Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: darebacik 28. 10. 2025, 16:17:29
-
Topologia
Proxmox -- vmbr0 -- enp2s0 -- rb5009ug (eth2) -- internet (eth1)LAN siet 192.168.100.0/24
IP PVE 192.168.100.2vmbr0 je sietovy bridge pre VM a CT.
Chcem vytvorit novu siet (192.168.200.0/24), teda novy bridge pre server/y, ktore budu izolovane od 192.168.100.0/24.
Neviem ci je to najlepsia moznost, ale zrejme bude idelane pouzit VLAN (podporu ma MK ROS7 aj PVE 9).
Takze na MK
/interface vlan add name=vlan200_dmz interface=bridge1 vlan-id=200 comment="DMZ VLAN"
/ip address add address=192.168.200.1/24 interface=vlan200_dmz comment="DMZ network"
/ip firewall nat add chain=srcnat out-interface=pppoe-out1 src-address=192.168.200.0/24 action=masquerade comment="DMZ internet access"
/ip firewall filter add chain=forward src-address=192.168.200.0/24 dst-address=192.168.100.0/24 action=drop comment="Block DMZ -> LAN"Pre zaklad by to malo stacit.
PVE
do /etc/network/interfaces pridavam
auto vmbr200
iface vmbr200 inet manual
bridge-ports enp2s0.200
bridge-stp off
bridge-fd 0
Jediny problem je ze som geograficky od PVE dalej a siet na proxmoxe po reboote padla (divne je, ze LXC a VM bezia bez problemov dalej).
Viete ma nakopnut ci idem dobrym smerom a kde robim chybu ?
-
bud zdrav s proxmoxem zacinam.. ale tim spis to mam ted cerstve vozkouseny. mam proxmox 9.
pve-manager/9.0.11/3bf5476b8a4699e2 (running kernel: 6.14.11-4-pve)
na trunk interface mam
auto sfpplus
iface sfpplus inet manual
bridge-ports ens1f0np0 ens1f1np1
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2 5 10 20 30 40 50 60 70 80 90 100 110 120
a na jednotlivejch hostech do sitovky si napises jaky vlan ID chces a proxmox zaridi zbytek sam. tzn bridge primo pro vlany nevyrabis, pokud tam nepotrebujes mit management if.
net0: virtio=BC:24:11:EC:D6:99,bridge=sfpplus,firewall=1,tag=10
pokud bys tam chtel mit mgmt if udelas neco takovyho
auto vlan2
iface vlan2 inet static
address 10.1.2.4/24
gateway 10.1.2.1
bridge-ports sfpplus.2
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2
stalo se mi ze se proxmoxu nejak kouslo sitovani pri nastavovani z guicka a musel jsem ho protocit z iDracu z local console. nevylucuju, ze moji chybou.
je zajimavy ze to co maj v dokumentaci mi nefungovalo
zatim to mam takhle v testovacim provozu a zda se to delat co od toho cekam.
-
na trunk interface mam
auto sfpplus
iface sfpplus inet manual
bridge-ports ens1f0np0 ens1f1np1
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2 5 10 20 30 40 50 60 70 80 90 100 110 120
a na jednotlivejch hostech do sitovky si napises jaky vlan ID chces a proxmox zaridi zbytek sam. tzn bridge primo pro vlany nevyrabis, pokud tam nepotrebujes mit management if.
net0: virtio=BC:24:11:EC:D6:99,bridge=sfpplus,firewall=1,tag=10
Souhlas, jenom dávat bridgi jméno "sfpplus" mi přijde potenciálně poněkud matoucí :-)
Defaultní vmbr0 mi přijde přehlednější.
Jinak ale logika té konfigurace je myslím v pořádku.
pokud bys tam chtel mit mgmt if udelas neco takovyho
auto vlan2
iface vlan2 inet static
address 10.1.2.4/24
gateway 10.1.2.1
bridge-ports sfpplus.2
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2
Opět to pojmenování... interface jménem "vlan2", ale typu bridge... jasně, je to věc subjektivního vkusu.
Navíc vlan-aware (= bridguje včetně tagů) ale nakonec omezený na tag2...
Vytvořil jste druhý bridge, do kterého přiřazujete VLAN subinterface z prvního bridge... err...
dejte mi někdo pohlavek, jestli nevím o nějaké skryté samočinné eleganci :-)
Sečteno podtrženo, co třeba takto?
V tom prvním iface bloku si jenom přejmenuju defaultní bridge na defaultní jméno, čistě pro svoje egoistické uspokojení:
auto vmbr0
iface vmbr0 inet manual
bridge-ports ens1f0np0 ens1f1np1
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes # toto v defaultu tuším není, správně jste to přidal
bridge-vids 2 5 10 20 30 40 50 60 70 80 90 100 110 120
auto vmbr0.2
iface vmbr0.2 inet static
address 10.1.2.4/24
gateway 10.1.2.1
...vytvoří ten VLANový subinterface s VID=2 pro hostitele automaticky nad defaultním vmbr0.
A pokud byste potřeboval, aby do mngt VLANy viděli taky někteří guesti, tak přiřadit tag v Proxmox GUI jak správně píšete... není potřeba tam pečovat o další bridge, všechno to zvládne bridgovat ten jeden defaultní VLAN-aware.
Mimochodem ty dva tagované fyzické porty... nezasloužily by si spíš LACP bond? (záleží, jaký je jejich smysl v navazující topologii)
-
Proxmox -- vmbr0 -- enp2s0 -- rb5009ug (eth2) -- internet (eth1)
mám tu skoro identickej setup. už jsi to rozjel?
-
dekuju za nazor.
priznavam se, ze jsem prvni sel dle toho co maji v Proxmoxi dokumentaci a nefungovalo mi to.
uz s tim tedka vic laborovat nemam kdy. Vykonove tam problem nevidim snad nebudu zaskocen. kazdopadne pri dalsi prilezitosti (plusminus mesic) zkusim Vas navrh a kdyz nezapomenu dam sem vedet. taky mi to prijde jako nesmysl na prvni pohled a dosel jsem tam v podstate vylucovaci metodou ze zoufalstvi. az bude potreba dojet posledni metr role v plotaku tak mam prichystanej linux packet flow a snad se mi rozsviti az to budu mit na plachte..
Navíc vlan-aware (= bridguje včetně tagů) ale nakonec omezený na tag2...
chapu ze bych se tam mohl dostat do QinQ sitauce ale viz vyse.
ja si to predstavuju jako cisco ekvivalent
switchport mode trunk
switchport trunk native vlan 2
switchport allowed vlan 2
coz by efektivne melo delat to samy co
switchport mode access
switchport access vlan 2
snad, ale proste to nechodilo. mozna jsem nekde v ramci testovani udelal o restart min a vzdycky budu prvni predpokladat chybu u sebe :)
jsem posledni dobou dost unavenej a pristihuju se delat dost debilni chyby, tak to co pisu berte prosim jako s rezervou, prvni prispevek mam z poznamek a doslova mi to takhle funguje a dost jsem se s tim nazlobil, jinac bych snad mlcel a cekal az snad obnovi me dusevni schopnosti..