Anfänger / Verständnisfrage zur Netzwerkkonfiguration

[deebrodynamite]

Hallo Leute,

ich betreibe eine Proxmox VE zuhause im privaten LAN. Proxmox soll aus dem WAN über zwei Portfreigaben (22/8006) an meiner Fritzbox erreichbar sein. "Alles andere" soll an eine pfSense VM durchgereicht werden. "Hinter" der pfSense sind dann weitere vituelle Netzwerke / Maschinen / Container. Zuerst hatte ich es so konfiguriert dass die "WAN" Schnittstelle Teil des lokalen Netzes war. Dann habe ich mir eine Lösung abgeschaut in der NAT genutzt wird. "Vor" der WAN Schnittstelle der pfSense ist nun ein eigenes Netz zwischengeschaltet mit einer 30er Netzmaske, sodass außer für die beiden Schnittstellen, der NetzID und der BC Adresse keine IP mehr für andere Hosts bleibt. Ich bin mir jetzt aber nicht sicher, ob das so die sinnvolle Lösung ist oder totaler Quatsch. Eure Meinung würde mich hier sehr interessieren. Und würdet Ihr den PVE Host zum exposed host machen? An sich ist es doch in der Ausführung schon einer?

VG

 

[Dunuin]

Bei WLAN musst du NAT am PVE Host nutzen. Ansonsten würde dein PVE kein Bridging unterstützen, da der WifiAP nur die Pakete von der MAC von PVE selbst akzeptieren würde aber keine Pakete von Gästen, da die ja eigene virtuelle NICs mit anderen MACs haben. Ohne das würde deine Fritzbox wohl einfach keine Pakete von der pfSense akzeptieren und all deine Gäste wären offline und nicht erreichbar. Wenn PVE mit NAT die Translation macht, dann sieht es für den WifiAP so aus, als würden alle Pakete von der selben MAC bzw dem selben Host kommen und es wird nichts abgelehnt.

 

[deebrodynamite]

Bei WLAN musst du NAT am PVE Host nutzen. …

Danke für Deine Nachricht. Nutze kein WLAN.. Geht mir darum ob ein zusätzliches, vorgeschaltetes Netz die Sicherheit erhöht weil PVE dann nicht mehr mit den sämtlichen anderen Geräten im Haushalt im selben Netz liegen..

 

[Neobin]

Proxmox soll aus dem WAN über zwei Portfreigaben (22/8006) an meiner Fritzbox erreichbar sein.

Wenn man fragen darf: Was ist der Grund dafür, anstelle eines VPNs (mit nicht-Standard Port(s))?

Edit: Anders/Besser gefragt: Müssen es in diesem Fall (sprich: für diese Ports) unbedingt Portfreigaben sein? Ansonsten würde ich empfehlen, ein VPN zu benutzen.

 

[Dunuin]

Danke für Deine Nachricht. Nutze kein WLAN.. Geht mir darum ob ein zusätzliches, vorgeschaltetes Netz die Sicherheit erhöht weil PVE dann nicht mehr mit den sämtlichen anderen Geräten im Haushalt im selben Netz liegen..

Sorry, war wohl schon zu spät...hatte da WLAN statt WAN gelesen.

Da gäbe es dann mehrere Wege.

Zum einen könnte man die WAN NIC per PCI Passthrough in die pfsense bringen und dann pfsense das NAT übernehmen lassen mit Port-Forward von Port 22/8006 zur LAN IP vom PVE Host. Hätte den Vorteil, dass da deine pfSense über IDS und Anti-DDoS auch gleich den PVE Host nach außen schützen könnte. Oder besser noch du nutzt dann die pfSense per Plugin als VPN Server, wie Neobin schon schrieb, dass da Port 22/8006 garnicht erst öffentlich erreichbar sind. Damit könntest du dann auch die pfsense als Exposed Host eintragen, oder besser noch gleich die Fritzbox zum reinen Modem degradieren und dich dann direkt von der pfSense aus beim ISP einwählen. Hat dann aber natürlich alles auch den Nachteil, dass da dein Management nicht erreichbar ist, wenn sich mal die pfSense VM weigert zu laufen.

Wenn es dich nicht stört alle Port-Forwards zwei mal zu erstellen (einmal in Fritzbox, einmal in pfSense), dann könnte man dem PVE Host auch einfach 2 Brides erstellen mit je einer NIC und dann die Fritzbox als DNS Server und Gateway eintragen. Und in der Fritzbox dann halt Port-Forward für 22/8006 zur WAN IP von dem PVE Host und Port-Forward für alle andere Ports zur WAN IP von pfSense. Ist dann halt unschön, weil dein Management auf der WAN Seite ist, aber wenigstens würde Internet und Managemnt vom PVE Host noch laufen, wenn die pfSense VM mal down ist.

Der beste Weg ist meiner Meinung nach immer noch zwei pfSenses die HA betrieben werden und auf 2 Hosts laufen. Dann kann das Management auf die LAN Seite und wenn mal eine pfSense VM ausfällt, dann übernimmt die andere innerhalb einer Sekunde dessen Funktion und alles bleibt weiter erreichbar.

 

[deebrodynamite]

@Neobin @Dunuin vielen vielen Dank Ihr Beiden. Das hilft mir schon mal weiter. Werde mir da mal Gedanken zu machen und mich einarbeiten. So ganz habe ich es nicht verstanden aber mir fehlt gerade ein bisschen die Zeit. Wird am Wochenende nachgeholt. Was mir noch eingefallen ist, ich könnte doch auch auf die PVE zugreifen indem ich mich bei Bedarf per VPN in das lokale Netz verbinde, den Zugang von außen auf das virtuelle Netz das durch die pfSense geschützt wird aber alles erstmal an die pfSense als exposed host durchreiche. Blöde Idee? (P.S.: Für ssh Zugriff kommt natürlich nicht der Standard Port zum Einsatz, die Authentifizierung erfolgt per Zertifikat, Root Login verboten, fail2ban verwendet etc..) VG

 

[Dunuin]

@Neobin @Dunuin vielen vielen Dank Ihr Beiden. Das hilft mir schon mal weiter. Werde mir da mal Gedanken zu machen und mich einarbeiten. So ganz habe ich es nicht verstanden aber mir fehlt gerade ein bisschen die Zeit. Wird am Wochenende nachgeholt. Was mir noch eingefallen ist, ich könnte doch auch auf die PVE zugreifen indem ich mich bei Bedarf per VPN in das lokale Netz verbinde, den Zugang von außen auf das virtuelle Netz das durch die pfSense geschützt wird aber alles erstmal an die pfSense als exposed host durchreiche. Blöde Idee? (P.S.: Für ssh Zugriff kommt natürlich nicht der Standard Port zum Einsatz, die Authentifizierung erfolgt per Zertifikat, Root Login verboten, fail2ban verwendet etc..) VG

Ja, so hatten wir das oben vorgeschlagen.