Proxmox und Reverse-Proxy-Server

DJ3MG

New Member
Oct 12, 2020
2
0
1
45
Moin zusammen,
ich habe zwar schon diverse Posts zum Thema Proxmox und Reverse-Proxy-Server hier (und in anderen Foren) durchforstet, aber irgendwie bin ich nicht daraus schlau geworden. Ich habe folgendes Problem:
Ich habe einen dedizierten Hardware-Server bei He***er gemietet. Dort habe ich zusätzlich zu der statischen IPv4-Adresse ein weiteres IPv4-Subnet bestellt sowie kostenlos ein IPv6-Subnet. Auf dem Server läuft Proxmox und in entsprechenden Containern/VMs verschiedene Server-Dienste (unter anderem ein Videokonferenzsystem, dass ich für Schulungen benötige). Zu Beginn des Jahres hat He***er die Preise für IPv4-Adressen massiv angehoben (was ich sehr unverschämt finde). Die erste Überlegung war, alles nur noch auf IPv6 laufen zu lassen (was bei reinien IPv6-Adressen auch ohne Problme funktioniert). Wenn der Kunde, der sich z.B. auf meinen Konferenzserver verbindet aber nur IPv4 nutzt, kann er sich nicht zu meinem Server verbinden (was auch einleuchtet, weil es ja ein anderes Protokoll ist).
Nun kam mir die Überlegung, via eines Reverse-Proxy. der die einzige kostenlose IPv4-Adresse nach außen hin nutzt, die Anfragen über verschiedene Subdomains (die ich heute bereits benutze) an die CTs/VMs weiterleitet. Das kann ich aber nicht, weil das Thema Reverse-Proxy noch ziemliches Neuland für mich ist.
Meine Fragen hier:
- ist mein Vorhaben überhaupt realisierbar?
- Was muß ich dafür tun (Wenn irgendwo eine deutsch/englischsprachige Anleitung im Netz existiert, würde ich mich bereits über einen Link freuen)?

Viele Grüße DJ3MG
 
Ob der Reverse-Proxy über Subdomains abbildbar ist, kommt stark auf die Dienste an. Wenn ich Konferenzsoftware höre, denke ich direkt an WebRTC und dann werden die Dinge bezüglich Reverse-Proxy komplizierter, da hier sehr viel Netzwerktechnik wie Hole-Punching dazu kommt.

Grundsätzlich ist ein Reverse-Proxy, wie du ihn dir vorstellst, ohne Probleme möglich, wenn die VMs nur HTTP(s) Dienste anbieten. Auch vereinzelte Dienste per TCP/UDP kann man per Reverse-Proxy abbilden. Dann aber auf unterschiedlichen Ports und nicht per Subdomain. Das liegt daran, dass bei TCP der Domainname keine Rolle spielt. Ich nutze dafür auch meistens NGINX. Bei Containern (Docker) bietet sich aber auch HAPROXY an.

WebRTC, auf dem die meisten Konferenzsoftwares aufbauen, benötigt dann vermutlich auch einen STUN Server, um die direkte Verbindung zu ermöglichen. Öffentliche IPs braucht die VM dann gar nicht mehr. Man kann STUN und Reverse-Proxy auf demselben Host aufbauen. Da das aber beides wenig mit Proxmox zu tun hat, würde ich das hier nicht ausweiten wollen.

Technisch packst du den reverse-proxy server und metal server einfach in das gleiche vlan. Auf Proxmox VE legst du eine Bridge an, die das VLAN dann für die VMs bereitstellt. Im VLAN arbeitest du z.B. mit einem 192.168.0.0/16. Der Reverse-Proxy hat eine öffentliche IP und spricht die VMs einfach über ihre 192.168.x.x/32 IP an. Bei größeren Setups würde ich dann noch ein DHCP in dieses Netz hängen.

Wenn dir ReverseProxy mit NGINX etc. zu kompliziert ist, kannst du auch einfach auf den Cloud-Server mit der öffentlichen IP eine pfsense installieren. Da ist ein ReverseProxy (heißt dort LoadBalancer) per GUI einstellbar. Außerdem kannst du damit ohne Probleme per NAT Dienste über Portmaps veröffentlichen. Bei deinem Anbieter ist pfsense sogar per recovery sehr leicht installierbar ;)

Anmerkung: Dass die Preise für IPv4 steigen, ist in meinen Augen nicht verwunderlich. Es gibt ja mehr oder weniger keine mehr. Viel schlimmer ist es, dass die meisten DSL-Anbieter noch keine IPv6 verteilen. Ansonsten hättest du das Problem ja nicht. Die /64 Subnetze die dein Anbieter mit seinen Servern rausgibt sind ja groß genug.

Kleiner Pro-Tipp: Bei deinem Anbieter lieber ein vswitch mit Subnetz bestellen. Dann kannst du den Server später tauschen, ohne die IPs zu wechseln :)
 

DJ3MG

New Member
Oct 12, 2020
2
0
1
45
Moin, ich danke Euch beiden für die Antwort.
@christian-b: Ich danke für die ausführliche Beschreibung. Es scheint nicht so einfach zu sein, die entsprechenden Ports, die die Dienste benötigen "umzuleiten". Von daher muss ich dann wohl bei der jetzigen Lösung bleiben (es war viel Arbeit den Server aufzusetzen). Auf dem Server laufen neben WebRTC tatsächlich auch noch ein Mailserver, ein TURN-Server, ein separater GitLab-Server und ein DNS-Server. Das Risiko, hinterher etwas nicht mehr sauber lauffähig zu haben ist mir zu groß.
Was die IPv4-Verknappung angeht, denke ich, dass alle Anbieter das selbe Problem haben. Allerdings ist der von mir genannte Anbieter der Einzige, der die Preise erhöht hat (und das sogar extrem).
 
Dec 7, 2019
35
4
13
48
Hallo,

ich nutze Proxmox auch auf einem Hetzner Server und habe dafür eine IPv4 und für eine pfSense, die als VM läuft auf dem Proxmox Server läuft, noch eine. Auf der pfSense läuft dann der HAProxy (Reverse Proxy), der auf den Ports 80 und 443 lauscht und die Anfragen an die LXCs bzw. VMs weitergibt bzw. den ganzen http Verkehr auf https umleitet (inkl. Let's Encrypt Zertifikat). Alles eigentlich kein grosses Problem. Bezgl. des Preises für eine IPv4 finde ich jetzt 2 EUR im Monat ok Oder hattes Du ein ganzes Subnet?
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get your own in 60 seconds.

Buy now!