Portál AbcLinuxu, 5. června 2024 17:24


Dotaz: DMZ na proxmox aj pfsense

14.12.2021 15:11 jojo
DMZ na proxmox aj pfsense
Přečteno: 619×
Odpovědět | Admin
Existuje 1 stroj x86_64 s dvoma NIC. Na tom zeleze je Proxmox6.

1x VM pfsense, ktora robi GW/firewall (vmbr0-WAN a vmbr1-LAN)

LAN je len jedna 192.168.1.0/24 pre lokalne PC aj servery. Servery by som chcel oddelit do DMZ. Ako to najlepsie spravit ? Bohuzial vsetko je na jednom fyzickom stroji (len 2 NIC).

Musim vytvorit na proxmoxe a zaroven aj na pfsense VLAN ? Potom na pfsense presuniem servery do novej VLAN ?
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

14.12.2021 15:34 X
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense
Odpovědět | | Sbalit | Link | Blokovat | Admin
Jakou vyhodu ma kombinace HW>Proxmox>Virtual>Firewall misto HW>Firewall? VLAN muzes vyrobit na LAN i WAN rozhrani podle toho zda bude mit server verejnou, nebo lokalni IP.
15.12.2021 12:01 jojo
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense
Lebo na pfsense by sa uz asi tazko daval proxmox.

15.12.2021 16:56 X
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense
Chapu dobre, ze na tom proxpomux jsou ty dalsi "servery"?
16.12.2021 08:17 jojo
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense
Ano presne tak. Napisal som to nezrozumitelne v prvom prispevku. Mam len jeden stroj. Na zeleze je Proxmox. V nom je VM s pfsense (predtym som mal fyzicky RB mikrotik, tak som usetril jedno zariadenie). Dalej su na proxmoxe nejake LXC servery. Lepsie asi bude obrazok ako to chcem.
15.12.2021 23:08 Jan Kratochvíl | skóre: 13
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense
Odpovědět | | Sbalit | Link | Blokovat | Admin

Udělej si na tom LAN portu ještě VLAN na kterej potom dáš ty DMZ servery a v pfsense si udělej routing, DHCP, co budeš potřebovat. System->Network vytvoř nový Linux Bridge, jmeéno dej třeba DMZ a jako port zvol jméno toho network device (já mám eno1) a pat tečku a číslo VLAN, takže port bude vypadat např. eno1.10

To je celý

Dokonce si to můžeš případně přes switch vytáhnout i mimo ten proxmox, ale to asi nepotřebuješ.

16.12.2021 08:17 jojo
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense
dakujem vyskusam to
16.12.2021 19:05 jojo
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense
Je to OK podla toho ? Akurat nemam ifupdown2 (v PVE7 by uz malo byt), takze doinstalujem a rano to dam aplikovat. Predpokladam, ze to restartne celu siet (nie len nsp3s0), takze mi spadne aj WAN.
17.12.2021 10:16 jojo
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense
nejak mi to nefunguje.
  • Linux bridge som vytvoril (na testovacie ucely 4x).
  • Na pfsense som vytvoril rozhranie DMZ (VLAN ID 50)
  • Vo firewalle som vytvoril pravidlo na povolenie vlan siete
  • Vytvoril som aj DHCP pre DMZ (ale adresu na LXC davam rucne z rozshu 192.168.50.x)
  • Posledny obrazok je konfiguracie siete na LXC
obrazky

Nikde sa nedopingam ani z pfsense na 192.168.50.20. Akoby VLAN ID 50 bola este niekde blokovana.
17.12.2021 10:44 Jan Kratochvíl | skóre: 13
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense
podle mě to máš skoro dobře, ten Linux bridge mám stejně...

pak v definici VM vyberu ty rozhraní a tam se chovají jako LAN porty, tam už neřeším ty VLAN (dá se to udělat i jinak, ale mě to takhle historicky funguje)

na tom pfsensu potom musíš mít 3 rozhraní LAN, WAN a DMZ a ty si vevnitř toho fw nastavíš jak potřebuješ

https://imgur.com/a/fv8jeTW
17.12.2021 12:36 jojo
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense
Ano mam to na poslednom obrazku. Vybral som vmbr5. VLAN tag som dal 50 (aj v pfsense mam VLAN tahg 50). Vytvarany VM/LXC by sa mal chovat teraz tak, ako keby bol prepojeny (akymsi virtualnym) kablom do pfsense na port DMZ. Pre DMZ rozhranie v pfsense je vytvoreny a bezi DHCP. Ked nastavim pri vytvarani VM/LXC DHCP, tak stroj by mal dostat adresu z DHCP. Avsak nedostane ziadnu IP adresu.

Pravidlo na DMZ (predposledny obrazok) hovori, ze na DMZ rozhrani, povol vsetko vsade.

hmm
17.12.2021 12:53 Jan Kratochvíl | skóre: 13
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense
VLAN na pfsense neřeš, tam se to chová jako untagged, ty VLANy se řeší jen v tom proxmoxu a jen tou tečkou
17.12.2021 13:34 jojo
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense
Dobre. A ked teraz chcem aby novy VM, (ktoremu podhodim v nastaveniach siete bridge vmbr5) dostal IP adresu od DHCP, ktory bude oddeleny od LAN, tak ako to spravit ? Proxmox neni router (resp. dhcp server) je to len VE na ktorom sedia VM/LXC a nieco nadradene musi s nimi po sieti komunikovat. VM/LXC sa musia dostat na inet (v urcitych pripadoch aj do LAN).

Teraz mam vytvoreny holy LXC bez akejkolvek konektivity. Na ake rozhranie sa ma premostovat vmbr5 ?
17.12.2021 13:42 MP
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense
Nastudujte si dokumentaci proxmoxu. K tomu pridejte zaklady siti. Na internetu se to vali vsude mozne. Az budete vedet, kde bezi ktera sluzba, ktera ma neco delat, a zkusite ty propoje nakonfigurovat, tak pokud to nebude fungovat a nebudete vedet kudykam, tak s tou konfiguraci prijdte.
17.12.2021 15:46 Jouda
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense
Pokud mate pro kazdou VLANu samostatny bridge (ve kterem beha jen ta jedna VLANa), tak to potom v cilovem LXC kontejneru uz neresite, a pridelite mu normalni sitovy interface bez VLANy (dostane netagovanou defaultni ID=1). Na obrazku mu davate tagovanou 50-ku a to je asi ta chyba.
17.12.2021 15:56 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense
Odpovědět | | Sbalit | Link | Blokovat | Admin
Pokial v DMZ sieti budu len virtualne servery (to znamena, ze v danom IP rozsahu nebude ziadne fyzicke zariadenie v LAN), tak netreba ziadne VLAN-y. Staci v hypervizore vytvorit dalsi bridge, sietovky DMZ serverov pridat do tohto bridgu, pfsensu pridat dalsiu sietovku a tiez ju dat do tohto bridge.
17.12.2021 19:16 jojo
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense
Skusam to, ale sprava sa to dost divne. Ako som uz vyssie napisal, tak vytvoril som 4 linux bridge. Budem pisat len napr. o vmbr5

Zjednodusene povedane, premostil som (kvazi) fyzicky port enp3s0, ako keby dalsim switchom (vmbr5) do ktoreho budem pripajat dalsie VM/LXC. Pri vytvarani VM/LXC nastavim bridge vmbr5.

Na VM pfsense, som pridal dalsi network device a bridge som nastavim vmbr5.

Cez web pfsense som vytvoril obycajny bridge interface a na nom som vytvoril DHCP pre novy subnet. 192.168.50.1/24

Ked vytvorim LXC podla predpisanych instrukcii a ci zadam IP adresu rucne, alebo necham DHCP,tak siet v tomto LXC je mrtva (este pripomeniem ze v pfense mam na bridge interface pravidlo na povolenie akehokolvek provozu).

Vyskusal som v LXC zmenit bridge z vmbr5 na vmbr1. Rebootol som LXC a DHCP pridelil kontajneru IP 192.168.50.10. Nerozumiem tomu, lebo na vmbr1 by som mal dostavat IP z rozsahu 192.168.1.x (to je vlastne povodna LAN).

Aj ked som odstranil v proxmoxe, network device, ktoru som vytvoril pre pfsense, tak to fungovalo podobne.

Uz som ohladne toho dost precital na proxmox fore aj rozne navody, ale vacsinou su navody, ze pridavaju VLAN cez fyzycky switch atd ...
17.12.2021 22:46 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense
Do DMZ bridgu nesmies pridat ziadny fyzicky interface. Ten bridge si predstav ako switch pre DMZ zonu, do ktoreho je pripojena jedna sietovka pfsense a sietovky DMZ serverov. Tak isto nerozumiem, na co si vytvaral bridge v pfsense. V proxmoxe pridaj pfsensu dalsiu sietovku a pridaj ju do vmbr5. Tak isto vsetky sietovky DMZ serverov pridaj do tohto bridgu. To je vsetko. A v pfsense si DHCP server nastav na tej novej sietovke. 
                                                            --- WAN bridge ---
                                                           |                  |
                                            --------       |   --------       |
                                           | ISP GW |---------| enp2s0 |      |
                                            --------       |   --------       |
                                                           |                  |
                                                           |    ------        |
                                                           |   | vif0 |       |
                                                           |    ------        |
                                                           |       |          |
                                                            -------|----------
                                                                   |
                                      ---- LAN bridge ---          |           ---- DMZ bridge ---
                                     |                   |     ---------      |                   |    --------
          -------------------        |  ------   ------  |    |         |     |  ------   ------  |   |        |
         |  physical switch  |---------|enp3s0| | vif1 |------| pfSense |-------| vif2 | | vif4 |-----| server |
          -------------------        |  ------   ------  |    |         |     |  ------   ------  |   |        |
                                     |                   |     ---------      |                   |    --------
                                     |  ------           |                    |  ------           |
                                     | | vif3 |          |                    | | vif5 |          |
                                     |  ------           |                    |  ------           |
                                     |    |              |                    |     |             |
                                      ----|--------------                      -----|-------------
                                          |                                         |
                                          |                                         |
                                      --------                                  --------
                                     |        |                                |        |
                                     | server |                                | server |
                                     |        |                                |        |
                                      --------                                  --------
18.12.2021 12:05 jojo
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense
dik, vcera mi to nejak nepalilo, bol som nestastny (nie len z toho). Ale este asi okolo desiatej sa mi to podarilo. Zaklad bolo vytvorenie linux bridgov na proxmoxe vo forme enp3s0.x (enp3s0 je LAN a chcel som to vytvorit na LAN). Nebol potrebny reboot proxmoxu, stacilo doinstalovat ifpdown2 a v proxmoxe dat apply configuration (funguje to cez GUI).

Ako ste mi dalej poradili a to je dolezite. Pridat v proxmoxe na VM pfsense dalsie network device a namapovat ich na vmbrx. Tymto praca v proxmox skoncila.

Device zariadenia, ktore sme v proxmoxe pridali, tak sa objavia v pfsense Interface Assignments, len ich musime pridat (pfsense ich vidi ako fyzicke rozhrania, jednoducho staci vybrat vtnetx a klik na +add). Pre nove rozranie nastavime novy subnet.

Volitelne, mozenme pre kazdy novy interface nastavit aj DHCP.

V proxmoxe pri vytvarani VM/LXC vybrat pri nastaveni siete vmbrx cez ktoru sa chceme pripajat.

V pfsense vytvorit vseobecne pravidlo pre akukolvek komunikaciu. Teraz vie komunikovat vsetko zo vsetkym. Ked to ma byt DMZ, tak treba nastavovat zrejme dalsie pravidla, aby DMZ mala zmysel.

OT, GeorgeWH v com sa daju kreslit take diagramy
19.12.2021 22:29 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense
v com sa daju kreslit take diagramy

V tom by mohli poradit ini.

Ja pouzivam dia. Objekty nic-moc (daju sa stiahnut), ale na take to domace zuvanie to staci. Robil som aj s MS Visio (fuj), ale to mi nesadlo. Najlepsi bol Confluence plugin draw.io.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.