Proxmox. Настройка сети с несколькими VM и внешними IP + локальная сеть?

Question

[N]

Что имеем:

- Сервер с установленным Proxmox (далее P);
- На сервере P создано 3 виртуальные машины (далее VM1, VM2, VM3);
- Провайдер выделил подсеть с внешними IP(11 шт);

Шлюз по умолчанию: X.X.X.193
Маска подсети: 255.255.255.240
Широковещательный адрес: X.X.X.207
Адрес подсети: X.X.X.192/28

- Начальная схема IP по серверам:

P -> X.X.X.194
VM1 -> X.X.X.200
VM2 -> X.X.X.199
VM3 -> X.X.X.198

Задача:
1. Выделить каждому серверу IP по схеме выше;
2. Каждая из VM должна иметь доступ в интернет под своим IP, а так же видна в интернете под своим же IP.
При этом должна быть "опция" для каждой VM для запрета доступа всем "извне".
3. Связать VM1 и VM3 в локальную сеть.
Т.е. нужна "опция", чтобы любые VM можно было объединять в одну сеть.

Суть проблемы:

Не получается правильно реализовать 3 пункт задачи...

Ниже приведу примеры конфигов на серверах для решения первых двух пунктов...но понимаю, что пошёл немного не правильным путём из-за наличия 3 пункта задачи...

P - сервер:

/etc/netwotk/interfaces

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet manual

auto vmbr0
iface vmbr0 inet static
    address X.X.X.194/28
    gateway X.X.X.193
    bridge-ports eth0
    bridge-stp off
    bridge-fd 0

На кажой из VM(1, 2, 3) такие сетевые настройки:

address <ТУТ_IP_ДЛЯ_КАЖДОЙ_VM_ПО_СХЕМЕ_ИЗ_ЗАДАЧИ>/28
gateway X.X.X.193
netmask 255.255.255.240

Направьте в какую сторону смотреть?

UPD:

Вот конфиг при котором вроде как локальная сеть есть...но когда пингую машины между собой, то пинг 0.2...будто по инету пакеты идут...

P - сервер:

/etc/netwotk/interfaces

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet manual

auto vmbr0
iface vmbr0 inet static
    address X.X.X.194/28
    gateway X.X.X.193
    bridge-ports eth0
    bridge-stp off
    bridge-fd 0
    dns-nameservers X.X.X.X X.X.X.X
    bridge_maxwait 0
    pre-up brctl addbr vmbr0
    up ip route add X.X.X.198/32 dev vmbr0
    up ip route add X.X.X.200/32 dev vmbr0
    pointopoint X.X.X.193

auto vmbr1
iface vmbr1 inet static
    address 10.20.30.1/24
    bridge-ports none
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes
    bridge-vids 2-4094
    post-up   iptables -I FORWARD -s '10.20.30.0/24' -j ACCEPT
    post-up   iptables -t nat -I POSTROUTING -s '10.20.30.0/24' -o vmbr1 -j MASQUERADE
    post-down iptables -t nat -D POSTROUTING -s '10.20.30.0/24' -o vmbr1 -j MASQUERADE

Настройки сети на каждой из VM, например в ОС Debian:

allow-hotplug ens18
iface ens18 inet static
    address <ТУТ_IP_ДЛЯ_КАЖДОЙ_VM_ПО_СХЕМЕ_ИЗ_ЗАДАЧИ>
    gateway X.X.X.193
    netmask 255.255.255.240
    dns-nameservers X.X.X.X X.X.X.X
    post-up ip route add X.X.X.194 dev ens18
    post-up ip route add default via X.X.X.194 dev ens18
    pre-down ip route del default via X.X.X.194 dev ens18
    pre-down ip route del X.X.X.194 dev ens18
    
auto ens19
iface ens19 inet static
    address 10.20.30.2
    netmask 255.255.255.0

UPD2:

При такой настройке, как я понимаю, хост сервер (P) должен быть связан локально со всеми VM...и в обе стороны должна быть локальная связь...так же?

Вот какие данные на сервере P:

root:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         X.X.X.193     0.0.0.0         UG    0      0        0 vmbr0
10.20.30.0      0.0.0.0         255.255.255.0   U     0      0        0 vmbr1
X.X.X.192     0.0.0.0         255.255.255.240 U     0      0        0 vmbr0
root:~# traceroute 10.20.30.2
traceroute to 10.20.30.2 (10.20.30.2), 30 hops max, 60 byte packets
 1  10.20.30.2 (10.20.30.2)  0.222 ms  0.200 ms  0.191 ms

Вот на одной из VM:

root:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         X.X.X.193     0.0.0.0         UG    0      0        0 ens18
10.20.30.0      0.0.0.0         255.255.255.0   U     0      0        0 ens19
localnet        0.0.0.0         255.255.255.240 U     0      0        0 ens18
X.X.X.194     0.0.0.0         255.255.255.255 UH    0      0        0 ens18
root@pg:~# traceroute 10.20.30.1
traceroute to 10.20.30.1 (10.20.30.1), 30 hops max, 60 byte packets
 1  10.20.30.1 (10.20.30.1)  0.275 ms  0.251 ms  0.246 ms

Answer 1

[AUser0]

Смотреть на что? Как добавлять интерфейсы с присвоенными им локальными IP/маской?

Comments

[N]

Да...у меня получалось добавить интерфейс и присвоить им локальный IP...но когда пинговал их между собой по локальному IP, то такое ощущение, судя по скорости отклика, что пакеты через интернет ходили...
Могу постараться воспроизвести такой конфиг...

[N]

Обновил вопрос...с локальной сетью попытки сделать...

[Руслан Федосеев]

есть средства диагностики. Пинг. трасерт, route, tcpdump...
но вот "ощущение, судя по скорости отклика" - это что то новое в настройке сети....

[N]

Руслан Федосеев, Добавил в вопрос.

[AUser0]

N, если считаете, что локальный трафик проходит через Internet интерфейсы - ну так просто проверьте свои выводы, прослушиванием Internet интерфейсов в tcpdump...

[N]

AUser0, Делаю на одной из VM:
tcpdump -i ens19 host 10.20.30.2
С сервера Proxmox (P) делаю:
ping 10.20.30.2
Получаю:

PING 10.20.30.2 (10.20.30.2) 56(84) bytes of data.
64 bytes from 10.20.30.2: icmp_seq=1 ttl=64 time=0.221 ms
64 bytes from 10.20.30.2: icmp_seq=2 ttl=64 time=0.186 ms
64 bytes from 10.20.30.2: icmp_seq=3 ttl=64 time=0.283 ms

На сервере VM пакеты видны в tcpdump...

Разве нормально 0.2 в среднем пинг???

P.S.: Если по внешнему IP пинговать, то пинг такой же...

[N]

AUser0, Или походу я так жёстко затупил и всё норм?
Просто смутило то, что когда пингуешь свой же IP(localhost) на VM, то пинг 0.01, а когда пингуешь другую VM в этой же сети, то пинг 0.2-0.3. Причём когда пингую по внешнему IP друг друга, то так же 0.2-0.3.
Вот и подумал, что раз время пинга через "инет" и локально одинаковый, то всё идёт через "инет"...
Или у провайдера уже локально идут запросы в случае одной подсети IP ?

[N]

Вообщем нагуглил похожий вопрос про пинг:
https://qna.habr.com/q/849255

Короче я затупил...всё норм))

[N]

Тогда другой вопрос:
Раз пинг одинаковый с присвоенными им локальными IP и с теми, что внешние в одной подсети, то и нафиг тогда vmbr1 с этим огородом?

[AUser0]

N, тогда старый вопрос: убеждаться, что локальный трафик не идёт через Internet-ый интерфейс - собираетесь?

Ну а о безопасности использования белых IP для всего - решать вам.

[Руслан Федосеев]

N, причем тут пинг?
Итак, имеете три машины. Например, некий кластер, и у них общий каталог по nfs. Если вы отдаете nfs по внешнему интерфейсу - у вас в мире будут торчать службы nfs, вам придется строить фаервол, дополонительно защищать. В случае локальной сети - нфс в мире торчать не будет, уже проще.
Далее, вдруг к вами приходит ддос на одну из машин на всю ширину канала. Все, нфс кончился - ему нет полосы для работы...
Ну и так далее.
Разделение на внешнюю и внутреннюю сети делается для безопасности и правильной организации сети.

[N]

AUser0,

тогда старый вопрос: убеждаться, что локальный трафик не идёт через Internet-ый интерфейс - собираетесь?

А он разве не локально шёл, судя по tcpdump и т.п. ?

Руслан Федосеев, Изначально я из-за пинга заморочался...т.к. думал должен быть меньше, если локально пакеты идут...
В остальном всё верно.

[Руслан Федосеев]

а в чем в вашем случае разница между интерфейсами? )
вообще - локально - это обозначает обычно в пределах локальной сети. Локальная сеть - сеть организации, хостинга, и т.п. Тут ноги растут из определения слова Интернет

[N]

Руслан Федосеев, Да ёклмн))
Вот я и прошу прояснить мне глупому)))

[AUser0]

N, это вы удостоверились, что по пути следования он точно прошёл через интенфейс локальной сети, ничего более. А что точно НЕ ПРОХОДИЛ через Интернетный интерфейс - проверки не видно. Конечно ваше дело, но вопрос именно в этом и заключался...

[N]

AUser0, Так подскажи дружище как проверить точно это дело?

[AUser0]

N, tcpdump, что-ж ещё-то?

[N]

AUser0, Я же выше привёл пример tcpdump'а...я не так делаю?

[AUser0]

N, я же вроде русским языком всё написал... Вы проверили tcpdump-ом интерфейс с локальным IP, но спрашивали-то про прохождение локального трафика через интерфейс с белым IP. Верно? Тогда этот интерфейс (с белым IP) и нужно слушать, разве нет?

[N]

AUser0, Я там же написал:

P.S.: Если по внешнему IP пинговать, то пинг такой же...

Тут я имел ввиду, что делал и наоборот...т.е. "слушал" каждый интерфейс на одной VM и с другой пинговал...при пинге по локальному IP второй интерфейс (с внешним IP) пакеты не получает - и наоборот.
Значит трафик идёт как надо. Так?
Я просто, повторяюсь, смутился из-за пинга...ибо во всех случаях он одинаковый между VM...

[AUser0]

N, а, ну если так расшифровывается эта фраза - тогда да, проверка сделана, консенсус достигнут!

[N]

AUser0, Спасибо за ответы))

Answer 2

[waryag_twar]

вы вообще не туда смотрите. вам надо на проксмоксе сделать простой бридж, с параметрами, выданными провайдером, и оставить его как есть. всё.
на машинах просто прописываете адреса из списка провайдера. всё.

Comments

[N]

Я пока так и сделал...потому что при моём варианте сеть периодически тупила в самих VDS...
Но хотелось бы иметь как я описал в задаче сеть...чтобы фаерволами на каждой VDS не "разруливать" кому "извне" доступ есть, а кому - нет...

[waryag_twar]

N, тогда вам проще поставить на проксмокс ещё одну виртуальную машину, и сделать её роутером для вм. т.е. создать коммутатор только для вм, а на роутере дать доступ в интернет. поставить туда pfsense или что-то такое, и не складывать на гипервизор левые задачи.

[N]

waryag_twar, Да такой вариант есть тоже)
Потом придётся переделывать) Пока так едет)