opnsense mit mehreren öffentlichen IP's als zentraler Startpunkt

Started by bforpc, August 21, 2020, 07:21:39 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 21, 2020, 07:21:39 AM
Hallo,

wir haben einige Server bei Hetzner stehen, welche unter Proxmox VM's laufen lassen. Die VM's haben alle eine öffentliche IP und somit direkt am Netz. Ich würde die opnsense gerne vorschalten, aber nicht für jede VM eine eigene opnsense Instanz.
Geht das?


Bfo
August 21, 2020, 08:40:17 AM #1
Um es mal kurz zu formulieren.

Ja das geht. Virtuelle ips in Opnsense  sind der Weg.

Da hängt es vom Anwendungsfall ab.

Portweiterleitung oder Reserve Proxy.
August 21, 2020, 09:18:07 AM #2 Last Edit: August 21, 2020, 03:17:22 PM by bforpc
Gibt es da eine Anleitung für?
Ist ja scheinbar nicht ganz so trivial. Mein Anwendungsfall kann ich an die Gegebenheiten anpassen, wenn es denn zunächst einmal funktioniert.

Ich habe die 1. Adresse von Hetzner per MAC Zuweisung an die Netzwerkkarte gebunden, welche in opnsense das WAN Interface bildet. Soweit so funktionierend. Die 2. öffentliche IP von Hetzner hat keine MAC Zuweisung und liegt auf dem primären Interface des Hostest (so wie die 1. IP) und sollte somit am WAN Interface der opnsense ebenfalls verfügbar sein.

In opnsense habe ich ein Portforwarding auf eine VM mit lokaler IP der opnsense gemacht um es zu testen. Zugriff klappt über die WAN IP (also die 1. IP).
Wenn ich nun aber eine virtuelle IP anlege und das gleiche Portforwarding ändere, also über die virtuelle IP  (also die 2. IP) laufen lasse, habe ich keinen Zugriff aus dem Internet über die 2.IP auf die VM.

Wo liegt da der Fehler?

Bfo
August 24, 2020, 08:58:14 AM #3
(ping)
August 27, 2020, 11:18:35 AM #4
Das Thema ist fast gelöst. Durch lange Recherchen habe ich die korrekte IP Konfiguration des Hostes gefunden.
Die opnsense hat eine IP direkt am WAN und eine virtuelle IP zusätzlich.
Soweit kann ich z.B. port 80 per Portforwarding der beiden IP's an 2 verschiedenen VM's leiten.

Problem: beide VM's zeigen sich nach aussen nur mit der WAN IP.  Das ist natürlich problematisch, wenn die Anfrage von einer anderen IP zurück kommt, als die Anfrage gesendet hat.

Wie kann ich das noch umgehen?

Bfo
August 28, 2020, 08:05:31 AM #5
Quote from: bforpc on August 27, 2020, 11:18:35 AM
Das Thema ist fast gelöst. Durch lange Recherchen habe ich die korrekte IP Konfiguration des Hostes gefunden.
Die opnsense hat eine IP direkt am WAN und eine virtuelle IP zusätzlich.
Soweit kann ich z.B. port 80 per Portforwarding der beiden IP's an 2 verschiedenen VM's leiten.

Problem: beide VM's zeigen sich nach aussen nur mit der WAN IP.  Das ist natürlich problematisch, wenn die Anfrage von einer anderen IP zurück kommt, als die Anfrage gesendet hat.

Wie kann ich das noch umgehen?

Bfo
Wahrscheinlich mit manuellen Outbound NAT Regeln
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
August 28, 2020, 09:36:03 AM #6
> Wie kann ich das noch umgehen?

Da müsste man etwas mehr Konfiguration sehen und du etwas mehr schreiben, aber ich denke auch, dass es wohl die Outbound NAT Settings sind. Das hängt aber ganz davon ab, wie du dein Setup jetzt umgesetzt hast, da gibt es durchaus verschiedene Möglichkeiten. Da wäre eine kleine Skizze ganz hilfreich, wo wie deine Sense jetzt dazwischen hängt und wie du die Hosts dahinter mit ihr verknotet hast :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
September 01, 2020, 02:24:34 PM #7
Outbound Nat - das wars.

Danke.

Bfo
Print
Go Up Pages1
User actions