ComputerBase Menü
Aktuelles

pfSense als Router auf einem Proxmox

R

Rene0210

Cadet 2nd Year
Registriert
Juni 2023
Beiträge
18
Hallo zusammen,
ich würde gerne einen Proxmox Server als Router nutzen auf diesem ist schon Proxmox sowie pfSense installiert worden diese hängen an einem Management Switch.
Von dem Switch aus sollen
Port1 als WAN1 (VLAN100)
Port2 als WAN2 (VLAN101)
Port3 als WAN3 (VLAN102)
Port4 stellt gerade meine Verbindung ins Internet her
Port5 frei,
Port6 als Server (VLAN20)
Port7 und Port8 sind zu einem LAG1 Aggregat zusammengefasst
1688906849367.png

1688906878499.png


Die Bridges und die Bonds habe ich auch unter Proxmox schon angelegt und die VLANs zugewiesen.
1688906918608.png

Auf der pfSense habe ich die VLANs auch hinzugefügt aber irgendwas klappt einfach nicht die Ports auf dem Switch werden nicht von der pfSense verwaltet.
1688907029248.png

1688907080311.png

hat jemand eine Lösung ich möchte das die pfSense als Gateway und somit auch als Firewall fungiert.
 
Was Du suchst heißt Router on a stick. WAN ist typischerweise die Verbindung die ins Internet geht, die kriegt Vlan ID 100. LAN dann Vlan ID 101. Und ein dritter Trunk Port mit beiden drauf. Restliche LAN dann auch in 101.
 
Es ist schwer, wenn man den Anwendungsfall nicht kennt. Du hast 4 separate WAN Zugänge? Und wo werden die VLANs im LAN wieder aufgeteilt? In anderen Switches?
 
Ich habe 3 WAN Zugänge, der eine ist nur für die Konfiguration, die VLANs werden vom Switch auf andere aufgeteielt.
 
Rene0210 schrieb:
die VLANs werden vom Switch auf andere aufgeteielt.
Zum Vergrößern anklicken....
Das verstehe ich nicht. Du brauchst doch eine Instanz, die die Tagged VLANs wieder auf Ports aufteilt und die Tags entfernt. Wer macht das? Du wirst ja nicht nur Endgeräte haben, die mit VLAN Tags umgehen können.
 
Wenn deine pfSense da routen soll, so musst du doch mindestens einen Netzwerkport vom Switch zum Proxmoxserver haben, der alle zu routenden VLAN enthält. Ob du das in Proxmox dann auf verschiedene virtuelle NICs aufteilst, welche jeweils ein VLAN abbilden oder das erst in PFsense, ist dann die nächste Frage (wohl auch, ob du proxmox da eher unsichtbar haben willst oder nicht). Anschließend muss das entsprechend geroutete Paket wieder mit der passenden vlan-id an den Switch zurück gehen, welcher es dann verteilt.

Zumindest in deiner Konfig sehe ich noch keinen Port, der all diese VLAN-Tags trägt.

EDIT:
Du musst wohl deinen Port#6 zu allen VLANs hinzufügen (da das vermtl. dein proxmox-pfSense-Kanal ist)
 
Zuletzt bearbeitet:
Auf dem Switch ist das LAG1 das sind 2 Ports die als Aggregat zusammen geführt wurden und zum Server gehen, auf dem Switch Port 7 und Port 8. Auf dem Proxmox ist das Bond0
1688915320850.png

Ergänzung ()

1688915771454.png

1688915795060.png

Ergänzung ()

1688915912400.png

Ich hoffe es ist richtig
 
Zuletzt bearbeitet:
OK, nun wird das Bild etwas klarer.
Du leitest also den ganzen Datenverkehr über die LAG zum proxmox durch und lässt diesen dann die Aufteilung auf diverse vNICs gemäß VLAN machen. Anschließend 1:1 gebrückt zur pfSense.

Und nun die Frage (habe da jetzt nicht die Erfahrung zu, aber das wäre mein erster Gedanke):
Sieht die pfSense überhaupt noch einen VLAN-Tag oder sind die von proxmox nach der Zuweisung gelöscht. Falls das der Fall ist, brauchst du in der pfSense keine VLAN anlegen, da die alle koplett sauber reinkommen (und du so nie eines der zugewiesenen tags siehst - es geht so dann nicht)

Und das ist der Teil der Frage die ich vorhin meinte: Erst mal alles direkt ohne Aufteilung zur pfSense leiten als EIN Port mit allen VLAN innerhalb von Proxmox und dort dann nur beim Routen das "TAG" ändern und wieder zurück.
Falls du noch mehrere Server virtuell betreiben willst, müsstest du einen virtuellen Switch in Proxmox machen, der dann wie der echte Switch die VLAN verteilt
 
Aber wo landen die Pakete vom Switch aus? Gastnetz, Client etc landen nur auf dem LAG, nirgendwo sonst. Ports gibt's nur für WAN und Server.
 
Habe mal die Infos und Gedanken in ein kleines Bild (paint...YEAH!) zusammengetragen, in der Hoffnung, dass es damit evtl. verständlicher wird oder du sagen kannst, was noch fehlt/anders, ...
Netzplan.png

Im Gegensatz zu dir habe ich die vLAN-Aufteilung erst innerhalb der pfSense dargestellt und den proxmox-Server auf der Verwaltungsseite einen eigenen NIC (incl. VLAN) zugewiesen.
Der vSwitch innerhalb von proxmox ist dann praktisch, wenn du weitere Dienste/vServer haben möchtest. Je nach Wunsch kann man einen Server per vSwitch fest an ein VLAN binden (den vPort dort passend taggen) und muss ihn so nicht routen, falls man in mehrere VLAN möchte, so ist das orange Servernetz an die pfSense gebunden, um dann dort zu routen.
Eine Option wäre ntürlich noch, die 4 WAN-Interfaces über einen eigenen Trunk abzuspalten und einzeln aufzuführen/auszuleiten, va wenn einer der WAN für proxmox-only gelten soll.
Bild ist wie gesagt nur Diskussionsgrundlage
 
Stimmt die müsste ich noch hinzufügen, stimmt den der rest, ich habe die VLANs auf der pfSense entfernt und nur die Schnittstellen hinzugefügt da die VLANs auf den PVE liegen.
Ergänzung ()

Ersteinmal vielen Dank für die mühe
 
Aber wo ist Switch2, und wo sind die Ports, die zu Switch2 gehen? Davon war bislang nie die Rede.

Du beklagst dich, dass die pfSense die Netze nicht managed. Im Moment gar nicht, wie die Pakete von der pfSense überhaupt irgendwelche Netzteilnehmer erreichen sollen. Gibt es diesen Switch2 bei dir?
 
Ja den Switch 2 gibt es und sogar noch mehr, ich würde nur gerne wissen wie ich wo etwas einstelle damit es vielleicht funktioniert, ich habe die VLANs auf dem Switch1 angelegt, auf dem PVE sind die entsprechenden brücken mit den bonds eingerichtet und auf der pfSense habe ich die Schnittstellen.
Ergänzung ()

1688987910163.png

Ergänzung ()

Ich würde gerne wissen ob dies erstmal so richtig ist
 
Zuletzt bearbeitet:
Möchtest du an den Switch2 nur das VLAN 20 bringen und an den Switch 3 das VLAN 30?
Weil so wie die Uplinks Sw1-Sw2 bzw Sw1-Sw3 eingetragen sind, werden die ganzen Switche nur mit einem VLAN versehen. Wenn du an jedem Switch aber auch die anderen VLANs haben willst, so muss jeder Sw-Sw-Uplink alle gewünschten VLAN besitzen (Trunk-Port) und anschließend auf den Ports zuweisen.

Was die Netzwerkkonfiguration angeht, so muss die pfSense in allen zu routenden VLANs als Gateway geführt werden. Die 3 WAN kannst du in der PF-Sense dann als zB. Loadbalanced einrichten.

Auf Seiten des Proxmox sieht es zumindest gut aus, jedoch ist die Frage, was da noch kommt/geplant ist.
 
  • Gefällt mir
Reaktionen: riversource
Guter einwand mit den VLANs ich würde gerne die VLANs in alle Switche haben wollen. Port 1 kommt WAN1 an, an Port7 ist jetzt der PVE dran und an SFP+ Port1 ist der Uplink zum nächsten Switch, von welchen Port zu welchen Port mache ich jetzt Tagged und Untagged?
Ergänzung ()

1689088146695.png

Ergänzung ()

1689088237304.png

Ergänzung ()

1689089930746.png
 
Zuletzt bearbeitet:
Die Antwort hier ist eigentlich fast selbsterklärend, sofern man sich der Bedeutung von (un)Tagged bewusst ist.
(tagged = die VLAN-ID wird nicht vom Paket entfernt und die Clientseite mussdas entsprechend auswerten/können, meist Switche und Server-NICs
untagged = nach dem Switchport/ab dem Kabel ist die Zuordnung des VLAN gelöscht, meist für "dumme" Geräte wie PC, Laptop, TV, ... nötig)
Eine meist zutreffende Regel ist also:
Hängt ein Switch/Server am anderen Kabelende --> tagged lassen und das Gerät muss weiter auswerten/zuordnen
Ist es ein Client/Anwender/08-15-NIC wird am Port das VLAN-Tag entfernt/gesetzt. Das Gerät selbst sieht nie etwas von einem VLAN

Ein Trunked ist eine spezielle Version von Tagged, nämlich dass hier mehr als nur ein VLAN rüber läuft und eine VLAN-Paketzuordnung zwingend benötigt wird. (es kann auch bedeuten, dass automatisch alle VLAN-Taggs darüber versendet werden, ohne dass man diese speziell anlegen muss - eine Art Wildcard also)

Was du machen musst: Alle VLAN-ID, welche im zweiten Switch und später benötigt/weitergeleitet werden (vermutl. alles außer die WANs) auch dort einrichten und auf beiden Seiten des Uplinkkabels als tagged setzen.
An den Ports der Switche muss dann je nach Endgerät das passende VLAN gewählt werden und (gem. oberer Regel) dann untagged an die NW-Dosen in der Wand.

Hoffe, dass ich das so halbwegs richtig formuliert habe :rolleyes:
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

H
Router, Switches und AP in Baumstruktur?
Antworten
7
Aufrufe
1.357
hpbms
H
HerrFornit
HWinfo: USB Port zeigt "Device General failure" ? Wirklicher Fehler?
Antworten
2
Aufrufe
2.414
HerrFornit
HerrFornit
C
Ist das ein interner USB Hub?
Antworten
8
Aufrufe
2.407
Holt
H
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz