VM als Gateway für Host und VMs

[mad170782]

Hallo,

ich habe mal eine frage an euch.

Ich bin auf diese Anleitung gestoßen http://blog.kton.me/post/152460845498/proxmox-pfsense-on-one-public-ip … Okay was heißt Anleitung … Netzwerkkonfiguration.

auto lo

iface lo inet loopback

auto eth0
iface eth0 inet Manual
  pre-up ifconfig eth0 hw ether 00:11:22:33:44:55

#auto vmbr0
#iface vmbr inet static
#  address ww.xx.yy.zz
#  netmask 255.255.255.0

#  gateway ww.xx.yy.1

auto vmbr0
iface vmbr0 inet Manual
  bridge_ports eth0
  bridge_stp off
  bridge_fd 0

auto vmbr1
iface vmbr1 inet static
  address 10.1.2.3
  netmask 255.255.255.0
  gateway 10.1.2.1
  bridge_ports None
  bridge_stp off
  bridge_fd 0

Verstehe ich das richtige, das nach dieser Anleitung es möglich sein sollte, wenn man nur eine Externe IP hat, das der gesamte Traffic des Servers (ROOT + VMs) über diese eine vm geleitet werden kann.

Müsste diese Anleitung auch bei einem Hetzner Host funktionieren? Hetzner Bindet die MAC von der Netzwerkkarte ja leider an die IP Adresse.

Wenn es Funktionieren sollte, warum klappt es nicht? Ich hatte die obige Konfiguration getestet, nur die IP Adressen ausgetauscht, danach war der Server nicht mehr erreichbar, auch kein Reset ging nicht, so das mir der Hetzner Support den Server wieder erreichbar machen musste.

Geht das überhaupt das man eine VM aufsetzt und der gesamte Traffic über die VM läuft so das man in der VM pfsense oder whatever einrichten kann? So das erst die VM von außen erreichbar ist?


Gruß Armin

 

[Da-Tex]

Ja, das geht und nennt sich Firewall (SPI).

Wie es in einem lokalen Netzwerk funktioniert, ist "einfach und schnell" erklärt. Das Ganze mit Hetzner im Hintergrund, habe ich leider keine Erfahrung mit, dürfte aber derselbe Workflow sein.

VM mit einer Firewall-Software aufsetzen.
Eine Netzwerkkarte ist die Bridge zum phsysischen Host und die andere Karte stellt die Verbindung zum lokalen Netz her.

Eigentlich sollte das kein Problem darstellen und "einfach" zu konfigurieren sein, aber wie erwähnt, ich habe mit Hetzner keine Erfahrung.

 

[mad170782]

Hallo Da-Tex,

soweit habe ich es im Lokalen Netzwerk gerade schon gehabt. Das Problem ist aber, das der Host selber noch vor der Firewall VM ist … der Port 8006 und 22 wird zumindest vom Proxmox Host abgegriffen.

Es wäre ja schön, wenn auch der Host über die VM geht, so das auf der geschützt ist.

Gruß Armin

 

[Da-Tex]

Ich glaube, dies wird nicht funktionieren und wirklich sinnvoll wäre es auch nicht.
Schmiert dir die Firewall-VM ab, war´s das. Der Server wäre nur noch über einen "physischen Zugriff" möglich.

Ich verstehe, was du damit bezwecken willst, aber das wird nicht funktionieren.
Wenn es überhaupt funktioniert dann, wenn du vor den physischen Host einen weiteren packst und diesen direkt an den Router. So läuft der Traffic direkt über den "Firewall-Host" und verteilt sich danach über eine Switch oder direkt an den PVE-Host.

Wenn es dir dennoch sehr wichtig ist, den Zugriff von außen dicht zu machen, empfehle ich dir, setz das Passwort für 8006 und 22 hoch und verwende SSH-Keys. Richte mit deiner FW VPN ein und connecte so auf eine "Administration-VM".

Ich überlege gerade, wie ich es zu Hause lösen würde/könnte. Wahrscheinlich würde ich meinen Router als Bridge einrichten bzw. alle Ports auf die FW-VM leiten und dann anfangen zu routen etc. Setzt aber voraus, dass du an den Hetzner Router kommst .


Liebe Grüße

 

[Da-Tex]

Und?