VM‘s nur über private IP erreichbar

poyzion

New Member
Apr 18, 2021
2
0
1
34
Hi,

ich habe leider noch keine große Erfahrunng mit Prixmox und der Netzwerkkonfiguration der VM‘s.

Was ich gerne realisieren möchte:

Ich möchte mehrere VM‘s anlegen, welche nur über eine Private IP erreichbar sind. Dazu möchte ich einen OpenVPN Server verwenden und das ganze so konfigurieren, dass man sich zuerst via openVPN verbindet, dann erhält man eine private iPhone (z.B. 192.160.100.2) und kann sich dann auf die VM‘s verbinden, welche lediglich private IP‘s haben (z.B. 192.168.100.4 192.168.100.5 usw.). Die VM‘s selbst sollen allerdings ausgehende Verbindungen ins Internet haben, um z.B. Software, Updates etc. installieren zu können oder auch mal einen Browser nutzen zu können.

Meine Frage wäre nun: Wie realisiere ich das am besten?
Habe da wie gesagt noch nicht so viel Ahnung, würde mich daher über Tutorials freuen, welche mir zeigen jnd erklären, wie ich das ganze am besten / einfachsten realisieren kann. Der Server ist von OVH, aber denke das spielt dabei eigentlich keine Rolle.
Ich habe es bisher so konfiguriert, dass jede VM eine eigene öffentlich IPv4 und v6 hat und das funktioniert auch problemlos. Allerdings möchte ich mal einige Tests machen mit Windows Server 2019 und da wäre es doch lieber, dass Remote Desktop etc. nicht direkt über das Internet erreichbar sind, sondern erst nach verbindung mit dem OpenVPN Server, von dem der Cleont dann eine IP bekommt welche im Internen Netz liegt.

Alternativ war meine idee, die Firewall von Proxmox so zu konfigurieren, dass nur bestimmte IP‘s zugriff erhalten auf die Ports von Relote Desktop bzw. ssh unter linux und dort eben die Adresse zu verwenden, welche der Client vom OpenVPN Server erhält. Hier wäre halt der Nachteil, dass nur bestimmte Ports geblockt werden, lieber wäre es mir eben, dass eingehende Verbindungen auf den Maschinen direkt aus dem Internet gar nicht erst möglich sind und ich das somit nicht für jeden Port konfigurieren muss.

Bin euch schon mal Dankbar für jede Form der Unterstützung :)
 
entweder ganz normal in deinem lan oder in einer art dmz bei der alle ports vom wan ins dmz geschlossen sind (also eigentlich wie es bei deinem normalen lan auch ist) handelt es sich um ein privates netz oder eine firmen umgebung (meiner ansicht nach fragst du hier gerade netzwerk themen und nicht proxmox spezifische fragen). m ir würde ein detailierter grafischer netzwerkplan helfen eine mögliche lösung anzubieten. ich mache bei mir sowas mit einer ordentlichen firewall (OPNsense auf dieser kannst du auch gleich einen openvpn server konfigurieren, ist total simpel)
 
Wenn du mehrere VMs über eine öffentliche IP erreichen willst, dann macht man das eigentlich über einen Reverse Proxy. Das ist in deinem Fall aber wohl nicht wirklich praktikabel, da du wohl alle möglichen Protokolle (RDP,SSH usw) nutzen willst und alles nur über VPN gehen darf.

Ich würde da auch eine VM mit OPNsense anlegen. In der OPNsense VM kannst du dann auch über ein Plugin ein OpenVPN Server betreiben zu dem sich dann von außen verbunden werden kann. Dann alle OpenVPN-Clients in ein eigenes Subnetz (nennen wir es mal "OPENVPN") und die Rechner, die nicht von außen erreichbar sein sollen, in ein eigenes Subnetz (nennen wir es "PRIVAT"). Dann musst du NAT und die Firewall-Regeln von OPNsense so einstellen, dass da nichts außer OPENVPN nach PRIVAT routen darf, PRIVAT aber das Gateway nutzen darf um ins Internet zu kommen. Ist aber alles nicht ganz einfach, wenn du noch nie OPNsense benutzt hast oder keine große Erfahrung mit Netzwerken hast.
Am besten gleich noch VLANs mit eigenen Subnetzen nutzen, dass du da alle Zonen schön voneinander isolierst. Das macht es dann nicht nur sicherer sondern auch einfacher mit den Firewall Regeln, wenn du nicht immer einzeln angeben musst wer mit wem kommunizieren darf, sondern du generelle Regeln setzt, welche Zone was mit welcher anderen Zone darf.
Ein DMZ Subnetz würde ich bei der Gelegenheit auch gleich mit anlegen und da alles reinstecken, was direkt vom Internet aus erreichbar sein soll. Also deine anderen Server die du meintest.

Aber ja, prinzipiell sollte das möglich sein.
 
Last edited:
Hmm direkt ein Proxmox Problem ist es eventuell nicht, aber dachte das dies der Bereich / das Forum ist für die korrekte Nutzung von Proxmox und daher wäre es ok es hier zu schreiben.
Falls nicht, könnte dann ein Mod kurz bescheid geben und eventuell das Thema verschieben oder falls es in diesem kompletten Forum unpassend ist es löschen? Wäre super, sobei ich froh wäre wenn es erstmal hier bleiben kann :)
Danke und sorry sollte ich einen Fehler gemacht haben.

Da man es leicht übersehen konnte im anderen Post und schon ich gefragt wurde via PN (nicht nur einmal), wie denn meine Netzwerkverkabelung aussieht, was ich, als Router/Switch nutze usw.,
weise ich hier nochmals darauf hin, dass ich solche Dinge nicht weiß und dort auch nichts konfigurieren kann, da der Server gemietet ist vom Anbieter OVH und somit in deren Rechenzentrum steht.


Mein Vorhaben ist ja gerade nicht, dass die VM‘s über eine öffentliche IP erreichbar sind (ein- und ausgehend) sondern erst nach verbinden mit dem VPN Server und dann über die lokale/private IP die der User der sich einwählt bekommt, welche dann natürlich in einem Netz liegen sollen.
Meine Idee wäre:

Ein vmbr2 erstellen mit dem internen/Privaten IP Netz im Stil von z.B. 192.168.xxx oder 10.10.0.xxx
Das hab ich auch mal probiert und klappt auch wie es scheint, zumindest die VM‘s untereinander kennen sich.
Jetzt ist nur mein Problem, dass ich natürlich nicht mehr raus komme ins netz von den VM‘s an vmbr0, was ich für Update-Install, surfen etc. benötige.

Bei vmbr0 holt er sich die Daten für Gateway direkt vom Netzwerkport des Servers welcher seine Daten wiederum per DHCP bezieht.

Daher wäre meine Frage: Wie bekomme ich das hin, dass die VM‘s nun auch internet ausgehend haben?
Oder wäre es einfacher den Maschinen eine öffentliche Adresse zu geben und per Firewall alle eingehenden Verbindungen zu blocken außer bei einem bestimmten Port wie z.B. SSH für eingehende Verbindungen?
Dann wäre ssh bzw. Remote Desktop aber leider wieder öffentlich erreichbar, was ich ja gerade vermeiden will aus gründen der Sicherheit und es daher so machen wollte das eine Verbindung nur möglich ist wenn man mit dem internen Netz werbunden ist.

Da das alles nur ein Test ist und für den Produktivbereich umgezogen wird und dort neu eingerichtet werden muss da dort unter anderem die Netzwerk-Konfig anderst aussehen soll wollte ich jetzt nicht gleich mit vLan etc. arbeiten.
Das müsste ich mir dann alles erstmal genau durchlesen wie das alles geht und dazu fehlt mir aktuell die Zeit, da ich tagsüber Arbeiten bin bzw. eine Ausbildung mache zum Fachinformatiker für Anwendungsentwickler. Habe somit für private Projekte immer nur spätabends und an Wochenenden Zeit diese zu bearbeiten.

Ich danke aber jedem der disher etwas dazu beigetragen hat, ist echt ein super forum :)
 
Wie schon gesagt, wenn du zwischen 2 Subnetzen vermitteln willst (VMs sollen von vmbr2 über vmbr0 raus ins Internet) brauchst du einen Router. Und das mit dem OpenVPN-Server, um vom Internet ins vmbr2 zu kommen, muss ja auch wer übernehmen. Entweder muss da dein Host selbst die Rolle des Routers/OpenVPN-Servers übernehmen oder besser noch du lässt das von einer VM übernehmen.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!