Tutorial für Hetzner Cloud (?)

[jhort]

Hallo,

kennt jemand ein Tutorial um OPNsense (jetzt 20.7.4) auf einer VM in der Hetzner Cloud zu installieren?

Es geht hier um eine ganz banale Konfiguration von jeweils einem WAN und einem LAN Interface (mit Hetzner Subnet).

Der Hetzner Support hat mich auf eine Anleitung für pfSense verwiesen, die leider so nicht anwendbar zu sein scheint:
https://community.hetzner.com/tutorials/how-to-route-cloudserver-over-private-network-using-pfsense-and-hcnetworks

Zwar habe ich OPNsense schon mehrmals erfolgreich installiert und konfiguriert, doch im Hetzner Netzwerk komme ich einfach nicht weiter. Mit viel Probieren läuft die FW "einigermassen", doch ich befürchte das ist viel zu dirty, die Rules kommen mit dem Subnet nicht klar, von NAT Port Forwarding und anderem ganz zu schweigen...

Für jeden Hinweis wäre ich sehr dankbar!

[micneu]

bitte beschreibe doch mal dein genaues vorhaben, so kann dann jeder sehen was dein ziel ist und vieleicht auch einen lösungsansatz geben. oder buch dir doch professionellen support, der bekommt es bestimmt hin :)

[Gauss23]

Hab ich am Laufen.

- Du erstellst einen Server, egal was für ein OS, kommt eh weg
- nachdem der erstellt wurde, gehst Du in der Hetzner Console auf den Server und gehst bei ISO-Images auf die Suche nach OPNsense-20.7-OpenSSL-dvd-amd64.iso und klickst auf "einbinden"
- den Server dann über die Hetzner Seite neu starten und oben links die Console anfordern.
- ab dort ist es eine Installation wie jede andere auch

Ich habe zu Beginn nur mit dem WAN Interface gearbeitet und schnell eine Regel hinzugefügt, die nur meine IP als Quelle auf dem WAN Interface zulässt. Dann kann man in Ruhe konfigurieren.

Das LAN Interface ist etwas tricky fand ich. Du musst die zugewiesene IP als /32 am LAN Interface anlegen und eine statische Route auf das dazugehörige /24er Netz setzen mit GW am Ende mit der .1

Viel Erfolg

[jhort]

Hallo Gauss,

vielen Dank für die Antwort. Soweit bin ich letzte Woche auch schnell gekommen und dann sofort auf die ersten Probleme gestossen. Die default route im VLAN und das standard gateway für die VMs waren klar, doch dann musste ich zB in der Default allow LAN to any rule die source von LAN auf any setzen damit es funktioniert und ich wurde stutzig. Das Port Forwarding, VPN und andere Funktionen bekomme ich auf Hetzner auch nicht mehr hin.

Meine laienhafte Vermutung ist (ich bin kein Netzwerk Profi) dass die Interfaces bei Hetzner (Layer 3?) anders konfiguriert werden müssen. In meinem Homelab habe ich einen Rechner mit fixer IP für OPNsense und einen Server für die VMs, da war die Installation und Konfiguration ein Kinderspiel.

Deswegen habe ich nach einer Anleitung für die Installation auf Hetzner gefragt, den Support kann ich mir nicht leisten... :(

[Gauss23]

doch dann musste ich zB in der Default allow LAN to any rule die source von LAN auf any setzen damit es funktioniert und ich wurde stutzig

Du musst Dir einen Alias für das /24er LAN Netz bauen und diesen einsetzen. Der interne Alias beinhaltet ja nur die /32er Adresse.

Der Server, der hinter der OPNsense bei Hetzner stehen soll, ist im selben LAN und hat am besten seine WAN Schnittstelle deaktiviert. Über die Hetzner Console kommst Du ja noch ran.
Auch dort muss mit der /32er Adresse gearbeitet werden und eine default Route gesetzt werden auf die .1.
Bei Hetzner musst Du noch die Default Route im Netzwerk konfigurieren 0.0.0.0/0 auf die IP, die Deine OPNsense hat, nehme mal an die .2.

Der Rest ist dann eigentlich wie im Home-Lab.

[jhort]

Du musst Dir einen Alias für das /24er LAN Netz bauen und diesen einsetzen. Der interne Alias beinhaltet ja nur die /32er Adresse.

Super, tausend Dank :)

Die VMs waren bereits ohne WAN und funktionieren auch mit dem Alias, schon mal viele Sorgen weniger.
Mal sehen ob ich den Rest mit dem Alias auch hinbekomme^^

[jhort]

FYI
durch diese kleine Alias Angelegenheit habe ich alles wie gewollt einrichten können :)

eine letzte Frage zum Schluss: hat jemand Erfahrungen gemacht mit den MTU Einstellungen für OPNsense VLAN Interfaces?

[Gauss23]

FYI
durch diese kleine Alias Angelegenheit habe ich alles wie gewollt einrichten können :)

eine letzte Frage zum Schluss: hat jemand Erfahrungen gemacht mit den MTU Einstellungen für OPNsense VLAN Interfaces?

Bezieht sich die Frage jetzt auf Hetzner oder auf OPNsense in eigenen Netzwerken? Bei Hetzner wird man keine VLANs nutzen können (also zumindest keine getagten).

[jhort]

Ja, immer noch Thema Hetzner hier  ;)

Wenn man bei Hetzner keine getagten VLANs nutzen kann, dann muss ich wohl auf weitere Subnetze ausweichen, sollte ja hoffentlich kein Problem sein^^

[Gauss23]

Ja, immer noch Thema Hetzner hier  ;)

Wenn man bei Hetzner keine getagten VLANs nutzen kann, dann muss ich wohl auf weitere Subnetze ausweichen, sollte ja hoffentlich kein Problem sein^^

Ja, du musst dann weitere Netze bei Hetzner anlegen. Für getaggte VLANs müsstest Du ja den Switches mitteilen können, wer teilnehmen soll und das kannst Du ja nicht. Daher muss man den Umweg über die Hetzner Console machen.
Ist wirklich kein schlechtes Produkt. Du kannst sogar Server aus verschiedenen Standorten in ein Netz zusammenlegen.

[dirkscheck]

Ich habe zu Beginn nur mit dem WAN Interface gearbeitet und schnell eine Regel hinzugefügt, die nur meine IP als Quelle auf dem WAN Interface zulässt. Dann kann man in Ruhe konfigurieren.

Das LAN Interface ist etwas tricky fand ich. Du musst die zugewiesene IP als /32 am LAN Interface anlegen und eine statische Route auf das dazugehörige /24er Netz setzen mit GW am Ende mit der .1

Hallöchen,
ich stehe vor dem gleichen Problem und blicke auch noch nicht so durch.
Gibt es eine Anleitung mit Bildern wie ich nun das LAN Interface einrichten muss ? Im Moment gehe ich nur über das WAN Interface auf meine OPNSense Firewall.
Sobald ich das LAN aktiviere geht nascht mehr :-(

Mit der Angabe wie oben geschrieben komm ich auch nciht klar, da ich nicht verstehe wo ich was einstellen muss ?

Wäre für jede Hilfe dankbar !

[anytoany]

Ich habe zu Beginn nur mit dem WAN Interface gearbeitet und schnell eine Regel hinzugefügt, die nur meine IP als Quelle auf dem WAN Interface zulässt. Dann kann man in Ruhe konfigurieren.

Das LAN Interface ist etwas tricky fand ich. Du musst die zugewiesene IP als /32 am LAN Interface anlegen und eine statische Route auf das dazugehörige /24er Netz setzen mit GW am Ende mit der .1

Hallöchen,
ich stehe vor dem gleichen Problem und blicke auch noch nicht so durch.
Gibt es eine Anleitung mit Bildern wie ich nun das LAN Interface einrichten muss ? Im Moment gehe ich nur über das WAN Interface auf meine OPNSense Firewall.
Sobald ich das LAN aktiviere geht nascht mehr :-(

Mit der Angabe wie oben geschrieben komm ich auch nciht klar, da ich nicht verstehe wo ich was einstellen muss ?

Wäre für jede Hilfe dankbar !

Hallo @dirkscheck,

ich kämpfe ebenfalls seit einer Woche mit der Kombination von OPNsense und privates Netz bei Hetzner Cloud, aber an diesem Punkt kann ich dir helfen. Sobald du das LAN-Interface an machst, geht die OPNsense in vollen Firewall-Modus und sperrt dich auf dem WAN Interface aus.

Du musst also so vorgehen:

• zuerst nur das WAN interface zuweisen (geht über die Console)
• das LAN interface noch nicht zuweisen
• auf der Web-GUI einloggen und dir eine explizite Firewall-Regel erstellen, dass du auf Interface WAN Port 443 TCP von deiner IP aus zugreifen darfst
• Firewall-Regel anwenden
• danach kannst du das LAN Interface konfigurieren/aktivieren etc.

[simonszu]

Moin zusammen,

ich stehe gerade vor dem gleichen Problem, und nach Studium dieses Threads sind einige Fragen offen:

- Ich hab im LAN der OPNS halt die /32 Adresse eingetragen, zb 10.0.0.2/32.
- Die Route braucht als Gateway die 10.0.0.1, die außerhalb der /32 liegt, und deswegen erstmal von Webfrontend abgelehnt wird.
- Ich habe also ein Alias angelegt, Type: Network, Content: 10.0.0.0/24

Allerdings find ich jetzt gerade keine Option, diesen Alias mit dem Gatewaysetting zu verheiraten. Wie mach ich das?

Desweiteren diese "Default allow LAN to any rule", die sowohl im Tutorial für pfsense erwähnt wird, als auch hier im Thread. Die hatte ich gar nicht, unter Firewall -> Rules -> LAN war nichts vordefiniert. Ich habe hier eine Regel eingetragen, die halt auch Allow Any darstellt. Reicht das? Es ist nicht ganz ersichtlich, ob ich diesen Alias auch hier benötige.

[JeGr]

> - Ich hab im LAN der OPNS halt die /32 Adresse eingetragen, zb 10.0.0.2/32.

Woher kommt die? Hast du ein zusätzlich privates internes Subnetz bei Hetzner selbst für den Host konfiguriert?

> - Die Route braucht als Gateway die 10.0.0.1, die außerhalb der /32 liegt, und deswegen erstmal von Webfrontend abgelehnt wird.

Stimmt zwar, aber nicht ganz. In dem Fall ist es richtig, dass durch die Bauweise von Hetzner das GW theoretisch außerhalb des Netzes läge damit die das ggf. von RZ zu RZ routen können. Wenn du im Gateway aber auf Advanced gehst und den Haken setzt, dass das GW nicht "direkt" erreichbar ist (ist es eigentlich doch aber zumindest in CIDR Speak ist es nicht direkt verbunden), sollte das kein Thema sein. Zudem wird das eigentlich per DHCP vergeben, du kannst also LAN einfach auch per DHCP konfigurieren, dann sollte eh schon alles gehen. Da du im Hetzner Interface das interne Netz/IP statisch zuweisen kannst, sollte das auch später kein Problem geben.

> Allerdings find ich jetzt gerade keine Option, diesen Alias mit dem Gatewaysetting zu verheiraten. Wie mach ich das?

Wofür? Damit alles was das Netz betrifft darüber geroutet wird? Das muss kein Alias sein, sondern eine statische Route. Einfach in Routing rein, statische Route für 10.0.0.0/24 via dem LAN GW das du per DHCP eigentlich bekommst anlegen und gut.

Man muss lediglich aufpassen, dass man auf dem LAN dann nicht versehentlich "LAN network" verwendet oder verwenden will, da das dann /32 wäre und nichts bringt. Man muss also mit dem Alias 10.0.0.0/24 arbeiten das man sich manuell anlegt. Da aber eh die XY_address Aliase bei OPNsense etwas kaputt sind bei mehr als einer Adresse legt man sich IP/Netz eh lieber selbst sicherheitshalber als Alias an, dann weiß man genau, was man konfiguriert hat und erlebt keine Überraschungen ;)

Cheers

[simonszu]

> Woher kommt die? Hast du ein zusätzlich privates internes Subnetz bei Hetzner selbst für den Host konfiguriert?

Nein. Ich bin nach der Anleitung für pfsense gegangen, und habe ein privates Subnet "private" mit der Range 10.0.0.0/16 angelegt. Die OPNS VM habe ich an das Netzwerk angehangen, und ihr im Cloud-Interface die 10.0.0.2 zugewiesen. Im LAN IF habe ich "IPv4 Configuration Type: Static IP" eingetragen, und dann halt die 10.0.0.2/32 eingetragen, weil die OPNS ja nur eine IP hat, und keine Range. Hätte ich da 10.0.0.2/16 eintragen sollen?

> Wenn du im Gateway aber auf Advanced gehst und den Haken setzt, dass das GW nicht "direkt" erreichbar ist (ist es eigentlich doch aber zumindest in CIDR Speak ist es nicht direkt verbunden), sollte das kein Thema sein.

Nun, das hatte ich schon mal versucht, allerdings ohne Erfolg.

> Zudem wird das eigentlich per DHCP vergeben, du kannst also LAN einfach auch per DHCP konfigurieren, dann sollte eh schon alles gehen. Da du im Hetzner Interface das interne Netz/IP statisch zuweisen kannst, sollte das auch später kein Problem geben.

Ich hab das LAN mal auf DHCP gestellt, deine Begründung erscheint mir schlüssig.

> Einfach in Routing rein, statische Route für 10.0.0.0/24 via dem LAN GW das du per DHCP eigentlich bekommst anlegen und gut.

OK, auch das habe ich getan.

Der aktuelle Status ist aber: Die anderen VMs in dem Subnetz erreichen nicht das Internet.

Ich bin da auch nach dem Tutorial für pfsense gegangen, und habe nun eine Debian VM. Dort habe ich in der Interface-Config die Direktive "post-up route add default via 10.0.0.1" für das ens10 Interface eingetragen. Das ens10 bezieht seine IP via DHCP.

Wenn ich von der VM auf 8.8.8.8 trace, sehe ich, dass der erste Hop das Hetzner-Gateway 10.0.0.1 ist. Das wiederum routet korrekterweise den zweiten Hop auf die OPNS VM, wie durch den einen hcloud-Befehl beim Anlegen des Netzes auch konfiguriert wurde.

Der dritte Hop ist wiederum die 10.0.0.1. Hier bin ich etwas stutzig geworden, aber nehm das erstmal so hin. Weiter als bis zum dritten Hop kommt der Trace nicht. Ich vermute mal, weil sowohl OPNS als auch das Hetzner-Gateway den jeweils anderen Host als Gateway drin stehen haben, spielen die einfach nur Pingpong mit dem Traffic.

Irgendwo da ist noch der Wurm drin, aber ich habe noch keine Ahnung, wo. Da das Hetzner-Gateway sich eigentlich korrekt verhält, ist das Problem, dass die OPNS den Traffic den sie vom Hetzner-GW bekommt, nicht korrekt routet.

Wo ist der Fehler?