Hi,
ich habe einen SmartOS Hypervisor, auf dem unter anderem eine virtualisierte pfsense appliance läuft. Ich versuche momentan mein Modem zu tauschen. zZt nutze ich das Gerät des Providers (netcologne) mit pppoe. Das Gerät ist aber nicht IPv6- fähig, weswegen ich es gegen ein DSL-Modem (d-link DSL-321b) tauschen wollte. Leider bekomme ich die pppoe-Verbindung von netcologne auf VLAN 10. Das netcologne-Gerät hat offenbar die VLAN-tags gestrippt, weil ich vorher damit noch nie in Berührung gekommen bin. Das dlink-Modem kann VLAN- tags nicht verarbeiten und leitet es im bridge-Modus durch. Es gibt einen router-Modus, der mangels VLAN nicht funktioniert. Wenn ich auf meinem notebook (debian testing) ein VNIC auf VLAN 10 lege, kann ich über dieses VNIC eine pppoe Verbindung zu netcologne aufbauen. Auf SmartOS gelingt es mir beim besten Willen nicht, aus einer KVM- Maschine mit einem VNIC auf VLAN 10 eine pppoe Verbindung aufzubauen. Die Verbindungen reißen nicht-reproduzierbar in verschiedenen Phasen der pppoe-discovery-Verhandlung ab. Normaler traffic auf VLAN 10 (ICMP/ping, ssh) funktioniert. (Die VNICs sind ganz normale crossbow VNICs, weil der KVM ja in einer Zone liegt, vom host aus gesehen gibt es keinen Unterschied.) Ein Gespräch mit netcologne hat ergeben, daß sie dort keine MAC- Filterung oder ähnliches machen, auch mit "erfundenen" MACs wie von VNICS sollte es denen zufolge gehen. Nun habe ich auf der SmartOS mailing Liste erfahren, daß die dort mit einem Project Bardiche (http://dtrace.org/blogs/rm/2014/03/20/project-b ardiche-introduction/) in crossbow ziemlich viel durchgewürfelt haben und (so klang es für mich stellenweise) auch keinen vollständigen Überblick konzentriert auf eine Person, die man anmailen könnte, mehr haben. Ich habe jetzt ein paar Fragen, die ich mit Euch gerne diskutieren würde: 1) Mit scheint es fast, als würden (virtuelle) Netzwerke immer komplizierter bis hin zu dem Punkt, daß man nicht mehr feststellen kann, wo eigentlich der Fehler ist. VLAN auf SmartOS sehe ich mittlerweile recht kritisch und auf anderen Systemen werde ich auch mißtrauisch. Ist das gerechtfertigt oder sollte ich weniger mißtrauisch sein? 2) Virtualisiert Ihr firewalls überhaupt? (Ich mache es gerne, weil mir zfs rollback schon mehrfach den Hintern gerettet hat.) 3) Wie bindet Ihr virtualisierte firewalls an? Sollte ich einfach ne VLAN-fähige Fritzbox kaufen und die als Modem mit pppoe oder sogar als router nutzen? (Mir ist es ja zutiefst suspekt, einen router am Internet zu haben, wo ich den patch-Plan nicht kenne ...) Oder wäre ein managed switch besser, wo ich das VLAN-tag von den ethernet frames runter-rupfe und das dann verarbeiten lasse, wie es die pfsense schon mit den frames von dem netcolgne-router/modem macht? 4) Kennt Ihr einen guten IT-Psychiater, der mir im Kölner Bereich helfen könnte? Ich verliere hier noch den Verstand und Meta-x doctor hilft auch nicht weiter. Anyhow, Danke für's Lesen, ggf Mitfühlen und natürlich jeden input, cheers, -- Christopher USt-FA Brühl, USt.-ID: DE 29 31 69 829
