pve7 als OPNsense host - keine Updates - überhaupt möglich?

Tardar

Member
Nov 24, 2020
45
3
13
40
Bonn
funkkopfhoerer-kaufen.de
Hi zusammen,

ich hab ne alte FritzBox ausrangiert und in den Modem Betrieb versetzt.
So gut soweit.

Ich hab an der Fritte einen miniPC mit pve7 aufgesetzt, auf dem eine OPNSense Firewall läuft, die über das Fritten-Modem die Internetverbindung herstellt und sämtliche Geräte im LAN zusammenführt.

Der PVE Host hat eine feste IP Adresse aus dem Netz, indem auch die OPN Sense läuft.
Demnach hab ich am pve Host die opnsense als Gateway in der Bridge eingetragen, in der auch die Sense läuft.

Leider kann ich von der pve nur google.de, 8.8.8.8 oder bspw. 1.1.1.1 pingen.


Updates (per apt) laufen in einen timeout.
Kann ich das irgendwie beheben?
Oder ist das technisch garnicht möglich?


Danke und viele Grüße
 
Hallo,
ich bin mir nicht sicher ob diese herangehensweise ganz korrekt ist.
Normal solltest du z.b. auf deinem "miniPC" eine Bridge für "Local-LAN" haben und eine weiter für "WAN".
Am Interface für WAN verbindest du die Fritzbox und am Lan-Interface ggf. weitere Geräte, dass ist dann auch das LAN Interface für deine OPNSense Installation in welches du anschließend deine Proxmox-Installation mittels IP-Adresse auf der Bridge geben kannst.

Eventuell skizzierst du mal kurz was du vor hast.

mfg
 
So schauts aus.
Der PVE-Host braucht zwei Netzwerkkarten, resp. 2 Bridges.
Eine für WAN, eine fürs LAN.
An der WAN-Bridge hängt nur die Fritzbox und der Rest an der zweiten, der LAN-NIC.
Alternativ kann man die WAN-NIC auch per PCI zur OpnSense weiterleiten, aber das verkompliziert die Sache unnötig.

Was evtl. auch geht, ist die Verwendung von VLAN, wenn die Fritzbox wirklich nur im Modem-Betrieb läuft.

Dann braucht es (ausm Bauch raus) eine VLAN-Bridge auf VLAN7 getagt (bei T-Online) und dann wird diese die WAN-Schnittstelle für PPPOE der OpnSense.
Die darf dann aber nicht auch taggen, das das die Host-Bridge schon macht.
Ein zweites VLAN mit Bridge geht dann für LAN.
Hier muss man aber aufpassen, dass der Rest im LAN dann mit dem Vlan-Betrieb klar kommt.
Notfalls brauchts nen Switch, der taggt.

Wäre mir aber auch zu kompliziert.
Besser die Fritzbox macht pppoe und die WAN-Bridge wird als exposed Host in der FB eingetragen.
Mit allen Nachteilen, welche eine FB dann so hat.
 
Ich hab 4 bridges - für jeden LAN Port am Device.
Die Internetverbindung über die opnsense funktioniert einwandfrei.

Aus dem LAN (mit dem Mac bspw.) kann ich einwandfrei singen, Carlen, Updates fahren - auch Devices die hinter der Sense hängen, dort funktioniert es.

Allerdings beim pve Host selbst will er nicht so Recht.
Ich habe mal versucht aufzuzeichnen, wie es bei mir ausschaut (siehe Bild im Anhang).

situation.jpg

Keine Chance das so hinzubekommen ? :(
 
Mit allen Nachteilen, welche eine FB dann so hat.
Welche Nachteile hat denn die FritzBox, wenn die nur einwählt und eine Firewall direkt dahinter hängt?
 
Meiner Meinung nach sollte der PVE an die Firewall connected und nicht dran vorbei.
Wen hast du als Gateway drin?
 
Ich habe gerade das Problem ein bisschen eingrenzen können.
Ich hatte einen Upload von 0,8MBit - das gateway ist die OPNSense, was wohl nur funktioniert (ist ja eigentlich logisch), wenn die Sense läuft.
Wenn die Sense läuft und ich das Gateway entferne und neu eintrage, habe ich wieder vollen Upload.
apt update funktioniert auch, nur es lassen sich nicht alle Webseiten pingen.

Hab den PVE gern davor, um relativ gut, sicher und einfach Backups von der Firewall machen zu können.
 
Welche Nachteile hat denn die FritzBox, wenn die nur einwählt und eine Firewall direkt dahinter hängt?
Double NAT vor allem. Da kann es unschöne Effekte mit diversen Protokollen (SIP/VoIP bspw.) geben. Meistens erfordert dies dann Hybrid Outbound NAT Rules auf der Sense sowie statische Routingeinträge auf der Fritte ins Subnetz der Sense (je nach Anwendungsfall).
 
Sollte die Route (Gateway spezifisch) davon nicht unberührt sein und auch funktionieren, wenn die OPNSense nach der pve gebotet wird?
Zumindest hier bei mir scheint das nur bedingt zu funktionieren :/

Denkt Ihr es ist sinnvoll einen Bugreport zu melden oder kann das andere Ursachen haben?
 
Welche Nachteile hat denn die FritzBox, wenn die nur einwählt und eine Firewall direkt dahinter hängt?
Wenn die FB im Modem-Only Betrieb läuft, ist die voll Transparent.

Ich bezog mit auf die FB als Einwahlrouter und die OpnSense als exposed Host.
Das kann zu Problemen bei Portfreigaben der Opnsense und weiterem führen.
 
Sollte die Route (Gateway spezifisch) davon nicht unberührt sein und auch funktionieren, wenn die OPNSense nach der pve gebotet wird?
Zumindest hier bei mir scheint das nur bedingt zu funktionieren :/

Denkt Ihr es ist sinnvoll einen Bugreport zu melden oder kann das andere Ursachen haben?
Ich hab's noch ned ganz kapiert, wie der Aufbau ist:

Am PVE-Host:

NIC0 -> VMBR1 WAN-Interface der Opnsense -> Fritzbox

Wer wählt via pppoe? die OpnSense oder die Fritzbox?

NIC1 -> VMBR2 LAN1 für den Host und weiteres hier ist die OpnSense GW und DNS

NIC2 -> VMBR3 LAN2 für weiteres hier ist die OpnSense GW und DNS

VMBR2 und 3 sind separate Subnetze.

So was ähnliches nutzen wir an 4 Standorten.
Und die OpnSense sitzt so vor allem.
 
Am PVE-Host:

NIC0 -> VMBR1 WAN-Interface der Opnsense -> Fritzbox

Wer wählt via pppoe? die OpnSense oder die Fritzbox?

NIC1 -> VMBR2 LAN1 für den Host und weiteres hier ist die OpnSense GW und DNS

NIC2 -> VMBR3 LAN2 für weiteres hier ist die OpnSense GW und DNS

VMBR2 und 3 sind separate Subnetze.

korrekt:

NIC0 -> VMBR0 WAN-Interface der Opnsense -> Fritzbox

Wer wählt via pppoe? die OpnSense oder die Fritzbox? Die OPNSense baut die PPPoE Verbindung über die Fritte auf

NIC1 -> VMBR1 LAN1 für den Host und weiteres hier ist die OpnSense GW und DNS

NIC2 -> VMBR2 LAN2 für weiteres hier ist die OpnSense GW und DNS
NIC3 -> VMBR3 -> noch unbenutzt und in der OPNSense nicht eingerichtet

VMBR1 und 2 sind separate Subnetze.

So was ähnliches nutzen wir an 4 Standorten.
Und die OpnSense sitzt so vor allem.




Genau so hab Ichs eingerichtet.
Starte ich die pve nun neu, hab ich keinen Internetzugriff, lösche ich das Gateway vom Host für die VMBR1 und trage es manuell neu ein, nachdem die OPNSense oben ist, läufts wieder.
 
Last edited:
OK, dann hab ich das kapiert.

Nun, das der Host bei einem Neustart erst mal keine Internetverbindung aufbauen kann, ist normal.
Da ja in dem Moment erst mal der GW nich erreichbar ist, da aus.
Sobald die OpnSense aber läuft, sollte automatisch alles wieder funktionieren.

Wie sieht denn deine interfaces Konfiguration auf dem Host aus? Speziell die für VMBR1?
 
Sorry, hab eben vergessen zu fragen: Dein DNS-Eintrag? /etc/resolv.conf?
 
Wie sieht das aus, wenn du als DNS testweise einen externen Server einträgst?
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!