Hilfe bei VMM und Netzwerkanbindung

[sedi]

Hallo zusammen,

ich muss vorausschicken, dass ich absoluter Laie bin, was Virtuelle Maschinen betrifft. Wollte mich aber genau aus diesem Grund mal damit konfrontieren.

Habe im Virtual Machine Manager (VMM) eine HaOS (Home Assistant) installiert. Ging problemlos - yeah - also die HaOS-VM läuft ...
ABER: Ich komm nicht auf die Weboberfläche des Home Assistant, zumindest nicht so, wie man das in diversen Videos bzw. Artikeln zu sehen bekommt oder liest, also nix mit <IP-DES-NAS>:8123.

Bei der Fehlersuche habe ich natürlich im Bereich "Virtuelle Maschine" nachgekuckt, was die HaOS-VM denn für IP-Adressen hat. Ich hab nicht schlecht gestaunt, als ich sah, dass die total exotisch waren: 172.30.... usw. Die haben rein gar nichts mit meiner Netzwerkinfrastruktur zu tun und werden natürlich von meiner Firewall geblockt. So komm ich niemals auf die Maschine

Ok, im nächsten Versuch habe ich einen virtuellen externen Switch erstellt (vSwitch), dem ich beide LAN-Anschlüsse meiner 723+ zugewiesen habe. Die HaOS-VM herunter gefahren, ihr den externen Switch als Netzwerk zugeordnet und wieder hochgefahren. Selbes Ergebnis, genau die gleichen IP-Adress-Exoten.

Kann mir jemand erklären, wie ich das machen soll? Ich hab da nämlich absolut keinen Plan.

 

[Ronny1978]

Hallo @sedi,

am besten hier mal schauen. Das Erstellen eines weiteren virtuellen Switches ist, glaube ich, nicht zwingend. Die 172..... sind die internen Adressen von HA. Die VM müsste eine SEPARATE IP vom Router zugewiesen bekommen. Hat dein Router/NAS eine 192.168.178.xxx, so bekommt die HA VM auch eine eigene 192.168.178.xxxx. Die steht in der Übersicht immer VMM, wenn die VM läuft. Diese dann mit Port 8123 nutzen. Steht dort nur eine 172.xxx.xxx.xxx stimmt was im Netzwerk nicht. Dann kannst du dich auch über VMM auch auf die VM aufschalten und dort schauen, was nicht passt.

IP-DES-NAS>:8123

Das gilt nur für die Docker Container, nicht für die VMs.

Viel Erfolg.

 

[sedi]

Ok, danke. Ich bin im Prinzip genau so vorgegangen wie in dem von dir vorgeschlagenen Video. Allerdings bekomme ich beim starten der HaOS-VM keine IP von meiner Unifi Dream Machine. Da muss ich dann mal schauen, warum. Aber vielleicht kennt ja jemand das Problem hier.

 

[Ronny1978]

Oh UDM. Dann mal bitte in den Firewallregeln schauen bzw. bei DHCP. Alternativ kannst du ja mal deine Einstellungen der VM posten und die Einstellung der Netzwerkeinstellungen im VMM.

 

[sedi]

Firewallregeln war das erste was ich gekuckt habe, aber da das alles in einem VLAN läuft is da nix.

Was allerdings auffällt, ist dass in der Geräteübersicht der UDM der Homeassistant mit einer IP gelistet ist, auch die MAC-Adresse des Eintrags in der UDM passt zur MAC-Adresse in der VM. Die HaOS-VM lässt sich aber nicht anpingen.

Hier mal die Einstellungen meiner HaOS-VM oder bräuchtest Du da mehr?



In den Netzwerkeinstellungen des VMM stehen nur Default VM Network, welche beide LAN-Ports der 723+ zugewiesen bekommen haben.
Dann noch meine Versuche mittels virtueller Switche:
- virtSwitch LAN 1 mit zugewiesener entsprechender LAN-Karte
- virtSwitch LAN 2 mit zugewiesener entsprechender LAN-Karte
- virtSwitch LAN 1 und LAN 2 mit beiden LAN-Karten

 

[Ronny1978]

Was steht bei deinem Bild bei Netzwerk?

ist dass in der Geräteübersicht der UDM der Homeassistant mit einer IP gelistet ist, auch die MAC-Adresse des Eintrags in der UDM passt zur MAC-Adresse in der VM

VM ausschalten, in der UDM Client Gerät "vergessen". Und dann VM noch einmal hochfahren. Ich habe schon ewig kein VMM genutzt. Wenn die VM hochgefahren ist, kannst du dich dann über das Interface von VMM verbinden? Was zeigt der Bildschirm von HA an?

Hängen beide LAN Schnittstellen der DS im gleichen VLAN? Feste IP Zuweisung?

 

[sedi]

Was steht bei deinem Bild bei Netzwerk?

Hier steht verbunden - ja ich weiß, check's auch nicht ...

Hängen beide LAN Schnittstellen der DS im gleichen VLAN? Feste IP Zuweisung?

Ja, gleiches VLAN, DHCP-reservierte IPs.

Übrigens: Was hat es mit diesen virtuellen Switchen auf sich. Hat das hier irgendeine Relevanz oder kann ich der VM auch die "Default VM Network" zuteilen?

Deinen Rat "runterfahren, vergessen, neu starten", werde ich nachher ausprobieren - recht herzlichen Dank übrigens schon mal

 

[Ronny1978]

Wenn ich mich recht erinnere, kannst du über die virtuellen Switche steuern, welcher NIC vom HOST genommen werden soll. Versuch das mal so anzupassen, dass die LAN von der DS genommen wird, die auch das Gateway der UDM eingetragen hat. Ist aber nur ein Versuch. Ich habe seit Proxmox meine VMs dort laufen und nicht mehr auf der DS. Das war mir zu "lahm".

 

[ctrlaltdelete]

Zeig doch mal bitte diese Screenshots.

 

[sedi]

Hi @ctrlaltdelete
Hier die Bilder - Netzwerk der VM:

Netzwerk der VMM:

 

[sedi]

Ok, habe jetzt den Neustart nach angegebenem Muster durchgeführt. Und siehe da, Home Assistant ist online. Es hat aber ewig gedauert, bis beide Anzeigen, also die in der Synology und die in der UDM beide die Verbindungsdaten richtig angezeigt haben.

Ein Update der HaOS resultierte in einem Neustart der HaOS-VM, die dann gefühlt nicht mehr ganz so lang brauchte, um wieder online zu sein.

Ich habe zwar immer noch überhaupt keine Ahnung, warum das zu Beginn nicht geklappt hat, aber nun funktioniert es wie es scheint - hoffe ich.

 

[FricklerAtHome]

@ sedi

Wenn du über den VMM eine VM mit deinem internen Netzwerk fest verdrahten willst sind deine Netzwerkeinstellungen etwas "krude". Die zwei Netzwerkdosen der Syno können nur per Bond gekoppelt werden, dazu muss dein Switch "Link-Aggregation" unterstützen. Das NAS ist dann auf beiden Karten unter einer IP Adresse erreichbar. Hast du diese Funktion nicht wird es tricky mit der Zuweisung der richtigen Netzwerkkarte über die die VM angesprochen wird bzw. die VM reagiert. In deiner Konstellation aus den Bildern weist du der VM beide individuelle Adapter des HOST zu. --- Das kann immer wieder zu neuen Problemen führen. Und erklärt ggf. auch den langsamen Start (faktisch müsstes du auch in der VM zwei Netzwerkkarten verwalten).
ich habe auch 2 netzwerkkarten, aber auch Link-Aggregation in einem Bond 1. Da regeln die VM's das automatisch



im "default VM Network". Über alle meine VM (in der Vergangenheit -- jetzt Proxmox) auf dem NAS musste ich dieses Standartnetzwerk nie ändern oder durch weitere virtSwitche ergänzen (alle VM's sollten im gleichen netzwerk wie der Rest laufen).

 

[Ronny1978]

Hast du diese Funktion nicht wird es tricky mit der Zuweisung der richtigen Netzwerkkarte über die die VM angesprochen wird bzw. die VM reagiert

Hier würde ich mitgehen und daher einen vSwitch anlegen und der VM HAOS eine von den zwei NICs zuweisen. Die Empfehlung einen Bond zu erstellen, auch wenn es die UDM kann, gehe ich leider nicht mit - auch aus Erfahrung heraus. Ja, das NAS ist dann unter einer IP ansprechbar. Aber bringt es nur Vorteile? Ich bin der Meinung: Nein. Performanceseitig wirst du mit ein, zwei oder wenigen Nutzern überhaupt nichts merken. Und es warten anderen Fallstricke bei der Bonderstellung. Meine Empfehlung daher (durch die Verwendung von OpnSense und Unifi Controller als LXC):

- VLAN IoT aufmachen
- die NICs der DS vom Netz trennen -> 1x VLAN Hauptnetz / 1x VLAN IoT
- bei mehreren VMs kann dann zum Beispiel getrennt werden: Windows/Linux VM ins Hauptnetz // HAOS ins IoT Netz
- Steuerung durch Firewallregeln ist sowohl seitens der UDM als auch seitens DSM noch granularer möglich
- durch die Trennung der NICs in verschiedene VLANs ist eine Art "Flusssteuerung" möglich -> Wir greifen zum Beispiel auf Fotos und unsere produktiven Daten über NIC 1 (192.168.1.220) zu. Die Jellyfin Clients auf NIC 2 (192.168.10.220). Somit kommen Streaming-Client und Produktiv-Clients sich nicht in die Quere.

alle VM's sollten im gleichen netzwerk wie der Rest laufen

Warum? Wenn ein Unifi Netzwerk oder ein Netzwerk mit VLAN Möglichkeit dahinter steht, geht viel mehr . Ich muss halt "nur" die Firewallregeln entsprechend schreiben. Ich nutze auch Proxmox in Verbindung mit OpnSense, Unifi, Adguard und HAOS und bin mir sicher, dass ich noch viel, viel mehr verbessern könnte, was Einstellungen, Performance, Netztrennung und Sicherheit betrifft, aber mir fehlt die Zeit.

 

[FricklerAtHome]

@Ronny1978

du hat vollkommen recht und meine "homelab" Lösung sieht auch ganz anders als vereinfacht beschrieben.
Bei mir nutze ich das Bonding auf den Synos (3 Stück) weil ich tatsächlich aufwendige zeitgleiche Zugriffe durch mehrere Clients auf die Kisten habe. ----- Jetzt entwickel ich das Netz in Richtung 10G da spielt das dann keine Rolle mehr.
Ansonsten bin auch ich mit Opnsense, vlan fähigen HardwareSwitchen etc und aufgabensegmentiertem Netz unterwegs. Du hast auch hier vollkommen recht, es ist halt eine ständige Quelle für Verbesserungen (Frickelei halt)

 

[sedi]

Ok, die UDM kann eigentlich Bonds, aber es stimmt natürlich, dass der Performance-Aspekt hinter der Stabilität zurückstehen sollte. Und wenn ihr sagt, dass das zu Problemen neigt, dann werde ich das so machen. Aus Unwissenheit habe ich ja bereits einen virtSwitch für je ein LAN-Anschluss angelegt, die kann ich ja dann gleich verwenden.

Allerdings teile ich die Ansicht von @Ronny1978 nicht, die zwei NICs in unterschiedliche Netze zu hängen, das könnte nämlich die Firewall aushebeln. Wird die DS kompromittiert, dann kommt man in beide Netze. Das finde ich eher suboptimal.

Die Sache mit zwei Firewalls, die gleichzeitig laufen, hat bei mir hingegen zu Problemen geführt, die kamen sich immer mal in die Quere. Das habe ich sein lassen, nutze nur noch die der UDM. Außer ihr habt da Tipps, das würde dann allerdings in einen anderen Thread gehören.

Wie immer - sehr informativ und hilfsbereit das Forum - echt Top Leute!

 

[Ronny1978]

Wird die DS kompromittiert, dann kommt man in beide Netze

Das ist Einstellungssache. Ich kann ja nur von meiner Seite aus sprechen. Wichtig ist hier natürlich, dass es gar nicht aus zur Kompromittierung kommt. Hier sollte die DS so scharf abgesichert sein, inkl. ggf. Zugang von außen, dass es gar nicht erst zur Kompromittierung kommen kann.

- laaaaaange Passwörter
- 2FA für alle
- Zugänge und Berechtigung ordentlich setzen
- nicht als Admin auf Windows mit SMB arbeiten
- Sicherungskonzept -> HB und Snapshots

Wann dann jemand noch die UDM UND die Sperren vom DSM überwindet, hat er es verdient ins Netz zu kommen. Wenn er Hauptnetz kommt, finde ich das schlimmer, wie ins IoT Netz. Und was du dann per UDM begrenzt, obliegt bei dir.

das könnte nämlich die Firewall aushebeln

Verstehe ich nicht, wie das gehen soll, wenn die Regeln ordentlich gesetzt sind. Allerdings macht Unifi bei der Regeln generell alles auf und man muss schließen. OpnSense geht den umgekehrten Weg, Es ist grundsätzlich alles zu, außer ich erlaube es. Und kompromittieren erfolgt meist über Nutzer und nicht die DS. Die Nutzer vor dem Bildschirm "reißen" die Lücken und kommen somit ins Hauptnetz, nicht die DS - meine Meinung.

Die Sache mit zwei Firewalls, die gleichzeitig laufen, hat bei mir hingegen zu Problemen geführt

Die DS Firewall soll ja nur gewisse Applikationen, Zugriff oder Dienstzugriffe begrenzen, zusätzlich zu den Ordnerberechtigung. Ob du das brauchst oder nicht, obliegt natürlich auch bei dir.

Und wenn ihr sagt, dass das zu Problemen neigt, dann werde ich das so machen

Hat niemand. Vom Vorteil des Bonds, wirst du als "Normaluser" nicht viel oder nichts merken. Ich habe auch nur gesagt, dass es zu Schwierigkeiten kommen könnte, was das Einrichten betrifft. Ich spreche hier eher von der Reihenfolge, wo der Bond zuerst angelegt und ggf. zu erst aufgelöst wird. Ich habe mich mal vor 3 Jahren ausgesperrt, weil die Reihenfolge falsch war. Dann ging es nur mit einem kleinen Reset.