# Proxmox VLAN Mastery: Segmentierung & 802.1Q Tagging

TL;DR / Management Summary Ein flaches Netzwerk (“Alles in einem Subnetz”) ist ein Sicherheitsrisiko und bremst die Performance durch zu viele Broadcasts. Wir nutzen VLANs (Virtual LANs) nach dem Standard IEEE 802.1Q, um den Traffic physisch getrennter Firmenbereiche logisch auf einem Kabel zu bündeln. In Proxmox nutzen wir bevorzugt VLAN-Aware Bridges, um VMs per einfachem “Tag” einer Sicherheitszone zuzuweisen, ohne die Host-Konfiguration bei jeder Änderung neustarten zu müssen.

# 1. Einführung & Standards

Das Etikett am Paket.

Ein VLAN-Tag besteht aus einer 12-Bit ID (1-4094).

• Trunk Port: Das physische Kabel zwischen Proxmox und Switch überträgt alle VLANs.
• Access Port: Das virtuelle Kabel zur VM überträgt nur ein VLAN (untagged für die VM).

# 2. Einrichtung in der Praxis

Der moderne Weg.

# Schritt 1: VLAN-Aware Bridge am Host

Node -> Network -> Edit vmbr0.

• Haken bei VLAN Aware setzen.
• Wichtig: Klicken Sie auf Apply Configuration (erfordert ifupdown2).

# Schritt 2: VLAN Tag an VM zuweisen

VM -> Hardware -> Network Device -> Edit.

• Tragen Sie im Feld VLAN Tag die gewünschte ID ein (z.B. 10).
• Ergebnis: Proxmox fängt alle Pakete der VM ab, hängt den Tag 10 an und schickt sie an den Switch.

# 3. Deep Dive: Management-VLAN (PVID)

Den Host absichern.

Der Proxmox-Host selbst sollte niemals im Standard-VLAN 1 hängen.

• Aktion: Weisen Sie der IP des Hosts in /etc/network/interfaces ein spezifisches VLAN zu.

iface vmbr0 inet static
    address 10.0.100.5/24
    gateway 10.0.100.1
    bridge-vlan-aware yes
    bridge-vids 2-4094
    # Management-VLAN am Switch-Trunk als Native setzen!

# 4. Day-2 Operations: VLANs für Container (LXC)

Leichtgewichte segmentieren.

Auch LXC-Container (Artikel 673) unterstützen VLAN-Tags.

• Einstellung: Direkt in den Netzwerkeinstellungen des Containers möglich.
• Vorteil: Sie können Webserver-Container in ein DMZ-VLAN schieben, während die Datenbank-VM im internen VLAN bleibt.

# 5. Troubleshooting & “War Stories”

Wenn die Pakete im falschen Netz landen.

# Top 3 Fehlerbilder

1. Symptom: VM bekommt keine IP, obwohl VLAN-Tag gesetzt ist.

   • Ursache: Der physische Switch-Port ist nicht als Trunk (Tagged) konfiguriert.
   • Lösung: Switch-Config prüfen (switchport mode trunk).

2. Symptom: VMs in verschiedenen VLANs können nicht miteinander sprechen.

   • Ursache: Fehlendes Inter-VLAN Routing.
   • Lösung: Nutzen Sie eine OPNsense-VM (Artikel 541) als zentrales Gateway für alle VLANs.

3. Symptom: Host ist nach Aktivierung von “VLAN Aware” nicht mehr erreichbar.

   • Lösung: Prüfen Sie das native VLAN (PVID) am physischen Switch.

# “War Story”: Das “VLAN 1” Desaster

Ein Admin ließ alle Management-Interfaces im Standard-VLAN 1. Eines Tages wurde ein unmanaged Switch in einer Abteilung falsch eingesteckt. Das Ergebnis: Ein Loop im VLAN 1. Da der Proxmox-Host auch im VLAN 1 hing, war die Management-GUI für 4 Stunden nicht erreichbar, obwohl die VMs in anderen VLANs technisch noch liefen. Lehre: Trennen Sie das Management-VLAN (z.B. ID 99) strikt von jedem User-Traffic. Nutzen Sie VLAN 1 niemals für produktive Dienste.

# 6. Monitoring & Reporting

VLAN-Inventar.

# VLAN Check (Shell)

# Zeigt alle aktiven VLAN-Tags auf der Bridge
bridge vlan show

# 7. Fazit & Empfehlung

VLANs sind das wichtigste Werkzeug für die Netzwerksicherheit.

• Empfehlung: Erstellen Sie ein klares VLAN-Schema (z.B. 10=Server, 20=Clients, 30=Gäste, 99=Management).
• Wichtig: Dokumentieren Sie die VLAN-IDs sowohl in Proxmox als auch in Ihrer OPNsense (Artikel 548).

# Anhang: Cheatsheet (VLAN ID Ranges)

# Referenzen

• Proxmox VE: VLAN documentation
• Wikipedia: IEEE 802.1Q
• Cisco: Understanding VLANs and Trunks