Hey 
Kennt sich jemand mit Pfsense oder OPNSense aus ? 
Vlt. könnte mir dernige mir ja dabei helfen xD
Mfg
NAT mit Pfsense oder OPNSense für Proxmox
- Kamikazeflieger
- Unerledigt
-
Hallo,
am besten stellst du direkt mal deine Frage, dann muss man nicht erst "hier" schreien
-
Ja, bei was denn Hilfe?
Wo genau hackt es denn?
Also möchtest du gerne vor deine dedizierten Server eine Firewall Lösung einbinden. Die Wahl ist dabei auf PfSense gefallen. Okay.
Da ich mich selber mit Hetzner nicht auskenne, bin ich eventuell der falsche Ansprechpartner. Die PfSense selber setze ich auch bei Kunden ein.
NAT ist jedoch das selbe Prinzip.
Du möchtest also einen internen Service, welcher in einem LAN Segment deiner Firewall läuft, von außen erreichbar machen?
-
Im Prinzip "JA" xDD
Ich möchte natürlich von hetzner das gemietete Subnetz ( /29 ) per DHCP ( OPNsense ) verteilen lassen
( wenn möglich auch eine reine IPV6 an einer VM die nach möglichkeit auch den NAT nutzt)vm1 ->> 1 Subnet ip
vm 2 ->> 1 Subnet ip
vm 3 ->> 1 reine ipv6 adresse ( mit NAT um zb server zu erreichen die momentan nur ipv4 können.
Das möchte ich mit OPNsense realisieren ( opn oder pfsense sind da ja nicht ganz so verschieden
)Mit der einrichtung nach der Anleitung habe ich allerdings so meine Probleme
warum nutzt er da 3x private netzwerke obwohl doch eins reicht
wie bekomme ich das subnet da eingebunden
Daher suche ich jemaden der das vlt. sogar mit mir in einem Privaten Gespräch gern auch auf ts oder Discord mir das Erklären könne oder sogar auch zeigen kann
Mfg
-
Wenn ich jetzt etwas falsch verstehe bitte nicht gleich töten
.Ich bin selber mit mehreren Servern bei Hetzner Kunde und man kann die Hetzner Firewall über den Robot ausschalten, dann "sollte" sie eigentlich nicht mehr zwischen Funken.
-
diese ist auch standartmäßig aus bei mir
das soll ja opnsense regeln bei mir aber habe diese auch schon genutzt und muss sagen die hilf recht gut xD@meinem obigen Post
Ich bin auch gerne Bereit als Gegenleistung für demjenigen Etwas Werbung zu schalten oder sogar auch eine kleine Geldleistung als Spende zu geben
-
Versuchen wir es erst mal hier.
Ist 1. kostenfrei und 2. hat jeder was davon.
Von der Community, für die Community
Das mit deinem Subnetz verstehe ich nicht ganz.
Grundlegend ist die Firewall dafür da, um "drinnen und draußen" zu trennen. Somit hast du dein WAN interface, auf welche die scharfe IP zielt.
Alright. Du hast dann ein LAN Segment (bzw. X segmente), welche von der PfSense die IPs spendiert bekommen.
Dazu musst du natürlich DHCP für das LAN Segment aktivieren und konfigurieren (Über die GUI mit ein paar Klicks erledigt).
Weiter geht's. Nach entsprechender Regelsetzung (Achtung: PfSense hat als default any<->any!), kommunizieren die LAN Segmente (über die PfSense als Gateway) mit dem Internet.
Das ist ja so erst mal grundlegend der Fall. Was genau möchtest du nun?
Ich möchte natürlich von hetzner das gemietete Subnetz ( /29 ) per DHCP ( OPNsense ) verteilen lassen
-> An wen verteilen? Welches Interface?
warum nutzt er da 3x private netzwerke obwohl doch eins reicht
-> Das kannst du ja in der PfSense einstellen wie du lustig bist.
-
Also xDD
Mal von Grund auf jetzt Erklärt
1. Möchte ich gerne mit Proxmox KVM´s sowie auch LXC Container Virtualisieren ist ja alles schön und gut xDD
2. Soll (wenn ich eine KVM oder LXC erstelle ist ja egal
) pfsense diesen virtuellen Maschienen eine IP aus meinem Subnetz ( was ich extra Bestellt habe "176.9.206.88 / 29" ) automatisch zuweisen. ( Gerne auch direkt mein IPv6 Subnet was Hetzner ja standart jedem kunden auf ihren Servern gibt ( in meinem Fall -> 2a01:4f8:140:7229:: / 64 )3. Das Routing ( Bridget auf dem Hostsystem wo Proxmox drauf ist )
Aktuell sieht meine Interfaces so aus : ( ist egal ob jeder die IP sieht
ist nur ein Testserver bevor ich es auf meinem Anwende )Code
Alles anzeigen# network interface settings; autogenerated # Please do NOT modify this file directly, unless you know what # you're doing. # # If you want to manage part of the network configuration manually, # please utilize the 'source' or 'source-directory' directives to do # so. # PVE will preserve these directives, but will NOT its network # configuration from sourced files, so do not attempt to move any of # the PVE managed interfaces into external files! source /etc/network/interfaces.d/* auto lo iface lo inet loopback iface lo inet6 loopback iface enp2s0 inet manual auto vmbr0 iface vmbr0 inet static address 46.4.88.248 netmask 255.255.255.255 gateway 46.4.88.225 pointopoint 46.4.88.225 bridge-ports enp2s0 bridge-stp off bridge-fd 0 up route add -net 46.4.88.224 netmask 255.255.255.224 gw 46.4.88.225 vmbr0 up ip route add 192.168.0.0/16 via 46.4.88.248 dev vmbr0 up ip route add 172.16.0.0/12 via 46.4.88.248 dev vmbr0 up ip route add 10.0.0.0/8 via 46.4.88.248 dev vmbr0 up route add 176.9.206.88/29 via 46.4.88.248 dev vmbr0 up sysctl -w net.ipv4.ip_forward=1 up sysctl -w net.ipv4.conf.enp2s0.send_redirects=0 auto vmbr1 iface vmbr1 inet manual bridge-ports none bridge-stp off bridge-fd 04. Möchte ich das wenn ich eine KVM nur eine ipv6 bekommt ( für den Fall das aus meinem Subent alle IPs weg sind ) auch diese bekommt, aber allerdings per NAT nebenbei auch ipv4 auflösen kann ( einfaches Beispiel es wird auf einer KVM Plesk Installiert, dieses kann aber nicht Heruntergeladen werden da die Plesk server nur ipv4 Unterstützen)
#FAZIT
Wie Route ich das Subnet ( IPV4 und IPV6 ) in der Interfaces vom Host sodass OPNsense dies auch bei der Installation schon erkennt weil irgendwie vertausch OPNsense die Netzwerkadapter ( Diese KVM hat 2 Adapter, der erste als "vmbr0" mit einer Einzelip aus dem Robot mit MAC und "vmbr1" für die KVMs.
Mfg
-
Okay. Dann haben wir ja einiges vor uns
Am besten wir sprechen darüber mal in Teamspeak.Falls noch Bedarf besteht, einfach mal anschreiben
Sobald wir Ergebnisse erzielt haben, können wir diese hier bekannt geben und eine Art Anleitung draus bauen, damit auch die anderen etwas davon haben.
Beste Grüße