Ir al contenido
fabmo.eu

Configuración de VLAN con OPNsense y Proxmox

·4 mins
Redes Virtualización Infraestructura OPNsense Proxmox VLAN Firewall virtualización Redes Seguridad
Jordi Fàbregas
Autor
Jordi Fàbregas
Administrador de Sistemas y Redes. Entusiasta del software libre.
Tabla de contenido

Recientemente me decidí a montar un usuario enjaulado de Proxmox para que un amigo, profesor de DAW y DAM pudiese trastear el funcionamiento del hipervisor con el fin de estudiar su implementación en los ciclos formativos de su instituto.

En este artículo explicaré cómo configurar una VLAN para aislar el tráfico de red entre usuarios en un entorno de Proxmox, usando OPNsense como firewall/router.

Qué es una VLAN y para que sirve?
#

Una VLAN (Virtual Local Area Network) es una red virtual que permite segmentar una red física en varias redes lógicas independientes. Todas estas redes virtuales suelen compartir la misma infraestructura física, pero se comportan entre si como si estuvieran aisladas en redes distintas.

Utiliza el estándar IEEE 802.1Q el cual añade a cada trama de red una etiqueta (tag) que identifica a cual de las redes virtuales va dirigido esa trama.

De este modo, cuando un switch situado en la capa 2 del modelo OSI recibe una trama con una etiqueta de VLAN, sabe a cuál de los puertos debe reenviarla en función de como esté configurado.

En este ejemplo usaremos un solo conector ethernet conectado a nuestro nodo de Proxmox VE. OPNsense se encargará de configurar y etiquetar las tramas en función de la VLAN a la que pertenezcan y Proxmox solo mandará a cada máquina virtual las tramas de la VLAN que se le hayan asignado, manteniendo cada red virtual aislada de las demás, de no ser que se configuren las reglas pertinentes en el firewall.

Creación y configuración de la VLAN en OPNSense
#

Este artículo ha sido desarrollado utilizando OPNsense 25.1.10-amd64

Paso 1: Crear la VLAN
#

Lo primero que deberemos hacer, será crear el dispositivo virtual. Para ello accederemos al menú en interfaces > Devices > VLAN y haremos clic en Add.

Completaremos los siguientes campos:

  1. Parent Interface: El nombre de la interfaz física (ej: vtnet3)

  2. VLAN TAG: Número único que identificará la VLAN (ej: 70)

  3. Description: Identificador descriptivo (ej. “Isolated Servers 70”)

img

Paso 2: Asignar IP y activar DHCP
#

Perfecto, en este momento tenemos ya creada la red local virtual. Ahora deberemos activarla desde el apartado interfaces > Assignments . Le haremos click en “Add” y luego en “Save”.

Finalmente deberemos ir a Interfaces > [nombre vlan]. Aquí nos encontraremos muchas opciones para configurar la VLAN. Generalmente nos interesará habilitar la interfaz y asignarle una IP.

Finalmente, si lo deseamos, podemos configurar un servidor DHCP que asigne las direcciones de la red que hemos configurado.

Paso 3: Reglas de Firewall
#

Alternativamente, si queremos que la red virtual tenga acceso a internet a parte de a ella misma, deberemos configurar una regla del firewall para permitir el tráfico dirigido hacia el gateway.

En este ejemplo sería tal que así

  1. Firewall > Rules > vlan70

    • Action: Pass

    • Direction: in

    • Source: vlan70 net

    • Destination: any

    • Gateway: (El gateway de tu red)

También deberemos añadir las reglas necesarias para evitar la comunicación con las VLANs o los segmentos de red que no queramos que sean accesibles. Como por ejemplo:

  1. Firewall > Rules > vlan70

  • Action: Block

  • Direction: in

  • Source: vlan70 net

  • Destination: 10.0.80.0/24 (vlan80 net)

Es importante recordar que las reglas se ejecutan por orden, por lo que en este ejemplo, primero deberíamos de bloquear las conexiones con destino a la vlan80 y luego permitir el acceso al resto de redes.

A modo de ejemplo, podríamos usar este orden de reglas:

Orden de reglas en vlan70:
1. Block → Destino: 10.0.80.0/24 (aislamiento)
2. Block → Destino: 192.168.1.0/24 (aislamiento)  
3. Pass → Destino: any (Internet)

Aplicación de la VLAN en Proxmox Virtual Environment
#

Para habilitar las VLAN en un nodo de Proxmox disponemos de varios métodos. Por ahora usaremos “VLAN aware”, que nos permite pasar varias VLAN por una interfaz y que al configurar la VM podamos introducir el vlan tag deseado. Para ello tendremos que seleccionar el nodo de PVE e ir a System - Network una vez aquí, seleccionaremos el bridge que nos interese y habilitaremos la opción “VLAN aware”

Al activar ‘VLAN Aware’, cualquier usuario con permisos para crear VM’s puede asignar tags arbitrarios.

Luego, para crear una máquina dentro de la VLAN que hemos configurado, nos dirigiremos al apartado Network e introduciremos la VLAN tag que hemos introducido anteriormente. Si queremos aplicarlo a una máquina ya existente, lo configuraremos desde Nodo - VM - Hardware - Network Device

En el próximo artículo detallaré cómo enjaular usuarios en Proxmox: asignación automática de VLANs, restricción de pools exclusivos, y control de discos para evitar fugas de recursos.