Proxmox - Externer Zugriff aus dem Internet auf VMs, Firewall und Sicherheit - Fragen

[spooner]

Hallo Zusammen,
ich stehe im Moment total auf dem Schlauch.
In großen Netzwerken gibt es in der Regel eine DMZ und in dieser immer eigene Hyper-Visor für spezielle VMs, welche von Extern (aus dem Internet) erreichbar sein sollen.
Hier gibt es dann auch meisten größere Firewalls, welche den Traffic zwischen Lan und DMZ steuern.

Wie realisiert man in kleinen Netzwerken, denn das Szenario, wenn es nur einen Hyper-Visor (Proxmox) gibt?
OK, ich denke, VLans sind auch hier pflicht.
Weil ich verstehe noch nicht ganz wie man die VMs quasi untereinander isoliert und auch den Host isoliert.

Einfaches Beispiel:
Router und Switche von TP-Link mit Omada Controller
VLan 1 192.168.1.x : Proxmox Host und Lan mit Clients, NAS, usw.
VLan 2 192.168.2.x: nextcloud
VLan 3 192.168.3.x: 3CX Telefonanlage mit Telefonen

Könnt ihr Licht ins Dunkle bringen?

Viele Grüße
spooner

 

[Dunuin]

Ich habe dafür eine OPNsense VM laufen. Die hängt dann zwischen Internet und PVE host und routet auch zwischen den verschiedenen VLANs. Im Idealfall hätte man aber natürlich eine kleine bare-metal OPNsense Box (oder sogar zwei wegen HA über pfsync) vor dem PVE.

 

[spooner]

OK, aber alles auf einem Host?!
Ich hatte an einem Mini-PC hinter dem Omada Router/Firewall gedacht, aber vor dem Proxmox Host und dann als Reverse-Proxy.
Aber ob das richtig ist, weiß ich auch nicht.

 

[Dunuin]

Geht auch mit nur einem Host. Wenn man z.B. nur einen gemieteten Server irgendwo im Datacenter stehen hat, dann ist es ja immer noch besser die OPNsense als VM auf dem Server laufen zu haben, die dann den Server absichert und Gäste in DMZs isoliert, als wenn PVE und Gäste da direkt im Internet hängen würden oder frei untereinander kommunizieren könnten.
Wenn du das Budget hast, dann wäre es natürlich besser die Firewall dediziert als eigenen Host zu haben.