CoMo
Commander
- Registriert
- Dez. 2015
- Beiträge
- 2.937
Hallo,
folgender Plan:
Hetzner Dedicated Server mit Proxmox, darauf OPNSense als VM.
Der komplette Traffic außer SSH und PVE WebUI sollen an die OPNSense genatted werden.
Proxmox und OPNSense laufen und sind erreichbar.
PVE:
Die Route
Das post-up scheint schon mal nicht zu funktionieren, jedes mal, wenn ich das Netzwerk neu starte, kommt eine iptables Regel dazu. Lösche ich dann von Hand.
Nun habe ich erst mal das Problem, dass die OPNSense keine IP-Adressen per DHCP vergibt. Außerdem antwortet mir 127.0.0.1, wenn ich was im Internet anpingen will.
OPNSense:
Da fehlt jetzt sicher ganz viel an Info, bitte nicht hauen, ich habe mit PFSense / OPNSense bisher noch nicht gearbeitet. Bitte einfach sagen, welche Infos fehlen und wie ich da rankomme, dann liefere ich die nach
folgender Plan:
Hetzner Dedicated Server mit Proxmox, darauf OPNSense als VM.
Der komplette Traffic außer SSH und PVE WebUI sollen an die OPNSense genatted werden.
Proxmox und OPNSense laufen und sind erreichbar.
PVE:
Code:
root@virt:~# ip r
default via 88.xx.xx.65 dev vmbr0 proto kernel onlink
10.0.0.0/31 dev vmbr1 proto kernel scope link src 10.0.0.1
10.0.0.2 dev vmbr1 scope link
88.XX.XX.XX/26 dev vmbr0 proto kernel scope link src 88.XX.XX.XX
Die Route
ip route add 10.0.0.2/32 dev vmbr1
muss ich nach jedem PVE Reboot händisch hinzufügen.
Code:
root@virt:~# cat /etc/network/interfaces
# network interface settings; autogenerated
# Please do NOT modify this file directly, unless you know what
# you're doing.
#
# If you want to manage parts of the network configuration manually,
# please utilize the 'source' or 'source-directory' directives to do
# so.
# PVE will preserve these directives, but will NOT read its network
# configuration from sourced files, so do not attempt to move any of
# the PVE managed interfaces into external files!
auto lo
iface lo inet loopback
iface enp0s31f6 inet manual
auto vmbr0
iface vmbr0 inet static
address 88.xx.xx.xx/26
gateway 88.xx.xx.xx
bridge-ports enp0s31f6
bridge-stp off
bridge-fd 0
post-up sysctl -w net.ipv4.ip_forward=1
post-up sysctl -w net.ipv6.conf.all.forwarding=1
post-up iptables -t nat -A PREROUTING -i vmbr0 -p tcp -m multiport ! --dport 22,8006 -j DNAT --to 10.0.0.2
post-up iptables -t nat -A PREROUTING -i vmbr0 -p udp -j DNAT --to 10.0.0.2
post-down iptables -t nat -D PREROUTING -i vmbr0 -p tcp -m multiport ! --dport 22,8006 -j DNAT --to 10.0.0.2
post-down iptables -t nat -D PREROUTING -i vmbr0 -p udp -j DNAT --to 10.0.0.2
iface vmbr0 inet6 static
address 2a01:xx:xx:xx::1337/64
gateway fe80::1
auto vmbr1
iface vmbr1 inet static
address 10.0.0.1/31
bridge-ports none
bridge-stp off
bridge-fd 0
post-up iptables -t nat -A POSTROUTING -s '10.0.0.2/31' -o vmbr0 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '10.0.0.2/31' -o vmbr0 -j MASQUERADE
auto vmbr1
iface vmbr1 inet6 static
address 2a01:xx:xx:xx::1338/126
up ip route 2a01:xx:xx:4255::/64 via 2a01:xx:xx:xx::1339
auto vmbr2
iface vmbr2 inet manual
ovs_type OVSBridge
source /etc/network/interfaces.d/*
Das post-up scheint schon mal nicht zu funktionieren, jedes mal, wenn ich das Netzwerk neu starte, kommt eine iptables Regel dazu. Lösche ich dann von Hand.
Code:
root@virt:~# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere anywhere multiport dports !ssh,8006 to:10.0.0.2
DNAT udp -- anywhere anywhere to:10.0.0.2
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 10.0.0.2/31 anywhere
Nun habe ich erst mal das Problem, dass die OPNSense keine IP-Adressen per DHCP vergibt. Außerdem antwortet mir 127.0.0.1, wenn ich was im Internet anpingen will.
OPNSense:
Code:
root@OPNsense:~ # ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.224 ms
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.150 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.140 ms
Code:
root@OPNsense:~ # netstat -rn
Routing tables
Internet:
Destination Gateway Flags Netif Expire
default 192.168.0.1 UGS vtnet1
10.0.0.1 link#1 UHS vtnet0
10.0.0.2 link#1 UHS lo0
10.0.0.2/31 link#1 U vtnet0
127.0.0.1 link#3 UH lo0
192.168.0.0/24 link#2 U vtnet1
192.168.0.1 link#2 UHS lo0
Internet6:
Destination Gateway Flags Netif Expire
default 2a01:xx:xx:xx::1338 UGS vtnet0
::1 link#3 UHS lo0
2a01:xx:xx:xx::/80 link#2 U vtnet1
2a01:xx:xx:xx::1338 link#1 UHS lo0
2a01:xx:xx:xx::1339 link#2 UHS lo0
fe80::%vtnet0/64 link#1 U vtnet0
fe80::be24:11ff:fec0:7580%vtnet0 link#1 UHS lo0
fe80::%vtnet1/64 link#2 U vtnet1
fe80::be24:11ff:fe6d:e56c%vtnet1 link#2 UHS lo0
fe80::%lo0/64 link#3 U lo0
fe80::1%lo0 link#3 UHS lo0
Da fehlt jetzt sicher ganz viel an Info, bitte nicht hauen, ich habe mit PFSense / OPNSense bisher noch nicht gearbeitet. Bitte einfach sagen, welche Infos fehlen und wie ich da rankomme, dann liefere ich die nach