Hallo liebe Proxmox Pros,
ich habe mich jetzt eine Weile mit Proxmox beschäftigt und mir ein Konzept ausgedacht. Bevor ich den Plan in die Tat umsetze, wollte ich Euch bitten, mal drüber zu schauen. Ob das was ich mir so ausgedacht habe sinnvoll ist und die Konfiguration so stimmt. Ich würde mich sehr über Unterstützung freuen. Mein Ziel ist es, selber einige Dienste zu hosten. Hierfür soll Proxmox genutzt werden auf dem dann eben diverse VMs und Container laufen. Ich habe eine Fritzbox und würde über die "Exposed Host" Funktion alle Anfragen aus dem WAN an eine pfSense Instanz auf dem Proxmox Hypervisor durchreichen. Alles bis auf einen Port, über den ich per ssh (im Beispiel über Port 55555) mit Authentifizierung per passwortgeschütztem Zertifikat getunnelt auf die Weboberfläche zugreifen kann. Der pfSense vorgeschaltet soll ein eigenes Netz sein das nur vier Adressen beinhaltet damit sich die WAN Schnittstelle der pfSense nicht im lokalen Netz befindet. Ich hoffe ich konnte meine Vorstellung ist einigermaßen verständlich beschrieben.
Mich würde interessieren ob Euch evtl. eine bessere Lösung einfällt, was Ihr von der Konfiguration haltet und ob Ihr mein Konzept für sicher haltet. Natürlich vorausgesetzt dass die Firewalldistribution adäquat konfiguriert ist. Was natürlich ein anderes Thema ist. Genauso wie die Adressvergabe und Erreichbarkeit bei wechselnder öffentlicher IP.
Vielleicht ist ja jemand so nett.
VG
DBD
ich habe mich jetzt eine Weile mit Proxmox beschäftigt und mir ein Konzept ausgedacht. Bevor ich den Plan in die Tat umsetze, wollte ich Euch bitten, mal drüber zu schauen. Ob das was ich mir so ausgedacht habe sinnvoll ist und die Konfiguration so stimmt. Ich würde mich sehr über Unterstützung freuen. Mein Ziel ist es, selber einige Dienste zu hosten. Hierfür soll Proxmox genutzt werden auf dem dann eben diverse VMs und Container laufen. Ich habe eine Fritzbox und würde über die "Exposed Host" Funktion alle Anfragen aus dem WAN an eine pfSense Instanz auf dem Proxmox Hypervisor durchreichen. Alles bis auf einen Port, über den ich per ssh (im Beispiel über Port 55555) mit Authentifizierung per passwortgeschütztem Zertifikat getunnelt auf die Weboberfläche zugreifen kann. Der pfSense vorgeschaltet soll ein eigenes Netz sein das nur vier Adressen beinhaltet damit sich die WAN Schnittstelle der pfSense nicht im lokalen Netz befindet. Ich hoffe ich konnte meine Vorstellung ist einigermaßen verständlich beschrieben.
Mich würde interessieren ob Euch evtl. eine bessere Lösung einfällt, was Ihr von der Konfiguration haltet und ob Ihr mein Konzept für sicher haltet. Natürlich vorausgesetzt dass die Firewalldistribution adäquat konfiguriert ist. Was natürlich ein anderes Thema ist. Genauso wie die Adressvergabe und Erreichbarkeit bei wechselnder öffentlicher IP.
auto lo
iface lo inet loopback
auto enp6s0
iface enp6s0 inet static
address 10.10.10.254/24
gateway 10.10.10.1
post-up sysctl -w net.ipv4.ip_forward=1
post-up iptables -t nat -A PREROUTING -i enp2s0 -p tcp -m multiport ! --dport 8006,55555 -j DNA> #8006 kommt noch weg
post-up iptables -t nat -A PREROUTING -i enp2s0 -p udp -j DNAT --to 10.6.6.7
auto vmbr0
iface vmbr0 inet static
address 10.6.6.5/30
bridge-ports none
bridge-stp off
bridge-fd 0
post-up iptables -t nat -A POSTROUTING -s '10.6.6.6/30' -o enp2s0 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '10.6.6.6/30' -o enp2s0 -j MASQUERADE
#192.168.10.0/24 - Netz 1 "hinter" der pfSense
auto vmbr1
iface vmbr1 inet manual
address 192.168.10.254/24
bridge-ports none
bridge-stp off
#192.168.20.0/24- Netz 2 "hinter" der pfSense
auto vmbr2
iface vmbr2 inet manual
address 192.168.20.254/24
bridge-ports none
bridge-stp off
bridge-fd 0
iface wlp3s0 inet manual
Vielleicht ist ja jemand so nett.
VG
DBD
Last edited:
