Hi. Mein Hosting-Setup ist bisher recht klassisch: OPNsense mit einer WAN- und einer LAN-Schnittstelle, dahinter diverse VMs mit Portweiterleitungen dorthin. Läuft perfekt. Auf die WAN-Schnittstelle kommt nun eine zweite IPv4 (um vorübergehend einen zweiten Webserver darüber erreichbar zu machen).
Die Doku ist nicht sehr hilfreich. Sie spricht da nur von Load Balancing etc. Das brauche ich nicht. Ich habe aus den anderen Posts hier rausgelesen, dass man die neue IP als virtuelle IP der vorhandenen WAN-Schnittstelle zuweist. Danach muss eine Outbound-Regel (Source = LAN IP des Webservers, Translation Target = neue WAN IP) und entsprechend eine Portweiterleitung anlegen. Aber es mag nicht klappen.
Wo sage ich der OPNsense, dass Port 80 von der neuen WAN IP (und nicht von der Bisherigen!) auf den Webserver geht? Müssen die alten Portweiterleitungen angepasst werden, um weiterhin korrekt die alte WAN IP wie bisher zu bedienen?
Danke schon mal.
Wie sehen die alten Portweiterleitungen denn aus? Wenn du als Ziel "any" oder "WAN IP" hast, dann musst du die anpassen, ja. Denn "WAN IP" matcht auf alle IP-Adressen am WAN-Anschluss, nicht nur die primäre. Du musst also einen manuellen Alias für deine alte WAN-Adresse anlegen und einen für deine neue. Und dann in den NAT > Port forwarding Regeln eben diese Aliase als Ziel verwenden.
Danke für die Erklärung. Es sieht jetzt so aus, wie in den Screenshots, aber klappt noch nicht in Bezug auf die 2. WAN IP. Ich hätte gedacht, dass diese als "Source" eingetragen werden muss, da sie ja Quelle der Anfrage ist. Oder liege ich da falsch? Wird das Alias als Host oder als Network angelegt?
Quote from: awado on November 24, 2025, 01:15:49 PMIch habe aus den anderen Posts hier rausgelesen, dass man die neue IP als virtuelle IP der vorhandenen WAN-Schnittstelle zuweist. Danach muss eine Outbound-Regel (Source = LAN IP des Webservers, Translation Target = neue WAN IP) und entsprechend eine Portweiterleitung anlegen.
Erster Teil ist korrekt und nötig, sofern die zweite IP nicht vom ISP auf die erste geroutet wird. Das macht man hier: Interfaces: Virtual IPs: Settings
Typ: IP Alias
Der zweite Teil ist aber nur für ausgehende Verbindungen nötig, falls du in diesen die andere WAN IP als Quelle sehen möchtest.
Quote from: awado on November 24, 2025, 08:32:42 PMEs sieht jetzt so aus, wie in den Screenshots, aber klappt noch nicht in Bezug auf die 2. WAN IP.
Die Weiterleitung sollte so eigentlich funktionieren. Fehlt doch die virtuell IP?
BTW: Aliases für einzelne IP Adressen sind Geschmacksache. Du kannst ebenso gut direkt die IP-Adresse in die Regel schreiben.
Quote from: Patrick M. Hausen on November 24, 2025, 01:26:53 PMDenn "WAN IP" matcht auf alle IP-Adressen am WAN-Anschluss, nicht nur die primäre.
Das ist mir auch neu. Auf pfSense war es jedenfalls nicht so.
Es mag nicht klappen. Die virtuelle IP ist richtig gesetzt. Ich habe den Eindruck, dass der Traffic der zweiten WAN IP gar nicht ankommt. Allerdings gibt es beim Provider (Hetzner, dedicated) nichts, was dafür spricht. Die Firewall vom Hetzner lässt alles rein/raus unter beiden WAN IPs. In OPNsense habe ich nun Ping auf WAN erlaubt. Die erste WAN IP reagiert, die Neue nicht.
Dass das bei einem Hoster ist, hattest du nicht geschrieben. 🙄 Natürlich kann das am Uplink liegen, dass die zweite IP-Adresse noch nicht richtig geroutet wird.
Quote from: awado on November 26, 2025, 09:12:18 PMDie virtuelle IP ist richtig gesetzt. Ich habe den Eindruck, dass der Traffic der zweiten WAN IP gar nicht ankommt.
Dann solltest du das erstmal überprüfen.
Interfaces > Diagnostic > Packet Capture ist hier das Onboard-Mittel der Wahl.
Einfach das WAN Interface auswählen, die WAN2 IP oder besser die Client IP bei Host eintragen, das Capture starten und einen Zugriff von außen versuchen.
Im Ergebnis sollten die Pakete dann zu sehen sein.
Besser dir Client IP, weil WAN2 auch auf WAN1 genattet sein könnte, wenn du das bei Hetzner selbst beauftragt hast.
Du weisst aber schon, dass bei Hetzner für IPv4 eine strikte Bindung MAC <-> IP notwendig ist, oder?
Im Robot kann bzw. muss man deshalb auch separate MACs für weitere IPs setzen. Wenn der Virtualisierungshost z.B. Proxmox ist, definiert man typischerweise eine Bridge, dann muss man aber genau sortieren, wer ggf. welche MAC verwendet. Hetzner selbst beschreibt typischerweise ein Setup, bei dem der PVE seine MAC und die erste IP behält und die zweite MAC wird dann in der OpnSense gesetzt.
Siehe: https://docs.hetzner.com/de/robot/dedicated-server/ip/additional-ip-adresses/#nutzung-mit-virtualisierung-per-bridged-methode
Das ist hier beschrieben: https://forum.opnsense.org/index.php?msg=220167, in dem Thread geht es anfangs nur um Proxmox / OpnSense allgemein, denn auch dort gibt es Fallen.
Es gibt auch die Möglichkeit, OpnSense unter Proxmox mit nur einer IP zu betreiben, siehe hier: https://forum.opnsense.org/index.php?msg=248117
Und ja, manchmal klappt das mit dem Einrichten zusätzlicher IPs nicht.
Ja, sorry – das hatte ich vergessen zu erwähnen. Proxmox im Bridged Setup beim Hetzner. Es ist bei weitem nicht meine erste Installation dieser Art, nur eben nicht mit einer zweiten IP. Der Hetzner-Support hat mir bestätigt, dass die IPs korrekt geroutet werden auf seiner Seite. Die Pings kämen also bei meinem Dedicated an, aber eben nicht durch die OPNsense. Mein Setup entspricht dem, was meyergru im ersten erwähnten Thread beschreibt.
Wenn ich im Hetzner Robot für die zweite IP eine MAC erstelle, müsste ich doch in der OPNSense VM eine zweite WAN-Schnittstelle haben, um dort die MAC eintragen zu können? Da stehe ich grade auf dem Schlauch, wie man beide MAC-Adressen hinterlegt, wenn die OPNsense nur eine WAN-Schnittstelle hat. Der Traffic beider IPs geht doch über's Gateway?
So weit richtig. Hast du die Alias-IP-Adresse mit Netzmaske /32 angelegt oder mit einer kürzeren?
Ich habe bislang bei zwei (oder: mehr als einer) IPs immer die eine in OpnSense angelegt, die anderen waren direkt vergeben. Rein theoretisch müsstest Du im Bridged Setup mehr als ein Interface an die Bridge binden können - dann kannst Du auch mehrere WANs mit unterschiedlichen MACs anlegen (bei VIPs geht das m.W. nicht).
Quote from: awado on November 27, 2025, 09:04:30 PMWenn ich im Hetzner Robot für die zweite IP eine MAC erstelle, müsste ich doch in der OPNSense VM eine zweite WAN-Schnittstelle haben, um dort die MAC eintragen zu können? Da stehe ich grade auf dem Schlauch, wie man beide MAC-Adressen hinterlegt, wenn die OPNsense nur eine WAN-Schnittstelle hat. Der Traffic beider IPs geht doch über's Gateway?
Was ist denn genau das Ziel? Proxmox hat erste Wan IP, du bestellst ne zweite und die soll direkt auf der OPNsense VM landen? Dann ist es genau wie @meyergru und Patrick sagen. Da muss dann ne separate MAC für die zweite IP definiert werden, die zweite MAC stellt man in Proxmox an der OPNsense VM ein und zack sollte die VM (testweise) per DHCP die IP bekommen ohne Probleme. Würde die aber natürlich dann statisch konfigurieren. Bei nem Dedi steht man normalerweise mit der zweiten IP im gleichen /24er wie der Dedi vorher auch und hat daher das gleiche GW. Ist zumindest bei meinem so, da funktioniert das bestens.
Verstehe da gerade die Logik nicht in der Sense beide IPs zu haben? Vielleicht magst du das kurz erklären, was das wird?
Cheers :)
Super, danke für Eure rege Unterstützung zu später Stunde.
@meyergru: Beide WAN IPs kommen über einen Ethernet-Port rein. Ich hab auch nur den. Da kann ich dann keine weitere der Bridge hinzufügen. Und ich würde gerne alles über die eine OPNSense-Instanz laufen lassen.
@JeGr: Das Ziel ist, ein total vermurkstes WordPress-Hosting zu umgehen. Der Kollege hat da über Jahre innerhalb einer einzigen VM (die ich hierher migrieren musste) WordPress, CRM, ERP und noch ein paar andere Sachen installiert. Ich möchte das nun einmal sauber neu aufziehen (also getrennter Reverse Proxy, eigene LAMP VMs für WordPress etc.) und eine Seite nach der anderen über eine zweite WAN IP wieder zugänglich machen. (Natürlich im laufenden Betrieb. Sonst wär's ja einfach...) Die Websites der alten VM sind also über die erste WAN IP erreichbar und wenn die DNS Records dann umgestellt werden, sind sie unter ihren neuen VMs dann über die zweite IP erreichbar.
So ganz versteh ich es noch nicht, wie ich in der OPNsense die zweite WAN-Schnittstelle reinkrieg. Wo genau kommt die zweite MAC in der OPNsense rein? Hab ja derzeit nur zwei Schnittstellen WAN und LAN.
Nein, ich meinte, Du kannst auf der VM-Seite beliebig viele virtio-Netzwerkkarten der selben Bridge hinzufügen. Jede von denen kann dann eine eigene MAC haben.
Quote from: awado on November 28, 2025, 12:00:25 PMSo ganz versteh ich es noch nicht, wie ich in der OPNsense die zweite WAN-Schnittstelle reinkrieg. Wo genau kommt die zweite MAC in der OPNsense rein? Hab ja derzeit nur zwei Schnittstellen WAN und LAN.
Ich versteh nichtmal wo du ne 2. WAN Schnittstelle siehst oder hinbauen willst. Irgendwie macht das Setup für mich vor Augen ohne Netzplan gerade 0-Sinn *grübel*
@meyergru: Ja, manchmal ist der Schlauch auf dem man steht auch eine Art Traffic Shaper... Danke. Hab die Schnittstelle für die VM jetzt angelegt, MAC eingetragen, aber keine Änderung.
@JeGr: Versuche es mal so – Beim Hetzner sind es drei IPs (Proxmox, WAN1, WAN2) und deren Firewall, die alles zu WAN1/2 durchlässt. In Proxmox gibt es vmbr0 = OPNsense LAN und vmbr1 = OPNsense WAN, siehe Screenshot. Die OPNsense VM hat drei Netzwerkkarten (LAN, WAN1 mit MAC1, WAN2 mit MAC2). Naja, und eine der anderen VMs ist der Reverse Proxy, der die WAN IP 2 bedienen soll, während die Wordpress VM die WAN IP 1 bedient. Wie würdest Du das sonst lösen?
Inzwischen hab ich mit tcpdump in der Proxmox Shell gesehen, dass die Pings auf die WAN IP 2 ankommen. Aber nur auf enp0s31f6, nicht auf der vmbr1. Somit sieht die OPNsense VM die gar nicht. Der Hund liegt also im Networking von Proxmox. Hier mal meine aktuelle /etc/network/interfaces:
source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback
iface lo inet6 loopback
auto enp0s31f6
iface enp0s31f6 inet manual
auto vmbr1
iface vmbr1 inet static
address x.x.x.91/27
gateway x.x.x.65
pointopoint x.x.x.65
bridge-ports enp0s31f6
bridge-stp off
bridge-fd 0
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
post-up echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp
post-up echo 1 > /proc/sys/net/ipv6/conf/eth0/forwarding
#OPNsense WAN
auto vmbr0
iface vmbr0 inet manual
bridge-ports none
bridge-stp off
bridge-fd 0
#OPNsense LAN
Zu den IPs: Proxmox = .91, IP1 = .88, IP2= .78, GW = .65
P.S.: Im Screenshot ist noch eine alte Netzmaske drin mit /24.
Ich denke, das Problem liegt in folgendem:
Hetzner empfiehlt für ein Setup mit OpnSense und nur einer IP eine "routed" Variante. Dabei werden alle Ports außer dem für Proxmox an die OpnSense weitergeleitet. Ich mache das nicht so, weil dabei die OpnSense wieder ihre eigene WAN-IP nicht kennt, aber das nur am Rande.
Bei einem Setup mit zwei IPs wird eine für die OpnSense und eine für Proxmox selbst genutzt.
Mein Vorschlag mit zwei MACs und zwei NICs für OpnSense funktioniert zwar, aber dazu muss das ganze Setup so aufgebaut werden, während der OP offenbar vorhat, im laufenden Betrieb umzustellen. Das klappt so eher nicht. Aus Erfahrung weiß ich, dass der Umbau schrittweise erfolgen muss, Downtimes beinhaltet und oft auch eine LARA benötigt, weil man sich aussperrt. Ich würde das anders machen und einen neuen Server mieten, dort alles aufbauen und zuletzt die Server auf die neue Plattform umziehen. Danach kann man den ersten Server kündigen. Kostet im Zweifel eine Monatsmiete Extra, erlaubt aber Flexibilität beim Umbau.
Trotz allem, wie ich zu dem Thema ja schon mehrfach schrieb: Nichts für Anfänger, hochkomplex. Proxmox mit OpnSense ist eh schon schwierig, aber remote beim Hoster einrichten (und dann noch Hetzner mit den MAC-Zuordnungen) ist Hardcore.
Inzwischen bin ich zu einer ähnlichen Erkenntnis gekommen. Es ist viel zu aufwändig für ein temporäres Szenario. Ich werde mir die Mühe machen und die vorhandene Wordpress-VM so weit kastrieren, dass sie von meinem Reverse Proxy angesteuert werden kann. Aber dennoch danke für Euren Input. Hab viel dazugelernt. Sollte mir noch ein Lichtlein aufgehen, werde ich es natürlich hier posten.
Hallo Awado,
der letzte Vorschlag von Mergu mit einem neuen vServer ist wohl besser als die vorhandene Installation auszudünnen. Vor allem kannst du zuerst mit dem Billgsten vServer bei Hetzner starten und dann nach Bedarf upgraden.
Mit einem vServer wird das wohl eher schwierig... Virtualisierung per Proxmox auf einem Virtualisierungshost? Ich meinte schon einen echten Root-Server.
Quote from: meyergru on December 01, 2025, 04:08:12 PMMit einem vServer wird das wohl eher schwierig... Virtualisierung per Proxmox auf einem Virtualisierungshost? Ich meinte schon einen echten Root-Server.
Geht recht problemlos. Natürlich nur mit LXCs innerhalb von Proxmox dann, aber kann man machen, wenn man bspw. VM-Handling, Backup & Co vereinfachen möchte. Ist eben etwas limitert. Aber für ein temporäres Setup jetzt nicht das wildeste was ich je gesehen habe :D
Quote from: meyergru on December 01, 2025, 04:08:12 PMMit einem vServer wird das wohl eher schwierig... Virtualisierung per Proxmox auf einem Virtualisierungshost? Ich meinte schon einen echten Root-Server.
das war auch nicht mein Gedanke, sondern ich habe das ganze von seinem Ziel her betrachtet, einen neuen Server aufzusetzen. Weil er schreibt ja "@JeGr: Das Ziel ist, ein total vermurkstes WordPress-Hosting zu umgehen" Das muss ich ja nicht zwangsweise hinter Hetzner-Host, Promox, Opensense, Reverse-Proxy machen.
Das war auch mein Gedanke. Wenn du was "erbst" und musst es schön machen, dann kann man das ja temporär erstmal irgendwo hochfahren, dass es wieder läuft. Und wenn der Kram schon in Proxmox ist oder war und sogar in Containerform (LXC) statt VM, dann kann man das recht unspektakulär wirklich in nem VPS aufsetzen. Hatte ich selbst für ne Übergangszeit laufen, das geht. Man muss dem Proxmox selbst nur ordentlich Routing aktivieren, dann kann der das an LXCs weitergeben. Und den Container kann ich dann schön via Proxmox Backup o.ä. dann final auf einen sauber aufgesetzten neuen Dedi (z.B.) packen und migrieren, DAS geht dann eben super fix. Hab das genauso für meine eigene Spielwiese gemacht, und das war an einem Samstag mittag mit DNS umstellen und Container migrieren erledigt.
Darum vllt. in dem Fall ein veritabler Workaround?
Cheers :)