Messages

1

German - Deutsch / Re: OPNsense VM auf Proxmox

« on: October 05, 2024, 08:34:19 pm »

...falls Hetzner keine alternative Zugriffmöglichkeit zur Proxmox Konsole anbietet.

Hetzner bietet die Möglichkeit per Live-System, VNC & KVM-Konsole zuzugreifen, das wäre also das geringste übel.

Absichern kannst du ihn ja mit Passwort + Key.

SSH ist gesichert mit fail2ban und Key/Passphras
Proxmox Login mit 2FA + fail2ban

Da Fail2Ban allerdings eine Insellösung ist & etwas in die Tage gekommen hätte ich gerne CrowdSec (IP-Bannlisten die von einer Community gepflegt werden) genutzt und statt mit 2 Firewall Blocklisten + doppeltem overhead zu Hantieren sollte es Zentral in der OPNsense laufen.

Die OPNsense wird Täglich gebackupt und erhält in dem zusammenhang ein cleanen reboot ... daher sehe ich es aktuell weniger kritisch es von der VM abhängig zu machen zudem ich in der Proxmox konfig per KVM jederzeit die Forward Rule für die Ports SSH & Proxmox ändern kann, falls dieses Szenario eintritt.

2

German - Deutsch / Re: OPNsense VM auf Proxmox

« on: October 05, 2024, 05:30:56 pm »

das problem wäre dann nur das ich an meinem DSL Anschluss keine statische IP habe und die IP vor jedem zugriff auf den host manuell angepasst werden muss. Daher die Aufwändigere idee mit dem Weiter Routen über die OPNsense ... auch wenn es nicht ideal ist

3

German - Deutsch / Re: OPNsense VM auf Proxmox

« on: October 05, 2024, 04:37:37 pm »

Der Server steht bei Hetzner

4

German - Deutsch / Re: OPNsense VM auf Proxmox

« on: October 05, 2024, 04:03:12 pm »

hmm, aber wäre es nicht möglich per SDN/VXLAN das so zu gestalten:

WWW:8006 -> Proxmox Weiterleitung -> OPNsense Portforwarding -> Proxmox-Host:8006
WWW:22 -> Proxmox Weiterleitung -> OPNsense Portforwarding -> Proxmox-Host:22

Also das Ziel ist ja mithilfe von CrowdSec auf der OPNsense  die Unerwünschten Brutforce Versuche von SSH & Co weg zu filtern.

5

German - Deutsch / Re: OPNsense VM auf Proxmox

« on: October 05, 2024, 01:52:19 pm »

Also von den VM´s her läuft alles so wie es soll.

Ich möchte lediglich das der Host also Proxmox selbst durch OPNsense abgesichert wird.
Aktuell erreiche ich den Port 8006 direkt aus dem Internet, ich hätte den Port gerne Hinter der OPNsense.

vtnet0: WAN
vtnet1: LAN (10.0.0.1/31)
Das sollte bei dir so in der OPNsense vorliegen.

So ähnlich hab es mal angefügt

6

German - Deutsch / Re: OPNsense VM auf Proxmox

« on: October 05, 2024, 12:35:58 pm »

Soweit ich weiß, muss hier noch eine virtuelle IP auf der OPNsense erstellt werden. Außerdem ist das dazugehörige Gateway notwendig.

Okay, das bedeutet also ich lege eine Virtuelle IP an.
z.B.

Modus:               IP-Alias
Schnittstelle:      LAN               (Die Adresse 10.0.0.0/32 soll der LAN-Schnittstelle zugeordnet werden ?)
Adresse:            10.0.0.0/32   (Ziel ist Proxmox auf vmbr1)
Gateway:           10.0.0.1        (Das Gateway ist OPNsense)

Verstehe ich das so richtig ?   

Wichtig ist auch die MAC Adresse von der Schnittstelle was man beim Proxmox auf der WAN seite mitgeben muss zur Opnsesen.

Also ich hatte der 2.WAN Schnittstelle eine MAC-Adresse mitgegeben, welche ich vom RZ vorgegeben bekommen hatte. Die WAN-Schnittstelle für die Primäre IP-Adresse ist noch auf der Automatisch vergebenen von Proxmox, soll diese Mac durch die Physikalische MAC vom Proxmox ersetzt werden ?

Ein kleiner Hinweis: Ich bin mir nicht sicher, ob deine Konfiguration so funktioniert, aber bei Proxmox wird ein Kommentar (eingeleitet durch #) mit einem Leerzeichen zwischen # und dem Kommentar manchmal als Befehl interpretiert. Dadurch kann es vorkommen, dass die Konfiguration nicht funktioniert. Vielleicht liegt hier der Fehler.

Danke für den Hinweis, ich werde die Leerzeichen mal entfernen und neu starten mal schauen ob sich was ändert.

7

German - Deutsch / Re: OPNsense VM auf Proxmox

« on: October 03, 2024, 01:56:34 pm »

ich hätte noch kurz ein paar Fragen. :-) Dann können wir dir sicher weiterhelfen.

Hast du einen Server, der bei dir lokal zu Hause steht?
Verbindest du einen Port des Modems mit dem Server und den anderen Port mit einem Switch?

Also der Server steht in einem Rechenzentrum, daher habe ich kein physischen zugriff.

Wie dem Bild zu entnehmen gibt es zwei öffentliche IP´s eine davon geht bei Port 22 & 8006 vor der OPNsense an den Host (Proxmox) alles andere wird über die vmbr1 Brücke an die OPNsense Weitergeleitet.

Die aktuelle Konfiguartion der /etc/network/interfaces Datei ist folgende...

Code: [Select]

auto lo
iface lo inet loopback

iface enp193s0f0np0 inet manual

iface enx0e689c0ecab2 inet manual

iface enp193s0f1np1 inet manual

auto vmbr0
iface vmbr0 inet static
        address 162.55.xxx.xxx/26

        # primäre WAN-IP-Broadcast-Adresse
        broadcast 162.55.xxx.xxx

        # Gateway ist über Punkt-zu-Punkt erreichbar. (Gateway-IP)
        pointopoint 162.55.xxx.xxx
        gateway 162.55.xxx.xxx

        # Einstellungen für die Brücke
        # physische Schnittstelle enp193s0f0np0 überbrücken.
        bridge-ports enp193s0f0np0
        bridge-stp off
        bridge-fd 0

        # statische Route durch das Gateway für Subnetz der primären WAN-IP
        up route add -net 162.55.xxx.xxx netmask 255.255.255.192 gw 162.55.xxx.xxx vmbr0

        # Routing für weitere IPs (max 4)
        up ip route add 162.55.xxx.xxx dev vmbr0 # 2. WAN-IP
        #up ip route add fff.fff.fff.fff dev vmbr0 # 3. WAN-IP
        #up ip route add ggg.ggg.ggg.ggg dev vmbr0 # 4. WAN-IP
        #up ip route add hhh.hhh.hhh.hhh dev vmbr0 # 5. WAN-IP

        # TCP/UDP NAT zur OPNsense.
        # Port 22 wird nicht weitergeleitet für SSH zugriff
        post-up iptables -t nat -A PREROUTING -i vmbr0 -p tcp -m multiport ! --dport 22,8006 -j DNAT --to 10.0.0.1
        post-up iptables -t nat -A PREROUTING -i vmbr0 -p udp -j DNAT --to 10.0.0.1
        post-up iptables -t nat -A PREROUTING -i vmbr0 -p icmp -j DNAT --to 10.0.0.1
#WAN_Public

auto vmbr1
iface vmbr1 inet static
        # IP für NAT
        address 10.0.0.0/31

        bridge-ports none
        bridge-stp off
        bridge-fd 0

        # lokales routing von privaten IPv4-IPs von dem
        # Proxmox-Host über den zweiten WAN-Port der OPNsense
        up ip route add 192.168.0.0/16 via 10.0.0.1 dev vmbr1
        up ip route add 172.16.0.0/12 via 10.0.0.1 dev vmbr1
        up ip route add 10.0.0.0/8 via 10.0.0.1 dev vmbr1

        # MASQUERADE Regel für NAT
        post-up iptables -t nat -A POSTROUTING -s '10.0.0.1/31' -o vmbr0 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '10.0.0.1/31' -o vmbr0 -j MASQUERADE
#WAN_Admin

auto vmbr2
iface vmbr2 inet manual
        ovs_type OVSBridge
#VM Netzwerk

source /etc/network/interfaces.d/*


8

German - Deutsch / OPNsense VM auf Proxmox

« on: September 29, 2024, 08:33:24 am »

Hallo zusammen,
ich bin noch neu bei der Thematik OPNsense & Proxmox, ich habe einen Server mit Proxmox VE8, darauf läuft eine VM mit OPNsense ... nun würde ich gerne den Proxmox hinter der OPNsense erreichbar machen.

Aktuell sind die Ports 22, 8006 für Proxmox noch vor der OPNsense und können nicht durch "CrowdSec" auf der OPNsense geschützt werden.

Kann mir da jemand weiterhelfen ?

Verständniss Frage für "CrowdSec"
Wenn CrowdSec auf der OPNsense aktiv ist, muss auf der Proxmox Host doch nur noch der Agent installiert werden um die AuffälligenIP´s an OPNsense weiterzuleiten damit OPNsense diese Blockt bzw. Reported oder ?

Danke schonmal im Vorraus