KVM - VM's - VLAN durchreichen



  • Das Thema ist etwas OT, bitte ggf. löschen und eine kurze Nachricht an mich.

    Ich hab im Forum gelesen das hier einige Proxmox einsetzen, ich habe mich für die klassische Variante mit Debian KVM/libvirt und virt-manager entschieden.
    Vielleicht kennt sich trotzdem jemand damit aus oder hat eine Idee.

    Wie kann ich ein tagged VLAN vom KVM Host auf die VM durchreichen ohne das eine Kommunikation zwischen VM und Host möglich ist (soll alles über die pfSense laufen)?

    Seither kenne ich das nur über Bridges, also nach diesem Aufbau:
    eth1.10 -> br1.10 -> VM auf die br1.10 hängen
    eth1.20 -> br1.20 -> VM auf die br1.20 hängen
    usw.

    Soweit ich das verstehe fällt der Mode passthrough raus, weil der nur eth1 komplett durchreichen könnte.
    Damit bräuchte ich für jede VM eine eigene NIC und könnte dann die VLANs über den Switch verteilen.

    Geht das nicht einfacher?
    Hat da jemand eine Idee?

    VM_VLAN.png



  • @slu said in KVM - VM's - VLAN durchreichen:

    Wie kann ich ein tagged VLAN vom KVM Host auf die VM durchreichen ohne das eine Kommunikation zwischen VM und Host möglich ist (soll alles über die pfSense laufen)?

    So dass der Host auf der Leitung (in dem VLAN) keine IP hat.
    Wenn du die NIC nicht selbst an die VM durchreichen kann, ist der Host natürlich in die Paketvermittlung involviert, aber eben nur so wie ein Switch. Wenn der Host keine IP auf der Leitung oder dem VLAN hat, kann einen daran angeschlossene VM auch nicht mit ihm sprechen.

    @slu said in KVM - VM's - VLAN durchreichen:

    Geht das nicht einfacher?

    Warum einfacher? Ist doch nicht kompliziert. Oder verstehe ich was falsch.

    Ziel ist es, dass die VMs vom VLAN nichts mitbekommen und darauf auch keinen Einfluss nehmen können und dass zwischen Host und VMs keine Kommunikation möglich ist.

    Dazu muss den VMs ein virtueller Switch vorgeschaltet werden, der einerseits die von der VM kommenden Pakete mit dem richtigen VLAN tagged und umgekehrt die Tags aus Paketen, die zur VM gehen, entfernt, so wie das auch in der Hardware gemacht wird.
    Diese Schritte benötigen natürlich eine gewisse virtuelle Geräte und Konfiguration. Ich denke, das ist eh das, was du für den Aufbau mit Bridges dargestellt hast, oder?

    Bridges sind eben erforderlich, um die VMs anzubinden.

    Bei mir sieht das bspw. auf einem Host so aus:

    7f0b3912-c29e-42cf-85d6-1e8301face13-grafik.png

    Auf einer Bridges im VLAN hängt dann der Host selbst.

    Was stört dich an dieser Konfiguration?



  • @viragomann said in KVM - VM's - VLAN durchreichen:

    Warum einfacher? Ist doch nicht kompliziert. Oder verstehe ich was falsch.

    Ziel ist es, dass die VMs vom VLAN nichts mitbekommen und darauf auch keinen Einfluss nehmen können und dass zwischen Host und VMs keine Kommunikation möglich ist.

    Ja Du hast mich vollkommen richtig verstanden, genau das möchte ich machen. Die VM soll auf keinen Fall ins LAN bzw. an den KVM Host kommen.

    Was stört dich an dieser Konfiguration?

    Ich war mir einfach unsicher ob ich das so richtig gemacht habe, im Moment sieht das so aus:

    # VLAN Trunk pfSense
    auto eth1
    iface eth1 inet manual
    
    # VLAN VM1
    auto br1.10
    iface br1.10 inet manual
    bridge_ports eth1.10
    bridge_stp off
    bridge_maxwait 0
    bridge_fd 0
    
    # VLAN VM2
    auto br1.20
    iface br1.20 inet manual
    bridge_ports eth1.20
    bridge_stp off
    bridge_maxwait 0
    bridge_fd 0
    

    Der Host kennt damit das Interface, es steht aber auf inet manual. Wenn ich dich richtig verstanden habe sollte das so ausreichen oder habe ich was vergessen?

    In jedem Fall danke fürs lesen und grübeln.



  • @slu
    Das muss sich jemand anders ansehen, mit Debian bin ich nicht vertraut.
    Ich habe das auf OpenSUSE konfiguriert, da gibt es bspw. die Option "VLAN_ID", die mir hier völlig fehlt. Weiß nicht, ob das ".<VLAN-ID>" reicht.



  • @viragomann said in KVM - VM's - VLAN durchreichen:

    Weiß nicht, ob das ".<VLAN-ID>" reicht.

    Ja das reicht, die Bridge funktioniert so und der Gast wird dann wiederrum an die Bridge br1.10 bzw. br1.20 gehängt (hab ich getestet)

    Vom Aufbau habe ich das so richtig verstanden?
    Alles was KVM Host ist steht auf "manual"?



  • Ja, die Bridge hängt quasi am VLAN und an ihr werden die VMs angebunden. Damit ist dem Gast das VLAN aufgezwungen.


  • LAYER 8 Moderator

    @slu said in KVM - VM's - VLAN durchreichen:

    Das Thema ist etwas OT, bitte ggf. löschen und eine kurze Nachricht an mich.

    Nö dafür ist ja genau der "Allgemeine" Schauplatz gedacht, wenn es mal etwas mehr OT wird und nur noch am Rande um pfSense geht :)

    Ah ist KVM direkt. Ich hab hier auch deshalb (und weil ich auch mal faul bin und es für die Arbeit brauche) Proxmox aufgesetzt. Dort kann man direkt auf der Bridge sagen, dass sie VLANs unterstützten soll. Dann wird direkt beim Container oder der VM nur noch die VLAN ID gesetzt und die Kiste kommt im entsprechenden VLAN hoch. Ich kann ja gern mal auf Konsolen Seite schauen, wie das konfiguriert wurde - aber genau das wollte ich erreichen, damit ich nicht für jedes VLAN das ich anlege, auf jedem Proxmox dann extra noch ein Interface und eine extra Bridge anlegen muss. Das wäre nervig geworden.



  • @JeGr said in KVM - VM's - VLAN durchreichen:

    Ich kann ja gern mal auf Konsolen Seite schauen, wie das konfiguriert wurde - aber genau das wollte ich erreichen, damit ich nicht für jedes VLAN das ich anlege, auf jedem Proxmox dann extra noch ein Interface und eine extra Bridge anlegen muss. Das wäre nervig geworden.

    Das würde mich interessieren, wäre super wenn Du mal nachschauen kannst.


Log in to reply