LeoFortKnox - Debian 10, danach Proxmox installiert und dann zusätzlich abgesichert

J

jan-t

Member
May 13, 2020
100
3
18
LeoFortKnox

Debian 10 aufgesetzt und danach Proxmox installiert. Dann eine interne Netzwerkarchitektur aufgesetzt mit Firewall (OPNSense VM) und Wan Interface mit zweiter IP und das Proxmox externe Interface (Haupt IP) komplett dicht gemacht. Ausnahme ssh. Die Interne Firewall von Proxmox ist super zu verstehen. Das ansprechen der Domain und dessen Diensten läuft dann über die zweite IP und wird mit der OPNSense abgearbeitet.
Click to expand...

Hallo Leon Gaultier,

warum hast Du nicht mit dem Proxmox Iso installiert?

Hetzner Server mit 64GB Ram und 2x4TB Platten

Wie sieht die Partitionierung aus?

Was hat dein Freund mit dem System vor?
Das System ist so wohl top.

Wie bist Du zu der zweiten IP gekommen, IPv4 oder IPv6?

Mein Synapsen verknoten sich schon wieder.

Auch mit FHEM, ioBroker, OpenHub oder ähnlich?

Mittels FHEM und eigenem Code
Click to expand...

Ganz aufgeregt bin ich schon wieder.

VG
jan-t
 
Last edited:
Also das System selbst hat der Freund besorgt und auch die zweite IP. Beides waren Paare, also IPv4 und IPv6.
Kann man wohl alles dazu bekommen für wenig Taler. Ich wusste nicht das Hertzner unter erweitert oder so auch Proxmoxiso anbietet. Daher habe ich erst Debian mit 1* 50GB Software RAID 1 SYSTEM und 1* 1 TB Software RAID 1 DATA1 (ISO, BACKUP, TEMPLATE) jeweils als LVM eingerichtet. Den Rest habe ich als LVM Thin (DISK IMAGES) eingerichtet.

Ich selbst betreibe zu Hause einen 5 Knoten Cluster und unter anderem 2 FHEM LX-Container.
 
Hallo Leon Gaultier,

meinst Du dein Freund komt mit dem System alleine zurecht?
Das System aufzubauen ist doch relativ einfach, es sicher und zuverlässig zu betreiben eine andere Hausnummer.

Wie sehen die Partitionen, das Festplattenlyout aus, "parted -l"?

Daher habe ich erst Debian mit 1* 50GB Software RAID 1 SYSTEM und 1* 1 TB Software RAID 1 DATA1 (ISO, BACKUP, TEMPLATE) jeweils als LVM eingerichtet.
Click to expand...

Da ist schon wieder erweitertes Wissen erforderlich.
Ich freue mich auf die Dokumentation ( bestimmt wieder hier: https://www.cooltux.net/doku.php?id=it-wiki:proxmox:proxmox_index )

VG
jan-t
 
Last edited:
Er ist Jung und Wissbegierig. Ich denke er wird es lernen, ansonsten weiß er das er mich jeder Zeit Fragen kann.

Thema Sicherheit war genau der Grund wieso ICH das gemacht habe. Ein Debian aufsetzen und eine Nextcloud darin zu betreiben kann er auch. Aber das ganze sollte im Internet laufen und bei sowas bin ich total sensibel. Wer keine Ahnung von Sicherheitskonzepten diesbezüglich hat sollte die Finger davon lassen Dienste im Internet zu betreiben.

Code: 
root@pve-server01 ~ # fdisk -l
Disk /dev/sda: 3.7 TiB, 4000787030016 bytes, 7814037168 sectors
Disk model: TOSHIBA MG04ACA4
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disklabel type: gpt
Disk identifier: DAE8F6DC-992D-48C2-B847-FA6F08030BA1

Device Start End Sectors Size Type
/dev/sda1 4096 1052671 1048576 512M Linux RAID
/dev/sda2 1052672 105910271 104857600 50G Linux RAID
/dev/sda3 2048 4095 2048 1M BIOS boot
/dev/sda4 105910272 7814037134 7708126863 3.6T Linux RAID


Disk /dev/sdb: 3.7 TiB, 4000787030016 bytes, 7814037168 sectors
Disk model: TOSHIBA MG04ACA4
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disklabel type: gpt
Disk identifier: D89A1B02-DE68-41D2-8822-EAADC0DD4238

Device Start End Sectors Size Type
/dev/sdb1 4096 1052671 1048576 512M Linux RAID
/dev/sdb2 1052672 105910271 104857600 50G Linux RAID
/dev/sdb3 2048 4095 2048 1M BIOS boot
/dev/sdb4 105910272 7814037134 7708126863 3.6T Linux RAID


Grüße
 
Last edited:
Debian 10 aufgesetzt und danach Proxmox installiert. Dann eine interne Netzwerkarchitektur aufgesetzt mit Firewall (OPNSense VM) und Wan Interface mit zweiter IP und das Proxmox externe Interface (Haupt IP) komplett dicht gemacht. Ausnahme ssh. Die Interne Firewall von Proxmox ist super zu verstehen. Das ansprechen der Domain und dessen Diensten läuft dann über die zweite IP und wird mit der OPNSense abgearbeitet.
Click to expand...

Hallo Leon Gaultier,

wie kommst Ihr auf die web GUI von Proxmox?
Wie macht Ihr Updates?

Was ist wenn der Zugang "Ausnahme ssh" aus irgendeinem Grund defekt ist?
Ist der ssh Zugang nur mit einem ssh Key abgesichert?
Gibt es einen speziellen Rescue Modus für Proxmox?

Hast Du auch fail2ban eingerichtet?
Was für ein Zertifikate verwendet Ihr, Let's Encrypt?

pfsense für Proxmox von Hetzner
https://github.com/pekare/hetzner-proxmox-pfsense


VG
jan-t
 
Last edited:
Ich installiere Hetzner immer mit ZFS und bei mir vor Ort in PVE und kopiere dann die Festplatte hoch:

Es gibt folgende Partitionen (pro Disk, ZFS mirroring)
* 512 MB Boot
* 16 GB ZFS-Partition

Darauf wird dann alles vorbereitet inkl. der Ziel IP. Danach in den Rescue-Modus von Hetzner Booten und die ersten 16 GB der Disks durch das Äquivalent bei mir ersetzen, rebooten und schauen ob die Maschine klappt, dann die Partitionen entsprechend auf Diskgröße vergrößern und mittels ZFS autoexpand ist danach der Pool so groß wie die Festplatten.
 
jan-t said:
Hallo Leon Gaultier,
Click to expand...

Hallo,

Junge, Junge Du kannst Fragen stellen :)

jan-t said:
wie kommst Ihr auf die web GUI von Proxmox?
Click to expand...
Zugang zur WebGUI gibt es nur noch über ein VPN welches von der virtuellen OPNSense bereit gestellt wird.

jan-t said:
Wie macht Ihr Updates?
Click to expand...
Aktuell ist durch die Proxmoxfirewall noch das update über Port 80 möglich, muss aber immer von Hand aktiviert und deaktiviert werden.
Später kommt ein eigener Mirrorserver als LXC Container

jan-t said:
Was ist wenn der Zugang "Ausnahme ssh" aus irgendeinem Grund defekt ist?
Ist der ssh Zugang nur mit einem ssh Key abgesichert?
Gibt es einen speziellen Rescue Modus für Proxmox?
Click to expand...
Der Zugang ist mittels SSH Key Pair abgesichert. Über die Haupt IP Adresse kommt man ausschließlich mittels SSH auf den Server. Benötigt man dann noch die WebGUI weil die Services an der 2. IP Adresse (VPN) komplett weg sind kann man sich mittels SSH Tunnel noch den Port 8006 zu sich holen und dann mittels Sock5 Proxy das WebGUI laden.
Es gibt generell einen Rescue Modus für Hetzner Server, damit ist es möglich auf die Platten zu zu greifen und Konfigänderungen zu machen. Oder man macht sich eine chroot Umgebung damit um Kernel oder Bootloader zu reparieren.

jan-t said:
Hast Du auch fail2ban eingerichtet?
Was für ein Zertifikate verwendet Ihr, Let's Encrypt?
Click to expand...
Fail2Ban verwenden wir nicht. Als öffentliche Zertifikate nehmen wir Let's Encrypt. Diese sind aber nur bis zum HAProxy an der OPNSense. Intern haben wir eine eigene PKI.

Stell Dir das alles wie ein eigenes virtuelle Netzwerk innerhalb von Proxmox vor. Mit VPN kommt Du auf das gesamte innere Netz. Das hat ein Servernetz 192.168.10.x und ein Managementnetz 192.168.4.x.
Der Proxmoxserver selbst ist ausschließlich über das Management Netz und über die öffentliche Haupt IP erreichbar. Wobei ausser SSH über die Haupt IP nichts zu erreichen ist.
Einziger Nachteil. Bricht die OPNSense einmal zusammen kannst Du nur noch über die Haupt IP und SSH an den Server und Du kommst über Netz nicht an die Server ran, nur über den Proxmox Server, also Shell. Entweder WebGUI oder lxc enter LXCID für Container zum Beispiel.
Deswegen laufen später gleich 2 virtuelle OPNSense im Cluster.


Grüße

PS:
Anbei mal ein Screen meiner Proxmoxumgebung zu Hause.
 

Attachments

  • Screenshot_20200524_095913.png
    Screenshot_20200524_095913.png
    159.7 KB · Views: 18
  • Like
Reactions: jan-t
Leon Gaultier said:
Der Zugang ist mittels SSH Key Pair abgesichert. Über die Haupt IP Adresse kommt man ausschließlich mittels SSH auf den Server. Benötigt man dann noch die WebGUI weil die Services an der 2. IP Adresse (VPN) komplett weg sind kann man sich mittels SSH Tunnel noch den Port 8006 zu sich holen und dann mittels Sock5 Proxy das WebGUI laden.
Click to expand...

Zusätzlich kann man noch Port Knocking oder VPN benutzen, wenn man auf dynamische Clients angewiesen ist. Sonst ist auch ne feste IP nett, dann kann man gleich die entsprechenden Ports nur für die öffentliche IP freigeben und gut ist.
 
Hallo fpausp, ich bin noch anderweitig beschäftigt.

Für LeoFortKnox fehlt mir noch einiges an Wissen.

Leon Gaultier hat sein System ziemlich gut durchdacht, soweit kann ich zur Zeit noch gar nicht denken.
:)

VG
jan-t
 
Last edited:
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back