opnsense und proxmox

[loaded]

moin,

ich habe opnsense als VM in Proxmox installiert und ins netz gebracht.

als WAN ip habe ich die 192.xxx.xxx.xxx.x1
als LAN ip habe ich die 192.xxx.xxx.xxx.x2
nun möchte ich alle VM und Container von Proxmox durch die Firewall leiten und dazu würde ich gerne ein Subnezt dafür erstellen.
gibt es dafür eine Anleitung ?

[banym]

Hallo,

sind das bei dir IPs im gleichen Subnetz für LAN und WAN?
Wenn ja, schlechte Idee.

Einfach die virutelle Firewall wie eine echte "verkabeln" einen WAN Port aus deinem Proxmox Cluster leiten und dann das Netz deiner VMs dahinter virutell aufbauen.

Step-by-Step gibt es keine Anleitungen für jeden Anwendungsfall, deiner ist aber von der OPNsense Seite her der einfachste den es gibt, wenn du die Verkabelung und die Logik im Proxmos selbst hinbekommst ist der Rest easy.

VG und viel Spaß.

[CoolTux]

Die Subnetze baust Du in Proxmox auf. Ich habe dazu intern in Proxmox einfach eine weitere Bridge konfiguriert. Diese habe ich dann in OpnSense eingebunden und bei allen VM's und Containern. Danach gehen alle Wege raus aus diesem Servernetz über die OpnSense Firewall da ich dessen virtuelles CARP Interface als default Gateway bei den Servern eingetragen habe.

[loaded]

Hallo,

sind das bei dir IPs im gleichen Subnetz für LAN und WAN?
Wenn ja, schlechte Idee.

Einfach die virutelle Firewall wie eine echte "verkabeln" einen WAN Port aus deinem Proxmox Cluster leiten und dann das Netz deiner VMs dahinter virutell aufbauen.

Step-by-Step gibt es keine Anleitungen für jeden Anwendungsfall, deiner ist aber von der OPNsense Seite her der einfachste den es gibt, wenn du die Verkabelung und die Logik im Proxmos selbst hinbekommst ist der Rest easy.

VG und viel Spaß.

in opnsense habe ich einen dhcp-server eingerichtet der die vm bedienen soll

Dienste: DHCPv4: [Virtuell]
Aktiv DHCP-Server auf der Virtuell-Schnittstelle
Subnetz    192.168.2.0
Subnetzmaske    255.255.255.0
Verfügbarer Bereich    192.168.2.1 - 192.168.2.254

für die vm ist die vmbr3 gedacht aber ich glaube da ist was falsch.

meine network/interfaces

Code: [Select]


auto lo
iface lo inet loopback

auto eno1
iface eno1 inet manual

auto eno2
iface eno2 inet manual
auto eno3
iface eno3 inet manual

iface eno4 inet manual

iface ens3f0 inet manual

iface ens3f1 inet manual

iface dummy1 inet manual

iface dummy2 inet manual

auto vmbr0
iface vmbr0 inet static
        address  192.168.178.10
        netmask  24
        gateway  192.168.178.1
        bridge-ports eno1
        bridge-stp off
        bridge-fd 0
        bridge_std off
#Server / WAN /Internet

iface vmbr0 inet6 auto

auto vmbr1
iface vmbr1 inet static
        address  192.168.178.11
        netmask  24
        gateway  192.168.178.1
        bridge-ports eno2
        bridge-stp off
        bridge-fd 0
        bridge_std off
#Firewall / WAN / Internet

auto vmbr2
iface vmbr2 inet manual
        bridge-ports eno3
        bridge-stp off
        bridge-fd 0
#Firewall / LAN / Heimnetz

auto vmbr3
iface vmbr3 inet manual
        bridge-ports dummy1
        bridge-stp off
        bridge-fd 0
#Virtuelle Maschinen untereinander







[rantwolf]

Also ich habe meine OPN auch unter Proxmox am Laufen.

Eigentlich ist das sehr einfach und so hab ich das gemacht:
Proxmox installieren und dem Host ne feste IP geben die sich dann in deinem LAN befindet.
Ne zweite Bridge erstellen fürs Modem (vmbr1) und nene NIC zuweisen.
Dann die VM vorbereiten und zwei NIC's zuweisen, vmbr0 (LAN) und vmbr1 (WAN).
OPNsense installieren und weitere Einstellungen machen.

Ich hab dann keine weiteren physischen NIC's zugewiesen, weil ich dann über VLAN's weiter mache.
Dafür mußt du dann aber in der vmbr0 (LAN bridge) die Option 'VLAN aware' aktivieren.

[loaded]

Also ich habe meine OPN auch unter Proxmox am Laufen.

Eigentlich ist das sehr einfach und so hab ich das gemacht:
Proxmox installieren und dem Host ne feste IP geben die sich dann in deinem LAN befindet.
Ne zweite Bridge erstellen fürs Modem (vmbr1) und nene NIC zuweisen.
Dann die VM vorbereiten und zwei NIC's zuweisen, vmbr0 (LAN) und vmbr1 (WAN).
OPNsense installieren und weitere Einstellungen machen.

Ich hab dann keine weiteren physischen NIC's zugewiesen, weil ich dann über VLAN's weiter mache.
Dafür mußt du dann aber in der vmbr0 (LAN bridge) die Option 'VLAN aware' aktivieren.

kannst du mir bitte mal deine config zeigen, bin wohl zu blöd dafür

[rantwolf]

Code: [Select]

auto lo
iface lo inet loopback

iface enp2s0 inet manual

iface enp1s0 inet manual

iface enp3s0 inet manual

iface enp4s0 inet manual

iface enp5s0 inet manual

iface enp6s0 inet manual

auto vmbr0
iface vmbr0 inet static
        address  1xx.xxx.xxx.99
        netmask  24
        gateway  1xx.xxx.xxx.1
        bridge-ports enp2s0
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2-4094
#Internal

auto vmbr1
iface vmbr1 inet manual
        bridge-ports enp1s0
        bridge-stp off
        bridge-fd 0
#DSL Modem
Die OPNsense bekommt dann .1 aufs LAN IF.

Hier noch die VM Settings...
https://imgur.com/l0CqRHm

[loaded]

Code: [Select]

auto lo
iface lo inet loopback

iface enp2s0 inet manual

iface enp1s0 inet manual

iface enp3s0 inet manual

iface enp4s0 inet manual

iface enp5s0 inet manual

iface enp6s0 inet manual

auto vmbr0
iface vmbr0 inet static
        address  1xx.xxx.xxx.99
        netmask  24
        gateway  1xx.xxx.xxx.1
        bridge-ports enp2s0
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2-4094
#Internal

auto vmbr1
iface vmbr1 inet manual
        bridge-ports enp1s0
        bridge-stp off
        bridge-fd 0
#DSL Modem
Die OPNsense bekommt dann .1 aufs LAN IF.

Hier noch die VM Settings...
https://imgur.com/l0CqRHm

vmbr0 ist WAN ?
vmbr1 ist LAN ?

[rantwolf]

Code: [Select]

auto lo
iface lo inet loopback

iface enp2s0 inet manual

iface enp1s0 inet manual

iface enp3s0 inet manual

iface enp4s0 inet manual

iface enp5s0 inet manual

iface enp6s0 inet manual

auto vmbr0
iface vmbr0 inet static
        address  1xx.xxx.xxx.99
        netmask  24
        gateway  1xx.xxx.xxx.1
        bridge-ports enp2s0
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2-4094
#Internal

auto vmbr1
iface vmbr1 inet manual
        bridge-ports enp1s0
        bridge-stp off
        bridge-fd 0
#DSL Modem
Die OPNsense bekommt dann .1 aufs LAN IF.

Hier noch die VM Settings...
https://imgur.com/l0CqRHm

vmbr0 ist WAN ?
vmbr1 ist LAN ?

Umgedreht.
vmbr0 > LAN
vmbr1 > WAN

vmbr0 ist die erste bridge die automatisch angelegt wird und ist erstmal LAN, wenn du nix anderes einstellst.

[loaded]

also ich habe das erst mal so:
vmbr0 -> WAN Server

vmbr1-> VLAN Opnsense
vmbr2-> WAN Opnsense

Code: [Select]

auto lo
iface lo inet loopback

auto eno1
iface eno1 inet manual

auto eno2
iface eno2 inet manual

auto eno3
iface eno3 inet manual

auto vmbr0
iface vmbr0 inet static
        address  192.168.178.10
        netmask  24
        gateway  192.168.178.1
        bridge-ports eno1
        bridge-stp off
        bridge-fd 0
        bridge_std off
#Server / WAN /Internet

iface vmbr1 inet static
        address  192.168.178.11
        netmask  24
        gateway  192.168.178.1
        bridge-ports eno2
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2-4094
        bridge_std off
#Firewall / LAN - VLAN / Heimnetz

auto vmbr2
iface vmbr2 inet manual
        bridge-ports eno3
        bridge-stp off
        bridge-fd 0
#Firewall / WAN / Internet
wie gehts weiter wenn ich nun einen container in proxmox erstelle braucht er ja eine netzwerk karte .

das wäre mein VLAN

Dienste: DHCPv4: [Virtuell]
Subnetz    192.168.33.0
Subnetzmaske    255.255.255.0
Verfügbarer Bereich    192.168.33.1 - 192.168.33.254
Bereich    192.168.33.10 - 192.168.33.250



wenn ich jetzt eine netzwerk karte erstelle in dem container:
bridge :vmbr1
IPv4: 192.168.33.12/24
gateway: 192.168.33.1

läuft da nichts.
Muss da nicht sowas gebaut werden ?

Code: [Select]

VLAN on the Host

To allow host communication with an isolated network. It is possible to apply VLAN tags to any network device (NIC, Bond, Bridge). In general, you should configure the VLAN on the interface with the least abstraction layers between itself and the physical NIC.

For example, in a default configuration where you want to place the host management address on a separate VLAN.
Example: Use VLAN 5 for the Proxmox VE management IP with traditional Linux bridge

auto lo
iface lo inet loopback

iface eno1 inet manual

iface eno1.5 inet manual

auto vmbr0v5
iface vmbr0v5 inet static
        address  10.10.10.2
        netmask  255.255.255.0
        gateway  10.10.10.1
        bridge_ports eno1.5
        bridge_stp off
        bridge_fd 0

auto vmbr0
iface vmbr0 inet manual
        bridge_ports eno1
        bridge_stp off
        bridge_fd 0

Example: Use VLAN 5 for the Proxmox VE management IP with VLAN aware Linux bridge

auto lo
iface lo inet loopback

iface eno1 inet manual


auto vmbr0.5
iface vmbr0.5 inet static
        address  10.10.10.2
        netmask  255.255.255.0
        gateway  10.10.10.1

auto vmbr0
iface vmbr0 inet manual
        bridge_ports eno1
        bridge_stp off
        bridge_fd 0
        bridge_vlan_aware yes



was muss ich machen um alle geräte in einzelne VLans zu bekommen ?
eigene VLANS und DHCP habe ich schon erstellt.
ich will das erst mal an der virtuell-VLan mit meinen eigenen vm und containern laufen haben und dann weiter aufräumen, da ich auch homematic-ip geräte habe und ein gäste WLAN bauen möchte.

[rantwolf]

vmbr0 kannst du dir sparen.
Liegt ja im gleichen Subnetz wie vmbr1.
Dann schalte lieber den Port 'eno1' zur Brücke vmbr1 dazu. (Als Switch sozusagen)
Wenn du jetzt ein VLAN auf der LAN Schnittstelle in OPNsense erstellst, liegt es automatisch auf der vmbr1 bridge mit an.

Dann einfach einen Container/VM erstellen.
Die bridge vmbr1 auswählen und und das VLAN Tag mit reinhauen.
Bei DNS mußt du dann aber noch die IP der OPNsense im VLAN Netz eingeben (Also nicht die LAN IP).

[loaded]

vmbr0 kannst du dir sparen.
Liegt ja im gleichen Subnetz wie vmbr1.
Dann schalte lieber den Port 'eno1' zur Brücke vmbr1 dazu. (Als Switch sozusagen)

Und wie mache ich das ?
Eine Beschreibung für sowas habe ich noch nicht gefunden.
Gibt es irgendwo eine Beschreibung was wofür ist und wie man sowas am besten erstellt .

[loaded]

mein server hat 4 netzwerk ports und mal eine generelle frage kann ich 2 für wan als BOND  zusammen fassen wie unten ist aus meiner oberen configuration:

Code: [Select]

auto br0

iface br0 inet static

        address  192.168.178.11

        netmask  24

        gateway  192.168.178.1

    bridge_ports eno3 eno4

    bridge_fd 5

    bridge-vlan-aware yes

    bridge-vids 2-4094

    bridge_stp yes

und 2 für das LAN als BRIDGE zum netzwerk entlasten

Code: [Select]

auto bond0

iface bond0 inet static

    address 192.168.178.10

    netmask 24

    network 192.168.178.000

    broadcast 192.168.178.255

    gateway 192.168.178.1

    dns-nameservers 192.168.178.1

    bond-slaves eno1 eno2

    bond-mode 0

    bond-miimon 100

    bond-updelay 200

    bond-downdelay 200

[CoolTux]

Dir ist schon klar das doppel Posts verpönt sind.
Was bringt es Dir die selben Fragen im Proxmox Forum und hier zu stellen. Die Antworten werden die selben sein.

[micneu]

mal eine ganz doofe frager, machen wir hier auch proxmox support, ich dachte immer es geht um OPNsense hier?


Gesendet von iPad mit Tapatalk Pro