6
Planung Proxmox Cluster - FW mit Bridgemode
Hallo administrators,
bevor ich jetzt ganz wild anfangen alles umzubauen, habe ich mich lange damit beschäftigt und wollte wissen ob es so klappen kann.
Gerne soll ein Proxmox Cluster laufen, damit auch eine zukünftige pfSense selbst bei einem HW Ausfall (Proxmox Node) abgesichert ist.
Die Verkabelung sieht wie folgt aus.
2 Server (Proxmox) sowie ein Synology NAS.
An den zweiten Switch hängen neben AP noch Geräte wie AVR, Konsole und TV.
Sind aber hierfür ja nicht relevant.
Die Migration soll eigentlich nur zwischen PVE1 und PVE2 erfolgen. Da das NAS etwas schwach ist.
Das Migrationsnetz in PVE3-VM (NAS) wird nur eingetragen, falls mal manuell was migriert werden soll.
Hierbei sollte es ja auch zügig laufen und fehlerfrei laufen, da die pfSense theoretisch nicht mal laufen müsste.
Das Corosync Netzwerk ist dann nur für die 3 PVEs aktiv, sodass diese sich in Ruhe unterhalten können ob alles okay ist.
Server 1 - PVE1 (10.10.1.1) - LACP
Server 2 - PVE2 (10.10.1.2) - LACP
Server 3 - Synology NAS (10.10.2.1) - PVE3 VM (10.10.1.3) - LACP
VLAN 1 - LAN
VLAN 2 - Server
VLAN 3 - IoT
VLAN 101 - WAN
VLAN 1000 - Proxmox Corosync
VLAN 1001 - Proxmox Migration
Da von der Fritzbox Bridge Mode alles übers WAN auf VLAN 101 an den PVE1 + PVE2 ankommt,
muss der Traffic dann noch irgendwie an die pfSense umgeleitet werden per iptables?
Oder langt die Konfiguration so wie im PVE unter Netzwerk, da hier ja das bond.101 nur als Netzwerkgerät in der pfSense VM hängt?
Das Forum ist ja mal mega interessant mit einer tollen Boardsoftware.
Vielen Dank für Antworten
bevor ich jetzt ganz wild anfangen alles umzubauen, habe ich mich lange damit beschäftigt und wollte wissen ob es so klappen kann.
Gerne soll ein Proxmox Cluster laufen, damit auch eine zukünftige pfSense selbst bei einem HW Ausfall (Proxmox Node) abgesichert ist.
Die Verkabelung sieht wie folgt aus.
2 Server (Proxmox) sowie ein Synology NAS.
An den zweiten Switch hängen neben AP noch Geräte wie AVR, Konsole und TV.
Sind aber hierfür ja nicht relevant.
Die Migration soll eigentlich nur zwischen PVE1 und PVE2 erfolgen. Da das NAS etwas schwach ist.
Das Migrationsnetz in PVE3-VM (NAS) wird nur eingetragen, falls mal manuell was migriert werden soll.
Hierbei sollte es ja auch zügig laufen und fehlerfrei laufen, da die pfSense theoretisch nicht mal laufen müsste.
Das Corosync Netzwerk ist dann nur für die 3 PVEs aktiv, sodass diese sich in Ruhe unterhalten können ob alles okay ist.
Server 1 - PVE1 (10.10.1.1) - LACP
Server 2 - PVE2 (10.10.1.2) - LACP
Server 3 - Synology NAS (10.10.2.1) - PVE3 VM (10.10.1.3) - LACP
VLAN 1 - LAN
VLAN 2 - Server
VLAN 3 - IoT
VLAN 101 - WAN
VLAN 1000 - Proxmox Corosync
VLAN 1001 - Proxmox Migration
Da von der Fritzbox Bridge Mode alles übers WAN auf VLAN 101 an den PVE1 + PVE2 ankommt,
muss der Traffic dann noch irgendwie an die pfSense umgeleitet werden per iptables?
Oder langt die Konfiguration so wie im PVE unter Netzwerk, da hier ja das bond.101 nur als Netzwerkgerät in der pfSense VM hängt?
Das Forum ist ja mal mega interessant mit einer tollen Boardsoftware.
Vielen Dank für Antworten
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 42629672826
Url: https://administrator.de/contentid/42629672826
Ausgedruckt am: 24.11.2024 um 07:11 Uhr
6 Kommentare
Neuester Kommentar
Habe bis jetzt nur einen Proxmox Server seit sechs Monaten laufen .. der ist so Wartungsfrei ^^ dazu ein Proxmox Backup Server.. immer um 2:00 wird das Backup auf eine 300GB Platte verschoben.. so einen Backup Server würde ich einplanen. Schläft sich echt besser.
Hast an eine zweite Interrnetleitung gedacht? Wenn es immer laufen soll ? Wir haben OPNsense so eingerichtet dass wenn der Provider mal schlapp macht OPNsense Automatisch umswitcht.. ist aber bin sechs Monaten jetzt drei mal zum Einsatz gekommen.
Für Kunden die das Netz benutzen kannst ja noch über einen Vertrag mit Beschützernbox nachdenken.. echt Praktisch wenn man die Probleme auf andere abwelzen kann.
Darf ich fragen welche Hardware so ein Server haben wird?
Hast an eine zweite Interrnetleitung gedacht? Wenn es immer laufen soll ? Wir haben OPNsense so eingerichtet dass wenn der Provider mal schlapp macht OPNsense Automatisch umswitcht.. ist aber bin sechs Monaten jetzt drei mal zum Einsatz gekommen.
Für Kunden die das Netz benutzen kannst ja noch über einen Vertrag mit Beschützernbox nachdenken.. echt Praktisch wenn man die Probleme auf andere abwelzen kann.
Darf ich fragen welche Hardware so ein Server haben wird?
Ja habe seit einiger Zeit einen Proxmox Server laufen auf den Minisforum HM90 absolut ohne Probleme.
Den Proxmox Backup Server habe ich parallel zu Proxmox installiert und nutze eine zweite SSD nur im PBS. Das funktioniert 1a.
Ein kompletter Dump der VMs/LXC landet aufs NAS und wird dann auch per VPN auf ein entferntes NAS kopiert.
Zweite Leitung habe ich mal nachgedacht, falls das Kabelinternet nicht laufen sollte. Dieses ist seit Oktober gelegt und es gab keinen Ausfall. Wenn es Probleme gibt kann ich auch wieder VDSL 250 buchen welches ich davor hatte. Da aber bald Glasfaser gelegt wird kommt evtl sogar dies in Betracht.
Den Proxmox Backup Server habe ich parallel zu Proxmox installiert und nutze eine zweite SSD nur im PBS. Das funktioniert 1a.
Ein kompletter Dump der VMs/LXC landet aufs NAS und wird dann auch per VPN auf ein entferntes NAS kopiert.
Zweite Leitung habe ich mal nachgedacht, falls das Kabelinternet nicht laufen sollte. Dieses ist seit Oktober gelegt und es gab keinen Ausfall. Wenn es Probleme gibt kann ich auch wieder VDSL 250 buchen welches ich davor hatte. Da aber bald Glasfaser gelegt wird kommt evtl sogar dies in Betracht.
muss der Traffic dann noch irgendwie an die pfSense umgeleitet werden
Nein! Einfach mal die Suchfunktion benutzen!!Pfsense in Proxmox als Router
Und auch HIER.
Vielen Dank aqui.
pfSense läuft auf dem Proxmox und ich kann mich auch per VPN direkt verbinden.
Sehr schön.
Das einzige Problem was ich hatte war die Einwahl per DHCP per Kabelmodem, da die MAC erst nicht angenommen wurden. Musste das Interface zwei mal nach je einen Neustart aktivieren. Seitdem klappt es.
Ein Problem habe ich nun allerdings noch. Seitdem funktioniert halt VoIP nicht mehr, da die Bridge Verbindung jetzt zusätzlich von der pfSense aufgebaut wird.
Daher die zwei Fragen.
Wenn ich pfSense als Exposed Host in der Fritzbox Eintrage, habe ich ja kein doppeltes NAT und keine Nachteile zum Bridge Mode und kann zusätzlich VoIP auf der Fritzbox nutzen, korrekt?
Sollte ich den exposed Host nutzen, muss ich dann noch was in Proxmox einstellen, sodass der Traffic nicht ungesichert auf bond0 in Proxmox landet?
Bin mir halt da dann unsicher. Theoretisch sollte es ja bei VLAN 101 bleiben, sodass einfach alles in der pfSense bei WAN landet wenn ich bond0.101 nutze.
Als nächstes werden dann noch die Corosync und Migration Netze angelegt.
pfSense läuft auf dem Proxmox und ich kann mich auch per VPN direkt verbinden.
Sehr schön.
Das einzige Problem was ich hatte war die Einwahl per DHCP per Kabelmodem, da die MAC erst nicht angenommen wurden. Musste das Interface zwei mal nach je einen Neustart aktivieren. Seitdem klappt es.
Ein Problem habe ich nun allerdings noch. Seitdem funktioniert halt VoIP nicht mehr, da die Bridge Verbindung jetzt zusätzlich von der pfSense aufgebaut wird.
Daher die zwei Fragen.
Wenn ich pfSense als Exposed Host in der Fritzbox Eintrage, habe ich ja kein doppeltes NAT und keine Nachteile zum Bridge Mode und kann zusätzlich VoIP auf der Fritzbox nutzen, korrekt?
Sollte ich den exposed Host nutzen, muss ich dann noch was in Proxmox einstellen, sodass der Traffic nicht ungesichert auf bond0 in Proxmox landet?
Bin mir halt da dann unsicher. Theoretisch sollte es ja bei VLAN 101 bleiben, sodass einfach alles in der pfSense bei WAN landet wenn ich bond0.101 nutze.
Als nächstes werden dann noch die Corosync und Migration Netze angelegt.
Seitdem funktioniert halt VoIP nicht mehr
Das zeigt dann das das meist falsch konfiguriert wurde und der SIP Keepalive oder STUN vergessen wurde im VoIP Setup. 
Die weiterführenden Links des Firewall Tutorials haben im Kapitel "VoIP bzw. Telefonie mit FritzBox oder Anlage hinter Firewall" noch ein paar Tips zur Lösung.
Auch lesenswert zu der Thematik:
Starface vs. Vodafone IP-Anlagenanschluss
1
Wenn es das denn jetzt war bitte den Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
