Proxmox intermediate

Redes en Proxmox: VLANs, Bridges y Mejores Prácticas

Una guía de referencia práctica para configurar redes en Proxmox VE — bridges de Linux, bridges con soporte de VLAN, bonds y patrones comunes para homelab y producción.

La red de Proxmox VE está construida sobre puentes Linux. Entender los puentes y las VLAN es crítico antes de implementar VMs y contenedores — una configuración incorrecta de puente puede aislar las VMs de tu red o exponerlas involuntariamente.

Esta referencia cubre los modelos de red que realmente usarás, con ejemplos de /etc/network/interfaces para cada uno.

El Puente Predeterminado (vmbr0)

Una instalación nueva de Proxmox crea un puente (vmbr0) conectado a tu NIC física. Puentea las VMs directamente a tu LAN:

NIC física (enp2s0) → vmbr0 → VMs (las direcciones MAC aparecen en la LAN)

# /etc/network/interfaces — predeterminado
auto lo
iface lo inet loopback

auto enp2s0
iface enp2s0 inet manual

auto vmbr0
iface vmbr0 inet static
    address 192.168.1.10/24
    gateway 192.168.1.1
    bridge-ports enp2s0
    bridge-stp off
    bridge-fd 0

Cuándo usarlo: Subred única, sin VLANs. Las VMs obtienen IPs del DHCP de tu LAN o asignaciones estáticas.

Puente con Conocimiento de VLAN

Habilita el filtrado de VLAN en un puente para que etiquete y desetiquete el tráfico. Un solo puente puede servir múltiples VLANs sin crear interfaces de puente separadas por VLAN.

auto vmbr0
iface vmbr0 inet static
    address 192.168.1.10/24
    gateway 192.168.1.1
    bridge-ports enp2s0
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes
    bridge-vids 2-4094

Luego, en cada VM, configura la Etiqueta VLAN en la interfaz web de Proxmox (en VM → Hardware → Dispositivo de Red). El puente maneja el etiquetado.

IP de Gestión por VLAN

Proxmox puede tener una IP en cada VLAN para gestión:

auto vmbr0.10
iface vmbr0.10 inet static
    address 10.0.10.1/24
# Interfaz VLAN 10 de gestión

Esto crea una interfaz VLAN en el propio host para acceso administrativo a esa VLAN.

Puente Dedicado por VLAN (Sin Conocimiento de VLAN)

Algunos entornos prefieren puentes separados por VLAN. Esto es explícito y fácil de leer, pero crea más interfaces:

# VLAN de Gestión (10)
auto vmbr10
iface vmbr10 inet static
    address 10.0.10.1/24
    bridge-ports enp2s0.10
    bridge-stp off
    bridge-fd 0

# VLAN DMZ (20)
auto vmbr20
iface vmbr20 inet static
    address 10.0.20.1/24
    bridge-ports enp2s0.20
    bridge-stp off
    bridge-fd 0

# VLAN IoT (30)
auto vmbr30
iface vmbr30 inet static
    address 10.0.30.1/24
    bridge-ports enp2s0.30
    bridge-stp off
    bridge-fd 0

Cuándo usarlo: Entornos mixtos donde algunas VMs no deberían compartir un puente. Más explícito — pero más configuración que mantener.

Puente Solo Interno (Sin NIC Física)

Para comunicación entre contenedores sin tocar la red física:

auto vmbr99
iface vmbr99 inet static
    address 172.16.0.1/24
    bridge-ports none
    bridge-stp off
    bridge-fd 0

Las VMs en este puente pueden comunicarse entre sí y con el host, pero no con la LAN. Útil para bases de datos backend, Redis o aislamiento de microservicios.

Bonding (LACP / Round Robin)

Si tu servidor tiene múltiples NICs, el bonding proporciona redundancia y mayor rendimiento:

auto bond0
iface bond0 inet manual
    bond-slaves enp2s0 enp3s0
    bond-mode 802.3ad        # LACP (requiere soporte del switch)
    bond-miimon 100
    bond-downdelay 200
    bond-updelay 200
    bond-xmit-hash-policy layer2+3

auto vmbr0
iface vmbr0 inet static
    address 192.168.1.10/24
    gateway 192.168.1.1
    bridge-ports bond0
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes
    bridge-vids 2-4094

Modos de Bond

Modo	Nombre	Descripción
`0`	balance-rr	Round robin en todos los esclavos
`1`	active-backup	Un esclavo activo; failover si falla
`4`	802.3ad	LACP — requiere soporte del switch; mejor para rendimiento
`5`	balance-tlb	Balanceo de carga de salida; no necesita soporte del switch
`6`	balance-alb	Balanceo de carga de recepción + transmisión

802.3ad (LACP) es la opción preferida para switches administrados. Para switches no administrados, active-backup (modo 1) es el más seguro.

Aplicar Cambios

Después de editar /etc/network/interfaces:

ifreload -a    # Aplica cambios sin reinicio (requiere ifupdown2)

O la forma tradicional:

ifreload vmbr0

Espera a que la conectividad regrese antes de cerrar tu sesión SSH. Proxmox incluye ifupdown2 por defecto.

Patrones Comunes

Homelab con Segmentación VLAN

                ┌─────────┐
                │ Router  │
                │ (VLANs) │
                └────┬────┘
                     │ Trunk (todas las VLANs)
                ┌────┴────┐
                │ Proxmox │ vmbr0 (con conocimiento de VLAN)
                │  Host   │
                └─────────┘
        ┌─────────┬─────────┬─────────┐
     VLAN 10   VLAN 20   VLAN 30   VLAN 99
   Gestión      DMZ       IoT      Interna

auto vmbr0
iface vmbr0 inet static
    address 10.0.10.2/24
    gateway 10.0.10.1
    bridge-ports enp2s0
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes
    bridge-vids 10,20,30,99

Proxmox como Router (VM OPNsense/pfSense)

# Puente WAN — pasa a OPNsense
auto vmbr1
iface vmbr1 inet manual
    bridge-ports enp3s0
    bridge-stp off
    bridge-fd 0

# Puente LAN — gestionado por OPNsense
auto vmbr2
iface vmbr2 inet manual
    bridge-ports none
    bridge-stp off
    bridge-fd 0

La VM de OPNsense recibe ambos puentes — vmbr1 como WAN, vmbr2 como LAN. Otras VMs se conectan a vmbr2 y se enrutan a través de OPNsense.

Entorno de Laboratorio Aislado

auto vmbr100
iface vmbr100 inet static
    address 10.99.99.1/24
    bridge-ports none
    bridge-stp off
    bridge-fd 0

# Habilitar NAT para que las VMs del laboratorio puedan acceder a internet a través del host
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
post-up iptables -t nat -A POSTROUTING -s 10.99.99.0/24 -o vmbr0 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s 10.99.99.0/24 -o vmbr0 -j MASQUERADE

Solución de Problemas

# Ver miembros del puente
bridge vlan show
bridge link show

# Verificar configuración VLAN por puente
cat /proc/net/vlan/config

# Verificar que el firewall no esté bloqueando (el firewall de Proxmox opera a nivel de puente)
iptables -L -n -v | grep vmbr

# Verificar configuración VLAN del puerto del switch (si se usan switches físicos)
# Asegúrate de que el puerto del switch sea un trunk, no un puerto de acceso

Problemas comunes:

El puerto del switch está en modo acceso no trunk → las etiquetas VLAN se eliminan
bridge-vids no incluye el ID de VLAN que estás usando
Olvidar configurar la VLAN en el dispositivo de red de la VM en la interfaz de Proxmox
El firewall de Proxmox bloqueando tráfico entre VLANs (verifica Datacenter → Firewall)

Resumen

Escenario	Tipo de Puente
LAN única, sin VLANs	`vmbr0` estándar
Múltiples VLANs en una NIC	`vmbr0` con conocimiento de VLAN
Configuración VLAN compleja, aislamiento por VLAN	Puentes dedicados (`vmbr10`, `vmbr20`…)
Solo comunicación interna	`bridge-ports none`
Alta disponibilidad	Bond + puente con conocimiento de VLAN
Proxmox como router (VM OPNsense)	Puentes WAN/LAN separados
Laboratorio aislado	Puente interno + NAT

Aplica con ifreload -a, prueba la conectividad antes de cerrar sesión, y siempre mantén una ruta de acceso fuera de banda (consola, IPMI) al experimentar con cambios de red.

¿Necesitas ayuda diseñando tu red Proxmox? Contáctanos — te ayudaremos a planificar un diseño seguro y escalable.