此设置应根据proxmox,是一个opnsense VM托管在Proxmox本身,这将保护proxmox后面,提供防火墙,普里瓦LAN和DHCP / DNS的虚拟机,并提供一个IPsec连接到LAN访问所有虚拟机/ Proxmox未NAT的。 服务器是典型的HETZNER服务器,所以只有在NIC,但多个IP地址或在此NIC /子网。
由于集群阻滞剂与PCI-直通设置这是我的另类
- Proxmox服务器与1 NIC(eth0的)
- 3个公共1IPs,IP2 / 3由MAC在数据中心路由(为eth0)
- KVM桥接设置了(eth0没有IP,vmbr0桥与IP1为eth0)
- 专用LAN上vmbr30,10.1.7.0/24
- 在proxmox服务器上的的shorewall
为了更好地勾勒出的设置,我创建这个图纸 :(不知道它的完美,告诉我该怎么改进)
文字描述:
在Proxmox网络接口
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet manual
pre-up sleep 2
auto vmbr0
# docs at
iface vmbr0 inet static
address External-IP1(148.x.y.a)
netmask 255.255.255.192
# Our gateway is reachable via Point-to-Point tunneling
# put the Hetzner gateway IP address here twice
gateway DATACENTER-GW1
pointopoint DATACENTER-GW1
# Virtual bridge settings
# this one is bridging physical eth0 interface
bridge_ports eth0
bridge_stp off
bridge_fd 0
pre-up sleep 2
bridge_maxwait 0
metric 1
# Add routing for up to 4 dedicated IP's we get from Hetzner
# You need to
# opnsense
up route add -host External-IP2(148.x.y.b)/32 dev vmbr0
# rancher
up route add -host External-IP2(148.x.y.c)/32 dev vmbr0
# Assure local routing of private IPv4 IP's from our
# Proxmox host via our firewall's WAN port
up ip route add 10.1.7.0/24 via External-IP2(148.x.y.b) dev vmbr0
auto vmbr30
iface vmbr30 inet static
address 10.1.7.2
netmask 255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0
pre-up sleep 2
metric 1
上的shorewall Proxmox
接口
wan eth0 detect dhcp,tcpflags,nosmurfs
wan vmbr0 detect bridge
lan vmbr30 detect bridge
政策:
lan lan ACCEPT - -
fw all ACCEPT - -
all all REJECT INFO -
OPNsense
- WAN是ExternalIP2,附接到与vmbr0 MAC-XX
- LAN是10.1.7.1,附接到vmbr30
什么是工作:
- 基本设置工作正常,我可以用IP2访问opnsense,我可以IP1访问proxmox,我可以在IP3访问牧场主-VM - 这就是不需要任何路由。
- 我可以与IPSec的移动客户端,以连接OPNsense,从虚拟IP范围172.16.0.0/24提供接入局域网(10.1.7.0/24)
- 我可以访问10.1.7.1(opnsense),同时用OpenVPN的连接
- 我可以访问从OPNsense 10.1.7.11 / 10.1.7.151(10.1.7.1)(壳)
- 我可以访问从othervm 10.1.7.11 / 10.1.7.1(10.1.7.151)(壳)
什么不工作:
一个)连接到10.1.7.11/10.1.7.151或10.1.7.2从IPsec客户端
B)[解决在UPDATE 1]从10.1.7.1连接到10.1.7.2(opnsense)
C)它好像我有asynchron路由,而我可以访问如10.1.7.1:8443我看到很多,如果条目
d)安全局域网共享将包括我统治IPSEC链“从*到LAN接受” - 但是这并没有为我工作,我不得不“从*到*接受”加
问题:
我)我当然要修复A)B)C)d),可能开始理解c)和d)
II),这将有助于在此设置,添加第二个NIC?
III),这可能是因为我激活把net.ipv4.ip_forward的proxmox主机上的问题(不应该说,它是相当路由?)
当我得到这个理顺我很想放在如何运行OPNsense与在Proxmox专用网络设备的全面指导,使用HAproxe + LE通过一些服务于外部世界,并访问使用IPsec私有LAN
UPDATE1:
删除up ip route add 10.1.7.0/24 via IP2 dev vmbr0
从vmbr0上proxmox固定的,无论是proxmox可以访问10.1.7.0/24,也可能有来自局域网的网络访问过的问题。
UPDATE2:
我创建了一个更新/修改的设置,在使用PCI-直通。 目标是一致的-它降低了复杂性- 在这里看到