Netzwerkkonfiguration in Proxmox: Grundlagen und Best Practices

Eine solide Netzwerkkonfiguration ist das Rückgrat jeder Virtualisierungsumgebung. Ob zu Hause oder im Unternehmen – erst die richtige Einrichtung der Netzwerkschnittstellen ermöglicht es, virtuelle Maschinen sicher und performant miteinander und mit der Außenwelt kommunizieren zu lassen.

Proxmox bietet hier vielfältige Möglichkeiten, von einfachen Bridge-Konfigurationen bis hin zu komplexen VLAN-Setups und Software-defined Networking. Dieser Artikel erklärt die Grundlagen und zeigt, worauf bei der Einrichtung zu achten ist.

Das Herzstück: Die Linux Bridge

Die Grundlage der meisten Proxmox-Netzwerke ist die Linux Bridge. Man kann sie sich wie einen virtuellen Switch vorstellen, der innerhalb des Proxmox-Hosts arbeitet. Alle virtuellen Maschinen und Container werden an diese Bridge angeschlossen – und über sie mit der physikalischen Netzwerkkarte und damit dem restlichen Netzwerk verbunden.

Die Standardkonfiguration
Bei der Installation von Proxmox wird in der Regel automatisch eine Bridge namens vmbr0 angelegt. Diese wird mit der ersten physikalischen Netzwerkkarte (z.B. enp0s3 oder eth0) verbunden. Alle VMs, die später an vmbr0 angeschlossen werden, verhalten sich so, als wären sie direkt im selben Netzwerk wie der Proxmox-Host.

Diese Konfiguration ist für die meisten Einstiegsszenarien völlig ausreichend. Wer mehrere Netzwerkkarten oder komplexere Anforderungen hat, kann weitere Bridges anlegen.

Grundlegende Netzwerkszenarien

1. Einfaches Setup mit einer Bridge
Der Proxmox-Host und alle VMs teilen sich ein gemeinsames Netzwerk. Der Host hat eine IP-Adresse, die VMs bekommen eigene IP-Adressen aus demselben Adressbereich. Das ist einfach und funktioniert sofort – ideal für erste Gehversuche oder kleine Umgebungen.

2. Mehrere Bridges für getrennte Netzwerke
Wer verschiedene Netzwerkbereiche trennen möchte (z.B. ein internes Verwaltungsnetz und ein öffentliches Kundennetz), kann mehrere Bridges anlegen. Jede Bridge wird mit einer eigenen physikalischen Netzwerkkarte verbunden. Die VMs wählen dann je nach Aufgabe die passende Bridge.

3. VLANs für flexible Netzwerktrennung
VLANs (Virtual Local Area Networks) erlauben es, mit nur einer physikalischen Netzwerkkarte mehrere logisch getrennte Netzwerke zu betreiben. Der Netzwerkswitch muss VLANs natürlich unterstützen und entsprechend konfiguriert sein. In Proxmox kann man einer Bridge mehrere VLANs zuweisen und festlegen, welche VM in welchem VLAN landen soll.

Die Konfigurationsdateien verstehen

Die Netzwerkkonfiguration von Proxmox wird in der Datei /etc/network/interfaces gespeichert. Wer sich im Webinterface durchklickt, arbeitet im Hintergrund genau mit dieser Datei. Ein Blick lohnt sich, um das Zusammenspiel zu verstehen:

text

auto lo
iface lo inet loopback

auto enp0s3
iface enp0s3 inet manual

auto vmbr0
iface vmbr0 inet static
    address 192.168.1.10/24
    gateway 192.168.1.1
    bridge-ports enp0s3
    bridge-stp off
    bridge-fd 0

Diese klassische Konfiguration bewirkt:

• Die physikalische Karte enp0s3 bekommt keine eigene IP-Adresse (manual)

• Die Bridge vmbr0 erhält die IP-Adresse 192.168.1.10 und das Standard-Gateway

• Die Bridge ist mit der physikalischen Karte verbunden (bridge-ports)

• STP (Spanning Tree Protocol) ist deaktiviert, was in kleinen Umgebungen in Ordnung ist

Fortgeschrittene Netzwerkkonfigurationen

VLAN-Tagging auf der Bridge
Um VLANs zu nutzen, wird die Bridge-Konfiguration erweitert. Die Bridge selbst bleibt ohne VLAN, die VMs bekommen beim Anschluss an die Bridge einen VLAN-Tag zugewiesen. Im Webinterface kann man bei jeder VM-Netzwerkkarte einfach die VLAN-Nummer eintragen.

Für die Bridge-Konfiguration ist nur eine kleine Änderung nötig:

text

auto vmbr0
iface vmbr0 inet manual
    bridge-ports enp0s3
    bridge-vlan-aware yes
    bridge-vids 2-4094

Mit bridge-vlan-aware yes wird die Bridge für VLANs geöffnet. bridge-vids legt fest, welche VLANs erlaubt sind.

Mehrere IP-Adressen auf einer Bridge
Manchmal soll der Proxmox-Host selbst in mehreren Netzwerken erreichbar sein. Auch das ist möglich:

text

auto vmbr0
iface vmbr0 inet static
    address 192.168.1.10/24
    gateway 192.168.1.1

auto vmbr0:0
iface vmbr0:0 inet static
    address 10.10.10.10/24

So genannte "Alias-Schnittstellen" erlauben mehrere IP-Adressen auf derselben Bridge.

Netzwerk-Performance optimieren

VirtIO-Treiber verwenden
Für Linux-basierte VMs und neuere Windows-Versionen sollten die VirtIO-Treiber für die Netzwerkkarte verwendet werden. Sie bieten die beste Performance, da sie speziell für virtuelle Umgebungen entwickelt wurden.

Mehrere Netzwerkkarten nutzen
Bei hohem Netzwerkaufkommen können mehrere physikalische Netzwerkkarten zu einem Bond zusammengefasst werden. Das erhöht entweder die Bandbreite (Link Aggregation) oder sorgt für Redundanz (Active-Backup). Proxmox unterstützt verschiedene Bonding-Modi direkt im Webinterface.

Große Rahmen (Jumbo Frames)
Wenn die gesamte Netzwerkinfrastruktur (Switches, Kabel, andere Server) Jumbo Frames unterstützt, kann man mit Rahmen von 9000 Byte statt der üblichen 1500 Byte arbeiten. Das reduziert den Overhead und kann die Performance verbessern. Erfordert aber durchgängige Unterstützung aller beteiligten Geräte.

Sicherheitsaspekte bei der Netzwerkkonfiguration

Verwaltungsnetz trennen
In professionellen Umgebungen ist es empfehlenswert, das Management-Netzwerk (über das Proxmox selbst erreicht wird) vom Datennetzwerk (über das die VMs kommunizieren) zu trennen. Dazu wird eine eigene Bridge mit einer separaten physikalischen Netzwerkkarte für die Verwaltung eingerichtet.

Firewall nicht vergessen
Proxmox bringt eine integrierte Firewall mit, die auf verschiedenen Ebenen arbeiten kann:

• Datacenter-Ebene: Für alle Knoten des Clusters

• Knoten-Ebene: Für einen bestimmten Proxmox-Host

• VM/Container-Ebene: Für einzelne virtuelle Maschinen

Die Firewall lässt sich komplett über das Webinterface konfigurieren und bietet Schutz vor unerwünschten Zugriffen.

Typische Fehler und wie man sie vermeidet

Bridge ohne physikalische Anbindung
Eine Bridge, die nicht mit einer physikalischen Netzwerkkarte verbunden ist, ist ein internes Netzwerk. Das kann gewollt sein (z.B. für reine Verwaltungsnetze zwischen VMs). Wer aber eine Verbindung nach außen erwartet, muss darauf achten, dass die Bridge einen "bridge-port" hat.

Gateway-Konflikte
Nur eine Schnittstelle darf ein Default-Gateway haben. Wer mehreren Bridges ein Gateway zuweist, verwirrt das Routing. Das Standard-Gateway gehört immer nur in eine Bridge.

Vergessene VLAN-Konfiguration auf dem Switch
VLANs müssen nicht nur in Proxmox, sondern auch auf dem angeschlossenen Switch konfiguriert sein. Ein häufiger Fehler: In Proxmox ist alles richtig eingestellt, aber der Switch lässt die VLAN-Pakete nicht durch.

Software-defined Networking (SDN) in Proxmox

Seit Version 7.0 unterstützt Proxmox auch Software-defined Networking. Damit lassen sich komplexe virtuelle Netzwerke aufbauen, die unabhängig von der darunterliegenden physikalischen Infrastruktur sind. VXLAN und VLAN werden unterstützt, ebenso wie die einfache Verwaltung von IP-Adressräumen.

Für fortgeschrittene Anwender eröffnet SDN völlig neue Möglichkeiten, besonders in Cluster-Umgebungen mit vielen getrennten Netzwerkbereichen.

Fazit: Das Netzwerk macht den Unterschied

Die richtige Netzwerkkonfiguration ist entscheidend für Performance, Sicherheit und Flexibilität jeder Proxmox-Umgebung. Die gute Nachricht: Für den Einstieg reicht die einfache Standard-Bridge völlig aus. Wer wächst, kann Schritt für Schritt komplexere Konfigurationen hinzufügen – von VLANs über mehrere Bridges bis hin zu SDN.

Proxmox bietet die Werkzeuge für jedes Szenario. Wichtig ist, die eigenen Anforderungen zu kennen und die Konfiguration entsprechend zu wählen. Mit dem grundlegenden Verständnis der Linux Bridge und der wichtigsten Konzepte ist man für die meisten Herausforderungen gut gerüstet.

Sie benötigen Unterstützung bei der Netzwerkkonfiguration Ihrer Proxmox-Umgebung? Wir helfen Ihnen gerne – von der einfachen Einrichtung bis zum komplexen VLAN-Setup. Sprechen Sie uns an.