LINUX.ORG.RU
решено ФорумAdmin

Можно ли обойтись без второго сетевого интерфейса

 , , ,


0

1

Короче говоря, есть дедик с Proxmox без доступа в Сеть, за «шлюзом» из МикроТыка с пробросом нужных портов.

Доступ к гипервизору только через L2TP-туннель

На этом дедике крутится много разной ботвы.

Задача:поднять на нём еще одну виртуалку с белым статическим IP от провайдера и доступом в Сеть.

При наличии второй «железной» сетевой карты все предельно ясно:

Вешаем на карту IP, gateway и остальное, что выдал провайдер создаём vmbr1 в него втыкаем нашу карту и готово.

Те же параметры прописываем виртуалке.

А можно обойтись без второй сетевушки, изгалиться?

Конфиг Proxmox

# network interface settings; autogenerated
# Please do NOT modify this file directly, unless you know what
# you're doing.
#
# If you want to manage parts of the network configuration manually,
# please utilize the 'source' or 'source-directory' directives to do
# so.
# PVE will preserve these directives, but will NOT read its network
# configuration from sourced files, so do not attempt to move any of
# the PVE managed interfaces into external files!

auto lo
iface lo inet loopback

auto eno1
iface eno1 inet manual

auto eno2
iface eno2 inet manual

iface eno3 inet manual

iface eno4 inet manual

auto vmbr0
iface vmbr0 inet static
	address  192.168.10.31
	netmask  255.255.255.0
	gateway  192.168.10.1
	bridge-ports eno1
	bridge-stp off
	bridge-fd 0

Думаю, что нет, но лучше спрошу)

★★★★★

Последнее исправление: Twissel (всего исправлений: 1)

Вешаем на карту IP, gateway и остальное, что выдал провайдер создаём vmbr1 в него втыкаем нашу карту и готово.

Погоди, а патчкорд в неё не втыкаем, что-ли? И откуда его тогда, от микротика? Чем это принципиально будет отличаться от уже имеющегося сетапа?

einhander ★★★★★
()
Ответ на: комментарий от einhander

Погоди, а патчкорд в неё не втыкаем, что-ли? И откуда его тогда, от микротика?

Патчкорд отдельный разумеется, не от микротика :-)

Я вообще хочу абстрагироваться от ВМ с пиратской виндой и пары линуксовых виртуалок с софтом, которые прикрыты МикроТыком.

Twissel ★★★★★
() автор топика
Ответ на: комментарий от Twissel

С микротиками не знаком, но я бы попытался назначить второй адрес на wan порт и форвардил бы все запросы на него в виртуалку.

einhander ★★★★★
()
Ответ на: комментарий от Twissel

https://engineerworkshop.com/blog/configuring-vlans-on-proxmox-an-introductor...

Ессно читая текст нужно его мысленно адаптировать к текущей версии прокса, дока на актуальный прокс и дебиан тебе в помощь.

https://wiki.mikrotik.com/wiki/Manual:Interface/VLAN

Jameson ★★★★★
()
Ответ на: комментарий от einhander

С микротиками не знаком, но я бы попытался назначить второй адрес на wan порт и форвардил бы все запросы на него в виртуалку.

Форвардить надо не просто в виртуалку, а в vlan в который она входит.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

На каком устройстве должен быть поднят транковый порт в моём случае?

В этот раз я так делать не буду, т.к. я за 4000 км от заказчика, если вдруг чего-то упадёт это будут лишние проволочки и минус в карму, но матчасть учить нужно)

Twissel ★★★★★
() автор топика
Ответ на: комментарий от Twissel

На внутреннем порту микротика, на проксмоксе и его виртуальном бридже. Собсно в части проксмокса вся теория в статье расписана.

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 1)
Ответ на: комментарий от Jameson

Еще вопрос: чем отличается vlan aware bridge от openvswitch, кроме того, что это разные драйвера?

С OVS не работал?

Twissel ★★★★★
() автор топика

Вообще можно и без vlan, никто не мешает тебе в одном L2 пространстве гонять адреса из разных подсетей, только это потенциальная дыра в безопасности т.к. локальный трафик (между mkt и proxmox) будет виден провайдеру и всем твоим соседям по зданию (конечно, если у провайдера нет изоляции портов и ему есть до тебя дело).

С vlan все просто:

  • Debian (proxmox) создаешь на интерфейсе два тега (например 100 и 200)
  • Debian (proxmox) раскидываешь теги участниками в bridge, можно средствами proxmox
  • mkt решаешь какой интерфейс у тебя будет для второго isp, убираешь его из lan
  • mkt на интерфейсе который подключен к proxmox создаешь два vlan (100 - текущий lan, 200 - новый isp)
  • mkt объединяешь vlan200 и порт который ты выбрал дял второго isp в один мост
  • mkt исключаешь порт, который смотрит в сторону proxmox из lan bridge
  • mkt добавляешь в lan bridge интерфейс vlan100

https://i.ibb.co/CMBHKp4/mkt-proxmox.png

Вроде ничего не забыл, за подробностями в google или job.

Kolins ★★★★
()
Ответ на: комментарий от Kolins

новый isp

Кхм, уточню, что ISP один и тот же, что значит gateway и dns одинаковые.

Просто с дубовым решением, с подключением второго кабеля, один public ip будет на микроте, (как и был), второй - на сетевушке, которая будет в мостике с виртуалкой.

P.S. Спасибо за подробный ответ.

Twissel ★★★★★
() автор топика
Последнее исправление: Twissel (всего исправлений: 1)
Ответ на: комментарий от Twissel

уточню, что ISP один и тот же, что значит gateway и dns одинаковые.

Ок, но на схему это не влияет...хотя, если от isp приходит 1 кабель, то влияет. Доберусь до пк нарисую.

На схеме по ссылке ether3 виртуальный интерфейс?

Нет, все ether интерфейсы физические.

Если есть свободный управляемый свитч, то можно сделать немного иную схему, которая не потребует перенастройку mkt.

Kolins ★★★★
()
Последнее исправление: Kolins (всего исправлений: 1)
Ответ на: комментарий от Kolins

Нет, все ether интерфейсы физические.

Тогда, что это за устройство?

Порт микротика?

Немного затупил :-)

Доберусь до пк нарисую.

Благодарю.

В остальном ничто не мешает кинуть 2 кабеля, так что схема верна.

Twissel ★★★★★
() автор топика
Ответ на: комментарий от Twissel

Порт микротика?

Да. ether1 ether2 ether3 порты микротика.

sinaps
()
Ответ на: комментарий от Twissel

Тогда, что это за устройство?
Порт микротика?

Да, порты микрота.

https://i.ibb.co/xFgPj2p/mkt-proxmox.png

Добавил вторую схему для варианта с двумя ip по одному кабелю через микрот. Тут мы объединяет реальный интерфейс ether1 (который смотрит в сторону isp) и виртуальный vlan100 (который смотрит в сторону proxmox) в один bridge и трафик ходит по нему как по обычному свичу. Только придется перенести настройки wan с ether1 на bridge wan (скорее всего будет работать и без переноса, но могут быть странности).

И третью схему, при наличии управляемого свича. Это наверное самый оптимальный варинт т.к. не придется трогать настройки микрота.

Что настраивается на свиче:

  • Port 1 - это uplink к провайдеру, vlan100 (untagged)
  • Port 2 - это связь mkt с провайдером (сюда подключается wan порт mkt), vlan100 (untagged)
  • Port 3 - это связь mkt с локальной сетью (сюда подключается любой из lan портов mkt), vlan200 (untagged)
  • Port 4 - связь с proxmox, vlan100 и vlan200 (tagged). Туту будет виртуальное разделение каналов и трафик между proxmox<->isp и proxmox<->mkt не будет перемешиваться
Kolins ★★★★
()
Ответ на: комментарий от Twissel

если isp один и тот же, не проще второй внешний ip так же повесить на микрот и сделать нат на определенный внутренней ip конкретной виртуалки? А то ради одного ip переподключать весь проксмокс к сети… Конечно правильней может оказаться с вланами, но это когда с нуля делаешь и рядом с тачкой сидишь.

keir ★★
()
Ответ на: комментарий от keir

Это если бы у сервака была только одна сетевушка, тогда да. А по факту их 4 :-)

Заказчик решит вопросы на месте, ткнёт аплинк на вторую карту, а дальше уже дело техники, NAT не нужен, вроде.

Тут еще дело в том, что сами виртуалки, что сейчас там крутятся это чёрные ящики, где-то AD, где-то Media Server, где-то НЁХ.

Лезть туда и разбираться, что да как нет ни времени, ни желания - есть более важные задачи. Это побочный квест.

Хотя, попозже лучше переделать всё на VLAN'ах, согласен. Потому и создал топик.

Twissel ★★★★★
() автор топика
Последнее исправление: Twissel (всего исправлений: 1)
Ответ на: комментарий от Twissel

Лезть туда и разбираться, что да как нет ни времени, ни желания - есть более важные задачи. Это побочный квест.

если есть бюджет могу полезть и разобраться) пока есть время

Kolins ★★★★
()
Ответ на: комментарий от Kolins

Без никаких доступов на ВМ в виртуалках, ну ты силён =)

А если серьёзно, спасибо, ты и так хорошо помог, в самый раз.

Twissel ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.