Proxmox mit Firewall

M

Melone145

New Member
Mar 2, 2024
15
0
1
Hallo Freunde,

ich habe einen Proxmox host mir einer IP Addresse und wolle daher eine Firewall drauf machen das ich NAT und eine VPN nutzen kann aber irgendwie geht das ganze nicht wenn ich versuche die VPN zu nutzen oder ein NAT denn ich eingereichtet habe lande ich nicht bei der Firewall

/etc/network/interfaces

Code: 
auto lo
iface lo inet loopback

iface nic1 inet manual

auto vmbr0
iface vmbr0 inet static
        address XXXX/XX
        gateway XXXXXX
        bridge-ports nic1
        bridge-stp off
        bridge-fd 0
        bridge_maxwait 0
        post-up echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up iptables -t nat -A PREROUTING -i vmbr0 -p tcp -m multiport ! --dport 22,8006 -j DNAT --to 10.0.10.2
        post-up iptables -t nat -A PREROUTING -i vmbr0 -p udp -j DNAT --to 10.0.10.2

auto vmbr1
iface vmbr1 inet static
        address 10.0.10.1/30
        bridge-ports none
        bridge-stp off
        bridge-fd 0
        post-up iptables -t nat -A POSTROUTING -s '10.0.10.0/30' -o vmbr0 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '10.0.10.0/30' -o vmbr0 -j MASQUERADE
#Firewall WAN

auto vmbr2
iface vmbr2 inet manual
        bridge-ports none
        bridge-stp off
        bridge-fd 0
#Firewall LAN1

und in meiner Firewall habe ich
IP: 10.0.10.2/30
Gateway: 10.0.10.1

nach draußen geht alles aber von draußen nach drinnen geht nicht ich habe das gefühl das es nicht bis zur Firewall durch geht
 
So ganz verstehe ich dein Vorhaben noch nicht.
Bei mir läuft das VPN direkt auf der Firewall (pfSense).

Kannst du bitte etwas mehr Details zu deinem Aufbau schicken?
Zum Beispiel: Welche Geräte sind beteiligt, wie sind die Netze aufgebaut und wo genau soll das VPN greifen?
 
  • Like
Reactions: Johannes S
Das ist mein Aufbau

Internet
|
nic1 (Physikalische Netzwerk karte)
|
vmbr0 (NAT auf die 10.0.10.2)
|
Proxmox
|
vmbr1 (WAN Firewall)
|
OPNsense
|
vmbr2 (LAN Firewall)
|
VMs

und alles was an Traffic an die Firewall gehen sollte wie VPN kommen da erst garnicht dann sondern landen bei dem Proxmox Host

ich hoffe so ist es etwas verständlicher
 
Also ich habe meine OPNSense auf Proxmox hinter einer Fritzbox stehen, mit einem portforward für 443 auf das OPNSense WAN Interface - für den nginx als reverse proxy auf die VMs wie z.B. mailcow in einer DMZ, genau wie z.B. Plex.

Da habe ich kein NAT auf Proxmox, NAT und Firewall macht alles OPNSense.
Der Proxmox Host (IP) hängt nicht am WAN Interface, sondern am LAN Interface.
Das kann man mit einer NW-Karte machen, wenn man z.B. VLAN nutzt, oder mit mehreren NW-Karten, die man in die OPNSesnse hineinreicht.

OPNSense IP (WAN: vmbr1) wäre 10.0.10.2 (nicht Proxmox).
OPNSense IP (LAN: vmbr0) wäre ein anderes RFC Subnetz, darin ist Proxmox.
OPNSense DMZ wäre vmbr2, für mailcow, Plex, nextcloud usw.
OPNSense WLAN z.B. vmbr3
usw.
 
Last edited:
ok nur mein Problem ist das ich keine Fritzbox oder so haben das das hier ein Server ist der in einem Rechenzentrum steht also wird meine einzigste lösung dieses NAT sein
 
Nein, du kannst das alles auch ohne Proxmox umsetzen. Mach die Firewall einfach bare metal – so hatten wir es auch in der alten Firma, und dann lag unser restliches Netz hinter der Firewall. Dort hatten wir ein /29-Netz vom Rechenzentrum bekommen.
Was spricht dagegen? Ich bin grundsätzlich kein Freund davon, Firewalls für eine Produktivumgebung zu virtualisieren.
 
Ich kann mir da keine Hardware Firewall davor stellen das ist ein Dedicate Server bei Host-Unlimit ich kann da nicht einfach hin gehen und sagen ich möchte gerne eine hardware Firewall davor stellen
 
warum hast du es nicht gleich geschrieben, das sind doch wichtige infos. wenn man mir sgat rechenzentrum gehe ich immer von gemieteten schränken aus.
und wie schon jemand erwähnt hat, schau doch mal im opnsense forum da wird auch oft sowas behandelt
 
Last edited:
Johannes S said:
Folgendes hilft envtl. (nicht getestet!):

https://forum.opnsense.org/index.php?topic=44159.0
https://www.zenarmor.com/docs/de/netzwerksicherheitstutorials/opnsense-installation
Click to expand...
Ich habe mir mir beides durch gelessen im forums beitrag geht es um alles habe ich das gefühl nur nicht wie ich ein OPNsense host aufsetzte wennn ich nur eine IP habe und in dem zenarmor beitragt geht es eher darum wie ich OPNsense allgemein auf einem Proxmox host installiere da fehlt das NAT was womöglich mein Problem ist
 
ich habe von OPNsense als VM nur im Lab Netz ahnung, such dir doch einen Dienstleister der dich da unterstützt, da gibt es einige die das Professionel machen und als Firma muss man ja ein Budget dafür haben
 
Melone145 said:
Ich habe mir mir beides durch gelessen im forums beitrag geht es um alles habe ich das gefühl nur nicht wie ich ein OPNsense host aufsetzte wennn ich nur eine IP habe und in dem zenarmor beitragt geht es eher darum wie ich OPNsense allgemein auf einem Proxmox host installiere da fehlt das NAT was womöglich mein Problem ist
Click to expand...
Genau darum geht es in ersten Link im zweiten Post. Im Grunde richtet man sich virtuelle Netzwerkkarten ein, wobei eines als Tor zur Außenwelt fungiert und das/die Andere/n als virtuelle Schnittstellen für die OPNsense.
Ansonsten findet man im Internet zum Thema auch folgenden Vortrag (noch nicht angeguckt), das klingt für mich nach genau deinen Szenario:
https://media.ccc.de/v/2024-408-pro...-netzwerke-und-nur-eine-ffentliche-ip-adresse
 
ich habe es mir gerade mal angeschaut da wurde genau das gemacht was ich schon habe aber bei mir geht das ganze aus irgendwelchen gründen nicht ich kann die Firewall von außen nicht per VPN oder sonst etwas erreichen mein NAT in der Firewall geht somit auch nicht
 
You must log in or register to reply here.
Top Bottom