Hallo in die Runde,
ich betreibe seit einigen Wochen einen Proxmox-Server, der hinter einer Fritz!Box und meinem Switch im Heimnetz hängt. Der Proxmox-Server hat aus im Netz der FritzBox eine statische IP-Adresse. Auf dem Proxmox-Server laufen bereits Linux LXC-Container, die ebenfalls eine IP aus dem Netz der FB haben.
In einer VM habe ich Pfsene und in einer anderen VM Opnsene testweise installiert (beide laufen nie gleichzeitig). Unten habe ich grob dargestellt, wie das Netz aufgebaut ist. An der Switch hängen PC etc. (nur als LAN dargestellt).
In der PVE habe ich die Bridge vmbr0 mit dem Gateway 192.168.178.1 erstellt. Diese Bridge nutzen die "normalen" LXC-Container. Die Pfsense nutzt diese Bridge als WAN Schnittstelle.
Für die LAN Schnittstelle der Firewall habe ich eine Bridge vmbr1 ohne IP-Adresse und ohne Gateway erstellt. Die WAN-Schnittstelle der Firewall hat die statische IP 192.168.179.16 (Opnsene / .14 Pfsense) aus dem Netz der Fritte. Die LAN-Schnittstelle hat die IP 162.168.1.1 mit vmbr1 als Bridge
Zum Testen habe ich 2 LXC-Container angelegt, die vmbr1 nutzen und von Opnsene / Pfsense per DHCP die IP-Adresse zugewiesen bekommen (192.168.1.x)
Ich habe das System jetzt soweit einrichten können, dass die Opnsense in das Home-Netz und ins Internet kommt. Ping aus 1.1.1.1 / 8..8.8.8 sowie die Auflösung der Domains klappt. Ebenso kommt die Opnsense per Ping auf die Adressen 192.168.1.x sowie zur Zeit noch ins Home-Netz (192.168.178.x). Hier muss ich später sehen, wie ich das einschränke.
Was ich noch nicht hinbekommen habe, ist der Zugriff aus dem IP-Bereich der Fritte (192.168.178.XXX) auf das Subnet von Opnsense / Pfsense (192.168.1.x)
Das fehlt mir noch ein wenig der richtige Weg. Ich hoffen, dass ist soweit verständlich dargestellt; wenn wohl auch fachlich nicht immer mit den richtigen Wortwahl.
Ziel der Aktion ist es, dass ich die im Subnet der Firewall befindlichen GMs / LXC-Container besonders absichern kann.
Oder ist der Aufwand zu groß und mit der Firewall von Proxmox ausreichend?
Vielen Dank schon vorab und viele Grüße
Nordlicht
ich betreibe seit einigen Wochen einen Proxmox-Server, der hinter einer Fritz!Box und meinem Switch im Heimnetz hängt. Der Proxmox-Server hat aus im Netz der FritzBox eine statische IP-Adresse. Auf dem Proxmox-Server laufen bereits Linux LXC-Container, die ebenfalls eine IP aus dem Netz der FB haben.
In einer VM habe ich Pfsene und in einer anderen VM Opnsene testweise installiert (beide laufen nie gleichzeitig). Unten habe ich grob dargestellt, wie das Netz aufgebaut ist. An der Switch hängen PC etc. (nur als LAN dargestellt).
In der PVE habe ich die Bridge vmbr0 mit dem Gateway 192.168.178.1 erstellt. Diese Bridge nutzen die "normalen" LXC-Container. Die Pfsense nutzt diese Bridge als WAN Schnittstelle.
Für die LAN Schnittstelle der Firewall habe ich eine Bridge vmbr1 ohne IP-Adresse und ohne Gateway erstellt. Die WAN-Schnittstelle der Firewall hat die statische IP 192.168.179.16 (Opnsene / .14 Pfsense) aus dem Netz der Fritte. Die LAN-Schnittstelle hat die IP 162.168.1.1 mit vmbr1 als Bridge
Zum Testen habe ich 2 LXC-Container angelegt, die vmbr1 nutzen und von Opnsene / Pfsense per DHCP die IP-Adresse zugewiesen bekommen (192.168.1.x)
Ich habe das System jetzt soweit einrichten können, dass die Opnsense in das Home-Netz und ins Internet kommt. Ping aus 1.1.1.1 / 8..8.8.8 sowie die Auflösung der Domains klappt. Ebenso kommt die Opnsense per Ping auf die Adressen 192.168.1.x sowie zur Zeit noch ins Home-Netz (192.168.178.x). Hier muss ich später sehen, wie ich das einschränke.
Was ich noch nicht hinbekommen habe, ist der Zugriff aus dem IP-Bereich der Fritte (192.168.178.XXX) auf das Subnet von Opnsense / Pfsense (192.168.1.x)
Das fehlt mir noch ein wenig der richtige Weg. Ich hoffen, dass ist soweit verständlich dargestellt; wenn wohl auch fachlich nicht immer mit den richtigen Wortwahl.
Ziel der Aktion ist es, dass ich die im Subnet der Firewall befindlichen GMs / LXC-Container besonders absichern kann.
Oder ist der Aufwand zu groß und mit der Firewall von Proxmox ausreichend?
Vielen Dank schon vorab und viele Grüße
Nordlicht
