Hetzner + Proxmox + Opnsense + Additional IP

[HetznerUser]

Hi, ich habe einen Hetzner Dedicated Server am laufen auf welchem Proxmox installiert ist.
Auf Proxmox sind Opnsense und weitere VMs installliert
Proxmox ist so konfiguriert, dass er sämtliche Daten ausser Port 8006(Proxmox) und Port 22 (SSH) an Opnsense weiterleitet.
/etc/network/interfaces :

Code Select Expand


source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback

iface lo inet6 loopback

auto enp8s0
iface enp8s0 inet static
        address 65.109.xxx.xxx/26
        gateway 65.109.xxx.xxx
        post-up sysctl -w net.ipv4.ip_forward=1
        post-up sysctl -w net.ipv6.conf.all.forwarding=1
        post-up iptables -t nat -A PREROUTING -i enp8s0 -p tcp -m multiport ! --dport 22,8006 -j DNAT --to 10.10.10.1
        post-up iptables -t nat -A PREROUTING -i enp8s0 -p udp -j DNAT --to 10.10.10.1
#route 65.108.xxx.xxx/26 via 65.108.xxx.xxx

iface enp8s0 inet6 static
        address 2a01:4f9:xxxx:xxxx:xxxx::1/128
        gateway fe80::1

auto vmbr0
iface vmbr0 inet static
        address 10.10.10.0/29
        bridge-ports none
        bridge-stp off
        bridge-fd 0
        post-up iptables -t nat -A POSTROUTING -s '10.10.10.1/29' -o enp8s0 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '10.10.10.1/29' -o enp8s0 -j MASQUERADE
#OPNSENSE WAN - Proxmox LAN

iface vmbr0 inet6 static
        address 2a01:4f9:xxxx:xxxx:xxxx::xxxx/127
        up ip route add 2a01:4f9:xxxx:xxxx::/64 via 2a01:4f9:xxxx:xxxx:ffff::ffff

auto vmbr1
iface vmbr1 inet manual
        ovs_type OVSBridge
#VM Net


Leider wurde bei der Einrichtung nicht darauf geachtet, dass eine weitere (öffentliche) IPv4 Adresse für eine der VMs benötigt wird.
Allerdings sollte dies doch wie folgt zu bewerkstelligen sein
(Bitte berichtigt mich, falls ich falsch liegen sollte):
- Weitere Öffentliche IPv4 Adresse bei Hetzner "bestellen"
- Diese IPv4 Adresse einer "separaten MAC" zuweisen
- Weitere NIC mit der von Hetzner angegebenen "separaten MAC" über Proxmox auf der OpnSense-VM einrichten (bridge=vmbr1)
- Interface z.B: WAN2 für die NIC einrichten
- Die von Hetzner erhaltene öffentliche IPv4 Adresse im Interface(WAN2) hinterlegen
- Gateway wie von Hetzner angegeben im Interface(WAN2) festlegen
- NAT One-To-One von der öffentlichen IPv4 Adresse auf die private IPv4 Adresse der gewünschten VM einrichten
- Entsprechende FW-Regeln für WAN2 festlegen

Leider führt das beschriebene Vorgehen bei mir zu keinem Ergebnis. (IP bleibt nicht erreichbar)
Hat jemand einen Vorschlag woran das liegen könnte?

[lapidu]

Hi bei mir schaut das so aus.

auto vmbr0
iface vmbr0 inet static
        address 212.89.XX.XX/24
        gateway 212.82.XX.XX
        bridge-ports ens3
        bridge-stp off
        bridge-fd 0
        post-up iptables -t nat -A PREROUTING -i vmbr0 -p tcp -m multiport ! --dport 22,8006 -j DNAT --to-destination 10.1.1.2
        post-up iptables -t nat -A PREROUTING -i vmbr0 -p udp -j DNAT --to-destination 10.1.1.2

auto vmbr1
iface vmbr1 inet static
        address 10.1.1.1/30
        bridge-ports none
        bridge_stp off
        bridge_fd 0
        post-up   iptables -t nat -A POSTROUTING -s '10.1.1.0/30' -o vmbr0 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '10.1.1.0/30' -o vmbr0 -j MASQUERADE

auto vmbr2
iface vmbr2 inet static
        address 192.168.99.1/24
        bridge-ports none
        bridge_stp off
        bridge_fd 0

WAN Adresse an der OPNsense ist die 10.1.1.0
LAN IP OPNsense: 192.168.99.2

[HetznerUser]

So wirklich hilft mir die Config nicht weiter.
Wenn sich jemand nochmal jemand zu dem Thema äußern könnte, wäre ich unfassbar dankbar.
Gerne auch, dass ich komplett falsch liege mit meinem Plan.

[eeeeb]

Hast du eine Lösung gefunden?

[RockyBaby]

Wir lösen das etwas anders ich habe eine extra IP für Opnsense das sie von außen "erreichbar" ist und die VMs dahinter laufen alle mit einem Extra Subnet von Hetzner (wir brauchen an jeder VM ne öffentliche IP) Die laufen dann als Virtual IPs am WAN Interface der Opnsense und werden über ein 1to1 NAT "durchgeschleift"