PVE auf Hetzner dedicated, NAT/masquerading einrichten

[sry]

Hallo zusammen,

eigentlich kein exotisches Szenario:

Hetzner Server mit 1 phys NIC, PVE ist installiert. Es sollen ein paar LAMP VMs darauf laufen. Diese sollen abgehende Verbindungen zum Internet aufbauen können und aus dem Interenet erreichbar sein (https/ws, 443/8090). Grober Ansatz: Privates LAN via vmbr0, NAT für abgehend VMs, 1 VM als Reverse Proxy, 443/8090 darauf forwarden.

Frage: Kann man das inzwischen auch vollständig in der Weboberfläche konfigurieren, oder muss NAT/Forwarding nach wie vor in conf files eingetragen werden? Habe nichts dazu gefunden, aber... Und, man kann das ja auch mit einer 2. public IP abbilden, wie sähe es da aus?

TIA,
Sándor

 

[news]

Nein, man muss schon wissen was man tun möchte.
Zur Wissenserweiterung, schau dir bitte mal diesen Link an:
# https://pve.proxmox.com/wiki/Setup_Simple_Zone_With_SNAT_and_DHCP

Den "Rückkanal" muss man immer noch selber anlegen per DNAT.
Habe ich dann in einer eigenen Datei neben es hat angelegt.

 

[sry]

Danke für das Feedback - grundsätzlich habe ich kein Problem mit conf-files und bash, und ich weiß auch auch so halbwegs, was ich tun möchte

Mir geht es darum, ein maximal übersichtliches disaster recovery zu ermöglichen. Sprich, ich will nicht aus dem Urlaub geklingelt werden, falls PVE auf dem/einem neuen Server genau dann neu aufgesetzt werden müsste . Das sollte dann durch einen Linux Admin erfolgen können, der nicht zwingend Proxmox Spezialist ist, und eben möglichst unkompliziert. Eine Mischung aus bash und WebGUI ist da suboptimal.

Wenn also WebGUI only nicht geht, neige ich dazu, so viel wie möglich auf der Proxy-VM (die via URI auf die VMs bzw. deren private IP verweist) einzurichten, also ggf. auch Routuings, denn die kann vom Backup eines externen Storage bequem auf dem neu aufgesetzten Proxmox wieder an den Start gebracht werden.
Was auf dem Proxmox dann noch selbst zu tun ist, würde ich auch minimeren wollen. Im Zweifel alles in /etc/netwrk/interfaces integrieren, Kopie davon aufheben als template. Bestenfalls muss AFAIK nur das naming des IF für die Server NIC angepasst werden, und man muss dann in Sachen Netzwerk gar nichts weiter im WebGUI machen.

 

[Falk R.]

Danke für das Feedback - grundsätzlich habe ich kein Problem mit conf-files und bash, und ich weiß auch auch so halbwegs, was ich tun möchte

Mir geht es darum, ein maximal übersichtliches disaster recovery zu ermöglichen. Sprich, ich will nicht aus dem Urlaub geklingelt werden, falls PVE auf dem/einem neuen Server genau dann neu aufgesetzt werden müsste . Das sollte dann durch einen Linux Admin erfolgen können, der nicht zwingend Proxmox Spezialist ist, und eben möglichst unkompliziert. Eine Mischung aus bash und WebGUI ist da suboptimal.

Wenn also WebGUI only nicht geht, neige ich dazu, so viel wie möglich auf der Proxy-VM (die via URI auf die VMs bzw. deren private IP verweist) einzurichten, also ggf. auch Routuings, denn die kann vom Backup eines externen Storage bequem auf dem neu aufgesetzten Proxmox wieder an den Start gebracht werden.
Was auf dem Proxmox dann noch selbst zu tun ist, würde ich auch minimeren wollen. Im Zweifel alles in /etc/netwrk/interfaces integrieren, Kopie davon aufheben als template. Bestenfalls muss AFAIK nur das naming des IF für die Server NIC angepasst werden, und man muss dann in Sachen Netzwerk gar nichts weiter im WebGUI machen.

Wenn du das im Unternehmensumfeld einsetzen möchtest, würde ich von dieser Bastellösung generell abraten.
Da würde ich lieber eine Firewall an die öffentliche IP hängen und den Rest hinter der Firewall erledigen.

 

[sry]

Also, ein dedicated Hetzner server mit dessen public ip als Firewall vor das ganze setzen? Ist unwirtschaflich, für den müsste dann zusätzlich ein disaster recovery vorbereitet werden. Ein Hetzner Cloud Server als FW wäre zwar günstiger und DR wäre über Snapshot-Backup easy, aber dann muss cloud prtivate lan und vswitch nebst routings eingereichtete werden. Dennoch werde ich den 2. Weg mal durchdenken:

1. Proxmox auf dedic. Server, public IP nur für Management (per Hetzner Firewall Zugrif beschränkt auf trusted networks)
2. VMs darauf in virtulellen LAN (Beispiel: 10.10.10.0/24)
3. VSwitch an dedic. Server
4. Virtuelles LAN in Hetzner Cloud einrichten (Beispiel: 10.10.11.0/24)
5. Firewall/Proxy auf VM in Cloud einrichten, m. public IP und private (z. B. 10.10.11.100)

Die Frage wäre dann, was muss alles auf PVE eingerichtet werden, damit die VMs in 10.10.10.0/26 über die Firewall/Proxy VM in 10.10.11.0/24 mit dem Internet verbunden werden können, also nicht über die public IP des Proxmox Servers.

 

[sry]

Nachtrag:

Anstatt mit vlan/cloud lan könnte die Firewall/Proxy VM in der Hetzner Cloud per VPN mit einer "VPN-VM" in PVE-LAN verbunden werden - dann müsste außer vmbr0 für Lan auf dem Proxmox AFAIK nichts eingerichtet werden.

Recovery steps für PVE wären dann:
- neu aufsetzen
- vmbr0 einrichten
- vms restore

Die Firewall/Proxy VM in der Hetzner Cloud könnte, wenn die mal crasht, aus Backup-Snapshot wiederhergestellt werden.

Falls jemand eine besser Idee und/oder Komentare hat, gerne

 

[Falk R.]

Also, ein dedicated Hetzner server mit dessen public ip als Firewall vor das ganze setzen? Ist unwirtschaflich, für den müsste dann zusätzlich ein disaster recovery vorbereitet werden. Ein Hetzner Cloud Server als FW wäre zwar günstiger und DR wäre über Snapshot-Backup easy, aber dann muss cloud prtivate lan und vswitch nebst routings eingereichtete werden. Dennoch werde ich den 2. Weg mal durchdenken:

Oder 3. Weg, du setzt eine virtuelle Firewall auf die Bridge, gibst da die öffentliche IP und nimmst diese dem PVE weg. Den PVE managest du dann nur über intern (zweite Bridge)
Wenn das Geld für einen zweiten PVE da ist, kann man auch das private Netz über einen Hetzner vSwitch laufen lassen und eine zweite virtuelle Firewall im HA betreiben.

1. Proxmox auf dedic. Server, public IP nur für Management (per Hetzner Firewall Zugrif beschränkt auf trusted networks)
2. VMs darauf in virtulellen LAN (Beispiel: 10.10.10.0/24)
3. VSwitch an dedic. Server
4. Virtuelles LAN in Hetzner Cloud einrichten (Beispiel: 10.10.11.0/24)
5. Firewall/Proxy auf VM in Cloud einrichten, m. public IP und private (z. B. 10.10.11.100)

Die Frage wäre dann, was muss alles auf PVE eingerichtet werden, damit die VMs in 10.10.10.0/26 über die Firewall/Proxy VM in 10.10.11.0/24 mit dem Internet verbunden werden können, also nicht über die public IP des Proxmox Servers.

Genau um solche Überlegungen zu sparen, bin ich der Freund einer virtuellen OPNsense oder pfsense.

 

[sry]

Nochmal Danke

Klingt nach nem guten Weg, dürfte aber auch einiges an config auf dem PVE-Server erfordern. Zwischenzeitlich wurde mir ein 4. Weg vorgeschlagen:

1 OPNsense auf Hetzner Cloud VM, eine 2. auf dem Proxmox, beide via VPN verbunden. Die 1. OPNsense ist dann komplett für die Internetkommunikation zuständig, sprich forwarded alles erlaubte 'rein und NATed alles von den VMs raus.

Dann müsste im Fall eines Ausfalls nur der Proxmox neu aufgesetzt werden, und auf diesem nichts konfiguriert werden außer vmbr0 (und nat. alle VMs vom Backup wiedergestellt werden).