OPNsense VM auf Proxmox

Started by Retr0, September 29, 2024, 08:33:24 AM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
October 05, 2024, 07:47:12 PM #15
Du würdest damit den Zugriff auf Proxmox von der ordnungsgemäßen Funktion der eigenen VM abhängig machen. Das würde ich keinesfalls empfehlen. Wenn die VM aus welchem Grund auch immer keinen Zugriff zulässt, stehst du vor einem Problem, dass du nicht lösen kannst, falls Hetzner keine alternative Zugriffmöglichkeit zur Proxmox Konsole anbietet.

Ich würde mir zumindest den direkten SSH Zugang zu Proxmox offen lassen. Absichern kannst du ihn ja mit Passwort + Key. Beides darf lang sein. Das sollte dann sicher genug sein.

Auf deine IP ließe sich der Zugriff eventuell auch über einen dynamischen DNS Eintrag erreichen. In Proxmox müsste ein Script diesen in regelmäßigen kurzen Abständen auflösen und die Firewall mit der daraus resultierenden IP aktualisieren.
Vielleicht findest du dazu im Netz auch was Fertiges.
October 05, 2024, 08:34:19 PM #16
Quote...falls Hetzner keine alternative Zugriffmöglichkeit zur Proxmox Konsole anbietet.

Hetzner bietet die Möglichkeit per Live-System, VNC & KVM-Konsole zuzugreifen, das wäre also das geringste übel.

QuoteAbsichern kannst du ihn ja mit Passwort + Key.
SSH ist gesichert mit fail2ban und Key/Passphras
Proxmox Login mit 2FA + fail2ban

Da Fail2Ban allerdings eine Insellösung ist & etwas in die Tage gekommen hätte ich gerne CrowdSec (IP-Bannlisten die von einer Community gepflegt werden) genutzt und statt mit 2 Firewall Blocklisten + doppeltem overhead zu Hantieren sollte es Zentral in der OPNsense laufen.

Die OPNsense wird Täglich gebackupt und erhält in dem zusammenhang ein cleanen reboot ... daher sehe ich es aktuell weniger kritisch es von der VM abhängig zu machen zudem ich in der Proxmox konfig per KVM jederzeit die Forward Rule für die Ports SSH & Proxmox ändern kann, falls dieses Szenario eintritt.
October 05, 2024, 08:51:55 PM #17
Okay, ich nehme an, Proxmox kannst du über die LAN IP von intern erreichen?
Dann könntest du die OPNsense mit der WAN Bridge verbinden und damit direkt mit dem Internet. Richte eine Weiterleitung für die Ports SSH und die Proxmox GUI von der WAN Adresse auf die LAN IP von Proxmox ein.
Gib OPNsense eine öffentliche WAN IP, falls noch nicht geschehen und entferne die öffentliche IP von der Proxmox Bridge.

Habe ich was missverstanden?
October 05, 2024, 08:59:22 PM #18
Man könnte letztendlich auch die Netzwerkkarte per PCIe-Passthrough direkt in die VM mit der OPNsense einbinden und dann nur für alles interne die Proxmox-Bridges verwenden. Natürlich ist dann ebenfalls die Verbindung weg, wenn die VM down ist.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 06, 2024, 08:13:10 AM #19 Last Edit: October 06, 2024, 08:22:45 AM by lewald
Nun wir machen das bei Hetzner so.

Hetzner Install Proxmox mit OPNsense und zwei Ips


1. Installation von Proxmox über KVM und Anforderung eines USB Boot Sticks bei Hetzner.
    Nach der Installation ist Proxmox über die Haupt-IP öffentlich erreichbar.
    Proxmox hat vmbr0 angelegt. Dort ist die IP gebunden.

2.  Nun über die Hetzner Konsole eine virtuelle MAC Adresse für die zweite IP anfordern.
     Dies wird das Wan Interface in OPNsense.

3.  vmbr1 für das interne VM Netzwerk (ohne IP) erstellen.

4.  OPNsense auf Proxmox installieren. Beim Erstellen der VM müssen zwei Netzwerkadapter erstellt werden.
     Einer auf vmbr0 der andere auf vmbr1. Der Adapter auf vmbr0 wird der Wan Adapter in OPNsense.
     Hier bitte die MAC Adresse aus der Hetzner Konsole eintragen. Dadurch kann in OPNsense das WAN auf DHCP
     eingestellt werden und bekommt die richtige öffentliche IP zugewiesen. Damit die OPNsense korrekt
     eingerichtet werden kann bitte eine zweite VM aufsetzen. Mit einem Live Linux. Diese VM wird nur mit Vmbr1
     verbunden. Sie befindet sich im internen Netzwerk.
     Nun kann mit dem Live Linux die OPNsense fertig eingerichtet werden.
   
5.  VPN Tunnel nach Wahl einrichten. Damit ist die OPNsense über das private Netz erreichbar.

6.  Eine weitere Bridge im Proxmox anlegen.- vmbr2- Dies wird der interne Zugang zum Proxmox. Diese erhält
     eine IP in Proxmox. Die vmbr2 als Schnittstelle in OPNsense einbinden. OPNsense hat nun drei Adapter.
     Diesem Adapter eine passende IP geben. Firewall-Regeln anpassen. Sonst kommt man nicht an die interne IP
     zum Proxmox.
   
7.  Wenn es intern läuft, kann man über die Hetzner Firewall die Haupt-IP komplett schließen.

PS: Natürlich muss beim VPN das weitere Netzwerk berücksichtigt werden.
November 04, 2024, 08:45:57 PM #20
Hey, hier ist, wie ich mein Setup gelöst habe:

1.   Zwei IPs bei Hetzner: Eine IP zeigt direkt auf Proxmox, die andere auf OPNsense. So bleibt die Struktur sauber getrennt.
2.   Proxmox bekommt eine WAN- und eine LAN-IP, um das interne und externe Netzwerk ordentlich zu trennen.
3.   Auf der Hetzner-Firewall blockiere ich sämtlichen eingehenden Traffic zur IP von Proxmox, um zu verhindern, dass es von außen erreichbar ist.
4.   Für den Zugang zum internen Netzwerk baue ich eine WireGuard-VPN-Verbindung zur OPNsense auf. Über das VPN kann ich dann von intern auf die OPNsense und Proxmox zugreifen.
5.   Falls der VPN-Zugriff mal ausfällt, kann ich über Hetzner meine aktuelle IP für den WAN-Zugriff auf Proxmox freigeben und komme so im Notfall trotzdem ran.

Gruß
oezay
Print
Go Up Pages 1 2
User actions