VDI auf Proxmox - was geht überhaupt

[tebse]

Liebes Forum-Mitglieder,

ich weiss, diese Frage ist jetzt vielleicht ein bischen breit und unspezifisch. Ich möchte eine VM (Windows) via Spice auf anderen Geräten (Windows, IOS, Linux) möglichst einfach für die Nutzer (Kinder) zur Verfügung stellen. Derzeitig finde ich einzelne Threads in verschiedenen Foren, jedoch liegt keine konsolidierte Information vor. In diesem Forum, aber auch an verschiedenen Stellen werden VDI-Möglichkeiten für Proxmox diskutiert:

https://forum.proxmox.com/threads/verbinden-auf-vm-per-spice-windows.42455/
https://forum.proxmox.com/threads/virtual-destop-mit-proxmox.41091/
https://forum.proxmox.com/threads/make-vdi-with-proxmox-ans-spice-help.32375/

Welche echten Möglichkeiten gibt es (ähnlich wie Citrix), eine VM via einfachem WWW Login bereit zu stellen? Mir würde ja schon ein Hyperlink genügen, den ich via IOS oder Desktop Link aufrufen könnte und eine VM startet. Gibt es irgendwo ein "Stand der Dinge" als Zusammenfassung. Hat jemand vielleicht eine einfache Anleitung, die folgende Fragen beantwortet:

- Wie sind die User / deren Rechte zu konfigurieren?
- Wie erreiche ich das WebFrontent von WAN, ohne ein Root-Login via Linux PAM zu ermöglichen?
- Kann ich zum Beispiel das PAM Login deaktiveren, wenn die Webseite nicht von intern 192.168.x.x aufgerufen wird?
- Welche Ports muss ich für Spice in der Firewall frei schalten?
- Gibt es Möglichkeiten, das System von IOS aus zu nutzen (via Ipad?)

Scheinbar überlegt Ravada sich auf / mit Proxmox zu integrieren.
- Brauche ich dafür eine VM, auf der Ravada installiert ist?
- Wird Ravada direkt auf dem Proxmox Server installiert?

Ebenso wird die Verwendung von FlexVDI Client genannt. Dieser ist unter IOS verfügbar. Wie erreiche ich damit überhaupt eine Proxmox-VM?

Danke und Gruss
Tebse

 

[wolfgang]

Hi,

Wie sind die User / deren Rechte zu konfigurieren?

Ja
https://pve.proxmox.com/wiki/User_Management

Kann ich zum Beispiel das PAM Login deaktiveren, wenn die Webseite nicht von intern 192.168.x.x aufgerufen wird?

Nein

Welche Ports muss ich für Spice in der Firewall frei schalten?

https://pve.proxmox.com/wiki/Ports

Gibt es Möglichkeiten, das System von IOS aus zu nutzen (via Ipad?)

Ja mobiles frontend, APPs.

Scheinbar überlegt Ravada sich auf / mit Proxmox zu integrieren.

Musst du bei Ravada fragen

 

[tebse]

Hallo,

Ja
https://pve.proxmox.com/wiki/User_Management

... kannte ich schon, ich suche eher eine spezifische Anleitung für den konkreten Fall. Mal ne Frage: Wie definieren ich einen AD User als generellen admin, statt root über PAM?

Nein

Das ist Blöd.

https://pve.proxmox.com/wiki/Ports

Danke, den habe ich gesucht

Ja mobiles frontend, APPs.

Welche IOS App ist da geeignet?

Musst du bei Ravada fragen

Danke und Gruss
TEbse

 

[tebse]

Noch ne Frage:

Promox läuft bei mir hinter einer Hardware-Firewall (Router). Der Port 80 zeigt auf einen Webserver. Auf dem Webserver ist ein Reverse-Proxy eingerichtet, der auf interne Server weiter leitet. So erfolgt z.B. die Weiterleitung für den Zugriff auf http://pmx.mydomain an den internen server proxmox-IP:8006. Das Login klappt (leider auch per root). Wie mache ich das nun mit dem Spice-Port. Lenke ich Port 3128 direkt von der Router-Firewall auf den proxmox-Node?

Danke und Gruss
Tebse

 

[LnxBil]

Das Login klappt (leider auch per root).

via HTTP? In Zeiten von LetsEncrypt sollte man das doch nicht mehr machen.

Was spricht denn generell gegen einen RDP HTML5-Client via Web zu verwenden? Klar, muss man da kurz Hand anlegen um das zu machen, funktionieren tut das aber. Hatte das für einen Kunden als Proof-of-Concept entwickelt. Inwiefern da eine Mobile-Unterstützung dabei ist weiß ich nicht ... ich will keinen Mauszeiger mit einem Finger bewegen müssen. Welchen Use-Case gibt es denn für Windows-Anwendungen auf dem Handy starten zu wollen? Ich kenne keine Software, die nicht mittlerweile einen mobilen Client anbietet, den man wesentlich besser bedienen kann als die entsprechende Desktopanwendung - z.B. geogebra für Mathe oder ein einfaches "Schreibprogramm". Entweder die frühere iWork Suite von Apple auf iOS oder gleich auf was platformübergreifendens ala Google Apps setzen.

 

[tebse]

Hi Bill

via HTTP? In Zeiten von LetsEncrypt sollte man das doch nicht mehr machen.

Natürlich nicht! Ich nutze Nethserver, der Revers-Proxy ist wirklich cool. Das Problem ist nämlich folgendes: Jeder Server den ich betreibe benötigt ein eigenes LE Zertifikat. Dummerweise kann mein Router aber die Zugriffe nicht nach Domain-Namen verteilen, sodass kein Server mit dem WWW direkt erreichbar ist. Dies ist aber vorraussetzung für ein LE-Zertifikat.

Wenn mir jemand sagen kann, wie ich ein LE Zertifikat für den Proxmox-Server kriegen kann, ohne dass dieser direkt erreicht werden kann bin ich dankbar.

Der Reverse-Proxy im Nethserver schaft da abhilfe: für https://pmx.myname.tld habe ich ein LE Zertifikat. Dies wird von Nethserver verwaltet und aktuallisiert. Die Interne Verbindung zwischen Nethserver und Proxmox VE verläuft ebenfalls via HTTPS. Hier verwende ich nur das selbst signierte Zertifikat von Proxmox. Dies ist im Nethserver hinterlegt, bzw. ich kann Nethserver sagen, es soll nicht verfifizierte Zertifikate verwenden, siehe Screenshot:

 

[tebse]

Was spricht denn generell gegen einen RDP HTML5-Client via Web zu verwenden? Klar, muss man da kurz Hand anlegen um das zu machen, funktionieren tut das aber. Hatte das für einen Kunden als Proof-of-Concept entwickelt. Inwiefern da eine Mobile-Unterstützung dabei ist weiß ich nicht ... ich will keinen Mauszeiger mit einem Finger bewegen müssen.

Probiere ich gerne mal, hast Du da eine Anleitung?

Inwiefern da eine Mobile-Unterstützung dabei ist weiß ich nicht ... ich will keinen Mauszeiger mit einem Finger bewegen müssen. W elchen Use-Case gibt es denn für Windows-Anwendungen auf dem Handy starten zu wollen?

Jo, das ist verständlich. Auf eine Iphone ist das sicher sinnfrei. Auf einem A4 Ipad sieht das schon anders aus. Citrix bietet z.B. eine Maus für Ihren Client an - damit hat Du faktisch ein vollwertiges Windows als VDI auf einem IPad.

Ich kenne keine Software, die nicht mittlerweile einen mobilen Client anbietet, den man wesentlich besser bedienen kann als die entsprechende Desktopanwendung - z.B. geogebra für Mathe oder ein einfaches "Schreibprogramm". Entweder die frühere iWork Suite von Apple auf iOS oder gleich auf was platformübergreifendens ala Google Apps setzen.

Ich schon! Und ich habe viele Gründe, nicht alles in die Cloud oder Software as a Service zu nutzen. Sitzt Du Süddeutschland nahe der Schweiz? Da können wir das bei einem Bier vertiefen ...

Gruss
TEbse

 

[LnxBil]

Ich schon! Und ich habe viele Gründe, nicht alles in die Cloud oder Software as a Service zu nutzen. Sitzt Du Süddeutschland nahe der Schweiz? Da können wir das bei einem Bier vertiefen ...

SW Deutschland, nahe Luxemburg, daher leider nein :-/
Würde mich aber dennoch interessieren, an was du da denkst. Finde es immer gut wenn man sich in die Probleme anderer reindenken kann :-D

Probiere ich gerne mal, hast Du da eine Anleitung?

Guacamole hatte ich da verwendet. Wenn es via VNC gehen soll kann man das verwenden, was PVE da selbst auch benutzt. Das klappt auch super.

Natürlich nicht! Ich nutze Nethserver, der Revers-Proxy ist wirklich cool.

Gut, dann habe ich das fehlinterpretiert, da du von Port 80 und HTTP geredet hast - oder machst du da TLS drüber?

Wenn mir jemand sagen kann, wie ich ein LE Zertifikat für den Proxmox-Server kriegen kann, ohne dass dieser direkt erreicht werden kann bin ich dankbar.

So lange du einen Proxy-Dienst verwendest kann der das doch normalerweise machen. Intern sollte er natürlich SNI können, sodass er via TLS weiß wohin du willst und entsprechend die korrekten Zertifikate ausliefert. Ich habe z.B. traefik im Einsatz und der kümmert sich automatisch um alle Zertifikate selbst und leitet dann alles was nicht LE-Zeugs ist an den Backendserver weiter. Der wäre auch in der Lage Wildcard-Zertifikate zu verwenden, wenn man DNS-Anbieter unterstützt wäre - ist er aber nicht.
Bei der Verbindung Richtung Backend kann man ja die "normalen" PVE Zertifikate verwenden. Wenn du mal nicht von "außen" kommst bist du logischerweise "innen" und dann greifen die "internen" Zertifikate und die müssen ja nicht LE sein, da kannst du einfach selbst unterschriebene Zertifikate verwenden, denn du kannst dir intern ja für alles eigene Zertifikate ausstellen. Kannst sogar dein eigenes Man-in-the-middle-Schattennetz aufbauen :-D

 

[tebse]

Gut, dann habe ich das fehlinterpretiert, da du von Port 80 und HTTP geredet hast - oder machst du da TLS drüber?

Nein, hast Du nicht. Ich hätte 443 / HTTPS schreiben sollen

Würde mich aber dennoch interessieren, an was du da denkst. Finde es immer gut wenn man sich in die Probleme anderer reindenken kann :-D

Ich mag hier keine offene Diskussion anstossen.
- weil es nicht in dieses Forum gehört
- weil es erst recht nich zu diesem Thread gehört
- weil es zu lang wäre / ich zu faul um es zu schreiben
-> Du hast eine Private Mail

 

[tebse]

OK,
kann mir jemand sagen, wie was ich auf den flexVDI IOS client eingeben muss, um eine bestimmte VM angezeigt zu bekommen. Was muss ich auf dem Server / in der VM konfigurieren?

Danke und Gruss
Tebse

 

[tebse]

Schiessmichtotichbinzublöd...

Ich schaffe es nicht irgendeine Verbindung auf dem iPad herzustellen. Via Apples Safari komme ich zwar zum login und kann das virt-viewer file herunterladen, aber damit weiss IOS nichts anzufangen. Der noVNC client läuft auf Safari ebenfalls nicht. Gibt es denn gar keine einfache Möglichkeit eine VM im Vollformat auf dem iPad via Spice anzuzeigen?

Danke und Gruss

 

[Deleted member 34654]

Spiceviewer für mac mal googeln?

Bei Windows brauchst du den auch.

 

[tebse]

Spiceviewer für mac mal googeln?

Bei Windows brauchst du den auch.

Den habe ich doch schon für Windows ... aber auf dem iPad??? Finde ich nicht. Zumindest nicht im Appstore unter dieser Bezeichnung. Weisst Du wonach ich im Appstore von meine iPad suchen muss? Da scheint es nur den FlexVDI-Client zu geben. Wenn Du mir helfen kannst den an meinen Node zu bringen (scheint irgendwie zu gehen) wäre ich Dir sehr dankbar.