VM in VLAN

[Toolhead]

Ik heb in mijn main netwerk een server draaien met Proxmox.
Daarin een aantal Virtuele Machines, waaronder een die Home Assistant draait.
De smart dingen zitten in een apart vlan en eigenlijk hoort die Home Assistant VM daar ook in.
Kan ik die HA VM gewoon een statisch IP geven in het IOT vlan, terwijl de NIC van de server in het main netwerk zit?

 

[Hofstede]

Hier staat daar een uitgebreid artikel over:

Configuring VLANs on Proxmox- An Introductory Guide

An introductory guide to VLAN configuration on a Proxmox virtualization server so that you can group related VMs onto their own subnet.

engineerworkshop.com

 

[Toolhead]

Dank je, maar die gaat uit van 2 nic's in de server en die heb ik niet.

 

[Eddie the Eagle]

Dank je, maar die gaat uit van 2 nic's in de server en die heb ik niet.

En dat is, dacht ik, wel een voorwaarde; je kunt je VM`s toewijzen aan een NIC. Er komen dan fysiek 2 UTP kabels uit je server naar 2 fysieke switch poorten. Ik heb het zo gedaan om de Minecraft server waar mijn kids hun 'vrienden' op uitnodigen in een geisoleerd (IoT) VLAN te plaatsen. Dat kan met elke VM, dus ook met HA. Volgens mij kun je dat niet virtueel scheiden.

 

[fabianishere]

Dit wordt standaard ondersteund door Proxmox. Als je het netwerk van een VM configureert kun je ook opgeven op welke VLAN de VM moet spreken. Zorg er dan wel voor dat jouw host is verbonden met een trunk port op jouw switch.

Zie het kopje VLAN for Guest Networks op de Network Configuration wiki pagina van Proxmox voor verdere details.

 

[Timo]

Je kan prima met 1 NIC VLAN's binnen Proxmox gebruiken. Ik heb zelf o.a. het Proxmox forum gebruikt. https://forum.proxmox.com/threads/multiple-private-networks-using-single-network-card.103127/ en https://forum.proxmox.com/threads/create-vlan-with-single-physical-nic.101696/
Heel goed oppassen wat je doet met je configuratie, ik heb 2x mezelf buitengesloten

Zie hieronder hoe ik het nu heb. Denk dat het nog wel stuk strakker kan, maar het werkt nu wel

auto lo
iface lo inet loopback

iface eno1 inet manual

auto vmbr0
iface vmbr0 inet static
        address 192.168.1.xx/24
        gateway 192.168.1.1
        bridge-ports eno1
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2-4094

auto vmbr0.20
iface vmbr0.20 inet static
        address 192.168.20.2/24
        gateway 192.168.20.1

auto vmbr0.30
iface vmbr0.30 inet static
        address 192.168.30.2/24
        gateway 192.168.30.1

 

[Eddie the Eagle]

Interessant topic; ik ga me eens inlezen. Het lijkt dus wel degelijk te gaan met 1 NIC, is ook niet onlogisch aangezien je bij de VM inderdaad een VLAN kunt aangeven. De tutorial die @Hofstede heeft gepost waarschuwt wel voor de risico`s van buitensluiting (zoals bij @Timo gebeurt is) en adviseert een fysieke scheiding van de Management & VLAN bridge (zoals ik dus ook heb...2xNIC op de server).

This is necessary since one port is claimed by the Proxmox host when you install Proxmox. You may be able to configure Proxmox's default virtual bridge the same way as I describe below to allow VLAN traffic (or you may be able to create a separate virtual bridge and apply it to the same physical port) but I haven't tried it. Since I am working remotely, I am not willing to risk knocking my virtualization server offline by monkeying with the Proxmox server's management bridge.

 

[Springer]

Hier ook Proxmox draaien, je moet alleen op een vmbr.. vlan aware vinkje aanzetten als je dan op de switch poort een switch profile zet met de vlans die nodig heb kan kan je per vm daar een vlan aanhangen.

Stel dat vmbr0 vlan aware aangevinkt is. ( Foto 1) en dan kan je een vm aangeven welke vlan hij moet hebben. (Foto 2 Vlan Tag)

 

[Springer]

Nog vergeten als je een LXC container gaat maken geef je bij de volgende kopjes aan:
Zet achter eth0.xx dus een punt en een vlan nummer

eth0.xx ( xx is vlan nummer)

en bij
Vlan Tag: xx (xx hetzelfde vlan nummer als bij eth0.xx)

 

[Toolhead]

Bedankt allemaal, het is gelukt, server zit in main, een van de vm's nu in IOT.
Server is aangesloten op een poort van de UDR.
Wat als ik daar een domme switch tussen zet?
Gaat het dan nog goed, of kun je op een domme switch geen vlan verkeer hebben?
( nieuw met vlan's )

 

[Hofstede]

Met een domme switch werkt dat niet, daarvoor heb je een managed switch nodig die VLANs ondersteund.

 

[Eddie the Eagle]

Met een domme switch werkt dat niet, daarvoor heb je een managed switch nodig die VLANs ondersteund.

Worden die VLAN tags niet 1 op 1 doorgegeven naar alle poorten bij een unmanaged switch ? In het geval van de topic starter is het de hypervisor (Proxmox) die daar iets slims mee doet (toewijzen van VM`s aan een VLAN).

 

[Timo]

Het kan wel, maar de switch moet wel 802.1q ondersteunen, anders worden de VLAN tags van de packets afgestript

 

[Eddie the Eagle]

Het kan wel, maar de switch moet wel 802.1q ondersteunen, anders worden de VLAN tags van de packets afgestript

Ik ben me wat aan het inlezen en wat vaak terugkomt is.....het is afhankelijk van de H/W & S/W implementatie. Er is blijkbaar geen standaard over de afhandeling van tagged verkeer door een unmanaged switch. Die 802.1q is volgens mij echt iets van managed switches maar kan me vergissen.

Gewoon proberen dus.

 

[Toolhead]

Het werkt ook op die domme switch

 

[jowi]

Als je alle 'v'lans (VIRTUAL lan) fysiek van elkaar zou scheiden, op aparte nics, heeft het geen zin om ze als vlan te configureren, want dan zijn het gewoon extra lan's...

Het concept van vlan is juist dat je over dezelfde kabel verschillende domeinen kunt definieren die elkaar niet zien, tenzij met rules anders aangegeven.

Op de 'domme' switch heb je dus op alle poorten alle vlan's + lan, op een managed switch kun je vlans aan poorten toekennen (en stapelen). Bijv. in kantoren kun je zo op 1 poort de IP telefoon aansluiten op het phone-vlan en dan via de telefoon doorlussen naar je pc in het office-vlan, terwijl de telefoon en pc elkaar niet kunnen zien.

 

[Eddie the Eagle]

Als je alle 'v'lans (VIRTUAL lan) fysiek van elkaar zou scheiden, op aparte nics, heeft het geen zin om ze als vlan te configureren, want dan zijn het gewoon extra lan's...

Uiteraard maar dat staat ook niet ter discussie. De vraag was of het ook werkt op 1 NIC met een Hypervisor en hoe je dat moet configureren, in dit geval specifiek voor Proxmox. En dat gaat dus gewoon; blijft overeind dat als je de Proxmox Host kunt scheiden van de VM`s door een aparte NIC, je dat maar beter kunt doen. Als het op 1 NIC zit (zoals bij topic starter dus niet anders kan), dan moet je goed uitkijken wat je doet bij het inrichten van je VM. Als daar iets niet goed gaat, dan bestaat de kans dat je server onbereikbaar wordt.