· Henning Scholand · Proxmox  · 3 Min. Lesezeit

Proxmox Netzwerkdesign — VLANs, Bridges und Bonds richtig aufsetzen

Wie man in Proxmox ein sauberes Netzwerkfundament legt: VLAN-aware Bridges, Bond-Modi für HA und die konsequente Trennung von Management-, VM- und Storage-Traffic.

Wie man in Proxmox ein sauberes Netzwerkfundament legt: VLAN-aware Bridges, Bond-Modi für HA und die konsequente Trennung von Management-, VM- und Storage-Traffic.

Wer Proxmox nur mit einer einzigen Bridge betreibt, lebt gefährlich. Nicht weil die Umgebung sofort zusammenbricht — sondern weil der nächste Angreifer, der nächste Admin-Fehler oder der nächste Broadcast-Sturm keinen Widerstand mehr findet. Ein durchdachtes Netzwerkdesign ist das Fundament für alles, was in dieser Serie noch kommt.

Was wir aufbauen

Drei logisch getrennte Netze:

  • Management-Netz (10.0.0.0/24): Proxmox-Webinterface, SSH, Corosync-Cluster-Kommunikation
  • VM-Netz (10.10.0.0/16): VLAN-tagged Traffic für Gastmaschinen, segmentiert nach Kundenmandant oder Zone
  • Storage-Netz (10.20.0.0/24): Replikation, PBS-Backup-Traffic, Ceph (wenn vorhanden)

Diese Trennung ist nicht optional. Management-Traffic auf dem gleichen Interface wie VM-Traffic ist ein Angriffsvektor — ein kompromittierter Gast kann bei falscher Konfiguration ARP-Poisoning gegen das Proxmox-Interface betreiben.

Physische Grundlage: Welche NICs, welche Bonds

Ein produktiver Proxmox-Host sollte mindestens vier physische Interfaces mitbringen — zwei für Uplink/VM-Traffic (gebondet), zwei für Management und Storage. In der Praxis sieht das so aus:

eth0, eth1  → Bond0 (VM + Storage, LACP)
eth2        → Management (kein Bond, separate Switch-Port-Konfiguration)
eth3        → Storage-Replikation oder iSCSI

Bond-Modus: 802.3ad vs. active-backup

802.3ad (LACP) verteilt Traffic über beide Links und nutzt die volle Bandbreite. Voraussetzung: der Switch muss LACP unterstützen und korrekt konfiguriert sein.

active-backup ist der sichere Fallback. Ein Interface ist aktiv, das andere übernimmt bei Ausfall. Kein Switch-Support nötig, aber halbe Bandbreite.

Für Produktionsumgebungen mit managed Switches: 802.3ad. Für Umgebungen mit unmanaged Switches oder wenn der Switch-Admin nicht erreichbar ist: active-backup.

/etc/network/interfaces — die vollständige Konfiguration

# /etc/network/interfaces
# Proxmox Produktionskonfiguration mit Bond, VLAN-aware Bridge und Storage

auto lo
iface lo inet loopback

# Physische Interfaces — keine IP, kein Protokoll
auto eth0
iface eth0 inet manual

auto eth1
iface eth1 inet manual

auto eth2
iface eth2 inet manual

auto eth3
iface eth3 inet manual

# Bond: LACP (802.3ad) für VM + Storage Traffic
auto bond0
iface bond0 inet manual
    bond-slaves eth0 eth1
    bond-miimon 100
    bond-mode 802.3ad
    bond-xmit-hash-policy layer3+4
    bond-lacp-rate fast

# Management Bridge — kein VLAN-aware, dedizierter Uplink
auto vmbr0
iface vmbr0 inet static
    address 10.0.0.10/24
    gateway 10.0.0.1
    bridge-ports eth2
    bridge-stp off
    bridge-fd 0
    # Kein bridge-vlan-aware hier — Management bleibt flat

# VM Bridge — VLAN-aware auf Bond
auto vmbr1
iface vmbr1 inet manual
    bridge-ports bond0
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes
    bridge-vids 2-4094
    # VMs bekommen ihr VLAN über die VM-Konfiguration zugewiesen

# Storage Interface — dediziertes Netz, kein Bond nötig
auto eth3
iface eth3 inet static
    address 10.20.0.10/24
    # Kein Gateway — Storage ist ein isoliertes L2-Netz

Nach Änderungen an /etc/network/interfaces nie einfach ifreload -a in einer SSH-Session, die über dasselbe Interface läuft — Verbindungsabbruch garantiert. Stattdessen:

# Änderungen prüfen ohne anzuwenden
ifreload -a --dry-run

# Nur wenn man physisch an der Konsole sitzt oder über ein anderes Interface verbunden ist:
ifreload -a

VLAN-Tags für VMs zuweisen

Mit der VLAN-aware Bridge (vmbr1) reicht es, in der VM-Netzwerkkonfiguration das gewünschte VLAN-Tag einzutragen. Proxmox setzt den 802.1Q-Tag automatisch:

# Per CLI: VM 100 bekommt VLAN 10
qm set 100 -net0 virtio,bridge=vmbr1,tag=10

# Trunk-Port für VM mit eigenem VLAN-Stack (z.B. pfSense als Firewall-VM)
qm set 200 -net0 virtio,bridge=vmbr1,trunks=10;20;30

Häufige Fehler

Bridge-fd nicht auf 0 gesetzt: Der Default-Forwarding-Delay von 15 Sekunden macht VMs nach einem Reboot 15 Sekunden lang unerreichbar. Immer bridge-fd 0 setzen.

Bond-Slaves mit IP konfiguriert: Bond-Slaves dürfen keine eigene IP haben. Nur der Bond selbst (oder die darüber liegende Bridge) bekommt eine IP.

Management und VM auf der gleichen Bridge: Wer vmbr0 sowohl für das Proxmox-Interface als auch für VMs verwendet, gibt VMs im gleichen L2-Segment wie den Hypervisor. Ein kompromittierter Gast kann ARP-Spoofing gegen das Management-Interface betreiben.

STP aktiviert lassen: Spanning Tree Protocol verursacht 30 Sekunden Verzögerung beim Hochfahren. In den meisten Proxmox-Setups ist STP nicht nötig und sollte mit bridge-stp off deaktiviert werden.

Im nächsten Teil dieser Serie bauen wir auf diesem Fundament auf und konfigurieren Proxmox SDN für dynamische Netzwerksegmentierung ohne Switch-Konfiguration.

Teilen:
Zum Blog

Ähnliche Artikel

Alle Artikel »