9
ESXI Server mit Opnsense Firewall bei Contabo
Hallo Zusammen
Aktuell betreibe ich an verschiedenen Standorten eine kleine IT-Infrastruktur, die Opnsense als Firewall und einige Server im internen Netzwerk umfasst. Auch zu Hause verwende ich Opnsense und habe eine IPSEC-Verbindung zu jedem Standort eingerichtet. Jetzt plane ich, dass ganze von mir Zuhause in die Cloud zu verlagern, genauer gesagt zu Contabo. Dort möchte ich eine VPS mit einem Custom ISO-Image mieten, auf der dann ESXi installiert wird. Anschließend werde ich Server für Monitoring, Rustdesk und ähnliches einrichten.
Es ist entscheidend, dass ich auch in der Cloud eine Firewall-Lösung wie Opnsense benötige.
Mein Plan ist es, entweder eine VPS oder einen dedizierten Server mit privatem Networking zu mieten und darauf ESXi zu installieren. Für die Firewall plane ich ebenfalls, eine VPS mit privatem Networking zu mieten und darauf Opnsense zu installieren.
Allerdings frage ich mich, wie die Anbindung an das WAN funktioniert. Hat Contabo bereits eine Firewall davor geschaltet? Kann man hier die Anbindung vom WAN zur Firewall anpassen, ohne NAT oder ähnliche Konfigurationen durchführen zu müssen? Bei mir zu Hause habe ich ein Modem, das mit der Opnsense-Firewall-Hardware via PPPOE die Session zum ISP aufbaut. Wie ist das bei Contabo geregelt?
Habt Ihr Erfahrungen damit, und ist eine Umsetzung überhaupt möglich?
Infrastruktur bei Contabo und von mir Zuhause aus
VPS mit Opnsense
VPS mit ESXI
Vielen herzlichen Dank
Gruss Syosse
Aktuell betreibe ich an verschiedenen Standorten eine kleine IT-Infrastruktur, die Opnsense als Firewall und einige Server im internen Netzwerk umfasst. Auch zu Hause verwende ich Opnsense und habe eine IPSEC-Verbindung zu jedem Standort eingerichtet. Jetzt plane ich, dass ganze von mir Zuhause in die Cloud zu verlagern, genauer gesagt zu Contabo. Dort möchte ich eine VPS mit einem Custom ISO-Image mieten, auf der dann ESXi installiert wird. Anschließend werde ich Server für Monitoring, Rustdesk und ähnliches einrichten.
Es ist entscheidend, dass ich auch in der Cloud eine Firewall-Lösung wie Opnsense benötige.
Mein Plan ist es, entweder eine VPS oder einen dedizierten Server mit privatem Networking zu mieten und darauf ESXi zu installieren. Für die Firewall plane ich ebenfalls, eine VPS mit privatem Networking zu mieten und darauf Opnsense zu installieren.
Allerdings frage ich mich, wie die Anbindung an das WAN funktioniert. Hat Contabo bereits eine Firewall davor geschaltet? Kann man hier die Anbindung vom WAN zur Firewall anpassen, ohne NAT oder ähnliche Konfigurationen durchführen zu müssen? Bei mir zu Hause habe ich ein Modem, das mit der Opnsense-Firewall-Hardware via PPPOE die Session zum ISP aufbaut. Wie ist das bei Contabo geregelt?
Habt Ihr Erfahrungen damit, und ist eine Umsetzung überhaupt möglich?
Infrastruktur bei Contabo und von mir Zuhause aus
VPS mit Opnsense
VPS mit ESXI
Vielen herzlichen Dank
Gruss Syosse
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1528810034
Url: https://administrator.de/contentid/1528810034
Ausgedruckt am: 19.12.2024 um 08:12 Uhr
9 Kommentare
Neuester Kommentar
Du erzeugst einfach einen 2ten vSwitch im ESXi an den du deine VMs hängst und den lokalen LAN Port der OPNsense.
Am Default vSwitch hängt dein OPNsense WAN Port und dort ist auch die NIC des Hypervisors gemappt.
Beispiele u.a. hier und auch hier. Wobei du dir das Tagging wegdenken kannst da du ja ohne VLANs arbeitest.
Am Default vSwitch hängt dein OPNsense WAN Port und dort ist auch die NIC des Hypervisors gemappt.
Beispiele u.a. hier und auch hier. Wobei du dir das Tagging wegdenken kannst da du ja ohne VLANs arbeitest.
1
Hallo,
Contabo anrufen und diese Fragen welche FritzBox die selbst einsetzen und wie die Konfiguriert ist oder ob die es anders machen und womit und wie Konfiguriert. Ich Vermute das wird ein kurzes aber Interessantes Gespräch.
Gruß,
Peter
Contabo anrufen und diese Fragen welche FritzBox die selbst einsetzen und wie die Konfiguriert ist oder ob die es anders machen und womit und wie Konfiguriert. Ich Vermute das wird ein kurzes aber Interessantes Gespräch.
Gruß,
Peter
2
Zitat von @aqui:
Du erzeugst einfach einen 2ten vSwitch im ESXi an den du deine VMs hängst und den lokalen LAN Port der OPNsense.
Am Default vSwitch hängt dein OPNsense WAN Port und dort ist auch die NIC des Hypervisors gemappt.
Beispiele u.a. hier und auch hier. Wobei du dir das Tagging wegdenken kannst da du ja ohne VLANs arbeitest.
Du erzeugst einfach einen 2ten vSwitch im ESXi an den du deine VMs hängst und den lokalen LAN Port der OPNsense.
Am Default vSwitch hängt dein OPNsense WAN Port und dort ist auch die NIC des Hypervisors gemappt.
Beispiele u.a. hier und auch hier. Wobei du dir das Tagging wegdenken kannst da du ja ohne VLANs arbeitest.
Vielen Dank für die Info, werde es so auch einrichten.
Zitat von @Pjordorf:
Hallo,
Contabo anrufen und diese Fragen welche FritzBox die selbst einsetzen und wie die Konfiguriert ist oder ob die es anders machen und womit und wie Konfiguriert. Ich Vermute das wird ein kurzes aber Interessantes Gespräch.
Gruß,
Peter
Hallo,
Contabo anrufen und diese Fragen welche FritzBox die selbst einsetzen und wie die Konfiguriert ist oder ob die es anders machen und womit und wie Konfiguriert. Ich Vermute das wird ein kurzes aber Interessantes Gespräch.
Gruß,
Peter
Vielen Dank für die Info.
Ja, warte seit 2 Wochen auf die Rückmeldung von Contabo (Mail).
Werde wohl morgen anrufen, ansonsten muss ich einen anderen Anbieter suchen.
Also mal ganz grundsätzlich:
Bei einem regulären vServer oder Dedicated Server hast du in 99% der Fälle eine öffentliche IP direkt auf deiner Netzwerkkarte. Firewall, wenn überhaupt vorhanden, fungiert dann eher als reiner Portfiltert (stateless).
Contabo wird da keine Ausnahme sein.
Bei einem regulären vServer oder Dedicated Server hast du in 99% der Fälle eine öffentliche IP direkt auf deiner Netzwerkkarte. Firewall, wenn überhaupt vorhanden, fungiert dann eher als reiner Portfiltert (stateless).
Contabo wird da keine Ausnahme sein.
1
Moin,
Gruß,
Dani
Dort möchte ich eine VPS mit einem Custom ISO-Image mieten, auf der dann ESXi installiert wird.
wird seitens Contabo grunsätzlich Nested Virtualisierung unterstützt und supportet?Kann man hier die Anbindung vom WAN zur Firewall anpassen, ohne NAT oder ähnliche Konfigurationen durchführen zu müssen?
Diese Frage musst du den Support von Contabo stellen. Ich kann mir vorstellen, dass bei VPS eine Trick ala NAT angewendet wird. Bei den dedizierten Servern und deren Preis wird es ein echter DualStack sein.Ja, warte seit 2 Wochen auf die Rückmeldung von Contabo (Mail).
Puh, unschön. Evtl. ist Hetzner eine Option für dich?!Gruß,
Dani
1
Zitat von @Dani:
Ja, warte seit 2 Wochen auf die Rückmeldung von Contabo (Mail).
Puh, unschön. Evtl. ist Hetzner eine Option für dich?!Was ich für mein Lab verwende ich ein physikalischer Server von Hetzner mit ESXi und zweiter IP.
Die 1. IP ist für den ESX und durch die Hetzner Firewall nur von meiner öffentlichen festen IP zugäng.
Die 2. IP führt zu einer PFSense.
Probleme sind hier:
Hetzner bietet nicht von sich aus ESXi an
Deren Hardware ist nicht ESXi Konform und häufig zu neu, so dass sich ESXI manchmal nicht installieren lässt.
Hyper-V wäre eine Alternative, aber ich mag ESX mehr.
Stefan
2
Moin,
Gruß,
Dani
Hyper-V wäre eine Alternative, aber ich mag ESX mehr.
ich habe 2-3 ProxMox Hosts und bin zufrieden. Hängt natürlich von den Anforderungen ab.Gruß,
Dani
1
Servus,
ich war mal Contabo-Kunde.
1.) Public-IP liegt direkt an der NIC an, keine Firewall davor / dazwischen.
2.) Auf VPS ist Nested Virtualisierung nicht aktiviert / unterstützt, somit auch nicht möglich. Hier gäbe es bei Contabo die "VDS" als günstige Alternative zu Rootserver. Auf VDS ist Nested Virtualisierung möglich.
3.) Buche 2 Public-IPs. Eine für die Firewall deiner Wahl und eine für dein ESXi (Ich empfehle dir Proxmox, hat Contabo sogar als vorgefertigtes Image da)
3.1 Mach dir Gedanken wie du den Zugriff auf die Public-IP deines ESXi / Proxmox absicherst. Ich hab damals ein sehr langes Kennwort verwendet, da der Verwendungszweck bei Contabo sich auf ein paar Gameserver und SFTP-Server mit belangenlosen Daten beschränkte
ich war mal Contabo-Kunde.
1.) Public-IP liegt direkt an der NIC an, keine Firewall davor / dazwischen.
2.) Auf VPS ist Nested Virtualisierung nicht aktiviert / unterstützt, somit auch nicht möglich. Hier gäbe es bei Contabo die "VDS" als günstige Alternative zu Rootserver. Auf VDS ist Nested Virtualisierung möglich.
3.) Buche 2 Public-IPs. Eine für die Firewall deiner Wahl und eine für dein ESXi (Ich empfehle dir Proxmox, hat Contabo sogar als vorgefertigtes Image da)
3.1 Mach dir Gedanken wie du den Zugriff auf die Public-IP deines ESXi / Proxmox absicherst. Ich hab damals ein sehr langes Kennwort verwendet, da der Verwendungszweck bei Contabo sich auf ein paar Gameserver und SFTP-Server mit belangenlosen Daten beschränkte
1Zitat von @LordGurke:
Also mal ganz grundsätzlich:
Bei einem regulären vServer oder Dedicated Server hast du in 99% der Fälle eine öffentliche IP direkt auf deiner Netzwerkkarte. Firewall, wenn überhaupt vorhanden, fungiert dann eher als reiner Portfiltert (stateless).
Contabo wird da keine Ausnahme sein.
Also mal ganz grundsätzlich:
Bei einem regulären vServer oder Dedicated Server hast du in 99% der Fälle eine öffentliche IP direkt auf deiner Netzwerkkarte. Firewall, wenn überhaupt vorhanden, fungiert dann eher als reiner Portfiltert (stateless).
Contabo wird da keine Ausnahme sein.
Vielen Dank für die Info.
Genau ich erhalte eine öffentliche IP auf der Netzwerkkarte.
Zitat von @Dani:
Moin,
Wie Cloudrakete geschrieben hatt wohl nur bei VDS.Moin,
Dort möchte ich eine VPS mit einem Custom ISO-Image mieten, auf der dann ESXi installiert wird.
wird seitens Contabo grunsätzlich Nested Virtualisierung unterstützt und supportet?Kann man hier die Anbindung vom WAN zur Firewall anpassen, ohne NAT oder ähnliche Konfigurationen durchführen zu müssen?
Diese Frage musst du den Support von Contabo stellen. Ich kann mir vorstellen, dass bei VPS eine Trick ala NAT angewendet wird. Bei den dedizierten Servern und deren Preis wird es ein echter DualStack sein.Ja, warte seit 2 Wochen auf die Rückmeldung von Contabo (Mail).
Puh, unschön. Evtl. ist Hetzner eine Option für dich?!Gruß,
Dani
Vielen Dank für die Info.
Zitat von @StefanKittel:
Was ich für mein Lab verwende ich ein physikalischer Server von Hetzner mit ESXi und zweiter IP.
Die 1. IP ist für den ESX und durch die Hetzner Firewall nur von meiner öffentlichen festen IP zugäng.
Die 2. IP führt zu einer PFSense.
Probleme sind hier:
Hetzner bietet nicht von sich aus ESXi an
Deren Hardware ist nicht ESXi Konform und häufig zu neu, so dass sich ESXI manchmal nicht installieren lässt.
Hyper-V wäre eine Alternative, aber ich mag ESX mehr.
Stefan
Zitat von @Dani:
Ja, warte seit 2 Wochen auf die Rückmeldung von Contabo (Mail).
Puh, unschön. Evtl. ist Hetzner eine Option für dich?!Was ich für mein Lab verwende ich ein physikalischer Server von Hetzner mit ESXi und zweiter IP.
Die 1. IP ist für den ESX und durch die Hetzner Firewall nur von meiner öffentlichen festen IP zugäng.
Die 2. IP führt zu einer PFSense.
Probleme sind hier:
Hetzner bietet nicht von sich aus ESXi an
Deren Hardware ist nicht ESXi Konform und häufig zu neu, so dass sich ESXI manchmal nicht installieren lässt.
Hyper-V wäre eine Alternative, aber ich mag ESX mehr.
Stefan
Vielen Dank für die Info.
Naja Hyper-V hab ich 0 Erfahrung, da müsste es schon Prox oder VMware sein.
Zitat von @Dani:
Moin,
Gruß,
Dani
Moin,
Hyper-V wäre eine Alternative, aber ich mag ESX mehr.
ich habe 2-3 ProxMox Hosts und bin zufrieden. Hängt natürlich von den Anforderungen ab.Gruß,
Dani
Vielen Dank für die Info.
Ja, genau ProxMox würde auch komplett ausreichen.
Zitat von @Cloudrakete:
Servus,
ich war mal Contabo-Kunde.
1.) Public-IP liegt direkt an der NIC an, keine Firewall davor / dazwischen.
2.) Auf VPS ist Nested Virtualisierung nicht aktiviert / unterstützt, somit auch nicht möglich. Hier gäbe es bei Contabo die "VDS" als günstige Alternative zu Rootserver. Auf VDS ist Nested Virtualisierung möglich.
3.) Buche 2 Public-IPs. Eine für die Firewall deiner Wahl und eine für dein ESXi (Ich empfehle dir Proxmox, hat Contabo sogar als vorgefertigtes Image da)
3.1 Mach dir Gedanken wie du den Zugriff auf die Public-IP deines ESXi / Proxmox absicherst. Ich hab damals ein sehr langes Kennwort verwendet, da der Verwendungszweck bei Contabo sich auf ein paar Gameserver und SFTP-Server mit belangenlosen Daten beschränkte
Servus,
ich war mal Contabo-Kunde.
1.) Public-IP liegt direkt an der NIC an, keine Firewall davor / dazwischen.
2.) Auf VPS ist Nested Virtualisierung nicht aktiviert / unterstützt, somit auch nicht möglich. Hier gäbe es bei Contabo die "VDS" als günstige Alternative zu Rootserver. Auf VDS ist Nested Virtualisierung möglich.
3.) Buche 2 Public-IPs. Eine für die Firewall deiner Wahl und eine für dein ESXi (Ich empfehle dir Proxmox, hat Contabo sogar als vorgefertigtes Image da)
3.1 Mach dir Gedanken wie du den Zugriff auf die Public-IP deines ESXi / Proxmox absicherst. Ich hab damals ein sehr langes Kennwort verwendet, da der Verwendungszweck bei Contabo sich auf ein paar Gameserver und SFTP-Server mit belangenlosen Daten beschränkte
Vielen Dank für die Info.
1.) Sehr gut, das ist schonmal grosser Vorteil.
2.) Dann würde ich die VDS nehmen, liegt preislich auch ihm Rahmen.
3.) Das heisst, ich erhalte 2 NICs mit jeweils 2 unterschiedlichen IPs (öffentliche), den 1 weise ich ESXI zu und den 2
zu der Opnsense FW. Beide kann ich dann von WAN aus über Web Interface erreichen und dann halt noch gewisse VMs erstellen und die erhalten dann von Opnsense die Traffic ( Port/vswitch etc erstellen und zuweisen).
3.1) Vielen Dank werde ich machen.
2
