openvpn prinzipielle vorgehensweise

[ElmexUbi]

Hallo zusammen,

vorab: ich bin neu in Proxmox - komme von Vmware. Also entschuldigt meine ggf sehr dummen Fragen.
Ich evaluiere gerade bei uns in der company die einführung von Proxmox - und dazu habe ich mir ein kleines privates Projekt erstellt, weil ich so am besten lerne.


ich brauche jetzt mal einen Tipp, wie ich prinzipiell vorgehen soll.
Ich möchte mit Proxmox einen open vpn Tunnel (zu einem kommerziellem anbieter) aufbauen.
Dann möchte ich mehrere Container und/oder VMs erstellen die nur über diesen Tunnel nach draussen kommunizieren (was DNS leaks zb vermeiden sollte)

Wie mache ich das am schlausten? richte ich das OPENVPN direkt im Proxmox Host ein oder benutze ich dafür einen Container?
Wenn ich einen Container nutze, steht die Schnittstelle der dann auch anderen containern / vm zu r verfügung.

Fänd ich toll, wenn mich jemand in die richtige Richtung weisen würde.
danke

 

[Mason]

ähm also direkt vom Host eine VPN nach draußen?
Ich denke die einfachste und sicherhste methode wäre das über eine Firewall zu realisieren und dann freigeben wer den Tunnel nutzen kann.

 

[micneu]

Ich kann mich da nur anschließen, keine Ahnung welche Professionelle Firewall Lösung ihr einsetzt, ich mache es bei mir zuhause und in der Firma alles mit pfSense. Ich habe auf der pfSense bei mir z.B. einen OpenVPN Client eingerichtet. In den Firewall Regeln habe ich Policy Base Routing konfiguriert, alles ganz simpel.

Was ich nicht ganz verstehe, deine Frage hat doch jetzt nichts Spezielle mit Proxmox zu tun, wie man einen VPN Tunnel einrichtet kann doch heute jeder Netzwerk affine Mensch

Hier mein Netzwerkplan (HomeOffice)

                                            ┌──────────────────────────┐                                    
                                            │                          │                                    
                                            │  WAN / Internet (PPPoE)  │                                    
                                            │        Willy.tel         │                                    
                                            │ 1000/250Mbit/s Glasfaser │                                    
                                            │                          │                                    
                                            └─────────────┬────────────┘                                    
─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┼ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─
                                                          │                                                
 ┌────────────────┐   ┌────────────────┐    ╔═════════════╩═════════ pfSense+ ════════╗                    
 │                │   │     Switch     │    ║                             Netgate 6100║    Stand: ─ ─ ┐    
 │ TrueNAS SCALE  ├───┤  USW-Flex-XG   ├────╣                      LAN: 192.168.3.0/24║  │                  
 │                │   │                │    ║   Gäste (W)LAN (VLAN33): 192.168.33.0/24║    18.05.2025 │    
 └────────────────┘   └───┬─┬──┬───────┘    ║       IoT WLAN (VLAN34): 192.168.34.0/24║  │                  
 ┌────────────────┐       │ │  │            ║  DynDNS über deSEC.io mit eigener Domain║   ─ ─ ─ ─ ─ ─ ┘    
 │      UBNT      │       │ │  │            ║                                   VPN's:║                    
 │UniFI AP AC Pro ├───────┘ │  │            ║                 1 x Fritzbox 7490) IPSec║                    
 │                │         │  │            ║             1 x S2S WireGuard Fritz 6591║                    
 └────────────────┘         │  │            ║     1 x pfSense S2S (Netgate 6100) IPSec║                    
 ┌────────────────┐         │  │            ║             1 x OpenVPN Road Warrior DCO║                    
 │                │         │  │            ║                          (172.16.3.0/24)║                    
 │    proxmox     ├─────────┘  │            ║               1 x WireGuard Road Warrior║                    
 │                │            │            ║                         (172.16.33.0/24)║                    
 └────────────────┘            │            ║                                         ║                    
                               │            ╚═════════════════════════════════════════╝                    
                               │                                                                            
 ┌────────────────┐   ┌────────┴───────┐ ┌────────────────────┐ ┌────────────────┐                          
 │ Fritzbox 7490  │   │     Switch     │ │                    │ │    1 x UBNT    │                          
 │    IPClient    ├───┤  USW-Flex-XG   ├─┤ USW Pro Max 16 PoE ├─┤UniFi AP-Flex-HD│                          
 │   (Nur VoIP)   │   │                │ │                    │ │                │                          
 └────────────────┘   └────┬───────────┘ └──────┬─────────────┘ └────────────────┘                          
 ┌────────────────┐        │                    │    ┌───────────┐                                          
 │      UBNT      │        │                    │    │           │                                          
 │UniFI AP AC Pro ├────────┘                    └────┤  Clients  │                                          
 │                │                                  │           │                                          
 └────────────────┘                                  └───────────┘

 

[ElmexUbi]

Naja. Ich könnte - so denke ich- openvpn direkt auf proxmox installieren ODER in einer VM / Container. Beides ginge ja theoretisch. Ich Frage mich, was besser ist. Und ich Frage mich prinzipiell ob ich ein openvpn aus Container a auch in Container B nutzen könnte..unser esxi würde das ja nicht gehen.

 

[micneu]

Warum willst du das VPN nicht über die Firewall aufbauen lassen, ist doch ganz normal dieser vorgang, dafür hat man ja eine, du kannst auf dieser ja dann die Hosts Festlegen die das VPN Nutzen sollen.

• warum willst du es als VM oder Conatiner machen, was spricht denn gegen die Firewall
• welche Vorteile erhoffst du dir wenn du es als VM / Container laufen lässt

Bitte mal mehr informationen warum du es so umsetzen willst und was gegen die Firewall Lösung spricht (vielleicht Fehlen mir Argumente warum deine Idee die bessere Lösung ist)?

• Welche Firewall habt ihr im Einsatz (bitte genaue angaben machen)
• Wie kommt ihr ins Internet (GLAS, xDSL, Kabel, usw.)
• Welche Bandbreite habt ihr (Down/Up)
• Um zu verstehen wie Komplex/oder auch nicht Komplex das Netzwerk aufgebaut ist, gerne einen Grafischen Netzwerkplan

 

[ElmexUbi]

Ich habe das offenbar vollkommen falsch erklärt:

Es ist ein kleines privates Übungs Projekt, deswegen ist die "Firewall" die Fritzbox - und NATÜRLICH könnte ich die zumindest ein WireGuard VPN aufbauen lassen und das ganze Firewall gedröne von der Fritzbox erledigen lassen.
Das ist aber nicht das Ziel dieses Lap Projektes. Ich möchte halt die VPN verbindung von Proxmos aufbauen lassen - so das ich den PC einfach ausstöpseln und irgendwo anders wieder einstöpseln könnte und trozudem ein VPN habe - Also Proxmox baut das VPN auf und alle "dahinter" liegenden VM und Container nutzen sie. Das ist das Ziel.

Es ist aber -wie gesagt- erstmal nur akademischer Natur.

 

[micneu]

Ok, nur wenn du experimentierst. Dann stell dir doch zuhause auch eine Ordentliche Firewall auf. So kannst du dein Experiment so aufziehen wie man es im realen leben auch umsetzen würde (meine Favoriten sind pfsense, OPNsense, Alternativ OpenWRT)

Du hast ohne eine Ordentliche Firewall viel mehr Aufwand, die kannst kein Policy Base Routing machen
Für mich persönlich ist das keine gute Idee und keine praktikable Lösung.
Bin dann raus, wünsche dir viel Glück beim umsetzen

 

[jan-t]

OT

Hier mein Netzwerkplan (HomeOffice)

Moin, mit welcher Software hast Du den Netzwerkplan erstellt?

 

[micneu]

MONODRAW

 

[jan-t]

OT2

https://apps.apple.com/us/app/monodraw/id920404675?mt=12

                                            ┌──────────────────────────┐                              
                                            │                          │                              
                                            │  WAN / Internet (PPPoE)  │                              
                                            │        Willy.tel         │                              
                                            │ 1000/250Mbit/s Glasfaser │                              
                                            │                          │                              
                                            └─────────────┬────────────┘                              
─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┼ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─
                                                          │                                          
 ┌────────────────┐   ┌────────────────┐    ╔═════════════╩═════════ pfSense+ ════════╗              
 │                │   │     Switch     │    ║                             Netgate 6100║    Stand: ─ ─ ┐
 │ TrueNAS SCALE  ├───┤  USW-Flex-XG   ├────╣                      LAN: 192.168.3.0/24║  │            
 │                │   │                │    ║   Gäste (W)LAN (VLAN33): 192.168.33.0/24║    18.05.2025 │
 └────────────────┘   └───┬─┬──┬───────┘    ║       IoT WLAN (VLAN34): 192.168.34.0/24║  │            
 ┌────────────────┐       │ │  │            ║  DynDNS über deSEC.io mit eigener Domain║   ─ ─ ─ ─ ─ ─ ┘
 │      UBNT      │       │ │  │            ║                                   VPN's:║              
 │UniFI AP AC Pro ├───────┘ │  │            ║                 1 x Fritzbox 7490) IPSec║              
 │                │         │  │            ║             1 x S2S WireGuard Fritz 6591║              
 └────────────────┘         │  │            ║     1 x pfSense S2S (Netgate 6100) IPSec║              
 ┌────────────────┐         │  │            ║             1 x OpenVPN Road Warrior DCO║              
 │                │         │  │            ║                          (172.16.3.0/24)║              
 │    proxmox     ├─────────┘  │            ║               1 x WireGuard Road Warrior║              
 │                │            │            ║                         (172.16.33.0/24)║              
 └────────────────┘            │            ║                                         ║              
                               │            ╚═════════════════════════════════════════╝              
                               │                                                                      
 ┌────────────────┐   ┌────────┴───────┐ ┌────────────────────┐ ┌────────────────┐                    
 │ Fritzbox 7490  │   │     Switch     │ │                    │ │    1 x UBNT    │                    
 │    IPClient    ├───┤  USW-Flex-XG   ├─┤ USW Pro Max 16 PoE ├─┤UniFi AP-Flex-HD│                    
 │   (Nur VoIP)   │   │                │ │                    │ │                │                    
 └────────────────┘   └────┬───────────┘ └──────┬─────────────┘ └────────────────┘                    
 ┌────────────────┐        │                    │    ┌───────────┐                                    
 │      UBNT      │        │                    │    │           │                                    
 │UniFI AP AC Pro ├────────┘                    └────┤  Clients  │                                    
 │                │                                  │           │                                    
 └────────────────┘                                  └───────────┘

Die Darstellung als Code gefällt mir sehr gut.

Welche Lösung gibt es analog für Linux und Windows?

Asciiflow https://asciiflow.com oder Ditaa https://ditaa.sourceforge.net/ ?

 

[micneu]

@jan-t das hat doch jetzt nichts mehr mit proxmox zu tun, nutze die Suchmaschine deines Vertrauens oder KI, alternativ such dir ein Linux Forum wo du diese Frage stellen kannst. Es geht hier in dem Beitrag um OpenVPN bitte nicht kapern
Leider Meldet sich der Ersteller nicht mehr

 

[jan-t]

Deswegen ist es mit OT gekennzeichnet, ich dachte Du wärst der Ersteller.
Sorry für die Frage an dich.

Nur mit "MONODRAW" kann ich wenig anfangen.

Was ich nicht ganz verstehe, deine Frage hat doch jetzt nichts Spezielle mit Proxmox zu tun,

Diese Reaktion verstehe ich auch nicht.

Hier mein Netzwerkplan (HomeOffice)

Was hat das mit der Frage vom TE zu tun? Das verstehe ich auch nicht.

 

[micneu]

Also Proxmox baut das VPN auf und alle "dahinter" liegenden VM und Container nutzen sie. Das ist das Ziel.

Es ist aber -wie gesagt- erstmal nur akademischer Natur.

Alternativ installiere dir eine Firewall als VM, die DHCP und dein VPN eingerichtet hat und dann nutzen die VMs die Virtuelle Firewall als VPN Firewall/Router (das ist jetzt hier nur sehr vereinfacht erklärt), so mache ich das für meine Test Netze

Als VM Firewall kannst du das nehmen mit der du am besten klar kommst

Nur mit "MONODRAW" kann ich wenig anfangen.

Sorry, aber wenn man den Begriff in der Suchmaschine deines Vertrauens eingibt, bekommt man Ergebnisse, ich bin davon ausgegangen das du das beherrschst eine Suchmaschine zu bedienen

 

[jan-t]

OT

https://apps.apple.com/us/app/monodraw/id920404675?mt=12

Stimmt, da lande ich auf der Apple Fan Site.