pJonathan

Member
Sep 11, 2021
38
0
11
23
Hi,
ich würde gerne OpnSense auf meinem Proxmox VE installieren. Ich habe mal einen Netzwerkplan zusammengestellt und mich an die proxmox Netzwerkconfig gewagt.

Code:
auto lo
iface lo inet loopback

#LAN (FritzBox)
auto eno1
iface eno1 inet manual

#WAN (FritzBox)
auto enx60a4b79d8f85
iface enx60a4b79d8f85 inet manual

#LAN (Subnet)
auto enx60a4b79d7d3b
iface enx60a4b79d7d3b inet manual

#LAN (FritzBox)
auto vmbr0
iface vmbr0 inet static
        address 192.168.241.1/20
        gateway 192.168.240.1
        bridge-ports eno1
        bridge-stp off
        bridge-fd 0

#WAN (FritzBox)
auto vmbr1
iface vmbr1 inet manual
        bridge-ports enx60a4b79d8f85
        bridge-stp off
        bridge-fd 0

#LAN (Subnet)
auto vmbr2
iface vmbr2 inet manual
        bridge-ports enx60a4b79d7d3b
        bridge-stp off
        bridge-fd 0

Screenshot (17).png


Ich kenne mich nicht so aus also wollte ich fragen ob da vielleicht mla jemand drüberschauen kann. Macht das so überhaupt sinn und passt das von den Anschlüssen?
Habt ihr vielleicht Verbesserungsvorschläge oder so?
Danke :)
 
So wie ich das verstehe willst du quasi vmbr0 und vmbr1 (also das 192.168.240.0/20 Subnet) als DMZ nutzen. Und dahinter vmbr2 mit dem 10.27.0.0/16 Subnet als LAN. Was mich da stört ist, dass du dort das PVE Management Interface in die DMZ packst. Management sollte nicht von der DMZ aus erreichbar sein, weil bekomme ich dadruch Admin-Zugriff zum Server kann ich die komplette OPNsense aushebeln und komme ins LAN.

Außerdem verstehe ich nicht was das mit vmbr0 und vmbr1 soll wenn beide Bridges im selben Subnet hängen und zum selben Switch in der Fritzbox gehen. Da kannst du auch gleich OPNsense WAN zusammen mit den anderen VMs an eine einzelne Bridge hängen, nur vmbr0 nutzen und die vmbr1 sparen.

Würde für mich mehr Sinn machen wenn du eno1 von vmbr0 entfernst, dann in der OPNsense ein eigenes neues DMZ Netz anlegst und dann vmbr0 per virtio NIC mit dem DMZ Netz der OPNsense VM verbindest. Dann könnte man in der Fritzbox auch die Router-Funktionalitäten entfernen und die Fritzbox als reines Modem benutzen (bzw. deine OPNsense VM als "exposed host" einstellen) und es würde sich alles rein über die OPNsense managen lassen.

Also sowas:
Screenshot (17)b.png
 
Last edited:
  • Like
Reactions: pJonathan
@Dunuin
Danke für die Antwort. Das 192.168.240.0/20 Netz wollte ich eig. auf 192.168.240.0/24 reduzieren und dann gar nicht mehr nutzen.
Eigentlich wollte ich die FritzBox nur als Modem nutzen aber ich bekomme keine PPPoE - Daten von Vodafone. Also ist das 192.168.240.0/24 - Netz dann nur als Backup da, falls der Proxmox - Rechner mal ausfällt. Da kommt dann auch noch ein Pi rein, der sich wenn ich in Proxmox mist baue, zwischenzeitlich um DNS, Proxy, VPN, etc. kümmern würde.
In Zukunft würde ich gerne auch noch mehrere autarke Subnetze aufbauen, zum testen und so.
Also DMZ fällt komplett raus, in dem Netzwerk soll es keinen Exposed Host geben, die Sachen stehen alle wo anders.
 
Last edited:
@Dunuin
Danke für die Antwort. Das 192.168.240.0/20 Netz wollte ich eig. auf 192.168.240.0/24 reduzieren und dann gar nicht mehr nutzen.
Eigentlich wollte ich die FritzBox nur als Modem nutzen aber ich bekomme keine PPPoE - Daten von Vodafone. Also ist das 192.168.240.0/24 - Netz dann nur als Backup da, falls der Proxmox - Rechner mal ausfällt. Da kommt dann auch noch ein Pi rein, der sich wenn ich in Proxmox mist baue, zwischenzeitlich um DNS, Proxy, VPN, etc. kümmern würde.
In Zukunft würde ich gerne auch noch mehrere autarke Subnetze aufbauen, zum testen und so.
Also DMZ fällt komplett raus, in dem Netzwerk soll es keinen Exposed Host geben, die Sachen stehen alle wo anders.
Exposed Host ist aber genau das was man gut in der Fritzbox machen kann, wenn dein ISP kein PPPoE-Zugang rausrückt. Dann würde die Fritzbox einfach alles was in dessen WAN reinkommt direkt an die OPNsense routen und man spart sich die lästige zusätzliche Konfiguration (Port-Forwarding etc) in der Fritzbox.
Wenn du Angst hast das dein Netzwerk zusammenbricht wenn der PVE-Host mal ausfällt würde ich statt einem Pi lieber einen keinen x64 Thin-Client hinstellen. OPNsense kann ja auch als HA betrieben werden wenn du zwei OPNsenses hast. Dann wäre die im PVE-Host die Master OPNsense und sollte diese ausfallen würde innerhalb einer Sekunde die zweite Backup OPNsense dessen Funktion einnehmen. Die halten sich dann beide über das pfsync-Protokoll und Virtuellen IPs aktuell. So mache ich das hier im Heimnetz, damit wenigstens mein Netwerk und Internet noch geht, wenn da mal der PVE-Server ausfallen sollte. Hat außerdem den Vorteil, dass ich da keine Verbindungsabbrüche habe, wenn die OPNsense VM auf dem PVE für das tägliche Backup kurz runtergefahren werden muss.
 
  • Like
Reactions: pJonathan
@Dunuin
Naja so viel Konfiguration ist es ja nicht, ich hab ja nur den Wireguard Port in dem Netz offen. In Zukunft ist auch geplant Opensense auf einem dedizierten x64 Rechner laufen zu lassen und das Backup dann über Proxmox.

Die Opnsense Vm verbinde ich ja dann mit einem Lan port am Router, bekommt die Opnsense dann eine IP aus dem 192.168.240.0/24 Bereich?
Und die Proxmox Konfuguration, stimmt die? (also ich lass dann enx60a4b79d8f85 und vmbr1 weg ... )
Danke für die Hilfe :)
 
Die Opnsense Vm verbinde ich ja dann mit einem Lan port am Router, bekommt die Opnsense dann eine IP aus dem 192.168.240.0/24 Bereich?
Ja
Und die Proxmox Konfuguration, stimmt die? (also ich lass dann enx60a4b79d8f85 und vmbr1 weg ... )
Danke für die Hilfe :)
Ja, aber wie gesagt, dein SSH und WebUI ist über dein 192.168.240.0/20 Netz erreichbar, also kann da auch jede VM und Co auf dein SSH und WebUI zugreifen, was man eigentlich nicht möchte.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!