OPNsense als VM - Zugriff auf PVE-Host

O

ollibraun

Member
Jan 28, 2023
51
16
8
Hallo,

ich habe eine OPNsense als VM auf einem PVE-Host und kann mich vom Heimnetz per VPN dorthin verbinden. Kann man das so bauen, dass man durch die OPNsense auf die Proxmox-Oberfläche kommt? Der Server hat nur eine Netzwerkkarte, aber mehrere öffentliche IPs (von denen eine jetzt auf den Host zeigt und eine auf die virtualisierte OPNsense).

Ich grüble da gerade. Geht das überhaupt?

Viele Grüße
Oliver
 
Ja das geht. Ich habe dem pve-host eine IP Adresse aus meinem internen Netz gegeben und da Du ja per VPN eh im internen Netz bist kannst dann auch darauf zugreifen.
 
Wie hast Du das genau gemacht? Der PVE-Host hat ja eine öffentliche IP und soll die auch behalten. Also eine zweite NIC? Und muss dann nicht auch in der OPNsense noch ein Port eingerichtet werden für den Host? Ich steh gerade auf dem Schlauch. :D
 
ollibraun said:
Wie hast Du das genau gemacht? Der PVE-Host hat ja eine öffentliche IP und soll die auch behalten. Also eine zweite NIC? Und muss dann nicht auch in der OPNsense noch ein Port eingerichtet werden für den Host? Ich steh gerade auf dem Schlauch. :D
Click to expand...
Du hast ja eine eigene interne Bridge für den internen VM Traffic, der Bridge gibst du einfach eine IP.
 
Irgendwie bin ich auf dem Schlauch stehengeblieben. Habe ein bißchen herumprobiert, aber ohne Erfolg. Vielleicht mehr Details:

1725084348908.png

Die OPNsense hat drei Netzwerkkarten, WAN an vmbr0 und zwei getrennte LANs an vmbr1 und vmbr2.

Ich hatte jetzt mal versucht, bei vmbr0 in obiger Abbildung die 192.168.10.5/32 einzutragen, aber damit hat es noch nicht funktioniert. Ist das denn überhaupt das, was Ihr meint?

Muss nicht auf der OPNsense auch etwas angepasst werden? Das klingt so einfach bei Euch... aber durch den Tunnel komme ich zwar auf die OPNsense, aber wieso sollte diese eine Verbindung auf zum Beispiel 192.168.10.5 auf ihren WAN-Port leiten?

Fehlt vielleicht eine weitere Bridge, die mit einer vierten Netzwerkkarte auf der OPNsense verbunden ist, und außerdem eine zweite IP - beispielsweise 192.168.99.5 - auf dem Debian-Host (PVE)? So ungefähr hatte ich mir das vorgestellt, aber wenn es einfacher geht...
 
Du hast deinen Bridges die Netz IP gegeben, da wirst nu nix erreichen können. Gib einfach der Bridge 192.168.10.x oder 20.x eine IP und auf der anderen Bridge die x.0 entfernen. Welche IPs du auf den Bridges nutzt, interessiert Proxmox nicht, außer du willst mit dem Host sprechen.
 
Ich habe für den pve-host eine eigene interne IP auf ein vmbr device gegeben. Die IP ist aus meinem Management Netzwerk. Bei Dir könnte das eine IP aus 192.168.20.0 sein oder so.
 
in den Netzwerkeinstellungen vom Proxmox(Knoten) sollte es ungefähr so aussehen (siehe auch Kommentare in der letzten Spalte)
Diese "Brücken" sind dann in der FirewallVM entsprechend zuzuweisen und mit Aufgaben zu belegen, also WANa, WANb, LAN

Netzwerk im Proxmoxknoten
1725134245520.png

dann hier ein Beispiel der Zuordnung in der Firewall VM, welcher Typ auch immer:
1725134319143.png
 
Verstehe, so einigermaßen, auch wenn ich das für mich noch sortieren muss.

Ich habe jetzt mitbekommen, dass ich aus den Netzwerken auf dem PVE-Host auf dessen Oberfläche komme, wenn ich bei der jeweiligen Bridge eine passende IP eintrage. So ungefähr.

Es sieht nun so aus:

Virtuelle OPNsense, separate Schnittstelle für die Verbindung zum PVE-Host. Wireguard von meinem externen Heimnetz.

1725184338236.png

vmbr3 ist in der OPNsense die Schnittstelle ProxmoxVE.

https://192.168.70.1/ = OPNsense-Webinterface, da komme ich drauf
https://192.168.70.10:8006 = PVE, da kommt "Seite nicht erreichbar"

Im Firewall-Log der OPNsense sehe ich, dass Daten aus meinem externen lokalen Netzwerk kommen:
1725183981081.png

Von einem Client in einem lokalen Netz auf dem PVE-Host funktioniert es - der Client selbst ist in einem lokalen Netz 192.168.20.x. Und sowohl https://192.168.20.5:8006/ als auch https://192.168.70.10:8006/ sind erreichbar.

Warum es nicht durch den Tunnel geht, ist mir noch nicht klar, wegen des obigen Logs ist mein Gedankengang noch, dass das Problem der PVE-Host ist.
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom