allow all" Regel zu versehen. Anschließend sollte von Seiten der VMs ein Ping ins Internet erfolgreich sein.

6. Konfiguration des Switches:

Bei der Verwendung eines Netgear Switches GS308EP, wie es bei unserem Setup der Fall ist, ist die Konfiguration in wenigen Schritten erledigt. Sind beide Netzwerkinterfaces der Proxmox Hosts mit dem Switch verbunden, können wir die Link Aggregation aktivieren. Die Einstellungen dazu sind unter der Option Switching -> Link Aggregation zu finden. Sind beispielsweise die Ports 1 und 2 für das LAG verwendet worden, sieht die Konfiguration wie folgt aus:

Für die Konfiguration der VLANs verwenden wir "Einfaches 802.1Q-VLAN". Die bei der LAG Einstellung benutzten Ports 1 und 2 müssen nun als Trunkport eingerichtet werden. Zusätzlich
müssen je nachdem welche Endgeräte für die VLANs verwendet werden sollen, die VLAN IDs vergeben werden.

Add comment

Submit

We use cookies on our website. Some of them are essential for the operation of the site, while others help us to improve this site and the user experience (tracking cookies). You can decide for yourself whether you want to allow cookies or not. Please note that if you reject them, you may not be able to use all the functionalities of the site.