Netzwerkfrage betreffend Proxmox & einer pfSense-VM

[Bob.Dig]

Proxmox-Noob hier.
Kann ich auf einem Proxmox-VPS mit nur einer NIC eine pfSense-VM betreiben, ohne den Traffic zu NATen, sondern die einzige öffentliche IPv4-Adresse direkt an der pfSense-VM anliegen haben?
Meine Idee war Proxmox (per IPv6) und die VM (per IPv4) beide an vmbr0 anzuschließen, die VM hat aber keine Konnektivität...

 

[Bob.Dig]

Habe aktuell das Problem, dass mir eine Windows VM irgendwann abschmiert. Muss dazu sagen, dass der 1€/M VPS von 1Blu auch arschlahm ist. Mir scheint der Storage verabschiedet sich aus der VM. Die neusten Windows Treiber für virtio sind installiert.

 

[Bob.Dig]

Lag vermutlich am ZFS, hab Proxmox nochmal neu aufgesetzt, dieses mal nicht auf ZFS und bis jetzt scheint es stabiler zu sein.

1. Ich müsste wohl Routen hinzufügen und würde diese unter das passende Interface (vmbr1)setzen?
2. Die Firewallregeln bei vmbr1 sind wohl Outbound-NAT-Regeln, hier müsste ich also für jede Route die vorhandenen Regeln duplizieren und anpassen?

Keine Ahnung, ob das so geht. Wäre für jedes qualifizierte Drüberschauen und Hilfe dankbar.

@riversource Was sagst Du denn dazu, müsste gehen oder?

 

[riversource]

Von wo aus willst du die VMs denn erreichen? Lokal auf dem Host brauchst du keine zusätzlichen Regeln, das sollte sich durch die Subnetz-Routen des Interfaces von allein erledigen. Und wenn die VMs ins Internet sollen, dann muss die NAT Regel natürlich erhalten bleiben.

Vergiss es, die öffentliche IP in eine VM zu ziehen.

 

[Bob.Dig]

Vergiss es, die öffentliche IP in eine VM zu ziehen.

Hab ich schon. Ich habe halt nur überlegt, das Outbound NAT in der pfSense VM zu beenden und das stattdessen ausschließlich auf dem Host zu machen. Damit wäre es dann kein Doppel-NAT mehr, ob es was bringt, keine Ahnung.

 

[riversource]

Ok, NAT in der pfSense kannst du beenden. Die interfaces Datei ist ja auf dem Host, und da ist eine NAT Regel für den Datenverkehr aus den VMs.

 

[Bob.Dig]

@riversource Naja nicht ganz, was dort ist, betrifft nur die pfSense VM, die ja auch das Gateway für die anderen VMs sein soll. Ist vermutlich nicht so einfach ersichtlich, wenn man nicht genau das Problem hat. 😉

Die Frage ist halt, was für Regeln brauch ich jetzt zusätzlich. Kann ich diese allein in der interface-Datei vornehmen, ggf. welcher Syntax. Und spart das am Ende irgendwelche Rechenlast ein. Letzteres zumindest theoretisch, denn der VPS ist nicht sonderlich flott aka ziemlich überbucht.

 

[riversource]

Dann fehlt aber noch eine komplette Bridge samt Konfiguration. Weil wenn die pfSense wirklich routen soll, braucht sie ja ein LAN und ein WAN Interface. WAN ist die Bridge, die wir sehen (vmbr1). LAN wäre die Bridge mit den anderen VMs. Welche ist das?

 

[Bob.Dig]

LAN wäre die Bridge mit den anderen VMs. Welche ist das?

Ist vmbr2. Diese befindet sich aber hinter der pfSense und spielt hier ja keine Rolle, denn der VM-Traffic soll ja weiterhin durch die pfSense VM gehen und eingehend werden sie auch weiterhin per PortForwarding durch die pfSense bedient.

 

[riversource]

Du willst aber kein NAT, und in dem Moment spielt sie eine Rolle, weil du zumindest Regeln für den IP-Bereich brauchst. Wenn die pfSense NAT macht, dann kannst du sie ignorieren.

 

[Bob.Dig]

@riversource Also für die Portforwardings brauche ich auch weiterhin das NAT, aber für outbound will ich es mir auf der Sense sparen. Dafür brauche ich nach meinem Verständnis zusätzlich Routen auf dem Host (Proxmox) und entsprechende Outbound-NAT-Regeln für alle Routen.

 

[riversource]

Also für die Portforwardings brauche ich auch weiterhin das NAT

Nein, das geht auch ohne NAT. Wichtig ist, dass du das richtige Ziel angibst und dass der Host weiß, wo er das LAN der pfSense zu suchen hat (Route ins LAN der pfSense mit Gateway pfSense). Hier wird es tricky, denn der Host darf keine Abkürzung ins LAN kennen (über vmbr2). Da musst du bei der Konfiguration aufpassen.

... und entsprechende Outbound-NAT-Regeln für alle Routen.

Du brauchst eine NAT Regel für das LAN Subnetz.

 

[Bob.Dig]

Nein, das geht auch ohne NAT. Wichtig ist, dass du das richtige Ziel angibst und dass der Host weiß, wo er das LAN der pfSense zu suchen hat (Route ins LAN der pfSense mit Gateway pfSense). Hier wird es tricky, denn der Host darf keine Abkürzung ins LAN kennen (über vmbr2). Da musst du bei der Konfiguration aufpassen.

Stimmt zwar, aber dann kann ich mir die pfsense auch bald sparen, soweit wollte ich dann nicht gehen.

Du brauchst eine NAT Regel für das LAN Subnetz.

Ich werde mehrere "LANs" haben. Ich brauche also Routen und NAT-Regeln für diese. Nur wie sehen die konkret aus (z.B. für 192.168.0.0/16, Gateway ist die pfSense) in der Datei namens "interfaces".

 

[riversource]

Ich bin mir nicht sicher, ob solche Firewallregeln was in der "interfaces" zu suchen haben. Bei den iptables Regeln ist die Reihenfolge der Abarbeitung von besonderer Wichtigkeit, deshalb gibt es andere Werkzeuge für das Aufsetzen der Firewall mit iptables. Aus der interfaces heraus ist es immer ein bisschen Zufall, wo sich die Regeln einsortieren.

Aber die Regeln an sich sehen genau so aus, wie die bereits vorhandene.

iptables -t nat -A POSTROUTING -s '172.16.222.0/24' -o vmbr0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s '172.16.223.0/24' -o vmbr0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s '172.16.224.0/24' -o vmbr0 -j MASQUERADE

Oder du machst eine große Regel für das gesamte Netz, aus dem sich die einzelnen Subnetze bilden.

iptables -t nat -A POSTROUTING -s '172.16.0.0/16' -o vmbr0 -j MASQUERADE

 

[Bob.Dig]

Oder du machst eine große Regel für das gesamte Netz, aus dem sich die einzelnen Subnetze bilden.

So hatte ich das vor. Kann ich nun die Route(n) da (interfaces) auch noch reinquetschen?