Die Netzwerkkonfiguration ist einer der Bereiche, an dem viele Proxmox-Einsteiger scheitern — oder ihn einfach auf der Standard-Einstellung belassen. Eine einzelne Bridge ohne Segmentierung funktioniert, ist aber weder sicher noch skalierbar.
In dieser Anleitung richten wir ein sauberes Netzwerk-Setup ein: mit separaten Bridges, optionalen VLANs und der integrierten Proxmox-Firewall.
Die Grundlagen: Was ist eine Bridge?
Eine Bridge in Proxmox verbindet virtuelle Maschinen und Container mit dem physischen Netzwerk. Standardmäßig wird bei der Installation vmbr0 erstellt — eine Bridge, die an die primäre Netzwerkkarte gebunden ist.
# Aktuelle Netzwerkkonfiguration anzeigen
cat /etc/network/interfaces
Eine typische Standard-Konfiguration sieht so aus:
auto vmbr0
iface vmbr0 inet static
address 192.168.1.100/24
gateway 192.168.1.1
bridge-ports eno1
bridge-stp off
bridge-fd 0
Das bedeutet: Alle VMs und Container, die vmbr0 nutzen, hängen im selben Netzwerk wie der Proxmox-Host.
Mehrere Bridges für Netzwerk-Segmentierung
Für eine saubere Trennung empfehlen sich separate Bridges — zum Beispiel:
| Bridge | Zweck | Subnetz |
|---|---|---|
vmbr0 | Management (Proxmox Web-UI) | 192.168.1.0/24 |
vmbr1 | Produktiv-VMs und Container | 10.0.10.0/24 |
vmbr2 | DMZ (öffentlich erreichbare Services) | 10.0.20.0/24 |
Bridge ohne physische Anbindung (internes Netzwerk)
Eine Bridge ohne bridge-ports erstellt ein rein internes Netzwerk — VMs können untereinander kommunizieren, haben aber keinen direkten Zugang zum physischen Netzwerk:
auto vmbr1
iface vmbr1 inet static
address 10.0.10.1/24
bridge-ports none
bridge-stp off
bridge-fd 0
Damit VMs aus diesem Netz ins Internet können, brauchen Sie NAT oder einen Router (z.B. OPNsense als VM).
# NAT aktivieren auf dem Proxmox-Host (temporär)
iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -o vmbr0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
Für eine permanente Lösung tragen Sie die Regeln in /etc/network/interfaces ein:
auto vmbr1
iface vmbr1 inet static
address 10.0.10.1/24
bridge-ports none
bridge-stp off
bridge-fd 0
post-up iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -o vmbr0 -j MASQUERADE
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
post-down iptables -t nat -D POSTROUTING -s 10.0.10.0/24 -o vmbr0 -j MASQUERADE
VLANs: Segmentierung über eine Leitung
Wenn Sie nur eine physische Netzwerkkarte haben, können VLANs die Trennung übernehmen. Voraussetzung: Ihr Switch muss VLAN-fähig sein (Managed Switch).
VLAN-aware Bridge
auto vmbr0
iface vmbr0 inet static
address 192.168.1.100/24
gateway 192.168.1.1
bridge-ports eno1
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
Mit bridge-vlan-aware yes kann jede VM einem VLAN zugewiesen werden — direkt in der VM-Konfiguration:
# VM in VLAN 10 setzen
qm set 100 --net0 virtio,bridge=vmbr0,tag=10
# Container in VLAN 20
pct set 200 --net0 name=eth0,bridge=vmbr0,tag=20
Die Proxmox-Firewall
Proxmox bringt eine integrierte Firewall mit, die auf drei Ebenen konfiguriert werden kann:
- Datacenter-Level — Regeln für den gesamten Cluster
- Host-Level — Regeln für den Proxmox-Host selbst
- VM/CT-Level — Regeln pro virtueller Maschine oder Container
Firewall aktivieren
Die Firewall ist standardmäßig deaktiviert. Aktivieren Sie sie schrittweise:
# 1. Datacenter-Firewall aktivieren
# Weboberfläche: Datacenter → Firewall → Options → Enable: Yes
# 2. Sicherstellen, dass SSH und Web-UI erreichbar bleiben
# Datacenter → Firewall → Add Rule:
# Direction: IN, Action: ACCEPT, Protocol: TCP, Dest. Port: 22,8006
Wichtig: Aktivieren Sie die Firewall erst, nachdem Sie Regeln für SSH (Port 22) und die Web-UI (Port 8006) erstellt haben. Sonst sperren Sie sich selbst aus.
Beispiel: Webserver absichern
Ein Container mit einem Webserver soll nur HTTP/HTTPS von außen annehmen:
# Container-Firewall aktivieren
# CT 200 → Firewall → Options → Enable: Yes
# Eingehende Regeln
# ACCEPT TCP 80 (HTTP)
# ACCEPT TCP 443 (HTTPS)
# DROP (alles andere, ist Standard bei aktivierter Firewall)
IP-Sets für Gruppen
IP-Sets erlauben es, Gruppen von IP-Adressen zu definieren und in Regeln zu verwenden:
# Datacenter → Firewall → IPSet → Create
# Name: trusted-admins
# IPs: 192.168.1.10, 192.168.1.11
# Regel: SSH nur von trusted-admins
# Direction: IN, Action: ACCEPT, Protocol: TCP, Port: 22
# Source: +trusted-admins
Best Practices
Management-Netzwerk trennen: Proxmox Web-UI und SSH sollten nicht im selben Netz wie die VMs erreichbar sein.
Default Deny: Die Proxmox-Firewall blockiert standardmäßig allen eingehenden Traffic, wenn aktiviert. Das ist gut — öffnen Sie nur was nötig ist.
VLAN für verschiedene Sicherheitszonen: Webserver in VLAN 20 (DMZ), Datenbanken in VLAN 30 (intern), Management in VLAN 1.
Dokumentation: Halten Sie Ihre Netzwerk-Topologie aktuell. Ein Diagramm spart im Fehlerfall Stunden.
Fazit
Ein durchdachtes Netzwerk-Setup in Proxmox ist keine Raketenwissenschaft — aber es erfordert Planung. Separate Bridges oder VLANs für verschiedene Zonen, die integrierte Firewall für Zugriffskontrolle und eine saubere Dokumentation sind die drei Säulen.
Wenn Sie Unterstützung bei der Planung oder Umsetzung Ihrer Netzwerkinfrastruktur benötigen, sind wir gerne für Sie da.