Proxmox Hardware hinzufügen und ändern Aufgabe: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(29 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 +
==Ziel==
 +
*Wir wollen auf den Proxmoxen eine Hochverfügbare Firewall einrichten.
 +
*Diese soll direkt an dem Saalnetz hängen.
 +
*Die Proxmoxschnittstelle selbst soll aus Sicherheitsgründen transparent bleiben.
 +
*In der realen Welt müssten wir 3 neue Netzwerkkarten in die PMXe verbauen.
 +
*In der virtuellen können wir sie per Klick hinzufügen.
 +
*Wir wollen später die Firewall in den HA-Cluster aufnehmen.
 +
*Wenn die Node auf der die Firewall läuft crashed, soll sie auf einer anderen wieder hochfahren.
 +
*Die Clients sollen an VLAN 17 hängen und sollen von der Firewall per DHCP versorgt werden.
 +
*Die Proxmoxe arbeiten per default im Trunking Modus, somit funktioniert die Kommunikation untereinander.
 +
*An der VM kann man sich das gewünschte VLAN '''rausfischen'''
 +
 +
{{#drawio:proxmox-fw-übung}}
 +
 +
==Vorarbeiten==
 +
===Auf dem VirtualMachineManager===
 +
;An den Maschinen pmx1, pmx2 und pmx3 folgendes tun:
 +
*Gerät hinzufügen
 +
**Netzwerk
 +
***Bridge Device: br0
 +
***Type: virtio
 +
===Auf dem Proxmoxen===
 +
;An den Proxmoxen: pmx1, pmx2 und pmx3 folgendes tun:
 +
*Network
 +
;Es sollte die neue Netzwerkkarte als enp7s0 erscheinen.
 +
*Karte aktivieren
 +
*Neue Bridge '''vmbr1''' erstellen
 +
*Keine IP vergeben, die Schnittstelle soll transparent bleiben
 +
*Apply
 +
 
==Maschine erstellen==
 
==Maschine erstellen==
 +
;Auf dem Proxmox
 
*Name: fw
 
*Name: fw
 
;Aus dem debian-template (full-clone)
 
;Aus dem debian-template (full-clone)
 
;Ort ist pmx2
 
;Ort ist pmx2
 
;Speicherort: fs2-prod
 
;Speicherort: fs2-prod
 +
;Netzwerkkarte: vmbr1
  
 
==VM Konfiguration==
 
==VM Konfiguration==
 +
;In der VM
 +
 
{| class="wikitable"
 
{| class="wikitable"
 
|+ VM Einstellungen
 
|+ VM Einstellungen
Zeile 13: Zeile 47:
 
|-
 
|-
 
! IP
 
! IP
| 10.0.10.99/24
+
| 192.168.<hs>.2<tn>/24
 
|-
 
|-
 
! Gateway
 
! Gateway
| 10.0.10.1
+
| 192.168.<hs>.254
 
|-
 
|-
 
! Nameserver
 
! Nameserver
Zeile 23: Zeile 57:
 
! Zu installierende Pakete
 
! Zu installierende Pakete
 
| isc-dhcp-server
 
| isc-dhcp-server
 +
|-
 +
! Netzwerkkarte
 +
| ens18
 
|}
 
|}
  
Zeile 41: Zeile 78:
 
}
 
}
 
</pre>
 
</pre>
 +
*systemctl start nftables
 +
*systemctl enable nftables
  
 
==LAN==
 
==LAN==
 +
;Auf dem Proxmox
 
*Füge über Proxmox im laufenden Betrieb eine NIC hinzu.
 
*Füge über Proxmox im laufenden Betrieb eine NIC hinzu.
 +
**Netzwerkkarte: vmbr0
 
**Type: virtio
 
**Type: virtio
 
**VLAN: 17
 
**VLAN: 17
*IP 172.17.17.1/24
+
 
 +
==Fertige Netzwerkkonfiguration==
 +
Die Netzwerkkarte bekommt die IP: IP 172.17.17.1/24
 +
;In der VM
 +
*cat /etc/network/interfaces
 +
<pre>
 +
auto lo
 +
iface lo inet loopback
 +
 
 +
auto ens18
 +
iface ens18 inet static
 +
address 192.168.<hs>.2<tn>/24
 +
gateway 192.168.<hs>.254
 +
 
 +
auto ens19
 +
iface ens19 inet static
 +
address 172.17.17.1/24
 +
</pre>
 +
;am besten ein reboot
  
 
==DHCP Server==
 
==DHCP Server==
 +
;In der VM
 
*vim /etc/default/isc-dhcp-server
 
*vim /etc/default/isc-dhcp-server
  INTERFACESv4="enp0s8"
+
  INTERFACESv4="ens19"
 
*vim /etc/dhcp/dhcpd.conf
 
*vim /etc/dhcp/dhcpd.conf
 
<pre>
 
<pre>
Zeile 66: Zeile 126:
  
 
==Win11==
 
==Win11==
 +
;In der VM win11
 
*Hänge den Win11 Rechner in das VLAN 17
 
*Hänge den Win11 Rechner in das VLAN 17
 
*Konfiguriere ihn auf DHCP
 
*Konfiguriere ihn auf DHCP
Zeile 71: Zeile 132:
  
 
==Festplatte vergrößern==
 
==Festplatte vergrößern==
;Aufgrund der zu erwartenden Logging-Daten muss die Festplatte der Firewall vergrößert werden.
+
;Auf dem Proxmox
;Vergrößere sie um 5 GB über Proxmox (qm resize), anschließend im Gast mit resize2fs erweitern.
+
*Aufgrund der zu erwartenden Logging-Daten muss die Festplatte der Firewall vergrößert werden.
 +
;In der VM
 +
*Vergrößere sie um 5 GB über Proxmox (qm resize), anschließend im Gast mit resize2fs erweitern.
  
 
*parted /dev/sda
 
*parted /dev/sda
 
  (parted) print
 
  (parted) print
  (parted) resizepart 1 100%
+
  (parted) resizepart 2 100%                                              
  (parted) quit
+
Warning: Partition /dev/sda2 is being used. Are you sure you want to continue?
 +
Yes/No? yes 
 +
  (parted) quit  
  
resize2fs /dev/sda1
+
*resize2fs /dev/sda2

Aktuelle Version vom 8. Mai 2025, 08:41 Uhr

Ziel

  • Wir wollen auf den Proxmoxen eine Hochverfügbare Firewall einrichten.
  • Diese soll direkt an dem Saalnetz hängen.
  • Die Proxmoxschnittstelle selbst soll aus Sicherheitsgründen transparent bleiben.
  • In der realen Welt müssten wir 3 neue Netzwerkkarten in die PMXe verbauen.
  • In der virtuellen können wir sie per Klick hinzufügen.
  • Wir wollen später die Firewall in den HA-Cluster aufnehmen.
  • Wenn die Node auf der die Firewall läuft crashed, soll sie auf einer anderen wieder hochfahren.
  • Die Clients sollen an VLAN 17 hängen und sollen von der Firewall per DHCP versorgt werden.
  • Die Proxmoxe arbeiten per default im Trunking Modus, somit funktioniert die Kommunikation untereinander.
  • An der VM kann man sich das gewünschte VLAN rausfischen

Vorarbeiten

Auf dem VirtualMachineManager

An den Maschinen pmx1, pmx2 und pmx3 folgendes tun
  • Gerät hinzufügen
    • Netzwerk
      • Bridge Device: br0
      • Type: virtio

Auf dem Proxmoxen

An den Proxmoxen
pmx1, pmx2 und pmx3 folgendes tun:
  • Network
Es sollte die neue Netzwerkkarte als enp7s0 erscheinen.
  • Karte aktivieren
  • Neue Bridge vmbr1 erstellen
  • Keine IP vergeben, die Schnittstelle soll transparent bleiben
  • Apply

Maschine erstellen

Auf dem Proxmox
  • Name: fw
Aus dem debian-template (full-clone)
Ort ist pmx2
Speicherort
fs2-prod
Netzwerkkarte
vmbr1

VM Konfiguration

In der VM
VM Einstellungen
Name fw.lab.int
IP 192.168.<hs>.2<tn>/24
Gateway 192.168.<hs>.254
Nameserver 8.8.8.8
Zu installierende Pakete isc-dhcp-server
Netzwerkkarte ens18

Firewall

  • echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf
  • sysctl -p
  • vim /etc/nftables.conf
#!/usr/sbin/nft -f
flush ruleset
define wandev=ens18

table inet nat {
    chain postrouting {
        type nat hook postrouting priority 100; policy accept;
        oif $wandev masquerade
    }
}
  • systemctl start nftables
  • systemctl enable nftables

LAN

Auf dem Proxmox
  • Füge über Proxmox im laufenden Betrieb eine NIC hinzu.
    • Netzwerkkarte: vmbr0
    • Type: virtio
    • VLAN: 17

Fertige Netzwerkkonfiguration

Die Netzwerkkarte bekommt die IP: IP 172.17.17.1/24

In der VM
  • cat /etc/network/interfaces
auto lo
iface lo inet loopback

auto ens18
iface ens18 inet static
 address 192.168.<hs>.2<tn>/24
 gateway 192.168.<hs>.254

auto ens19
iface ens19 inet static
 address 172.17.17.1/24
am besten ein reboot

DHCP Server

In der VM
  • vim /etc/default/isc-dhcp-server
INTERFACESv4="ens19"
  • vim /etc/dhcp/dhcpd.conf
option domain-name "lab.int";
option domain-name-servers 8.8.8.8;
default-lease-time 7200;

subnet 172.17.17.0 netmask 255.255.255.0 {
        range 172.17.17.50 172.17.17.100;
        option routers 172.17.17.1;
}
  • systemctl restart isc-dhcp-server
  • systemctl enable isc-dhcp-server

Win11

In der VM win11
  • Hänge den Win11 Rechner in das VLAN 17
  • Konfiguriere ihn auf DHCP
  • Teste die Internetverbindung (z. B. ping 8.8.8.8 oder nslookup)

Festplatte vergrößern

Auf dem Proxmox
  • Aufgrund der zu erwartenden Logging-Daten muss die Festplatte der Firewall vergrößert werden.
In der VM
  • Vergrößere sie um 5 GB über Proxmox (qm resize), anschließend im Gast mit resize2fs erweitern.
  • parted /dev/sda
(parted) print
(parted) resizepart 2 100%                                               
Warning: Partition /dev/sda2 is being used. Are you sure you want to continue?
Yes/No? yes  
(parted) quit
  • resize2fs /dev/sda2
Abgerufen von „http://wiki.ixheim.de/index.php?title=Proxmox_Hardware_hinzufügen_und_ändern_Aufgabe&oldid=62658