Absicherung VM und LXC-Container hinter Opnsense / Pfsense

Nordlicht01

New Member
Sep 8, 2023
2
1
1
Hallo in die Runde,

ich betreibe seit einigen Wochen einen Proxmox-Server, der hinter einer Fritz!Box und meinem Switch im Heimnetz hängt. Der Proxmox-Server hat aus im Netz der FritzBox eine statische IP-Adresse. Auf dem Proxmox-Server laufen bereits Linux LXC-Container, die ebenfalls eine IP aus dem Netz der FB haben.

In einer VM habe ich Pfsene und in einer anderen VM Opnsene testweise installiert (beide laufen nie gleichzeitig). Unten habe ich grob dargestellt, wie das Netz aufgebaut ist. An der Switch hängen PC etc. (nur als LAN dargestellt).

IMG_1177.jpg


In der PVE habe ich die Bridge vmbr0 mit dem Gateway 192.168.178.1 erstellt. Diese Bridge nutzen die "normalen" LXC-Container. Die Pfsense nutzt diese Bridge als WAN Schnittstelle.

IMG_1173.jpg

Für die LAN Schnittstelle der Firewall habe ich eine Bridge vmbr1 ohne IP-Adresse und ohne Gateway erstellt. Die WAN-Schnittstelle der Firewall hat die statische IP 192.168.179.16 (Opnsene / .14 Pfsense) aus dem Netz der Fritte. Die LAN-Schnittstelle hat die IP 162.168.1.1 mit vmbr1 als Bridge

IMG_1174.jpg

IMG_1175.jpg


Zum Testen habe ich 2 LXC-Container angelegt, die vmbr1 nutzen und von Opnsene / Pfsense per DHCP die IP-Adresse zugewiesen bekommen (192.168.1.x)

Ich habe das System jetzt soweit einrichten können, dass die Opnsense in das Home-Netz und ins Internet kommt. Ping aus 1.1.1.1 / 8..8.8.8 sowie die Auflösung der Domains klappt. Ebenso kommt die Opnsense per Ping auf die Adressen 192.168.1.x sowie zur Zeit noch ins Home-Netz (192.168.178.x). Hier muss ich später sehen, wie ich das einschränke.

Was ich noch nicht hinbekommen habe, ist der Zugriff aus dem IP-Bereich der Fritte (192.168.178.XXX) auf das Subnet von Opnsense / Pfsense (192.168.1.x)

Das fehlt mir noch ein wenig der richtige Weg. Ich hoffen, dass ist soweit verständlich dargestellt; wenn wohl auch fachlich nicht immer mit den richtigen Wortwahl.

Ziel der Aktion ist es, dass ich die im Subnet der Firewall befindlichen GMs / LXC-Container besonders absichern kann.

Oder ist der Aufwand zu groß und mit der Firewall von Proxmox ausreichend?

Vielen Dank schon vorab und viele Grüße

Nordlicht
 
Hmmm .... ich habe jetzt auf der FritzBox eine statische IP4 Route angelegt:

IP4 Netzwerk: 192.168.1.0
Subnetmaske: 255.255.255.0
Gateway: 192.168.178.14 (=IP der Pfsense)

Jetzt klappt der Zugriff aus dem Netz der FritzBox auf das Subnet der Pfsense.

Über Nebenwirkungen bin ich mir noch nicht im klaren.
 
  • Like
Reactions: macdet

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!