Firewall auf Proxmox mit nur einer IP-Addresse

M

Melone145

Member
Mar 2, 2024
37
1
6
Hallo zusammen,

Ich versuche seit ein paar Tagen, eine Firewall auf meinem Proxmox-Host zum Laufen zu bekommen. Online habe ich immer fast die gleichen Sachen gefunden. Nur leider kommt von außen kein Traffic bei der Firewall an. Wenn ich aber von der Firewall aus einen Ping z. B. an 8.8.8.8 mache, geht das problemlos.

Code: 
auto lo
iface lo inet loopback

iface nic1 inet manual

auto vmbr0
iface vmbr0 inet static
        address XXX.XXX.XXX.XXX/XX
        gateway XXX.XXX.XXX.XXX
        bridge-ports nic1
        post-up echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up iptables -t nat -A PREROUTING -i vmbr0 -p tcp -m multiport ! --dport 22,8006 -j DNAT --to 10.0.10.2
        post-up iptables -t nat -A PREROUTING -i vmbr0 -p udp -j DNAT --to 10.0.10.2

auto vmbr1
iface vmbr1 inet static
        address 10.0.10.1/30
        bridge-ports none
        bridge-stp off
        bridge-fd 0
        post-up iptables -t nat -A POSTROUTING -s '10.0.10.0/30' -o vmbr0 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '10.0.10.0/30' -o vmbr0 -j MASQUERADE
#Firewall WAN

auto vmbr2
iface vmbr2 inet manual
        address 192.168.55.2/24
        bridge-ports none
        bridge-stp off
        bridge-fd 0
#Firewall LAN
 
Bitte male dein Netzwerkdiagramm einmal auf, damit wir verstehen was Du vorhast.
  • Was ist das für eine Netzwerk-Config welche Du gepostet hast?
  • Was für eine Firewall möchtest Du wo installieren?
  • Was soll die Firewall machen?
  • Welches IPs haben Firewall, Host, welche Subnetze & Vlans werden genutzt.
P.S:: Bei RFC1918-Netzen brauchst du nichts XXXen...
 
  • Like
Reactions: Johannes S
Das ist mein Aufbau

Internet
|
nic1 (Physikalische Netzwerk karte)
|
vmbr0 (NAT auf die 10.0.10.2)
|
Proxmox
|
vmbr1 (WAN Firewall)
|
OPNsense
|
vmbr2 (LAN Firewall)
|
VMs

Die Firewall soll als VPN und NAT Benuetzt werden da wir vom hoster nur eine IP-Addresse bekommen habe und leut ihm es Aktuell nicht geht das wir eine Zweite bekommen die Netzwerk Config davon ist die
Code: 
/etc/network/interfaces

die Config habe ich aus einem von vielen YT videos bei denn leuten und auf meinm Test Systeam zu hause hat es funktioniert aber auf dem Server am ende nicht
 
Sorry, ich verstehe es noch immer nicht was genau du schreibst. Wo ist denn "nic1" und "vmbr0" drin? Ist das ein weiterer Server? Wie soll ich das verstehen was du damit meinst?

  • Geht es hier um die Konfiguration eines einzelnen Servers bei irgendeinem Hoster, welche eine IPv4 zugewiesen hat?
  • Auf dem Server läuft Proxmox
  • Proxmox hat die öffentliche IP
  • Auf dem Proxmox Hosts möchtest du eine Firewall als VM betreiben?
  • Die VM steht zwischen den genatteten VMs aus den internen Netzen und dem Internet (also die Firewall soll NAT machen?)
  • Die Firewall-VM soll auch vor der öffentlichen IP "stehen" und diese schützen?
 
Last edited:
  • Like
Reactions: Johannes S
Nein nic1 ist die Physikalische Netzwerk karte im Server vmbr0 ist die Standart Linux bridge die von Proxmox erstellt wurde es geht gerade darum das ich gerne eine Firewall auf demm Server hätte und hierfür habe ich in der vergangenheit mehrmal gesehen das leute dann eine Firewall hierer wahl installieren und denn kompletten Traffic NATen so das die Firewall alles übernhemen kann und ein einfacheres Managment hat ich habe dir mal das Video und denn dazugehörigen Blog beitrag verlinkt von dieser person hatte ich das damals erfahren

https://www.youtube.com/watch?v=_NIZxwzCSaM&t
https://schroederdennis.de/allgemei...ver-mit-nur-1-public-ip-addresse-pfsense-nat/
 
Wow, okay :D Das habe ich aus der ursprünglichen Beschreibung nicht herausgelesen. Dann wollen wir mal:

Bitte folgende Ausgaben in einem [CODE][/CODE] Tag posten:
  • qm config <VMID-FIREWALL> --current | grep -e "net.:"
  • pve-firewall status
  • qm agent <VMID-FIREWALL> network-get-interfaces
 
Command 1:
Code: 
net0: virtio=BC:24:11:B7:1C:EF,bridge=vmbr1
net1: virtio=BC:24:11:D8:BC:7D,bridge=vmbr2

Command 2:
Code: 
Status: disabled/running

Command 3:
Code: 
[
   {
      "hardware-address" : "bc:24:11:b7:1c:ef",
      "ip-addresses" : [
         {
            "ip-address" : "10.10.1.1",
            "ip-address-type" : "ipv4",
            "prefix" : 31
         }
      ],
      "name" : "vtnet0"
   },
   {
      "hardware-address" : "bc:24:11:d8:bc:7d",
      "ip-addresses" : [
         {
            "ip-address" : "192.168.1.1",
            "ip-address-type" : "ipv4",
            "prefix" : 24
         },
         {
            "ip-address" : "fe80::be24:11ff:fed8:bc7d",
            "ip-address-type" : "ipv6",
            "prefix" : 64
         }
      ],
      "name" : "vtnet1"
   },
   {
      "hardware-address" : "00:00:00:00:00:00",
      "ip-addresses" : [
         {
            "ip-address" : "::1",
            "ip-address-type" : "ipv6",
            "prefix" : 128
         },
         {
            "ip-address" : "fe80::1",
            "ip-address-type" : "ipv6",
            "prefix" : 64
         },
         {
            "ip-address" : "127.0.0.1",
            "ip-address-type" : "ipv4",
            "prefix" : 8
         }
      ],
      "name" : "lo0"
   },
   {
      "hardware-address" : "00:00:00:00:00:00",
      "name" : "enc0"
   },
   {
      "hardware-address" : "00:00:00:00:00:00",
      "name" : "pflog0"
   },
   {
      "hardware-address" : "00:00:00:00:00:00",
      "name" : "pfsync0"
   },
   {
      "hardware-address" : "00:00:00:00:00:00",
      "ip-addresses" : [
         {
            "ip-address" : "10.10.10.0",
            "ip-address-type" : "ipv4",
            "prefix" : 28
         }
      ],
      "name" : "wg0"
   }
]
 
Ich habe ander IP Addressen als im Video da ich mir mitlerweile andere angeschut habe das ganze ist schon richtig denn meine VM können nach ausen kommunizieren aber wenn eine einfrage von draußen kommt landet diese nicht bei der Firewall zbw habe ich eine VPN eingereichtet und diese verbindet sich nicht zur Firewall wie es passieren sollte
 
Wenn Du deine IPs der pfSense änderst, solltest Du auch dein restliches Setup, welches Du im Vorfeld eingerichtet hast, an diese Änderungen anpassen.

Dazu nettgemeinter Rat: Solltest Du nicht an einer Schreibstörung leiden (z.B. Legasthenie), versuch Dir bitte etwas mehr Mühe zu geben und lies deine Beiträge noch einmal durch bevor Du diese absendest, danke.
 
  • Like
Reactions: Johannes S
ich habe das jetzt geändert wie im video

IP: 10.0.0.2
GW: 10.0.0.1
DNS 8.8.8.8

und jetzt sind meine VMs die ich da hinter installiert habe offline also wenn ich jetzt versuche zbw ping google.de laufe ich in einem timeout
 
Wieso 10.0.0.2 ? Das macht doch garkeinen Sinn? Du nutzt doch oben für deine vmbr1 das Subnetz 10.0.10.0/30? Warum also jetzt eine IP aus einem komplett anderen Subnetz?

Gleiches gilt für das Gateway. Wo hast du jemals ein 10.0.0.1 Gateway konfiguriert?

Änder es wie folgt:

1. Gib deiner pfSense die IP 10.0.10.2/30 mit dem Gateway 10.0.10.1/30. Dann erreichst Du deine pfSense über die externe IP Adresse deines Servers.

2. Änder die vmbr2 deines Proxmox Servers und gib ihr die IP 192.168.55.1/24.

3. Gib dem "VM"-Netzwerk deiner pfSense die IP 192.168.55.2/24 und als Gateway 192.168.55.1/24. Die VMs dürfen dann IPs von 192.168.55.3-254 nutzen.
 
Last edited:
  • Like
Reactions: Johannes S
Willste mich hier auf den Arm nehmen? Die IPs sind doch schon wieder falsch (oder noch immer) :D Wie du aus deiner pfSense überhaupt irgendetwas pingen kannst ist schon erstaunlich, bei der Config auf dem Proxmox Host. Die Proxmox Network-Config haste nicht geändert von deinem ursprünglichen Post? Netzwerk auch nicht via systemctl restart networking neu gestartet?
 
Last edited:
  • Like
Reactions: Johannes S
1766841957692.png

mit der Config kann ich aber immer noch nicht pingen und ja die VM hat eine IP aus dem Host bereich und als Gateway die LAN ip davor ich es geändert habe ging es
 
You must log in or register to reply here.
Top Bottom