OpnSense: Create VMs in Proxmox [Hetzner Server]
Vložit
- čas přidán 28. 08. 2024
- OpnSense is a widely used tool to manage connections and traffic... let's say ;) Here we look at how to install it on a Proxmox server.
You can find the AX41 server at Hetzner here: hetzner.com/th... (Affiliate-Link)
The server administration basics series: • Serveradministration G...
Firewalls/Opnsense Playlist: • Firewalls: Angriffe un...
**All my social media portals**:
bio.link/themo...
Discord:
the-morpheus.d...
Support me - Thank you!:
www.patreon.co...
www.paypal.me/...
![OpnSense: TLS Certificate via ACME.sh [Hetzner Server]](http://i.ytimg.com/vi/O2CHWr_AQT0/mqdefault.jpg)
![OpnSense: TLS Certificate via ACME.sh [Hetzner Server]](/img/tr.png)
![Install OpnSense on Proxmox: 1 IP only [Hetzner Server]](http://i.ytimg.com/vi/uKGkw7KE0ng/mqdefault.jpg)
Der Moment, wo man bei Dir mehr über die Grundlagen der Netzwerktechnik lernt, als beim Ausbilder.
Habe es mit deinen Tutorials jetzt endlich geschafft, meine VMs mit Proxmox und OPNsense bei hetzner auch über IPv6 zugänglich zu machen ! Interessant wäre jetzt noch wie ich alle IPv6 Adressen außer die der VMs für die Öffentlichkeit sperren kann (Proxmox Host, Bridge, OPNsense LAN Interface, ...)
Moin, ich verstehe zwar fast nur Bahnhof, aber dennoch sehr interessant! Bisschen was kann man ja immer mitnehmen :)
Wie immer Super und vielen dank ... einen NgingX reverse proxy waere jetzt noch gefragt .. :)
Danke für das Video. Interessant wäre noch die Zuweisung einer weiteren IPv4 Adresse an die VM.
Danke für das Video. OPNsense lässt sich durchaus direkt auf einem VPS installieren und dann Proxmox dahinter auf einem entsprechenden Server, dem man die öffentliche IP abknipst. Verbindung zwischen der FW und PVE über ein VXLAN des Hosters. Die LXC und VMs beziehen dann per DHCP eine IP von der OPNSense und gehen auch darüber ins Internet. Dann noch ein VPN auf der OPNSense und WAN dicht machen. Alles dann über VPN dann direkt erreichbar von zu Hause. HAProxy mit LE und die Dienste hinter der FW werden sicher ins Internet gebracht. Also grad umgekehrt…scheue mich, PVE ins Netz zu stellen und Ports freizugeben…so zumindest meine Anregung. Bin aber auch kein Experte:-)
Hast du IPv6 auch zum laufen bekommen? Hab das mal mit zwei Cloudservern getestet - 1x OPNsense, 1x Server.
IPv4 ging irgendwie aber v6 hab ich damals nicht zum laufen bekommen.
Hast du ggf. Doku dazu die du mir zur Verfügung stellen könntest?
so when i saved the VLAN111 interface in opnsense, opnsense UI becomes unreachable?
so what i found out is that everytime i added the VLAN111 interface, i lost access to opnsense and had to do "pfctl -d" to bring myself back in. Adding floating rule seems to give me access back to opnsense without needing to disable pfctl all the time
Wäre mal interessant wie man man mit opnsense und einer öffentlichen IPV4 verschiedene vms/lxcs erreichbar machen kann für Websites etc.
Reverse Proxy ist was du suchst.
Ich komme leider irgendwie mit der Netzwerkkonfiguration nicht zurecht. Die VM will keine Verbindung zum Internet aufbauen. Auch verstehe ich nicht, wie man mit so einer Konfiguration es ermöglicht, dass die VMs auch untereinander kommunizieren können, geschweige den überhaupt eine neue IP bekommen. Weil man doch nur 2 Freihat in einem 30er-Netz ? Hoffe, mir kann einer helfen :/
Ich kann mich meinem Vorredner nur anschließen. Ich bekomme von der VM auch keine Verbindung zum Internet und ebenfalls würde ich eine Setup in dem die VM`s kommunizieren können bevorzugen das man z.B einen Webserver und Mysql in zwei unterschiedliche vms legen kann die dann über das private netz kommunizieren können und nur der Webserver von ausen erreichbar ist.
@@philippleutner416 dann musst wahrscheinlich beide ins selbe VLAN legen oder Regeln zwischen den VLANs erstellen, damit die Kommunikation funktioniert.
Wenn ich die Bridge mit dem VLAn anlege erreiche ich die opnsense nicht mehr ... irgendwo ist da mist in der Konfiguration ...
Ich bin genau an dem gleichen Fehler am verzweifeln :(
@Steve das liegt daran dass sich der OPNsense nach jedem "Apply Changes" neu aktiviert. Wenn du also mit pfctl -d den Firewall deaktvierst sollte es wieder gehen. Problem ist nur, dass du das dann immer so machen musst. Ab dem Moment wo du die Firewall Rules einstellst sollte es wieder gehen (glaube ich zumindest xD bin kompletter anfänger eig...)
Also bis hierhin bin ich nun gekommen, allerdings kann die VM die OPNsense nicht pingen ... OPNsense zu VM auch nicht ... was habe ich falsch gemacht ? VLAN tag ist identisch und die IP´s passen auch
okay ich musste die Interfaces in OPNsense neu zuweisen, jetzt läuft es
Hey Morpheus,
ich wollte mal deine Meinung zu meiner Frage wissen oder auch an die Community.
Wie siehst du die Zukunft für Golang im Bereich IT-Sicherheit? Denkst du, sie kann Python ersetzen und sollte man sie neben Python auch lernen?
Hmmm, ich mache vielleicht ein Video dazu. Das muss ich länger überlegen
Selbst COBOL ist noch aktuell für gewisse Anwendungszecke ... ich frage mich so langsam ernsthaft wie Ihr immer auf die Idee kommt das ständig irgendeine ANDERE Programmiersprache etc. irgendwas "ablöst" was genutzt wird ..
Braucht man zwingend openvswitch ? mit virtio geht vlan nicht ??
Du musst das vmbr1 als switch anlegen. Ansonsten kriegen die VMs auf dem proxmox keine IPs und wissen nicht, wie die mit der OPNsense kommunizieren müssen.
Hey, erst einmal danke für das Video. Ich hab nur noch eine Frage: warum legen wir für jede VM ein eigenes VLAN an? Wieso wollen wir nicht, dass die Maschinen "miteinander reden" können?
Wenn die VMs von Außen erreichbar sind, angegriffen und gehackt, kommt der Angreifen nicht weiter, weil er im VLAN 11 z.B. festhängt, aber deine anderen Systeme sind in VLAN 9, 10, 12 usw. Viel kann er dann nicht machen^^
Hi Morpheus. If i'd add other public ip address, how i can do it? How i must modify? Thanks for answer.
Hey, danke für dein super Video. Gehe gerade alle durch, da ich bei mir privat eine opnsense aufsetze. Ich habe aber noch eine Frage:
Ich habe einen Server mit 5 NICs (Netzwerkkarten). Ich müsste also ein untagged LAN haben. Für mein WAN nutze ich vmbr0, für meine Server/Services vmbr1, Clients vmbr2 etc. Meine Server würden sich also ohne weiteres sehen, aber meine Clients hätten kein Zugriff drauf, außer ich erstelle entsprechende Regeln in der Firewall, richtig? Wenn ich nun möchte, dass sich auch die Server nicht sehen, müsste ich meinem untagged vmbr1 weitere vlans erstellen, richtig? Ist das Sinnvoll bzw. Möglich? Auf meinem managed Switch habe ich die Netzwerke schon getrennt.
ich habe eigentlich alles gemacht, ich kann aber gegen die IPv4 bzw. IPv6 nicht pingen. auch nicht vom Proxmox host
macht es denn sinn proxmox direkt an das WAN anzubinden?
Stand jetzt ist der Showstopper die Tatsache, dass OpnSense eine Menge Rules automatisch generiert, was man nicht verhindern kann.
Was hältst du von pegasus(spysoftware) und kann man sich wirklich nicht davor schützen?🤔
Du meinst den Staatstrojaner? Darüber ist zu wenig bekannt. Ist aber eher Thema für den vlogs Kanal
@@TheMorpheusTutorials ach du hast schon ein video darüber? Perfekt! Ich hatte deinen vlog Kanal garnicht auf dem Schirm danke dir👍
pfctl aktiviert sich bei mir nach jeder Änderung und ich muss diesen wieder mit pfctl -d ausschalten, gibt es da eine Möglichkeit pfctl dauerhaft zu deaktivieren?
Kein opnsense installieren ^^ Dir ist aber schon klar, dass Du hier ein Firewall installierst, oder? Wenn Du ihn immer ausmachst... brauchst Du ihn eben nicht.
Man muss in der Firewall Regeln für WAN und VLAN definieren. Sonst geht da nichts. 🙂
Als Notnagel ist pfctl -d nur statthaft, um wieder Zugang zur WebGui zu bekommen. Das sollte aber nach dem Freigeben des Traffics in der Firewall aber von selbst wieder funktionieren.
23:21 also irgendwie... Ziemlich merkwürdige Vorgehensweise. In einem Netz wo ich nur zwei Addressen habe brauche ich kein DHCP
Also, ich habe alles genau so gemacht wie in allen Tutorials, leider nichts, gar nichts.
Deutsche Sprache, schwere Sprache!
Danke für deine Arbeit! Mich würde deine Meinung zu netcup und unraid interessieren :) liebe Grüße, Leo
Kurze Antwort: Vergiss es .. ich habe damals 6 MONATE gebraucht um aus dem Vertrag bei Netcup rauszukommen....
@@Steve_Hamburg oha, okay gut zu wissen - danke dir! werde das im hinterkopf behalten. finde es außerdem für laien wie mich etwas blöd, dass dort scheinbar standardmäßig keine firewall vor dem VPS läuft
43:41 Ich kann in das VLAN Pingen, aber nicht ins Internet.
Ich habe auch jegliche Firewall abgeschaltet, um dort Fehlerhafte-Konfiguration ausschließen zu können.
EDIT:
Wenn man die FW in der OPNsense Konsole deaktiviert klappt es tatsächlich, aber nur IPv6 und Domainname (von google und die 2600::) können angepingt werden (warum auch immer IPv4 nicht) 😅
Kann da jemanden helfen? :)
Ich habe ähnliche Schwierigkeiten, bist du weiter gekommen?
@@hengsteler76 ich bin auf PfSense umgestiegen (mit den gleichen Einstellungen) und klappt eins A.
1ter
bekomme ums verrecken keine ipv6 verbindung über die abcd::1337 hinaus zb. die abcd::1336 ist schon nicht mehr erreichbar was mache ick falsch?
habe alles schon neu aufgesetzt!
ipv4+v6 namens Auflösung geht.
mit nslookup bekomme ich zb von heise eine ipv4 und eine ipv6 kann die v6 aber nicht pingen ?
@@TheRausFaser geht mir genau so komme auch nur bis zu : :136 und nicht darüber hinaus. Nun bin ich eigentlich keine Anfänger mehr und habe in der Zwischenzeit meine Hoster in verdacht, denn wenn ich die IP v6 Adresse der VM auf den Proxmox Host temporär hinzufüge und dir IP aufrufe und danach sie wieder entferne, funktioniert die IP V6 Verbindung zur VM für einige stunden noch problemlos.