Zuweisen der Haupt-IP vom dedicated Hetzner Server der pfSense-VM

Hallo allerseits,

ich habe ein Problem beim Einrichten des WAN-Netzwerk für die pfSense-VM. Mein Ziel ist es die Haupt-IP von dem dedicated Hetzner Server in der pfSense-VM zu nutzen.

Erstmal ein paar grundlegende Infos:

Aufbau:
- dedicated root Server bei Hetzner mir Proxmox.
- pfSense-VM (2.4.5) läuft auf dem Server, hat die MAC-Adresse vom root Server zugewiesen bekommen.

Netzwerk für WAN:

root Server Netzwerkconfig:

iface enp35s0 inet manual

auto vmbr0
iface vmbr0 inet manual
        bridge-ports enp35s0
        bridge-stp off
        bridge-fd 0

Ich bekomme leider dieses Setup nicht funktionsfähig. Ich weiß das die Bridge funktioniert, da ich dort die Haupt-IP-Adresse eintragen kann und der Server extern erreichbar ist. Wahrscheinlich habe ich nur einen kleinen Denkfehler, ich hoffe ihr könnt mir den passenden Anstoß dafür geben. Das Internet habe ich auch durchsucht, leider nur eine Anleitung gefunden die NAT nutzt (¹), diese habe ich auch getestet und funktoniert. Ich möchte aber ungerne Doppel-NAT nutze.

Falls euch Informationen fehlen, versuche ich diese nach zu liefern.

Vielen Dank euch.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 655068

Url: https://administrator.de/contentid/655068

Ausgedruckt am: 22.11.2024 um 11:11 Uhr

7 Kommentare

Neuester Kommentar

Moin,

soweit ich weiß sind die Hetzner IPs an die MAC Adresse des Systems gebunden, was sich nachträglich auch nicht ändern lässt.
Für dein Konstrukt wäre eine weitere IPv4 für die PFsense notwendig. Kostet 1€ / Monat, mein ich.

VG

Das geht so nicht! Ich habe bereits mehrere Hetzner Server in diesem Szenario eingerichtet. Egal ob mit Proxmox oder VMware.

Du brauchst mindestens eine weitere IP

Wenn du aber nur pfsense laufen lassen willst, dann kannst du das mit den Hetzner Cloud Servern. Da brauchst dunkelbraun weitere IP und kannst x-beliebige Images virtualisieren

Moin,
es scheint ohne NAT nicht zugehen:
https://forum.proxmox.com/threads/hetzner-proxmox-mit-pfsense-als-firwal ...
https://github.com/pekare/hetzner-proxmox-pfsense
https://dominicpratt.de/hetzner-und-proxmox-pfsense-als-gateway/

Gruß,
Dani

Das geht so nicht! Ich habe bereits mehrere Hetzner Server in diesem Szenario eingerichtet. Egal ob mit Proxmox oder VMware.

Du brauchst mindestens eine weitere IP

Habe ich mir fast gedacht, das dies so nicht klappt.

Habt ihr denn eine Idee, wie ich dann eine Failover-IP mit zwei pfSense (natürlich auf zwei unterschiedlichen Server) umsetzen kann? Die Failover-IP kann nach Aussage vom Support nicht auf eine andere IP-Adresse als die Haupt-IP-Adresse geroutet werden.

Wenn du aber nur pfsense laufen lassen willst, dann kannst du das mit den Hetzner Cloud Servern. Da brauchst dunkelbraun weitere IP und kannst x-beliebige Images virtualisieren

Nee, es sollen schon ein paar mehr VMs laufen. Und eine pfSense in der Cloud als Router für die root-Server möchte ich eher nicht.

Zitat von @jeschero:

Das geht so nicht! Ich habe bereits mehrere Hetzner Server in diesem Szenario eingerichtet. Egal ob mit Proxmox oder VMware.

Du brauchst mindestens eine weitere IP

Habe ich mir fast gedacht, das dies so nicht klappt.

Habt ihr denn eine Idee, wie ich dann eine Failover-IP mit zwei pfSense (natürlich auf zwei unterschiedlichen Server) umsetzen kann?

Habe ich selbst noch nicht getestet, aber sollte schon irgendwie funktionieren, da du ja die MAC für die neue IP vorgegeben bekommst und diese auch in der jeweiligen sense oder eben in der VM hinterlegen kannst.

Zwischen den *sensen musst du noch ein HA Netzwerk aufbauen. Dies kann du bei Hetzner mittels internen VLAN Regeln. Dies ermöglicht dir intern eine Kommunikation zwischen deinen Server.

Wenn du aber nur pfsense laufen lassen willst, dann kannst du das mit den Hetzner Cloud Servern. Da brauchst dunkelbraun weitere IP und kannst x-beliebige Images virtualisieren

Nee, es sollen schon ein paar mehr VMs laufen. Und eine pfSense in der Cloud als Router für die root-Server möchte ich eher nicht.

ehm....das ist doch nichts anderes was du gerade machst....die "Cloud" von Hetzner steht ebenso in Falkenstein, Nürnberg oder Helsinki wie dein phyischer Server.

Die Hetzner Cloud sind letztendlich "nur" virtuelle Maschinen.

Zitat von @jeschero:

Das geht so nicht! Ich habe bereits mehrere Hetzner Server in diesem Szenario eingerichtet. Egal ob mit Proxmox oder VMware.

Du brauchst mindestens eine weitere IP

z.B. mit einem vSwitch: https://docs.hetzner.com/de/robot/dedicated-server/network/vswitch/

Nachdem nochmaligen durchforsten meiner Doku habe ich eine Lösung für mein Problem gefunden. Hätte ich wohl vorher besser machen sollen.

Und zwar braucht man eine zweite IP-Adresse mit einer eigenen MAC-Adresse. Die Zweit-IP wird für den Host genutzt und die pfSense-VM kann über die Bridge die Haupt-IP-Adresse nutzen. Die pfSense-VM muss noch die eigentliche MAC-Adresse vom Host zugewiesen werden.

Das ist die Config:

iface enp35s0 inet manual
        hwaddress ether yy:yy:yy:yy:yy:yy

auto vmbr0
iface vmbr0 inet static
        hwaddress ether yy:yy:yy:yy:yy:yy
        address xx.xx.xx.251/29
        pointopoint xx.xx.xx.249
        gateway  xx.xx.xx.249
        bridge-ports enp35s0
        bridge-stp off
        bridge_fd 1
        bridge_hello 2
        bridge_maxage 12

yy:yy:yy:yy:yy:yy ist die neue MAC-Adresse des Hosts und in vmbr0 wird die Zweit-IP eingetragen

Habe ich jetzt so bei mir am laufen. Sogar DHCP funktioniert ;), auch wenn ich es nicht nutzen werden.

gelöst Frage Netzwerke

Mehr von jeschero

Routing öffentliche IP-Adresse-Traffic per BGP im internal-Networkjeschero - 2 Kommentare

Nicht gewolltes Uploadlimit vom Lan ins Internet (opnsense)jeschero

Problem beim einrichten eines OpenLDAP Proxy für Active Directoryjeschero - 3 Kommentare

Opnsense "DNS Rebind attack"-Problematik für interne VMsjeschero - 3 Kommentare

Heiß diskutiert