5
HETZNER PROXMOX vswitch pfsense
Moin zusammen ...
... wir haben bei HETZNER zwei neue Server im Test.
Beide Server verfügen über zwei public IP und sind mit einem vSwitch verbunden, welches auch ein öffentliches Subnet hat.
Ziel der Aktion ist es, die IPs des vSwitches auf beiden Servern verwenden zu können.
Unser altes Setup hat aktuell zwei Server, die jeweils ein öffentliches Subnet auf eine zweite IP geroutet haben.
Auf den Servern kommt PROXMOX zum Einsatz und die erste VM ist jeweils eine pfSense, über die der komplette Traffic an die dahinterliegenden VMs geregelt wird.
WAN der pfsense ist jeweils die zweite IP des Servers, auf die das jeweilige Subnet bei Hetzner geroutet wird.
Auf der LAN-Seite vergeben wir dann manuell die IPs aus dem jeweiligen Subnet.
Diese Konstellation versuche ich nun mit dem neuen Setup nachzubilden.
Ich habe wie gehabt die WAN-Seite der pfSense auf die bridge mit der öffentlichen IP gehängt, die im vSwitch hinterlegt ist.
LAN-seitig habe ich die bridge mit dem VLAN des vSwitch verwendet.
Ich scheitere jetzt aber daran, dass die VMs hinter der pfSense nicht vom WAN aus erreichbar sind.
Verbindung der VMs nach extern über die pfSense klappt.
Beim alten Setup wird das Routing von Hetzner über die MAC gesteuert, wenn ich das richtig sehe.
Als Gateway bei dem Subnet war die zweite IP des Servers angegeben, auf der ja die pfSense läuft.
Beim neuen Setup ist das Gateway die zweite IP aus dem Subnet des vSwitch.
Verwende ich diese IP in der Test-VM als Gateway, ist sie von aussen zwar erreichbar, aber es läuft nur ping, nslookup und tracert rund. Seitenaufbau im Browser findet nicht statt. Außerdem habe ich dann keine Firewall davor, was somit ausfällt.
Ich muss also bestimmt noch irgendwo Hand anlegen
Aber ich finde nicht heraus, wo ich in der pfSense den Gateway eintragen muss.
In der Hoffnung, dass jmd. eine Idee hat und/oder ein ähnliches Setup schon versucht hat, verbleibe ich vorerst ...
greetz
Der Rico
... wir haben bei HETZNER zwei neue Server im Test.
Beide Server verfügen über zwei public IP und sind mit einem vSwitch verbunden, welches auch ein öffentliches Subnet hat.
Ziel der Aktion ist es, die IPs des vSwitches auf beiden Servern verwenden zu können.
Unser altes Setup hat aktuell zwei Server, die jeweils ein öffentliches Subnet auf eine zweite IP geroutet haben.
Auf den Servern kommt PROXMOX zum Einsatz und die erste VM ist jeweils eine pfSense, über die der komplette Traffic an die dahinterliegenden VMs geregelt wird.
WAN der pfsense ist jeweils die zweite IP des Servers, auf die das jeweilige Subnet bei Hetzner geroutet wird.
Auf der LAN-Seite vergeben wir dann manuell die IPs aus dem jeweiligen Subnet.
Diese Konstellation versuche ich nun mit dem neuen Setup nachzubilden.
Ich habe wie gehabt die WAN-Seite der pfSense auf die bridge mit der öffentlichen IP gehängt, die im vSwitch hinterlegt ist.
LAN-seitig habe ich die bridge mit dem VLAN des vSwitch verwendet.
Ich scheitere jetzt aber daran, dass die VMs hinter der pfSense nicht vom WAN aus erreichbar sind.
Verbindung der VMs nach extern über die pfSense klappt.
Beim alten Setup wird das Routing von Hetzner über die MAC gesteuert, wenn ich das richtig sehe.
Als Gateway bei dem Subnet war die zweite IP des Servers angegeben, auf der ja die pfSense läuft.
Beim neuen Setup ist das Gateway die zweite IP aus dem Subnet des vSwitch.
Verwende ich diese IP in der Test-VM als Gateway, ist sie von aussen zwar erreichbar, aber es läuft nur ping, nslookup und tracert rund. Seitenaufbau im Browser findet nicht statt. Außerdem habe ich dann keine Firewall davor, was somit ausfällt.
Ich muss also bestimmt noch irgendwo Hand anlegen
Aber ich finde nicht heraus, wo ich in der pfSense den Gateway eintragen muss.
In der Hoffnung, dass jmd. eine Idee hat und/oder ein ähnliches Setup schon versucht hat, verbleibe ich vorerst ...
greetz
Der Rico
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3940296754
Url: https://administrator.de/contentid/3940296754
Printed on: April 26, 2024 at 01:04 o'clock
5 Comments
Latest comment
dass die VMs hinter der pfSense nicht vom WAN aus erreichbar sind.
Ist das nicht der tiefere Sinn einer Firewall? Niemand will das bei seiner Firewall jemand aus dem WAN Segment (Internet) Ziele im lokalen LAN erreichen kann. Genau deshalb setzt man ja eine Firewall ein um sowas sicher zu verhindern.Du sprichst etwas in Rätseln was du genau vorhast...?!
Normal kannst du ohne entsprechendes Regelwerk und Port Forwarding (für den Fall das du mit NAT auf der pfSense arbeitest) niemals von außen lokale IPs erreichen. Genau DAS soll, wie bereits gesagt, eine Firewall verhindern.
Aber ich finde nicht heraus, wo ich in der pfSense den Gateway eintragen muss.
Unter System -> Routing -> GatewaysRichtige Einrichtung des DNS hier.
Soweit ich das richtig verstehe, möchtest du von extern auf deine VMs zugreifen und dazwischen steht deine pfSense. Alles funktioniert, nur der Zugriff von außen nach innen geht nicht?
Das ist, wie @aqui schon sagte, Sinn und Zweck der Firewall. Du kannst nun entweder per Portforwarding oder ReverseProxy das Problem lösen.
Hetzner möchte für jede Public IP die zugehörige MAC Adresse wissen, womit deine pfSense weiterhin der zentrale Dreh- und Angelpunkt bleibt, was die WAN Seite angeht. Auf der LAN Seite haben deine VMs IPs aus dem privaten Adressbereich und die pfSense als Gateway. Die pfSense hat wiederum das Gateway des entsprechenden Hetzner Subnets eingetragen.
Damit schließt sich eigentlich der Kreis und alles ist gut.
Wo genau ist der Haken an der Sache?
Das ist, wie @aqui schon sagte, Sinn und Zweck der Firewall. Du kannst nun entweder per Portforwarding oder ReverseProxy das Problem lösen.
Hetzner möchte für jede Public IP die zugehörige MAC Adresse wissen, womit deine pfSense weiterhin der zentrale Dreh- und Angelpunkt bleibt, was die WAN Seite angeht. Auf der LAN Seite haben deine VMs IPs aus dem privaten Adressbereich und die pfSense als Gateway. Die pfSense hat wiederum das Gateway des entsprechenden Hetzner Subnets eingetragen.
Damit schließt sich eigentlich der Kreis und alles ist gut.
Wo genau ist der Haken an der Sache?
Moin zusammen ...
... erst beim Lesen eurer Antworten ist mir aufgefallen, dass ich einige Angaben vergessen habe ...
Asche über mein Haupt ;)
Ich habe natürlich Regeln in der Firewall eingetragen. So wie es im alten Setup auch war.
Aktuelle Interfaces:
Mit diesen Einstellungen kommt eine VM mit der öffentlichen IP zwar ins WWW, aber ist von extern nicht erreichbar.
Auf der LAN Seite der pfSense sollen ja in den VM die öffentlichen IPs aus dem vSwitch Subnet verwendet werden.
Aber das scheint mit einer 1:1 Umsetzung meines alten Setups nicht möglich zu sein.
Der GW für das vSwitch hat ja eine IP aus dem selben Subnet:
Ich kann ja nun der pfSense nicht auf der WAN-Seite das vSwitch-interface geben, damit der korrekte GW dafür eingetragen ist und die anderen IP-Adressen des Subnets im LAN verwenden.
Es erschließt sich mir gerade nicht, wie ich die öffentlichen IP-Adressen für das Subnet des vSwitch für VMs auf der LAN-Seite der pfSense verwenden kann.
... erst beim Lesen eurer Antworten ist mir aufgefallen, dass ich einige Angaben vergessen habe ...
Asche über mein Haupt ;)
Ich habe natürlich Regeln in der Firewall eingetragen. So wie es im alten Setup auch war.
Mit diesen Einstellungen kommt eine VM mit der öffentlichen IP zwar ins WWW, aber ist von extern nicht erreichbar.
Auf der LAN Seite der pfSense sollen ja in den VM die öffentlichen IPs aus dem vSwitch Subnet verwendet werden.
Aber das scheint mit einer 1:1 Umsetzung meines alten Setups nicht möglich zu sein.
Der GW für das vSwitch hat ja eine IP aus dem selben Subnet:
Es erschließt sich mir gerade nicht, wie ich die öffentlichen IP-Adressen für das Subnet des vSwitch für VMs auf der LAN-Seite der pfSense verwenden kann.
aber ist von extern nicht erreichbar.
Nutzt du denn NAT (Adress Translation) oder ist das deaktiviert? Im Default macht die pfSense NAT zum WAN Port und dann reicht eine einfache Regel wie oben nicht aus weil du das NAT Gateway nicht überwinden kannst ohne einen entsprechenden Port Forwarding Eintrag unter Firewall -> NAT -> Port ForwardEs erschließt sich mir gerade nicht...
Deine LAN Adressen liegen ja in einem separaten öffentlichen Netz. Das einzige was du also machen musst ist das NAT, also die Adress Translation, auf der FW am WAN zu deaktivieren (wenn nicht schon geschehen) damit sie normal routet zw. den beiden IP Netzen ohne NAT.NAT macht ja auch nur Sinn wenn man im lokalen LAN nicht routebare RFC 1918 private IP Adressen verwendet was bei dir ja augenscheinlich mit dem öffentlichen /28er Netz nicht der Fall ist.
Das NAT ist sehr wahrscheinlich auch der Fehler im obigen Zugriff von außen...?!
Ich habe das NAT gestern schon einmal deaktiviert gehabt. Danach gab es von den VMs gar keinen connect mehr nach aussen. Ich denke, das hängt irgendwie mit dem GW im Subnetz des vSwitch zusammen.
Also habe ich es nun erst einmal so gelöst wie man es mit mehreren öffentlichen IPs am WAN Port machen kann:
Die pfSense hängt mit der WAN-Seite auf dem vSwitch und hat eine IP aus dem öffentlichen Subnet.
Auf der LAN-Seite wird ein privates Subnet verwendet.
Testweise habe ich eine zusätzliche IP aus dem Subnet als Virtuelle IP konfiguriert und ein Outbound NAT eingerichtet.
Dann noch je ein Forward für die Ports 80 und 443 für den Webserver eingerichtet.
et voila ... läuft ...
Auch wenn ich es gerne direkt ohne NAT gelöst hätte.
Also habe ich es nun erst einmal so gelöst wie man es mit mehreren öffentlichen IPs am WAN Port machen kann:
Die pfSense hängt mit der WAN-Seite auf dem vSwitch und hat eine IP aus dem öffentlichen Subnet.
Auf der LAN-Seite wird ein privates Subnet verwendet.
Testweise habe ich eine zusätzliche IP aus dem Subnet als Virtuelle IP konfiguriert und ein Outbound NAT eingerichtet.
Dann noch je ein Forward für die Ports 80 und 443 für den Webserver eingerichtet.
et voila ... läuft ...
Auch wenn ich es gerne direkt ohne NAT gelöst hätte.
