Suite à ce premier post qui m’a permis d’avoir HA dans le subnet que mes objets connectés (par un raccordement physique à mon routeur Wifi), j’aimerais ajouter mon réseau 192.168.1.0/24 à HA.
Je suis sous Proxmox dans mon réseau 192.168.1.0/24 avec 2 interfaces Ethernet :
Interface 1 : réseau Routeur Box 192.168.1.0/24
Interface 2 : réseau Routeur Wifi 192.168.68.0/24
L’interface 1 est configurée en IP statique sans pont (admin Proxmox)
L’interface 2 est configurée via un pont que je partage avec ma VM HAOS et le pont est configuré en statique.
Ma question : comment ajouter une interface à ma VM HAOS sur le subnet 192.168.1.0/24 ?
Sachant que dès que je mets un pont sur mon interface 192.168.1.0/24, je perds l’admin Proxmox…
Et que je si déclare un VLAN sur le pont Interface 2 pour y mettre une adresse IP dans le scope 192.168.68.0/24, je peux bien avoir 2 IP pour HA mais le routage n’est pas bon et je perds l’accès à Internet d’HA. Pourtant, j’ai vérifié les routes, et elles semblaient bonnes.
Sachant que je pingue tout le subnet 192.168.1.0 depuis HA sans problème mais que les flux ne semblent pas passer, et que la découverte/intégrations ne passent pas.
Pas de FW configuré dans mon réseau.
Je ne suis pas un expert dans le paramétrage réseau, donc la solution doit être compréhensible par un débutant
Encore une fois quand on débute pourquoi se mettre des bâtons dans les roues avec des choses de la sorte ?
Si on il faut mettre chacune de tes interfaces dans un bridge (vmbr) différent
Et surtout avec 2 réseaux différents
Genre ton lan en 192.168.1.x/24 et l’autre en 192.168.2.x/24 (tout ce ne sont que des exemples)
Tu assignes 2 interfaces réseau a ta VM une venant du vmbr0 et l’autre du vmbrx
Sur l’interface venant du lan tu aura j’imagine une venant de ton DHCP, pour la 2eme ce réseau n’a pas de DHCP donc il faudra configurer cette IP manuellement
Pour la remarque de se mettre des bâtons dans les roues, il y a des situations où les batons viennent tous seuls en roulant !
L’emplacement physique des machine, l’utilisation d’un routeur Wifi à la place d’une Box opérateur très limitée en capacité/couverture… et la complexité qui augmente forcément !
J’ai fait pas mal de tests sans succès, et comme indiqué, dès que je mets l’interface réseau enp2s0 qui porte l’IP d’admin de Proxmox dans un bridge, je perds la main dessus, et je dois me connecter avec un clavier pour faire un retour arrière sur la conf IP…
Voici la vue de mon interface Proxmox actuelle : j’ai 2 VM, une HA et une Windows 11 (ça sert toujours en dépannage).
J’ai activé le VLAN sur les 2 ponts, testé plusieurs configuration de VLAN ID…
Déjà, je ne sais pas comment faire pour garder la main sur Proxmox en mettant un pont sur l’interface enp2s0…
Et après, une fois fait, je mets simplement le pont créé à disposition de HA ?
Sachant que je pingue bien actuellement le subnet 192.168.1.0/24 depuis HA et j’y accède en HTTP/S notamment ou autre (via l’addon FireFox ou Terminal) mais je ne peux pas découvrir les devices de ce subnet.
Tu as du bien bricolé ton réseau proxmox
Car par défaut cette interface doit se trouver dans vmbr0 et c’est cette interface qui porte l’interface d’administration
Donc
pas de configuration réseau sur enp2s0 mettre enp2s0 dans vmbr0 et mettre l’IP sur vmbr0 192.168.1.84/24 et gateway 192.168.1.243
pas de configuration réseau sur enp2s1 ajouter enp2s1 dans vmbr1 mettre l’IP 192.168.68.84/24 pas de gateway sur ce réseau (enfin d’après ce que j’ai compris)
chaque interface est dans un vmbr différent qui sont aussi dans 2 sous réseaux différents
Il te suffit après d’ajouter 2 interface dans ta vm HA chacune étant sur un bridge différent elles seront dans 2 sous réseau
Je te remercie, je (re) tester ça, avec le risque que je perde la main sur l’admin de Proxmox.
Je ne pense pas avoir modifié l’installation de base de Proxmox, et d’avoir enlevé enp2s0 d’un vmbr déjà créé, mais je me trompe surement.
J’accède à l’admin Proxmox via le subnet 192.168.68.0/24 (via Wifi donc) pour atteindre le subnet 192.168.1.0/24, est-ce que ça peut être la raison de la perte d’accès à Proxmox lorsque je mets son interface dans un pont ? Pas de routes à ajouter ?
En résumé :
créer un pont sur enp2s0 (en enlevant sa config), mettre la config sur le pont 192.168.1.X/24 GW 192.168.1.254 (ma Box)
garder le pont sur enp4s0 qui aliment HA et qui fonctionne avec une config en 192.168.68.0/24 sans GW (même si j’ai un routeur wifi 192.168.68.1 ?)
10.0.94.0/24 correspondant a un 2eme LAN pour tests
et aucun soucis pour atteindre mon proxmox par ces 2 interfaces de vmbr1 192.168.94.20 et vmbr0 10.0.94.20/24
et la une VM disposant de 2 cartes réseaux sur les 2 bridges
après tu peux aussi jouer avec du vlan taggué mais il te faut du matériel de switching niveau 2 ou alors en tagguant les ports dans les OS ou sur PROXMOX
J’ai pu après quelques tests implémenter la configuration dans Proxmox : mes 2 interfaces sont bien encapsulées dans des ponts, et j’ai accès à Proxmox via les 2 IP déclarées (192.168.1.84 et 192.168.68.150).
Mais depuis, je ne peux plus pinguer mon réseau 192.168.1.0/24 depuis HA (192.168.68.112), sauf la GW (192.168.1.254) qui est OK. Avant je pouvais les pinguer, sans pour autant avoir les intégrations.
Dois-je prendre l’adresse principale de HA dans le réseau 192.168.1.0/24 ? Je risque dans ce cas d’avoir le problème inverse : ne plus avoir accès à tous mes devices qui sont sur le réseau 192.168.68.0/24.
Dois-je ajouter une route quelque part ? Proxmox, HA, ou GW ?
Sous proxmox les IP sont toujours porté par le/les bridge sauf cas exceptionnel d’utilisations.
Et mettre un device (VM/LXC) dans deux réseaux différents quand on fait des séparations de VLAN est contraire à la règle des best practices…
Ton device ne doit être que dans un réseau/subnet/Vlan et si la vm doit contacter d’autres équipements, elle doit passer par sa gateway qui dans la plupart des infra avec vlan est un firewall.
C’est dans le firewall que tu vas créer des règles qui vont autoriser ou non tel vm à contacter tel IP sur ton réseau en indiquant le port/protocole et même pour certain les horaires d’accès…
Tu l’auras donc compris la seule machine qui a des interfaces dans tous les réseaux dans 99 % des cas est le firewall (les 1 % restant sont des cas d’usage spécifique en infra).
Là en gros partons du principe que ton HA est un pc, s’il se fait plomber par sa carte réseau A alors le pc plombé peut attaquer/scanner/plombé le réseau B et attaquer tous les équipements sur le réseau B sans aucun contrôle, c’est pour cela que le traffic doit passer par le firewall et faire les bonnes règles de policy,
Encore faut-il savoir ce que l’ont fait, car sinon on se met de gros bâtons dans les roues
Les vlan sont fait pour isoler le traffic et aussi éviter les domaines de broadcast qui peuvent ralentir grandement un réseau pour rien… mais bon je vais pas faire un cours en architecture/infra réseau
Tubas raison sur le fond
Mais c’est tout à fait possible dans aucun besoin de sécurité mais juste d’isolation pour des besoins de différencier des réseau physiquement
Et c’est tout à fait possible d’avoir 2 interfaces sur une même machine pour attaquer 2 réseaux physiquement différent ont ne parle même pas de vlan ici
D’ailleurs le terme vlan est souvent phagocyté
Ce n’est pas du tous dans les best practices ce qui ne veut pas dire qu’on ne peut pas le faire techniquement.
Si on fait des vlan autant faire les choses « bien » surtout avec des ESPwifi qui se multiplis comme des lapins chez nous Le VLAN réduit le trafic de diffusion et améliore l’efficacité du réseau en segmentant logiquement un grand réseau en réseaux de taille plus réduite .
C’est mon routeur Wifi (je dis bien routeur car il n’est pas en mode Access Point) qui a cette adresse.
Il fait le « lien » entre les 2 subnets comme indiqué sur mon schéma plus haut : il a une IP sur chaque subnet (WAN et LAN).
En gros, l’ajout de la seconde interface m’a fait régresser dans mon besoin : je ne pingue plus le premier subnet contrairement à avant.
Et je n’ai pas toujours pas de découverte sur le premier subnet depuis HA.
Donc il me manque forcément quelque chose… Sachant que je n’ai mis aucune route en dur dans mon système, quelqu’elle soit et que j’ai désactivé tout FW pour tester et remettre ensuite la sécurité.
Alors si tubas un routeur pourquoi voir jouer avec 2 interfaces !!!
Par contre tu vas avoir besoin de jouer avec avahi pour faire de la découverte .
Comme l’a dit @barto_95 vouloir faire des choses que l’on ne maîtrise pas du tout c’est rarement constructif
Je ne m’arrête jamais au premier problème, sinon on ne progresse pas ! Ça prend du temps, mais je vais trouver une solution.
Mon routeur wifi est un TP Link Déco M5 : je peux y ajouter des routes statiques, du NAT, DHCP, réservation d’adresses… mais j’ai pas vu de configuration possible de VLAN ou de FW.
Ce qui m’embête, c’est que je ne comprend pas pourquoi la solution mise en place ne fonctionne pas (elle est pas forcément propre mais elle devrait fonctionner). Je pense qu’il s’agit simplement d’un soucis de route ou de GW. Et j’avais déjà soulevé la piste du mDns pour les intégrations qui ne passent pas sur mon premier subnet malgré le ping et les flux OK.
Donc je vois plusieurs solutions envisageables pas forcément antagonistes :
mettre en place un FW central dans mon réseau, probablement sur mon NUC Proxmox et faire qu’il soit la GW de mon réseau. Et y définir le routage/permissions
Avez vous des solutions logicielles adaptées ?
mettre en place des VLAN séparés : il faudrait peut être que je change mon switch. J’avoue que je pars de loin sur ce sujet.
mettre en place un mDns de type avahi comme tu l’indiques.
Je suis preneur de solutions simples si vous en avez, je vais réfléchir à tout ça ce WE pour voir ce que je peux faire.
Ça devrait fonctionner sans soucis, mais pas 2 gateway sur une même machine (surtout lorsque l’on ne peut pas jouer sur les métriques des routes) alors une seule gateway
Problème que tu te mets tout seul pour des raisons sortie pas forcément compréhensible tout ça pour souvent finir en sac de noeud
En enlevant la GW sur HA sur l’interface ajoutée, en la mettant en Automatique, j’ai réussi à récupérer la main sur le subnet 192.168.1.0/24.
Cependant, j’ai un soucis côté Upnp, et nmap sur ce subnet. Donc la solution n’est pas propre côté mDNS ou autre, ce qui fait que les intégrations ne remontent pas.
Je vais réfléchir à changer l’architecture de mon réseau pour rendre ça plus propre.
en fait je ne vois pas ce que tu appel un soucis nmap ? et l’upnp ainsi que le mDNS sont basés sur le broadcast donc ne sont pas des protocoles qui ne se routent pas
Nmap : erreur de l’intégration indiquant qu’il ne trouve pas de MAC sur mes adresses IP de ce subnet.
uPnP : erreur de l’intégration indiquant network unreachable.
mDNS : pas d’intégrations automatiques / intégration manuelles NOK sur ce subnet
J’ai simplement récupéré le ping en somme. Mais ça ne progresse pas par rapport à avant (une seule interface dans HA).
Donc pas de passerelle sur ce réseau