Proxmox Setup IP Vergabe

[TryAnixx]

Hallo liebe Forum Mitglieder,

ich habe mir am Freitag meinen ersten Homeserver bestellt.
Ich bin Anwendungsentwickler und hatte bisher wenig Berührungspunkte mit Netzwerk Stuff.

Mein Ziel ist es später ein Proxmox laufen zu haben mit diesen Dingen:

• Pi-Hole
• NextCloud
• TeamSpeak 3 Server
• Gameserver (z.B. Minecraft)
• NGINX Reverse Proxy
• WireGuard VPN

Ich habe mir eine Domain bei einem Domain Anbieter geholt, der auch DynDNS Supportet.
Ein Kollege hat mir das alles so Empfohlen.

Da jetzt klar ist, was ich damit vor habe zu meiner Frage:

Was alles davon braucht eine Statische IP-Adresse?
In meinen Augen wäre das alles was ich nach außen hin zeigen möchte.
Zudem bräuchte ja auch Pi-Hole eine für den DNS kram.

Wie fungiert da DynDNS rein? Das habe ich noch nicht ganz verstanden.

Muss ich die Statischen IP-Adresen in meiner Fritz.Box festlegen oder reicht es im Proxmox diese einfach festzulegen?
Braucht Proxmox an sich in der Installation eine statische IP-Adresse?

Woran erkenne ich in meiner Fritzbox das ich außerhalb des DHCP Bereiches bin wenn ich in der Proxmox Installation eine IP-Adresse festlege?
In meiner Fritz.Box endet das letzte Gerät mit einer .56 Addrese.
Mein Kollege meinte dann fange ich am besten bei .160 an.

Muss ich da auch in diesem UI hier einfach nur ein .160 am ende Eintragen? Benötigt es da dafür noch was in der Fritz.Box?
(Screenshot aus einem YouTube Tutorial)


Ich freue mich auf Antworten und darauf in die Proxmox Community einzutauchen.
Hoffe ich konnte alles gut erklären.

Mit freundlichen Grüßen
Timo

 

[InZaneDanii]

Uff .. das ist mal viel auf Einmal

Was alles davon braucht eine Statische IP-Adresse?

Für Anfänger:

bisher wenig Berührungspunkte mit Netzwerk Stuff.

gib alles statische Adressen ..

Wie fungiert da DynDNS rein? Das habe ich noch nicht ganz verstanden.

Das kann ich dir jetzt auch nicht auswendig sagen, jedoch empfehle ich dringend eine Firewall, sodass du mit DDns nicht dein komplettes LAN dem Internet freigibst ...

Muss ich die Statischen IP-Adresen in meiner Fritz.Box festlegen oder reicht es im Proxmox diese einfach festzulegen?

Müssen, nein. das hilft a) den überblick zu bewahren b) wenn das Endgerät nur DHCP kann immer die selbe IP bekommt

Du kannst diese in Proxmox einfach fest legen - deine Fritzbox wird das mitbekommen, und die IP als reserviert makieren. Achte darauf, das die IP im selben Netz ist!

Braucht Proxmox an sich in der Installation eine statische IP-Adresse?

Die IP-Adresse wird dann permanent verwendet - Das GUI hilft dir, die netzwerk config nicht selbst zu machen. Wenn die Installation durch ist, ist dein Proxmox unter 192.168.10.68/32 erreichbar.

Woran erkenne ich in meiner Fritzbox das ich außerhalb des DHCP Bereiches bin wenn ich in der Proxmox Installation eine IP-Adresse festlege?

​

DHCP Bereich ist nur ein Addressbereich der hergegeben wird, sofern ein Gerät eine IP braucht.​

​

Musst du aber nicht nehmen, wenn dann nimm schon eine IP Addresse im selben Netz, aber außerhalb des DHCP Bereichs.​

Ist dein DHCP Bereich bspw. von 192.168.10.50 - 192.168.50.129 dann kannst du eine IP-addresse nehmen, die a) noch nicht benutzt ist, b) nicht benutzt wird und c) die im selben netz ist.​

​

In meiner Fritz.Box endet das letzte Gerät mit einer .56 Addrese.

Sagt nichts darüber aus, wie dein Netz konfiguriert ist

Mein Kollege meinte dann fange ich am besten bei .160 an.

Ist ja eigentlich auch völlig egal wo du am besten Anfängst

Muss ich da auch in diesem UI hier einfach nur ein .160 am ende Eintragen? Benötigt es da dafür noch was in der Fritz.Box?

Am besten ist, du machst einen Ping von einem gerät auf die 192.168.10.68 und schaust ob was antwortet, wenn nicht, nimm die IP doch einfach. Das heißt nicht, dass du die verwenden kannst (dauerhaft) es heißt nur, da lebt gerade nix auf der IP. Wenn ein anderes Gerät, das Statisch konfiguriert ist, die IP wieder haben will, hast du ein Problem. Du kannst auch 192.168.10.210 nehmen. Ist völlig wurscht, solange es nicht kollidiert.


Naja, was du in der FritzBox wsl machen musst, ist Ports freigeben - später dann, je nach dem welchen Dyndns host du verwendest, oder wie du dann alles umsetzen willst. Bspw: Teamspeak verwendet den port 9987 als Voice Port (wenn ich das noch richtig im Köpfchen habn!) selbst wenn dein Dyndns anbieter dann deine dynamische IPv4 zu deiner Domain anpasst, wird niemand drauf zugreifen können.

Wenn ich auf deinen Teamspeak möchte und du gibst mir deine Domain (bspw. example.org) versucht das mein DNS aufzulösen, wenn ich dann als IP 123.123.123.69 zurück bekomme, werde ich wsl bei deinem Router laden. Der Router wird mich aber von "außen", oder "WAN" nicht zugreifen lassen. -> Daher die Portfreigabe. Dann kannst du den Port 9987 auf deine VM/LXC wo Teamspeak läuft NATten, dh. alles was von außen via 9987 daher kommt, muss auf die 192.168.11.22 (bspw. IP für Teamspeak 3 VM/LXC) hin .


Evtl. Plane doch mal alles was du haben willst - du willst mindestens 6 VMS / LXC Container (wie du das auch magst) - du kannst den PRoxmox in dein eigenes LAN hängen, und alle VMS/LXC in ein anderes Netz werden bspw. 192.168.11.0/24 - Damit du es auch separrierst. Du kannst dafür pfSense oder Opnsense oder IPTables verwenden - nur meine empfehlung. Ja das macht das ganze komplexer, aber immer noch besser, als wenn du gibts dein ganzes heimnetzwerk dem internet frei

 

[TryAnixx]

Hey,

danke für diese ausführliche und erklär reiche Antwort.
Ich finde wenn ich eine Frage habe und jemanden etwas frage muss ich mein Problem detailliert und Ordentlich beschreiben, damit ich auch eine Ordentliche Antwort bekomme.

Soweit habe ich fast alles verstanden was du geschrieben hast.
Ich möchte mein Netz erstmal sehr Simple halten bis ich da mehr Erfahrung habe und mich ausprobieren.

Das kann ich dir jetzt auch nicht auswendig sagen, jedoch empfehle ich dringend eine Firewall, sodass du mit DDns nicht dein komplettes LAN dem Internet freigibst ...

Kann ich überprüfen ob ich mein komplettes LAN an das Internet freigebe?
Ich habe bei Strato eine Domain gemietet.
Ich habe diesen Guide für die Domains gefunden: https://www.strato.de/faq/hosting/so-einfach-richten-sie-dyndns-fuer-ihre-domains-ein/
Zudem weiß ich nicht welchen DynDNS Client ich später auf meinem Proxmox brauche. Kannst du mir hier einen Empfehlen?
Ich habe dann z.B. diese Domains:

• share.domain.de (NextCloud)
• ts.domain.de (TeamSpeak)
• mc.domain.de (Gehen wir einfach mal von einem MC Server aus)
• vpn.domain.de

Das sind ja die Dienste die ich nach außen Exposen möchte.
Heißt mein DynDNS Client muss den A Records für die jeweilige Domain Updaten.

Jetzt zu der Frage:
Ich expose mein komplettes LAN doch nicht im Internet solange ich keinen Port freischalte oder nicht?
Die IP-Adresse an sich bringt den Leuten ja nichts wenn deren DNS meine Domain anpingt.

Daher die Portfreigabe. Dann kannst du den Port 9987 auf deine VM/LXC wo Teamspeak läuft NATten, dh. alles was von außen via 9987 daher kommt, muss auf die 192.168.11.22 (bspw. IP für Teamspeak 3 VM/LXC) hin .

Muss ich dafür noch etwas machen außer in meiner Fritz.Box beim Proxmox die Portfreigabe zu machen?
Was heißt NATten?
Kannst du mir hierzu ein Video oder Guide empfehlen?

Oder habe ich nachher in meiner Fritz.Box wenn ich eine LXC hochziehe diese auch als extra "Gerät" und kann dann dort direkt die Portfreigabe machen?

Ich danke dir für die Antwort.

Grüße
Timo

 

[InZaneDanii]

Ich habe diesen Guide für die Domains gefunden: https://www.strato.de/faq/hosting/so-einfach-richten-sie-dyndns-fuer-ihre-domains-ein/

Der Guide scheint relativ detailiert zu sein - persöhnlich habe ich noch nie dyndns verwendet /verwenden müssen, da ich eine statische ip hab.

Zudem weiß ich nicht welchen DynDNS Client ich später auf meinem Proxmox brauche. Kannst du mir hier einen Empfehlen?

Da kann ich leider, aus fehlender Erfahrung keine Empfehlung machen. Eher eigenrecherche, aber in dem guide wird eh ein Client verwendet, der ist eh ganz okay - vermutlich, daher halte dich an dem Guide am besten.

Ich expose mein komplettes LAN doch nicht im Internet solange ich keinen Port freischalte oder nicht?

Nein, wenn du aber unbeabsichtlich was freischaltest/nicht aufpasst, kanns passieren (und das passiert leider sehr schnell) was manche Geräte ungewollt im Internet stehen, oftmals auch IOT Geräte, die leider von herstellern, überhaupt nicht gewartet bis wenig werden. Bspw. gibts einige die die 3d drucker web oberfläche direkt im Internet freigeben, das sind leider oft die perfekten Ziele Daher bitte aufpassen.

Die IP-Adresse an sich bringt den Leuten ja nichts wenn deren DNS meine Domain anpingt.

Die IP Addresse selbst natürlich bringt nicht viel. Oftmals gehen da aber Service Scanns auf die IP mither, dann gibts einige, die schaun was du exposed hast - und probieren aus.

Was heißt NATten?

Ein NAT ist relativ einfach erklärt - dein Router weiß welche Geräte im Netzwerk hängen. (muss er ja!) Jetzt möchte ich auf deinen Teamspeak verbinden, mit dem Port 9987. Beim Router kommt eine Anfrage an mit "hey ich will ne Verbindung herstellen, mit dem port: 9987" - Aber dein Router weiß nicht, wohin das soll. Hier musst du eine NAT Regel bauen, die sagt, wohin das soll. Dein Router kann/darf nicht raten.



Wenn dus relativ simple haben möchtest:
Ich gehe mal davon aus, dass du nur einen Proxmox Server hast, und keinen Cluster.
1) Installiere Proxmox mit einer freien IP in deinem LAN
2) Erstelle auf Proxmox zwei Netzwerkbrücken (bridges)
3) Installiere dir eine VM mit pfsense/Opnsense (meine Empfehlung, da einfach)
- die vm braucht beide Netzwerkbrücken (1x WAN 1x LAN, wobei LAN eine virtuelle bridge (vmbr1) sein kann)
4) Installiere deine benötigten VMs, gib dennen die vmbr1 (lan, opn-/pfsense)
5) bei der opn-/pfsense nimm deine regeln vor, die du brauchst
6) in der Fritzbox, expose deine Ports die du brauchst, 25565. 9987,... und gib als Destination deine opn-/pfsense an.
7) in der opn/pfsense bau deine NAT Regeln ... wie dus brauchst

((Stark vereinfacht))


Prinzipiell gibts viele sehr gute Videos auf YouTube, aber natürlich sind alle bissle anders, als das was du wsl. brauchst... Daher schwer eine Empfehlung abzugeben,
Ich würde das Video nehmen:
https://youtu.be/uKGkw7KE0ng?si=24iFjY94LtUsMIpr
& ab dem Teil mit der Netzwerkconfig folgdenermaßen lösen:

bridge dein physisches Netzwerkinterface. (vmbr0) - das ist dein WAN für die Opnsense auch eine IP in deinem LAN ... das müsstest du alles über die GUI machen können, ohne die /etc/network/interfaces angreifen zu müssen

wenn du discord hast, kann ich dir da auch so helfen, wenn du magst.(musst natürlich nicht )

Ich schau mir das mal mit dyndns an, jetzt hast du mich auch irgendwie drauf gebracht, dass mal anzuschaun, haha

 

[InZaneDanii]

Noch evtl. fyi:
meine Netzconfig sieht so aus:

auto lo
iface lo inet loopback

iface enp3s0 inet manual
## internal

iface enp1s0 inet manual
##internet

auto vmbr0
iface vmbr0 inet static
address 10.10.0.10/24
gateway 10.10.0.1
bridge-ports enp3s0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
#LAN

auto vmbr1
iface vmbr1 inet manual
bridge-ports enp1s0
bridge-stp off
bridge-fd 0
#WAN opnsense

Ich hab zwar jetzt zwei physische Netzwerk adapter, aber das müsste sich ohne vmbr1 auch lösen lassen.

 

[TryAnixx]

Okay, ich schaue mir das alles mal an.

Ich werde nächste Woche mit dem ganzen Setup beginnen.

Adde mich auf Discord:
Name: tryanixx

Ich würde dir dann schreiben wenn es zu Problemen kommt.

Was würde denn passieren wenn ich einfach eine VM hochziehe mit dem TS3 und dieser VM in der Fritz.Box die Port Freigabe gebe, ist das nicht das selbe wie pfsense?

Und ist das dass selbe wie mit NGINX Reverse Proxy?