Hallo,
wir haben einige Server bei Hetzner stehen, welche unter Proxmox VM's laufen lassen. Die VM's haben alle eine öffentliche IP und somit direkt am Netz. Ich würde die opnsense gerne vorschalten, aber nicht für jede VM eine eigene opnsense Instanz.
Geht das?
Bfo
Um es mal kurz zu formulieren.
Ja das geht. Virtuelle ips in Opnsense sind der Weg.
Da hängt es vom Anwendungsfall ab.
Portweiterleitung oder Reserve Proxy.
Gibt es da eine Anleitung für?
Ist ja scheinbar nicht ganz so trivial. Mein Anwendungsfall kann ich an die Gegebenheiten anpassen, wenn es denn zunächst einmal funktioniert.
Ich habe die 1. Adresse von Hetzner per MAC Zuweisung an die Netzwerkkarte gebunden, welche in opnsense das WAN Interface bildet. Soweit so funktionierend. Die 2. öffentliche IP von Hetzner hat keine MAC Zuweisung und liegt auf dem primären Interface des Hostest (so wie die 1. IP) und sollte somit am WAN Interface der opnsense ebenfalls verfügbar sein.
In opnsense habe ich ein Portforwarding auf eine VM mit lokaler IP der opnsense gemacht um es zu testen. Zugriff klappt über die WAN IP (also die 1. IP).
Wenn ich nun aber eine virtuelle IP anlege und das gleiche Portforwarding ändere, also über die virtuelle IP (also die 2. IP) laufen lasse, habe ich keinen Zugriff aus dem Internet über die 2.IP auf die VM.
Wo liegt da der Fehler?
Bfo
(ping)
Das Thema ist fast gelöst. Durch lange Recherchen habe ich die korrekte IP Konfiguration des Hostes gefunden.
Die opnsense hat eine IP direkt am WAN und eine virtuelle IP zusätzlich.
Soweit kann ich z.B. port 80 per Portforwarding der beiden IP's an 2 verschiedenen VM's leiten.
Problem: beide VM's zeigen sich nach aussen nur mit der WAN IP. Das ist natürlich problematisch, wenn die Anfrage von einer anderen IP zurück kommt, als die Anfrage gesendet hat.
Wie kann ich das noch umgehen?
Bfo
Quote from: bforpc on August 27, 2020, 11:18:35 AM
Das Thema ist fast gelöst. Durch lange Recherchen habe ich die korrekte IP Konfiguration des Hostes gefunden.
Die opnsense hat eine IP direkt am WAN und eine virtuelle IP zusätzlich.
Soweit kann ich z.B. port 80 per Portforwarding der beiden IP's an 2 verschiedenen VM's leiten.
Problem: beide VM's zeigen sich nach aussen nur mit der WAN IP. Das ist natürlich problematisch, wenn die Anfrage von einer anderen IP zurück kommt, als die Anfrage gesendet hat.
Wie kann ich das noch umgehen?
Bfo
Wahrscheinlich mit manuellen Outbound NAT Regeln
> Wie kann ich das noch umgehen?
Da müsste man etwas mehr Konfiguration sehen und du etwas mehr schreiben, aber ich denke auch, dass es wohl die Outbound NAT Settings sind. Das hängt aber ganz davon ab, wie du dein Setup jetzt umgesetzt hast, da gibt es durchaus verschiedene Möglichkeiten. Da wäre eine kleine Skizze ganz hilfreich, wo wie deine Sense jetzt dazwischen hängt und wie du die Hosts dahinter mit ihr verknotet hast :)
Outbound Nat - das wars.
Danke.
Bfo