tib Bonjour,
Alors tout d'abord merci, pour la lecture, pour ton ecriture et le fait d'exposer les faits en posant tes conf.
Un tres bel exemple de comment rendre les sujets faciles a traiter 🙂
Alors pour la faire sans charabia, termes techniques que je n'aurais. Un VLAN c'est un LAN dans un LAN.
Imagine : ( je vais prendre exemple de mes utilisations au quotidien).
J'ai 2 bâtiments séparer de 30 mètres, à la construction ils n'ont prévu qu'un seul câble ethernet pour relier les 2 points. Mais aujourd'hui je dois faire cohabiter : 1 WIFI pour les pads, 1 WIFI pour les guest, 1 LAN pour les TPV, 1 LAN pour les postes téléphonie sur IP.
Donc sur mon LAN j'ai 3 VLAN + 1 qui fait tout transiter. Sur les différent switch les VLAN sont tagués mais aucun ne peut communiquer parce qu'ils n'ont pas le même ID ( 4000, 4001,etc chez Hetzner, sur l’hôtel 10,20,30,40...)
Donc pour résumer les point d’accès pour les clients se connectent au serveur avec un range ip 192.168.83.0/24, les pads 10.0.0.0/24, la toip 192.168.4.0/24, et le lan hotel 192.168.2.0/23 (le 23 c'est une longue explications 😉 )
Donc tout ces ranges la pourrait passer sur les switch et tout le monde pourrait tout voir... en créant des VLAN ils sont compartimenter. Les paquets du VLAN 10 n'iront que dans les endroits ou il peut aller etc...
Si tu es perdu j'essaierais d'expliquer plus proprement 😉
A la base la partie 10.0.0.0/24 dans le vmbr1 était pour que les VM/CT puissent communiquer entres elles s'en sortir sur internet ni même qu'on puisse entrer.
Pour par exemple : 1 CT qui contient le point d’accès à tous les autres en ssh. ce qui limite potentiellement les points d'intrusions parce que je ferme les services ssh sur les ip publiques.
Si par exemple je veut atteindre la VM serveur Mail en ssh je dois entrer par le CT ssh et de ce CT je me connecte a la vm mail par son adresse en 10.0.0.0/24.
Ça permettait aussi de faire communiquer les bases de données sur un LAN interne au proxmox qui ne peut aller sur internet.
Pour la partie VLAN entre plusieurs proxmox, c'est un point que je n'ai pas encore explorer. Mon VLAN actuelle permettait juste de limiter l'exposition des flux de backup entre 2 serveurs ( 1 proxmox et 1 debian )
Mais globalement je pense que je ferais comme ça :
Sur le proxmox 1
auto enp2s0.4000
iface enp2s0.4000 inet static
address 192.168.200.1
netmask 255.255.255.0
mtu 1400
vlan-raw-device enp2s0
auto vmbr3
iface vmbr3 inet static
address 192.168.200.2
netmask 255.255.255.0
bridge_ports enp2s0.4000
bridge_stp off
bridge_fd 0
Sur le proxmox 2
auto enp2s0.4000
iface enp2s0.4000 inet static
address 192.168.200.3
netmask 255.255.255.0
mtu 1400
vlan-raw-device enp2s0
auto vmbr3
iface vmbr3 inet static
address 192.168.200.4
netmask 255.255.255.0
bridge_ports enp2s0.4000
bridge_stp off
bridge_fd 0
Etc ... il faut bien sur que les serveurs soient tu le VLAN 4000 de ton panel 😉
Apres si tu creer une VM/CT tu lui colle le vmbr3 et une ip dans le range 192.168.200.10-200/24 et je pense que de là elle peut communiquer entre les différents proxmox.
Je n'ai malheureusement pas de serveurs disponible pour essayer mais théoriquement c'est comme ça que je ferais.
Pour la partie IPv6 c'est enfantin c'est le truc le moins chiant...
Dans ton /etc/network/interfaces tu dois avoir une section comme ça :
iface enp6s0 inet6 static
address 2a01:4f8:201:xxxx::2 # Première ipv6 que tu retrouve sur l'interface robot de chez hetzner
netmask 128 # le netmask est à mettre en 128 pour la bloquer sur cette ip la et pouvoir utiliser la totalité du pool
gateway fe80::1
iface vmbr0 inet6 static
address 2a01:4f8:201:XXXX::2 # Tu remet la même que ton interface physique.
netmask 64 # Tu lui dit qu'elle peut utiliser la totalité du /64 ;)
Et après sur chaque VM/CT tu lui donnes une ip dans ce range la donc de 2a01:4f8:201:XXXX::3 a 2a01:4f8:201:XXXX::1000 par exemple ça fait déjà un paquet de places 😉
Il faut bien sur que tu est :
net.ipv6.conf.all.forwarding=1
dans ton /etc/sysctl.d/99-networking.conf ou dans ton /etc/network/interfaces.
Je préfère le premier ça permet d'avoir un fichier qui contient ces 3 lignes :
net.ipv4.ip_forward=1
net.ipv4.conf.enp2s0.send_redirects=0
net.ipv6.conf.all.forwarding=1
et donc dans ton /etc/network/interfaces tu as juste les parties ip à gérer 🙂 ça fait des lignes en moins 😉
N'hésites pas à passer sur le Discord pour discuter en live 🙂
Et bien sur à demander des infos, je suis un partageur de connaissances 🙂
--Mathieu--