Zuweisen der Haupt-IP vom dedicated Hetzner Server der pfSense-VM
Hallo allerseits,
ich habe ein Problem beim Einrichten des WAN-Netzwerk für die pfSense-VM. Mein Ziel ist es die Haupt-IP von dem dedicated Hetzner Server in der pfSense-VM zu nutzen.
Erstmal ein paar grundlegende Infos:
Aufbau:
- dedicated root Server bei Hetzner mir Proxmox.
- pfSense-VM (2.4.5) läuft auf dem Server, hat die MAC-Adresse vom root Server zugewiesen bekommen.
Netzwerk für WAN:
root Server Netzwerkconfig:
Ich bekomme leider dieses Setup nicht funktionsfähig. Ich weiß das die Bridge funktioniert, da ich dort die Haupt-IP-Adresse eintragen kann und der Server extern erreichbar ist. Wahrscheinlich habe ich nur einen kleinen Denkfehler, ich hoffe ihr könnt mir den passenden Anstoß dafür geben. Das Internet habe ich auch durchsucht, leider nur eine Anleitung gefunden die NAT nutzt (2), diese habe ich auch getestet und funktoniert. Ich möchte aber ungerne Doppel-NAT nutze.
Falls euch Informationen fehlen, versuche ich diese nach zu liefern.
Vielen Dank euch.
ich habe ein Problem beim Einrichten des WAN-Netzwerk für die pfSense-VM. Mein Ziel ist es die Haupt-IP von dem dedicated Hetzner Server in der pfSense-VM zu nutzen.
Erstmal ein paar grundlegende Infos:
Aufbau:
- dedicated root Server bei Hetzner mir Proxmox.
- pfSense-VM (2.4.5) läuft auf dem Server, hat die MAC-Adresse vom root Server zugewiesen bekommen.
Netzwerk für WAN:
root Server Netzwerkconfig:
iface enp35s0 inet manual
auto vmbr0
iface vmbr0 inet manual
bridge-ports enp35s0
bridge-stp off
bridge-fd 0Ich bekomme leider dieses Setup nicht funktionsfähig. Ich weiß das die Bridge funktioniert, da ich dort die Haupt-IP-Adresse eintragen kann und der Server extern erreichbar ist. Wahrscheinlich habe ich nur einen kleinen Denkfehler, ich hoffe ihr könnt mir den passenden Anstoß dafür geben. Das Internet habe ich auch durchsucht, leider nur eine Anleitung gefunden die NAT nutzt (2), diese habe ich auch getestet und funktoniert. Ich möchte aber ungerne Doppel-NAT nutze.
Falls euch Informationen fehlen, versuche ich diese nach zu liefern.
Vielen Dank euch.
Antworten-
- Mehr
Auf Facebook teilen
Auf Twitter teilen7 Antworten
- LÖSUNG Tezzla schreibt am 22.02.2021 um 21:03:27 Uhr
- LÖSUNG tech-flare schreibt am 22.02.2021 um 21:07:58 Uhr
- LÖSUNG jeschero schreibt am 22.02.2021 um 21:20:02 Uhr
- LÖSUNG tech-flare schreibt am 22.02.2021 um 22:28:02 Uhr
- LÖSUNG BirdyB schreibt am 23.02.2021 um 09:57:22 Uhr
- LÖSUNG jeschero schreibt am 23.02.2021 um 16:32:51 Uhr
- LÖSUNG jeschero schreibt am 22.02.2021 um 21:20:02 Uhr
- LÖSUNG Dani schreibt am 22.02.2021 um 21:07:59 Uhr
LÖSUNG 22.02.2021, aktualisiert um 21:05 Uhr
LÖSUNG 22.02.2021, aktualisiert um 21:09 Uhr
Das geht so nicht! Ich habe bereits mehrere Hetzner Server in diesem Szenario eingerichtet. Egal ob mit Proxmox oder VMware.
Du brauchst mindestens eine weitere IP
Wenn du aber nur pfsense laufen lassen willst, dann kannst du das mit den Hetzner Cloud Servern. Da brauchst dunkelbraun weitere IP und kannst x-beliebige Images virtualisieren
Du brauchst mindestens eine weitere IP
Wenn du aber nur pfsense laufen lassen willst, dann kannst du das mit den Hetzner Cloud Servern. Da brauchst dunkelbraun weitere IP und kannst x-beliebige Images virtualisieren
LÖSUNG 22.02.2021 um 21:07 Uhr
Moin,
es scheint ohne NAT nicht zugehen:
https://forum.proxmox.com/threads/hetzner-proxmox-mit-pfsense-als-firwal ...
https://github.com/pekare/hetzner-proxmox-pfsense
https://dominicpratt.de/hetzner-und-proxmox-pfsense-als-gateway/
Gruß,
Dani
es scheint ohne NAT nicht zugehen:
https://forum.proxmox.com/threads/hetzner-proxmox-mit-pfsense-als-firwal ...
https://github.com/pekare/hetzner-proxmox-pfsense
https://dominicpratt.de/hetzner-und-proxmox-pfsense-als-gateway/
Gruß,
Dani
LÖSUNG 22.02.2021 um 21:20 Uhr
Das geht so nicht! Ich habe bereits mehrere Hetzner Server in diesem Szenario eingerichtet. Egal ob mit Proxmox oder VMware.
Du brauchst mindestens eine weitere IP
Habe ich mir fast gedacht, das dies so nicht klappt.Du brauchst mindestens eine weitere IP
Habt ihr denn eine Idee, wie ich dann eine Failover-IP mit zwei pfSense (natürlich auf zwei unterschiedlichen Server) umsetzen kann? Die Failover-IP kann nach Aussage vom Support nicht auf eine andere IP-Adresse als die Haupt-IP-Adresse geroutet werden.
Wenn du aber nur pfsense laufen lassen willst, dann kannst du das mit den Hetzner Cloud Servern. Da brauchst dunkelbraun weitere IP und kannst x-beliebige Images virtualisieren
Nee, es sollen schon ein paar mehr VMs laufen. Und eine pfSense in der Cloud als Router für die root-Server möchte ich eher nicht.LÖSUNG 22.02.2021 um 22:28 Uhr
Zitat von @jeschero:
Habt ihr denn eine Idee, wie ich dann eine Failover-IP mit zwei pfSense (natürlich auf zwei unterschiedlichen Server) umsetzen kann?
Habe ich selbst noch nicht getestet, aber sollte schon irgendwie funktionieren, da du ja die MAC für die neue IP vorgegeben bekommst und diese auch in der jeweiligen sense oder eben in der VM hinterlegen kannst.Das geht so nicht! Ich habe bereits mehrere Hetzner Server in diesem Szenario eingerichtet. Egal ob mit Proxmox oder VMware.
Du brauchst mindestens eine weitere IP
Habe ich mir fast gedacht, das dies so nicht klappt.Du brauchst mindestens eine weitere IP
Habt ihr denn eine Idee, wie ich dann eine Failover-IP mit zwei pfSense (natürlich auf zwei unterschiedlichen Server) umsetzen kann?
Zwischen den *sensen musst du noch ein HA Netzwerk aufbauen. Dies kann du bei Hetzner mittels internen VLAN Regeln. Dies ermöglicht dir intern eine Kommunikation zwischen deinen Server.
Wenn du aber nur pfsense laufen lassen willst, dann kannst du das mit den Hetzner Cloud Servern. Da brauchst dunkelbraun weitere IP und kannst x-beliebige Images virtualisieren
Nee, es sollen schon ein paar mehr VMs laufen. Und eine pfSense in der Cloud als Router für die root-Server möchte ich eher nicht.Die Hetzner Cloud sind letztendlich "nur" virtuelle Maschinen.
LÖSUNG 23.02.2021 um 09:57 Uhr
Zitat von @jeschero:
Habt ihr denn eine Idee, wie ich dann eine Failover-IP mit zwei pfSense (natürlich auf zwei unterschiedlichen Server) umsetzen kann? Die Failover-IP kann nach Aussage vom Support nicht auf eine andere IP-Adresse als die Haupt-IP-Adresse geroutet werden.
z.B. mit einem vSwitch: https://docs.hetzner.com/de/robot/dedicated-server/network/vswitch/Das geht so nicht! Ich habe bereits mehrere Hetzner Server in diesem Szenario eingerichtet. Egal ob mit Proxmox oder VMware.
Du brauchst mindestens eine weitere IP
Habe ich mir fast gedacht, das dies so nicht klappt.Du brauchst mindestens eine weitere IP
Habt ihr denn eine Idee, wie ich dann eine Failover-IP mit zwei pfSense (natürlich auf zwei unterschiedlichen Server) umsetzen kann? Die Failover-IP kann nach Aussage vom Support nicht auf eine andere IP-Adresse als die Haupt-IP-Adresse geroutet werden.
LÖSUNG 23.02.2021, aktualisiert um 16:42 Uhr
Nachdem nochmaligen durchforsten meiner Doku habe ich eine Lösung für mein Problem gefunden. Hätte ich wohl vorher besser machen sollen.
Und zwar braucht man eine zweite IP-Adresse mit einer eigenen MAC-Adresse. Die Zweit-IP wird für den Host genutzt und die pfSense-VM kann über die Bridge die Haupt-IP-Adresse nutzen. Die pfSense-VM muss noch die eigentliche MAC-Adresse vom Host zugewiesen werden.
Das ist die Config:
yy:yy:yy:yy:yy:yy ist die neue MAC-Adresse des Hosts und in vmbr0 wird die Zweit-IP eingetragen
Habe ich jetzt so bei mir am laufen. Sogar DHCP funktioniert ;), auch wenn ich es nicht nutzen werden.
Und zwar braucht man eine zweite IP-Adresse mit einer eigenen MAC-Adresse. Die Zweit-IP wird für den Host genutzt und die pfSense-VM kann über die Bridge die Haupt-IP-Adresse nutzen. Die pfSense-VM muss noch die eigentliche MAC-Adresse vom Host zugewiesen werden.
Das ist die Config:
iface enp35s0 inet manual
hwaddress ether yy:yy:yy:yy:yy:yy
auto vmbr0
iface vmbr0 inet static
hwaddress ether yy:yy:yy:yy:yy:yy
address xx.xx.xx.251/29
pointopoint xx.xx.xx.249
gateway xx.xx.xx.249
bridge-ports enp35s0
bridge-stp off
bridge_fd 1
bridge_hello 2
bridge_maxage 12Habe ich jetzt so bei mir am laufen. Sogar DHCP funktioniert ;), auch wenn ich es nicht nutzen werden.
