ComputerBase Menü
Aktuelles

VLAN innerhalb der VM vs Hypervisor

Salamimander

Salamimander

Rear Admiral
Registriert
Okt. 2019
Beiträge
5.157
Hi, mal eine Frage zu Best practices beim Thema VLAN.

Aber zuerst kurz zum Setup:

Hypervisor: proxmox
eth0 + eth1 = LAGG1 = vmbr0
eth2 = WAN = vmbr1
eth3 = ipmi
eth4 = leer

Sollte ich jetzt in die VMs ein Interface pro VLAN durchreichen oder doch lieber ein Interface und die VLAN Interfaces innerhalb der VMs anlegen?

Was mir direkt aufgefallen ist: Bei Variante 1 muss ich IGMP Snooping abschalten in Proxmox. (Auf den Switchen eh aktiv)

Gibt es da Empfehlungen?
 
Öffentlicher Hoster, IT-Dienstleister oder auch nur diverse IT-Teams innerhalb eines Konzerns? Dann Variante 1 denn zum einen muss dann innerhalb der VM nix mit VLANs konfiguriert werden was oft genug Serveradmins überfordert ("mimimi ich mach Server und kein Netzwerk mimimi") und Nutzer (oder auch potentielle Schädlinge) der VMs können nicht durch ändern der Config plötzlich in anderen VLANs auftauchen. Gleiches gilt wenn du ggf. mit irgendwelchen Appliances als VM arbeiten willst/musst die mit VLANs nicht umgehen können.

Außerdem hast so ein einheitliches Setup für alle VMs und musst nur zentral auf den Proxmox je VLAN eine Brisge anlegen und neue VMs dann nur an die passende Bridge hängen und bist fertig.

Für Variante 2 gibt es auch gute Gründe und Anwendungsfälle aber wenn du diese nicht selbst benennen kannst warum du es unbedingt so machen willst/kannst/musst, dann ist es auch nicht nötig ;)
 
  • Gefällt mir
Reaktionen: Raijin und 0x8100
snaxilian schrieb:
Außerdem hast so ein einheitliches Setup für alle VMs und musst nur zentral auf den Proxmox je VLAN eine Brisge anlegen und neue VMs dann nur an die passende Bridge hängen und bist fertig.
Zum Vergrößern anklicken....
anmerkung dazu: man kann eine bridge auf einem interface auch auf "vlan-aware" setzen und dann bei der nic der vm das gewünschte vlan angeben. damit braucht man dann nicht für jedes vlan eine bridge anlegen. siehe z.b. https://engineerworkshop.com/blog/configuring-vlans-on-proxmox-an-introductory-guide/
 
Genau das habe ich gemacht. Und es geht nur um meinen privaten Server. Eine Bridge pro VLAN wäre auch eine Idee und dann Variante 3 :D
 
Der Vorteil von VMs ist ja auch, dass sie weitestgehend portabel sind. Je "dümmer" ihre Konfiguration also ist, umso portabler ist die VM. Natürlich gilt das aber nicht nur für die Portabilität, sondern generell für die Simplizität der Konfiguration an sich. Eine VLAN-Konfiguration innerhalb der VM ist unnötig, wenn man keine Anwendungsfälle für eben jene VLANs innerhalb der VM hat. VMs sollten daher nur mit genau jenen Schnittstellen versorgt werden, die für sie relevant sind. Ansonsten entsteht besagter unnötiger Konfigurationsaufwand, die VM lässt sich nicht so ohne weiteres auf einen anderen Host migrieren und Malware kann nicht einfach so mit einem Fingerschnippen andere Netzwerksegmente infiltrieren.

Ob privat oder geschäftlich ist in meinen Augen nachrangig, da der Grundgedanke derselbe ist. ;)
 
  • Gefällt mir
Reaktionen: snaxilian
Gut ich nehme mit:
Aus Security Sicht macht es am meisten Sinn, das ganze innerhalb des HV zu machen (Logisch, sonst kann die VM ja in jedes VLAN rein... ist aktuell bei mir auch noch der Fall, da das Default VLAN untagged ist.. Designfail von vor vielen Jahren :D). Ich DENKE, ich sollte eine VLAN Unaware Bridge basteln, die dann an alle VMs weiter reichen, die aktuell auf der Default bridge laufen um so schon mal das Ausbrechen innerhalb der VM zu verhindern.

Edit: Was aktuell nicht so recht klappt, da jede Bridge ja auch ein Gateway und Netzwerk braucht, was die vmbr0 ja bereits hat.. grml.. Naja dann pflege ich alle VLANs ein und stelle am Ende VLAn aware auf off.. :|


Edit 2:

So, ich habe folgendes jetzt umgesetzt:

eth0 + eth1 = bond0
Darauf habe ich die VLANs in Proxmox gebaut
Auf jedes VLAN jetzt eine Bridge nicht NICHt VLAN aware ist
Die jeweiligen VM Adapter auf die jeweile Bridge OHNE VLAN tag

Das tut soweit und sollte verhindern, dass die VMs hinter den VLANS 1-XX unsinn machen.

Problematisch ist aktuell folgendes: Ich müsste von untagged auf vlan0 migrieren udn da tue ich miche cht schwer, da ein Fehler = switch reset bedeutet (keine lokale konsole). Wie gehe ich da am besten vor ?

Netzwerktechnisch setzte ich auf unifi.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

MetalForLive
Hyper-V und VLAN tagging innerhalb einer VM (Firewall)
Antworten
16
Aufrufe
12.181
ayngush
ayngush
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 171 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz