OPNSense auf Proxmox 3 NICs mit openvswitch möglich?

[0zzy]

Hallo zusammen,

ich möchte gern eine Konfiguration in Proxmox umsetzen, komme allerdings nicht weiter.
Hier mal mein aktuelles Setup:

Proxmox lief bisher mit einer NIC als meine LAB Büchse.
Darauf befinden sich diverse Systeme, von Pihole bis Wireguard.
Insgesamt laufen 10 lxcs mit diversen Konfigurationen.

Mein Heimnetz ist über Private Network 10.0.0.0/24 eingerichtet in der Fritzbox, welche ich eventuell durch eine Dratek Vigor 167 austauschen möchte.

Nun habe ich mir zum testen von OPNSense installiert, vmbr1 und vmb2 laut anleitung von hier konfiguriert.

vmb1 befindet sich im Subnetz 10.0.1.0/24 als LAN auf der OPNsense.
vmbr2 befindet sich im Subnetz 10..0.2.0/24 als WAN schnittstelle.


Wo möchte ich hin?

Mein Plan ist folgender:

Fritzbox soll nur noch als WIfi AP dienen,
Draytek Vigor soll WAN an die OPNsense weiter reichen.

Alle netze von 10.0.0.1/24 - 10.0.2.254/24, sowie zwei 172.x.x.x/24 Netze welche über das Modem (Draytek) in VLANS geworfen werden, sollen Ihren Netzwerkverkehr über die OPNSense leiten.
Die OPNSense soll aber auch in den Netzen als DHCP fungieren ipv4 sowie ipv6.

Versucht habe ich es, da die Draytek eine Notlösung darstellt und noch nicht bestellt ist, alles über openvswitch-switch zu realisieren.


Allerdings stehe ich wie der Ochs vorm Berg mit jede menge Fragezeichen.


1.) würde ich vor bestellen der Draytec, das ganze zu testzwecken erst mal mit openvswitch-switch realisieren,
2.) Proxmox soll weiterhin über die IP 10.0.0.47/24 erreichbar sein (ich habe gelesen das man es sogar hinbekommen könnte, den PVE Host in mehreren Netzen bereit zu stellen???),
3.) (AM WICHTIGSTEN!!) Jeglicher Verkehr soll über die OPNSense laufen.


Ich hab zwar Grundkenntnisse in Netzwerken, bin da allerdings nicht so richtig drin.
Daher wäre es auch super wenn ihr erklären könntet, was und wieso und warum, sowie ob das ganze überhaupt realisierbar ist.

Beste Grüße
0zzy

[0zzy]

Also was ich schonmal hinbekommen habe:
OVS Brigdges für jegliches Interface, außerdem dazugehörige OVS INTPorts.
Darüber kann ich zumindest mit Proxmox kommunizieren.
Allerdings weiss ich nicht wie ich nun den Verkehr auf der vmb0 (inbond für Proxmox) zu OPNSense hinzufüge damit da auch alles mitgeschnitten wird.

Eventuell habe ich auch reichlich denkfehler, nur ohne feedback eurerseits wird das nix

[Patrick M. Hausen]

Würde ja gerne, aber ich habe leider keine Ahnung von Proxmox 

Eine Sache allerdings:

Allerdings weiss ich nicht wie ich nun den Verkehr auf der vmb0 (inbond für Proxmox) zu OPNSense hinzufüge damit da auch alles mitgeschnitten wird.

Eine Firewall schneidet nichts mit. Verkehr von Hosts innerhalb eines Netzes geht nie durch die Firewall. Alles, was in einer sog. Broadcast-Domain ist, also in einem gemeinsamen Netz per Switch oder vSwitch oder WLAN AP, kommuniziert einfach direkt miteinander.

Du musst also dafür sorgen, dass alle deine VMs und dein Proxmox auf der einen Seite deiner OPNsense sind ("LAN") und das böse Internet auf der anderen Seite deiner OPNsense ("WAN").

Nur Traffic, der durch die OPNsense hindurch geht, also zu einem Interface hinein und zu einem anderen wieder hinaus, kann von dieser inspiziert und abgesichert werden.

[0zzy]

hm @Patrick M. Hausen klingt sinnig.
d.h. mein rein theoretisch, ohne ein entsprechendes modem wird das nix richtig?
ich liebäugle gerade mit ner Draytec Vigor 167.
würde bedeuten:

draytec = gateway --> opnsense wan --> dann erst auf der opnsense alles konfigurieren --> jegliche vm / alle clients etc. per dhcp in der opnsense verwalten, dort auch falls gewünscht entsprechende vlans einrichten, dann würde alles (entsprechende regeln vorausgesetzt) gefiltert?

soweit ich das versteh kann die opnsense ja IPS (Intrusion Prevention and Detection System) sowie über plugins DPI (Deep Packet Inspection).

Kurz gesagt muss ich es unter Proxmox auf die kette bekommen, das alle hosts über das entsprechende lan interface der opnsense kommunizieren richtig?

[Monviech]

Ich kann dir auch dieses Modem empfehlen. Ich setze das und den Vorgänger seit Jahren produktiv ein (auch mit OPNsense zusammen). Stürzt nie ab und ist sehr stabil. Allerdings im Telekom Netz.

https://www.zyxel.com/de/de/products/dsl-cpe/vdsl2-supervectoring-bridge-modem-vmg3006-d70a

[Patrick M. Hausen]

Draytex nix Gateway. Draytek nur Modem. OPNsense macht die PPPoE-Einwahl und wird dein Internet-Router. Die Fritzbox hängst du dann als LAN-Client in dein LAN.

Das habe ich genau so laufen, allerdings mit einem Zyxel-Modem. Draytek funktioniert m.W. genau so gut.

Für das WAN (Verbindung zum Modem) würde ich der Sense eine dedizierte Netzwerkschnittstelle per PCIe-Passthrough geben. Das interne LAN und evtl. weitere VLANs kannst du per vSwitch abbilden. Eine phys. Schnittstelle brauchts natürlich dann noch für die Fritzbox. Deren übrige 3 LAN-Schnittstellen kannst du dann für weitere kabelgebundene Geräte nehmen, ohne dass du einen extra Switch brauchst.

[0zzy]

Gut Draytek ist bestellt
@Patrick M. Hausen
Aktuell hab ich ne Fritzbox welche als Gateway dient, mag hier allerdings nicht auf wifi verzichten.
PPPOE fällt flach, bei 1und1 ist das der letzte r*tz

Nachdem was ich in meiner Ausbildung gelernt habe übernimmt ein Gateway die funktion eines Routers sowie die des Modems, daher das "gateway".
Klar eine Vigor ist nur ein reines Modem.

PCI Passthrough klingt erstmal nicht übel, die frage ist welches interface ich nehme, weil habe 3 (intern auf meiner bastelbüchse die als server fungiert (Proxmox) und nochmal zusätzlich ne Intel Dual Port NIC als PCIE Card.

[Patrick M. Hausen]

Aktuell hab ich ne Fritzbox welche als Gateway dient, mag hier allerdings nicht auf wifi verzichten.
PPPOE fällt flach, bei 1und1 ist das der letzte r*tz

Macht deine Fritzbox kein PPPoE?

Gateway == Router. Eingebautes Modem ist nicht zwingend.

[Monviech]

https://forum.opnsense.org/index.php?topic=36141.0

>> Ich hatte hier schon mit 0zzy ein funktionierendes Setup erarbeitet und ihn wegen DS-Lite und dem GIF Interface in der OPNsense aufgeklärt. Er benutzt die Fritzbox gerade als Modem/Router und leitet alles per statische Route weiter zu seiner OPNsense.

[Patrick M. Hausen]

@Monviech - ah jetzt ja 

Dann sehe ich nicht, weshalb er sich jetzt einen Draytek besorgen will ...

[0zzy]

@Monviech ist korrekt, ich das routing bewirkt allerdings das alle Systeme alles sehen im Netzwerk.
Daher (und weil ich gern mit den möglichkeiten spiele die mir zur verfügung stehen) habe ich mich für einen anderen weg entschieden.

In der Theorie sollte das auch mit openvswitch-switch unter Proxmox laufen, ich bekomm die Konfiguration allerdings nicht hin.

@Patrick M. Hausen

Daher der Hardware weg (neues Modem) um dem ganzen problemen aus dem weg zu gehen.
Abgesehen davon ist das alles für mich noch ne lernkurve die ich erst mal kratzen muss, was nur funktioniert, wenn ich unter anderem aus den erfahrungen anderer nutzen ziehe.

OPNSense ist für mich absolut neu, aber höchst interessant.
Und dazu ist ein Forum doch da, euch allen löcher in den Bauch zu fragen oder?

@Patrick M. Hausen doch macht Sie, hab ich auch bereits probiert, hat allerdings keinen effekt für mich da ich das wifi der FB benötige (warum? ganz einfach ich hab jede menge kram von Fritz von smarten heizkörper thermostaten über repeater und Telefone, könnte ich dann alles versemmeln was ziemlich unbefriedigend wäre).


Abgesehen davon bin ich mit der Fritz ziemlich unzufrieden, keine VLANs möglich, meine Netgear Switche verweigern bei anlage schon jegliche kommunikation, routing hin oder her.
Ich muss allerdings befriedigenderweise sagen, das ich nun kein DSLite mehr habe, nach einem Jahr hats 1und1 auf die kette bekommen mir einen IP basierten anschluss ohne dieses DSLite Tunnel gedrisse zu schalten

[Patrick M. Hausen]

@0zzy wenn die Fritzbox mit 1&1 PPPoE spricht, hast du keine Wahl als das mit der OPNsense auch zu nutzen, wenn du Internet willst. 1&1 liefert dir PPPoE. Dann ist das eben so.

[0zzy]

@Patrick M. Hausen
nee mag ich nicht, läuft leider nicht so rund wie ich das erwartet hätte.
mal connected dann die OPNSense und am nächsten Tag wacht man auf und alles ist tot.
Wie gesagt ohne wifi steigen mir meine mädels auf das Dach, weil dann der ganze spass mit den ganzen Homeautomatismen nicht mehr funktionieren, da alles im Mesh der Fritze verheiratet ist.

[Monviech]

@0zzy:

Du kannst an einem DSL Anschluss nicht einfach sagen, nö PPPoE will ich nicht, ich will reines Ethernet. Das legt der Provider fest, was du als Netzabschluss bekommst.

[0zzy]

@Monviech laut dem 2nd level support von 1und1 rät man mir davon völlig ab, eben weil es nicht stabil läuft.
Bevorzugt wird laut den Kollegen immer der Bridge-Mode, den ich allerdings nicht will aus bereits erwähnten gründen.

Ergo muss doch ein Modem her, damit ich die funktionen weiter nutzen kann auf die ich nicht verzichten will.
Ist das nun ein denkfehler?