Netzwerkkarten physich und virtuell verbinden

[sz74]

Hallo ersteinmal

Ich bin werdenender ITler und in Mitten meiner Ausbildung. In nächster Zeit werde ich mit meiner Projektarbeit beginnen und hätte deshalb ein paar Fragen zum Grundlegendem Umgang des Netzwerks im Proxmox.
Was habe ich Verbaut:

Netzwerk 10GiBit
Server 24Gbyte Ram
CPU Xeon X3460@2.80GHz 4 Cores
2 x 2TB Raid1 ZFS
Proxmox 6.3
1 x Lan OnBoard
1 x Lan Karte

Was habe ich vor:

Ich möchte eine Virtuelle DMZ erstellen mit zwei Debian VMs als OPNSense Firewall, eine Firewall kontrolliert den Lan Eingang und die andere Firewall den Lan Ausagang.
In der DMZ sind dann VMs und LXCs als DNS und Proxy verbaut. Ich würde gerne den Proxmox mit der IP 192.168.1.100 ansprechen, intern in der DMz z.b 192.168.4.0/24 und extern 192.168.3.0/24. Meine Fritzbox die 192.168.1.1/24 hat macht DHCP.
Ich weiß das ich jeweils eine vmbr erstellen muss und mit einer physichen Karte verbinden muss aber an wie es mit der IP Vergabe ist und vor allem /etc/network/interfaces bin ich leider etwas ratsam, vielleicht hat ja jemand eine Idee.

Vielen Dank schon mal

 

[aaron]

So ganz verstehe ich nicht was du umsetzen willst mit zwei verschiedenen Firewalls. :/

zwei Debian VMs als OPNSense Firewall

AFAIK ist OPNSense FreeBSD basiert?

Ich weiß das ich jeweils eine vmbr erstellen muss und mit einer physichen Karte verbinden muss aber an wie es mit der IP Vergabe ist und vor allem /etc/network/interfaces bin ich leider etwas ratsam, vielleicht hat ja jemand eine Idee.

Du musst einer Bridge nicht zwingend eine IP vergeben, wenn die PVE Node in dem Netz nicht erreichbar sein muss. Dann ist die Bridge wirklich nur ein Switch.

Bei einer DMZ würde ich mal davon ausgehen, dass die PVE Node nicht darüber erreichbar sein soll.

Du kannst auch Bridges ohne Bridge Port konfigurieren. Diese sind dann rein virtuelle "Switches" auf der Node.

Hast du eine /etc/network/interfaces Datei bei der Hand und Fragen dazu?
Du kannst das ganze auch über die GUI konfigurieren und nachschauen wie es dann in der interfaces Datei steht.

 

[Dunuin]

So ganz verstehe ich nicht was du umsetzen willst mit zwei verschiedenen Firewalls. :/

Das hatte ich mich auch gefragt. Bin auch gerade dabei opnsense in einer VM aufzusetzen. Da reicht doch eigentlich eine VM für die DMZ. Das Routing kann doch auch eine VM alleine für eingehenden und ausgehenden Traffic machen. Das macht das Verwalten dann auch einfacher.
Du könntest dann auch überlegen eine der NICs direkt per PCI Passthrough in die VM durchzureichen. Ist vielleicht besser als nur über virtuelle NICs mit virtio.

Da bin ich bei mir aber noch nicht weiter gekommen. Man soll die Hardware die man durchreichen will ja vorher deaktivieren, damit die Proxmox nicht verwendet und es deshalb zu Problemen kommt. Meine PCIe-NIC und Onboard-NIC sind aber beide das gleiche Modell und ich kann daher nicht einfach den Treiber blocken, da beide die gleiche GeräteID haben.

AFAIK ist OPNSense FreeBSD basiert?

Ja, da macht Debian keinen Sinn.

 

[sz74]

Naja,eine DMZ ist ja eine abgeschotetet Zone durch zwei FW gesichert, an der einen FW gehts ins Internet und hinter der anderen FW ist das Intranet mit den Fileservern und Useren und dazwischen der Proxmox, also die DMZ, anders wäre ja einfach und einfach ist kein gutes Projekt, darum mein Gedanke Fritzbox 192.168.1.1 (Internet) -> 192.168.1.100 -> (Proxmox) 192.168.2.0 (DMZ im Proxmox) -> 192.168.2.1 (FW1) -> 192.168.2.xDNS, 192.168.2.x,Proxy -192.168.2.254 (FW2) -> 192.168.3.0 (Intranet)
Fritzbox macht Routing ins 192.168.2.0/24 über 192.168.1.100
Firewall 1 macht Routing ins 192.168.3.0 über 192.168.2.254 und default Route nach 192.168.1.1
192.168.3.0 macht default 0.0.0.0 nach 192.168.2.1 und 192.168.1.0

 

[aaron]

Das Intranet muss nicht durch die DMZ geroutet werden, um ins Internet zu kommen. Das klingt viel zu kompliziert. Die DMZ ist ein eigenes abgeschottetes Netz Parallel zum Intranet.

Auf welcher Ebene man hier den DMZ Traffic vom restlichen Netz trennt, kommt auf die Gegebenheiten an.

Idealweise kann das die Firewall ganz außen, in deinem Fall wohl die Fritzbox. Dann könntest du über ein extra Netzwerkkabel oder VLAN den DMZ Traffic an den Proxmox Host übergeben und dort eine eigene vmbr für das DMZ Netzwerk auf dem extra Port/VLAN konfigurieren.

Alle VMs die diese Bridge haben, sind somit in der DMZ und auf der Firewall kannst du schön die Regeln und Routingtabellen verwalten um einzuschränken wer wohin darf.


Eine andere Alternative um ein abgeschottetes Netz zu haben wäre eine vmbr ohne Bridge Port zu machen für die DMZ und eine Router/FW VM die zwei NICs hat. Eine mit der vmbr verbunden die ins echte Netz geht und die andere ist mit der DMZ bridge verbunden. Dann kannst du für Traffic aus dem Internet der zu den Maschinen in der DMZ gehen soll, die Ports entsprechend auf die Router VM weiterleiten und dann dort entscheiden wohin der weiter gehen soll. Die Router VM kann dann auch den Verkehr der VMs in der DMZ entsprechend einschränken. zB nur in Richtung Internet und Default GW und nicht in das restliche Netz.

 

[Dunuin]

Ja, aber da brauchst du keine 2 Firewalls für. Du kannst in der gleichen Firewall Regeln erstellen die den Traffic von DMZ ins Internet und DMZ ins Intranet und Intranet ins Internet regeln. Da kann eine VM mit opnsense das ganze Routing erledigen. Und du kannst einer VM ja auch mehr als eine NIC zuweisen, wenn du z.B. 3 NICs brauchst damit die VM die volle Bandbreite und einen eigenen Anschluss in alle 3 NEtze hat.

 

[sz74]

Aber wie schon erwähnt ich bekomme das mit der Netzwerkonfiguration einfach net hin.

eth0 (Karte 1) in Richtung Fritzbox 192.168.1.100/24 und Gateway 192.168.1.1
eth1 (Karte 2 ) in Richtung intranet 192.168.3.1/24 Gateway 192.168.3.1
vmbr0 bridge eth0
vmbr1 bridge eth1

wenn ich das so verbinde komme ich nicht mehr auf den Proxmox

 

[aaron]

Dann zeig mal deine /etc/network/interfaces Datei, vielleicht sehen wir ja wo das Problem ist