OPNsense Forum
International Forums => German - Deutsch => Topic started by: loaded on October 03, 2019, 12:24:18 pm
-
moin,
ich habe opnsense als VM in Proxmox installiert und ins netz gebracht.
als WAN ip habe ich die 192.xxx.xxx.xxx.x1
als LAN ip habe ich die 192.xxx.xxx.xxx.x2
nun möchte ich alle VM und Container von Proxmox durch die Firewall leiten und dazu würde ich gerne ein Subnezt dafür erstellen.
gibt es dafür eine Anleitung ?
-
Hallo,
sind das bei dir IPs im gleichen Subnetz für LAN und WAN?
Wenn ja, schlechte Idee.
Einfach die virutelle Firewall wie eine echte "verkabeln" einen WAN Port aus deinem Proxmox Cluster leiten und dann das Netz deiner VMs dahinter virutell aufbauen.
Step-by-Step gibt es keine Anleitungen für jeden Anwendungsfall, deiner ist aber von der OPNsense Seite her der einfachste den es gibt, wenn du die Verkabelung und die Logik im Proxmos selbst hinbekommst ist der Rest easy.
VG und viel Spaß.
-
Die Subnetze baust Du in Proxmox auf. Ich habe dazu intern in Proxmox einfach eine weitere Bridge konfiguriert. Diese habe ich dann in OpnSense eingebunden und bei allen VM's und Containern. Danach gehen alle Wege raus aus diesem Servernetz über die OpnSense Firewall da ich dessen virtuelles CARP Interface als default Gateway bei den Servern eingetragen habe.
-
Hallo,
sind das bei dir IPs im gleichen Subnetz für LAN und WAN?
Wenn ja, schlechte Idee.
Einfach die virutelle Firewall wie eine echte "verkabeln" einen WAN Port aus deinem Proxmox Cluster leiten und dann das Netz deiner VMs dahinter virutell aufbauen.
Step-by-Step gibt es keine Anleitungen für jeden Anwendungsfall, deiner ist aber von der OPNsense Seite her der einfachste den es gibt, wenn du die Verkabelung und die Logik im Proxmos selbst hinbekommst ist der Rest easy.
VG und viel Spaß.
in opnsense habe ich einen dhcp-server eingerichtet der die vm bedienen soll
Dienste: DHCPv4: [Virtuell]
Aktiv DHCP-Server auf der Virtuell-Schnittstelle
Subnetz 192.168.2.0
Subnetzmaske 255.255.255.0
Verfügbarer Bereich 192.168.2.1 - 192.168.2.254
für die vm ist die vmbr3 gedacht aber ich glaube da ist was falsch.
meine network/interfaces
auto lo
iface lo inet loopback
auto eno1
iface eno1 inet manual
auto eno2
iface eno2 inet manual
auto eno3
iface eno3 inet manual
iface eno4 inet manual
iface ens3f0 inet manual
iface ens3f1 inet manual
iface dummy1 inet manual
iface dummy2 inet manual
auto vmbr0
iface vmbr0 inet static
address 192.168.178.10
netmask 24
gateway 192.168.178.1
bridge-ports eno1
bridge-stp off
bridge-fd 0
bridge_std off
#Server / WAN /Internet
iface vmbr0 inet6 auto
auto vmbr1
iface vmbr1 inet static
address 192.168.178.11
netmask 24
gateway 192.168.178.1
bridge-ports eno2
bridge-stp off
bridge-fd 0
bridge_std off
#Firewall / WAN / Internet
auto vmbr2
iface vmbr2 inet manual
bridge-ports eno3
bridge-stp off
bridge-fd 0
#Firewall / LAN / Heimnetz
auto vmbr3
iface vmbr3 inet manual
bridge-ports dummy1
bridge-stp off
bridge-fd 0
#Virtuelle Maschinen untereinander
-
Also ich habe meine OPN auch unter Proxmox am Laufen.
Eigentlich ist das sehr einfach und so hab ich das gemacht:
Proxmox installieren und dem Host ne feste IP geben die sich dann in deinem LAN befindet.
Ne zweite Bridge erstellen fürs Modem (vmbr1) und nene NIC zuweisen.
Dann die VM vorbereiten und zwei NIC's zuweisen, vmbr0 (LAN) und vmbr1 (WAN).
OPNsense installieren und weitere Einstellungen machen.
Ich hab dann keine weiteren physischen NIC's zugewiesen, weil ich dann über VLAN's weiter mache.
Dafür mußt du dann aber in der vmbr0 (LAN bridge) die Option 'VLAN aware' aktivieren.
-
Also ich habe meine OPN auch unter Proxmox am Laufen.
Eigentlich ist das sehr einfach und so hab ich das gemacht:
Proxmox installieren und dem Host ne feste IP geben die sich dann in deinem LAN befindet.
Ne zweite Bridge erstellen fürs Modem (vmbr1) und nene NIC zuweisen.
Dann die VM vorbereiten und zwei NIC's zuweisen, vmbr0 (LAN) und vmbr1 (WAN).
OPNsense installieren und weitere Einstellungen machen.
Ich hab dann keine weiteren physischen NIC's zugewiesen, weil ich dann über VLAN's weiter mache.
Dafür mußt du dann aber in der vmbr0 (LAN bridge) die Option 'VLAN aware' aktivieren.
kannst du mir bitte mal deine config zeigen, bin wohl zu blöd dafür
-
auto lo
iface lo inet loopback
iface enp2s0 inet manual
iface enp1s0 inet manual
iface enp3s0 inet manual
iface enp4s0 inet manual
iface enp5s0 inet manual
iface enp6s0 inet manual
auto vmbr0
iface vmbr0 inet static
address 1xx.xxx.xxx.99
netmask 24
gateway 1xx.xxx.xxx.1
bridge-ports enp2s0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
#Internal
auto vmbr1
iface vmbr1 inet manual
bridge-ports enp1s0
bridge-stp off
bridge-fd 0
#DSL Modem
Die OPNsense bekommt dann .1 aufs LAN IF.
Hier noch die VM Settings...
https://imgur.com/l0CqRHm (https://imgur.com/l0CqRHm)
-
auto lo
iface lo inet loopback
iface enp2s0 inet manual
iface enp1s0 inet manual
iface enp3s0 inet manual
iface enp4s0 inet manual
iface enp5s0 inet manual
iface enp6s0 inet manual
auto vmbr0
iface vmbr0 inet static
address 1xx.xxx.xxx.99
netmask 24
gateway 1xx.xxx.xxx.1
bridge-ports enp2s0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
#Internal
auto vmbr1
iface vmbr1 inet manual
bridge-ports enp1s0
bridge-stp off
bridge-fd 0
#DSL Modem
Die OPNsense bekommt dann .1 aufs LAN IF.
Hier noch die VM Settings...
https://imgur.com/l0CqRHm (https://imgur.com/l0CqRHm)
vmbr0 ist WAN ?
vmbr1 ist LAN ?
-
auto lo
iface lo inet loopback
iface enp2s0 inet manual
iface enp1s0 inet manual
iface enp3s0 inet manual
iface enp4s0 inet manual
iface enp5s0 inet manual
iface enp6s0 inet manual
auto vmbr0
iface vmbr0 inet static
address 1xx.xxx.xxx.99
netmask 24
gateway 1xx.xxx.xxx.1
bridge-ports enp2s0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
#Internal
auto vmbr1
iface vmbr1 inet manual
bridge-ports enp1s0
bridge-stp off
bridge-fd 0
#DSL Modem
Die OPNsense bekommt dann .1 aufs LAN IF.
Hier noch die VM Settings...
https://imgur.com/l0CqRHm (https://imgur.com/l0CqRHm)
vmbr0 ist WAN ?
vmbr1 ist LAN ?
Umgedreht.
vmbr0 > LAN
vmbr1 > WAN
vmbr0 ist die erste bridge die automatisch angelegt wird und ist erstmal LAN, wenn du nix anderes einstellst.
-
also ich habe das erst mal so:
vmbr0 -> WAN Server
vmbr1-> VLAN Opnsense
vmbr2-> WAN Opnsense
auto lo
iface lo inet loopback
auto eno1
iface eno1 inet manual
auto eno2
iface eno2 inet manual
auto eno3
iface eno3 inet manual
auto vmbr0
iface vmbr0 inet static
address 192.168.178.10
netmask 24
gateway 192.168.178.1
bridge-ports eno1
bridge-stp off
bridge-fd 0
bridge_std off
#Server / WAN /Internet
iface vmbr1 inet static
address 192.168.178.11
netmask 24
gateway 192.168.178.1
bridge-ports eno2
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
bridge_std off
#Firewall / LAN - VLAN / Heimnetz
auto vmbr2
iface vmbr2 inet manual
bridge-ports eno3
bridge-stp off
bridge-fd 0
#Firewall / WAN / Internet
wie gehts weiter wenn ich nun einen container in proxmox erstelle braucht er ja eine netzwerk karte .
das wäre mein VLAN
Dienste: DHCPv4: [Virtuell]
Subnetz 192.168.33.0
Subnetzmaske 255.255.255.0
Verfügbarer Bereich 192.168.33.1 - 192.168.33.254
Bereich 192.168.33.10 - 192.168.33.250
wenn ich jetzt eine netzwerk karte erstelle in dem container:
bridge :vmbr1
IPv4: 192.168.33.12/24
gateway: 192.168.33.1
läuft da nichts.
Muss da nicht sowas gebaut werden ?
VLAN on the Host
To allow host communication with an isolated network. It is possible to apply VLAN tags to any network device (NIC, Bond, Bridge). In general, you should configure the VLAN on the interface with the least abstraction layers between itself and the physical NIC.
For example, in a default configuration where you want to place the host management address on a separate VLAN.
Example: Use VLAN 5 for the Proxmox VE management IP with traditional Linux bridge
auto lo
iface lo inet loopback
iface eno1 inet manual
iface eno1.5 inet manual
auto vmbr0v5
iface vmbr0v5 inet static
address 10.10.10.2
netmask 255.255.255.0
gateway 10.10.10.1
bridge_ports eno1.5
bridge_stp off
bridge_fd 0
auto vmbr0
iface vmbr0 inet manual
bridge_ports eno1
bridge_stp off
bridge_fd 0
Example: Use VLAN 5 for the Proxmox VE management IP with VLAN aware Linux bridge
auto lo
iface lo inet loopback
iface eno1 inet manual
auto vmbr0.5
iface vmbr0.5 inet static
address 10.10.10.2
netmask 255.255.255.0
gateway 10.10.10.1
auto vmbr0
iface vmbr0 inet manual
bridge_ports eno1
bridge_stp off
bridge_fd 0
bridge_vlan_aware yes
was muss ich machen um alle geräte in einzelne VLans zu bekommen ?
eigene VLANS und DHCP habe ich schon erstellt.
ich will das erst mal an der virtuell-VLan mit meinen eigenen vm und containern laufen haben und dann weiter aufräumen, da ich auch homematic-ip geräte habe und ein gäste WLAN bauen möchte.
-
vmbr0 kannst du dir sparen.
Liegt ja im gleichen Subnetz wie vmbr1.
Dann schalte lieber den Port 'eno1' zur Brücke vmbr1 dazu. (Als Switch sozusagen)
Wenn du jetzt ein VLAN auf der LAN Schnittstelle in OPNsense erstellst, liegt es automatisch auf der vmbr1 bridge mit an.
Dann einfach einen Container/VM erstellen.
Die bridge vmbr1 auswählen und und das VLAN Tag mit reinhauen.
Bei DNS mußt du dann aber noch die IP der OPNsense im VLAN Netz eingeben (Also nicht die LAN IP).
-
vmbr0 kannst du dir sparen.
Liegt ja im gleichen Subnetz wie vmbr1.
Dann schalte lieber den Port 'eno1' zur Brücke vmbr1 dazu. (Als Switch sozusagen)
Und wie mache ich das ?
Eine Beschreibung für sowas habe ich noch nicht gefunden.
Gibt es irgendwo eine Beschreibung was wofür ist und wie man sowas am besten erstellt .
-
mein server hat 4 netzwerk ports und mal eine generelle frage kann ich 2 für wan als BOND zusammen fassen wie unten ist aus meiner oberen configuration:
auto br0
iface br0 inet static
address 192.168.178.11
netmask 24
gateway 192.168.178.1
bridge_ports eno3 eno4
bridge_fd 5
bridge-vlan-aware yes
bridge-vids 2-4094
bridge_stp yes
und 2 für das LAN als BRIDGE zum netzwerk entlasten
auto bond0
iface bond0 inet static
address 192.168.178.10
netmask 24
network 192.168.178.000
broadcast 192.168.178.255
gateway 192.168.178.1
dns-nameservers 192.168.178.1
bond-slaves eno1 eno2
bond-mode 0
bond-miimon 100
bond-updelay 200
bond-downdelay 200
-
Dir ist schon klar das doppel Posts verpönt sind.
Was bringt es Dir die selben Fragen im Proxmox Forum und hier zu stellen. Die Antworten werden die selben sein.
-
mal eine ganz doofe frager, machen wir hier auch proxmox support, ich dachte immer es geht um OPNsense hier?
Gesendet von iPad mit Tapatalk Pro