Verständnisfrage zu Portforwarding für eine zweite WAN IP

Started by awado, November 24, 2025, 01:15:49 PM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
November 28, 2025, 07:17:48 PM #15 Last Edit: November 28, 2025, 07:19:40 PM by awado
@meyergru: Ja, manchmal ist der Schlauch auf dem man steht auch eine Art Traffic Shaper... Danke. Hab die Schnittstelle für die VM jetzt angelegt, MAC eingetragen, aber keine Änderung.

@JeGr: Versuche es mal so – Beim Hetzner sind es drei IPs (Proxmox, WAN1, WAN2) und deren Firewall, die alles zu WAN1/2 durchlässt. In Proxmox gibt es vmbr0 = OPNsense LAN und vmbr1 = OPNsense WAN, siehe Screenshot. Die OPNsense VM hat drei Netzwerkkarten (LAN, WAN1 mit MAC1, WAN2 mit MAC2). Naja, und eine der anderen VMs ist der Reverse Proxy, der die WAN IP 2 bedienen soll, während die Wordpress VM die WAN IP 1 bedient. Wie würdest Du das sonst lösen?

Inzwischen hab ich mit tcpdump in der Proxmox Shell gesehen, dass die Pings auf die WAN IP 2 ankommen. Aber nur auf enp0s31f6, nicht auf der vmbr1. Somit sieht die OPNsense VM die gar nicht. Der Hund liegt also im Networking von Proxmox. Hier mal meine aktuelle /etc/network/interfaces:

Code Select
source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback
iface lo inet6 loopback

auto enp0s31f6
iface enp0s31f6 inet manual

auto vmbr1
iface vmbr1 inet static
        address x.x.x.91/27
        gateway x.x.x.65
        pointopoint x.x.x.65
        bridge-ports enp0s31f6
        bridge-stp off
        bridge-fd 0
        post-up echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp
        post-up echo 1 > /proc/sys/net/ipv6/conf/eth0/forwarding
#OPNsense WAN

auto vmbr0
iface vmbr0 inet manual
        bridge-ports none
        bridge-stp off
        bridge-fd 0
#OPNsense LAN
Zu den IPs: Proxmox = .91, IP1 = .88, IP2= .78, GW = .65

P.S.: Im Screenshot ist noch eine alte Netzmaske drin mit /24.
November 29, 2025, 06:08:28 PM #16
Ich denke, das Problem liegt in folgendem:

Hetzner empfiehlt für ein Setup mit OpnSense und nur einer IP eine "routed" Variante. Dabei werden alle Ports außer dem für Proxmox an die OpnSense weitergeleitet. Ich mache das nicht so, weil dabei die OpnSense wieder ihre eigene WAN-IP nicht kennt, aber das nur am Rande.

Bei einem Setup mit zwei IPs wird eine für die OpnSense und eine für Proxmox selbst genutzt.

Mein Vorschlag mit zwei MACs und zwei NICs für OpnSense funktioniert zwar, aber dazu muss das ganze Setup so aufgebaut werden, während der OP offenbar vorhat, im laufenden Betrieb umzustellen. Das klappt so eher nicht. Aus Erfahrung weiß ich, dass der Umbau schrittweise erfolgen muss, Downtimes beinhaltet und oft auch eine LARA benötigt, weil man sich aussperrt. Ich würde das anders machen und einen neuen Server mieten, dort alles aufbauen und zuletzt die Server auf die neue Plattform umziehen. Danach kann man den ersten Server kündigen. Kostet im Zweifel eine Monatsmiete Extra, erlaubt aber Flexibilität beim Umbau.

Trotz allem, wie ich zu dem Thema ja schon mehrfach schrieb: Nichts für Anfänger, hochkomplex. Proxmox mit OpnSense ist eh schon schwierig, aber remote beim Hoster einrichten (und dann noch Hetzner mit den MAC-Zuordnungen) ist Hardcore.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
November 29, 2025, 08:26:02 PM #17
Inzwischen bin ich zu einer ähnlichen Erkenntnis gekommen. Es ist viel zu aufwändig für ein temporäres Szenario. Ich werde mir die Mühe machen und die vorhandene Wordpress-VM so weit kastrieren, dass sie von meinem Reverse Proxy angesteuert werden kann. Aber dennoch danke für Euren Input. Hab viel dazugelernt. Sollte mir noch ein Lichtlein aufgehen, werde ich es natürlich hier posten.
Print
Go Up Pages 1 2
User actions