Proxmox Hardware hinzufügen und ändern Aufgabe: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (33 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| + | ==Ziel== | ||
| + | *Wir wollen auf den Proxmoxen eine Hochverfügbare Firewall einrichten. | ||
| + | *Diese soll direkt an dem Saalnetz hängen. | ||
| + | *Die Proxmoxschnittstelle selbst soll aus Sicherheitsgründen transparent bleiben. | ||
| + | *In der realen Welt müssten wir 3 neue Netzwerkkarten in die PMXe verbauen. | ||
| + | *In der virtuellen können wir sie per Klick hinzufügen. | ||
| + | *Wir wollen später die Firewall in den HA-Cluster aufnehmen. | ||
| + | *Wenn die Node auf der die Firewall läuft crashed, soll sie auf einer anderen wieder hochfahren. | ||
| + | *Die Clients sollen an VLAN 17 hängen und sollen von der Firewall per DHCP versorgt werden. | ||
| + | *Die Proxmoxe arbeiten per default im Trunking Modus, somit funktioniert die Kommunikation untereinander. | ||
| + | *An der VM kann man sich das gewünschte VLAN '''rausfischen''' | ||
| + | |||
| + | {{#drawio:proxmox-fw-übung}} | ||
| + | |||
| + | ==Vorarbeiten== | ||
| + | ===Auf dem VirtualMachineManager=== | ||
| + | ;An den Maschinen pmx1, pmx2 und pmx3 folgendes tun: | ||
| + | *Gerät hinzufügen | ||
| + | **Netzwerk | ||
| + | ***Bridge Device: br0 | ||
| + | ***Type: virtio | ||
| + | ===Auf dem Proxmoxen=== | ||
| + | ;An den Proxmoxen: pmx1, pmx2 und pmx3 folgendes tun: | ||
| + | *Network | ||
| + | ;Es sollte die neue Netzwerkkarte als enp7s0 erscheinen. | ||
| + | *Karte aktivieren | ||
| + | *Neue Bridge '''vmbr1''' erstellen | ||
| + | *Keine IP vergeben, die Schnittstelle soll transparent bleiben | ||
| + | *Apply | ||
| + | |||
==Maschine erstellen== | ==Maschine erstellen== | ||
| − | *Name:fw | + | ;Auf dem Proxmox |
| + | *Name: fw | ||
;Aus dem debian-template (full-clone) | ;Aus dem debian-template (full-clone) | ||
;Ort ist pmx2 | ;Ort ist pmx2 | ||
;Speicherort: fs2-prod | ;Speicherort: fs2-prod | ||
| + | ;Netzwerkkarte: vmbr1 | ||
==VM Konfiguration== | ==VM Konfiguration== | ||
| + | ;In der VM | ||
| + | |||
{| class="wikitable" | {| class="wikitable" | ||
| − | |+ | + | |+ VM Einstellungen |
|- | |- | ||
! Name | ! Name | ||
| Zeile 13: | Zeile 47: | ||
|- | |- | ||
! IP | ! IP | ||
| − | | | + | | 192.168.<hs>.2<tn>/24 |
|- | |- | ||
! Gateway | ! Gateway | ||
| − | | | + | | 192.168.<hs>.254 |
|- | |- | ||
! Nameserver | ! Nameserver | ||
| Zeile 23: | Zeile 57: | ||
! Zu installierende Pakete | ! Zu installierende Pakete | ||
| isc-dhcp-server | | isc-dhcp-server | ||
| + | |- | ||
| + | ! Netzwerkkarte | ||
| + | | ens18 | ||
|} | |} | ||
| + | |||
==Firewall== | ==Firewall== | ||
*echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf | *echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf | ||
*sysctl -p | *sysctl -p | ||
| − | *vim etc/nftables.conf | + | *vim /etc/nftables.conf |
<pre> | <pre> | ||
#!/usr/sbin/nft -f | #!/usr/sbin/nft -f | ||
flush ruleset | flush ruleset | ||
define wandev=ens18 | define wandev=ens18 | ||
| + | |||
table inet nat { | table inet nat { | ||
chain postrouting { | chain postrouting { | ||
| Zeile 39: | Zeile 78: | ||
} | } | ||
</pre> | </pre> | ||
| + | *systemctl start nftables | ||
| + | *systemctl enable nftables | ||
| + | |||
==LAN== | ==LAN== | ||
| − | *Füge über Proxmox im | + | ;Auf dem Proxmox |
| + | *Füge über Proxmox im laufenden Betrieb eine NIC hinzu. | ||
| + | **Netzwerkkarte: vmbr0 | ||
**Type: virtio | **Type: virtio | ||
**VLAN: 17 | **VLAN: 17 | ||
| − | * | + | |
| + | ==Fertige Netzwerkkonfiguration== | ||
| + | Die Netzwerkkarte bekommt die IP: IP 172.17.17.1/24 | ||
| + | ;In der VM | ||
| + | *cat /etc/network/interfaces | ||
| + | <pre> | ||
| + | auto lo | ||
| + | iface lo inet loopback | ||
| + | |||
| + | auto ens18 | ||
| + | iface ens18 inet static | ||
| + | address 192.168.<hs>.2<tn>/24 | ||
| + | gateway 192.168.<hs>.254 | ||
| + | |||
| + | auto ens19 | ||
| + | iface ens19 inet static | ||
| + | address 172.17.17.1/24 | ||
| + | </pre> | ||
| + | ;am besten ein reboot | ||
==DHCP Server== | ==DHCP Server== | ||
| − | *vim /etc/default/isc-dhcp-server | + | ;In der VM |
| − | INTERFACESv4=" | + | *vim /etc/default/isc-dhcp-server |
| − | *vim /etc/dhcp/dhcpd.conf | + | INTERFACESv4="ens19" |
| + | *vim /etc/dhcp/dhcpd.conf | ||
<pre> | <pre> | ||
option domain-name "lab.int"; | option domain-name "lab.int"; | ||
| Zeile 59: | Zeile 122: | ||
} | } | ||
</pre> | </pre> | ||
| − | *systemctl | + | *systemctl restart isc-dhcp-server |
*systemctl enable isc-dhcp-server | *systemctl enable isc-dhcp-server | ||
| + | |||
==Win11== | ==Win11== | ||
| − | *Hänge den | + | ;In der VM win11 |
| − | *Konfiguriere ihn auf DHCP | + | *Hänge den Win11 Rechner in das VLAN 17 |
| − | * | + | *Konfiguriere ihn auf DHCP |
| + | *Teste die Internetverbindung (z. B. ping 8.8.8.8 oder nslookup) | ||
| + | |||
| + | ==Festplatte vergrößern== | ||
| + | ;Auf dem Proxmox | ||
| + | *Aufgrund der zu erwartenden Logging-Daten muss die Festplatte der Firewall vergrößert werden. | ||
| + | ;In der VM | ||
| + | *Vergrößere sie um 5 GB über Proxmox (qm resize), anschließend im Gast mit resize2fs erweitern. | ||
| + | |||
| + | *parted /dev/sda | ||
| + | (parted) print | ||
| + | (parted) resizepart 2 100% | ||
| + | Warning: Partition /dev/sda2 is being used. Are you sure you want to continue? | ||
| + | Yes/No? yes | ||
| + | (parted) quit | ||
| + | |||
| + | *resize2fs /dev/sda2 | ||
Aktuelle Version vom 8. Mai 2025, 08:41 Uhr
Ziel
- Wir wollen auf den Proxmoxen eine Hochverfügbare Firewall einrichten.
- Diese soll direkt an dem Saalnetz hängen.
- Die Proxmoxschnittstelle selbst soll aus Sicherheitsgründen transparent bleiben.
- In der realen Welt müssten wir 3 neue Netzwerkkarten in die PMXe verbauen.
- In der virtuellen können wir sie per Klick hinzufügen.
- Wir wollen später die Firewall in den HA-Cluster aufnehmen.
- Wenn die Node auf der die Firewall läuft crashed, soll sie auf einer anderen wieder hochfahren.
- Die Clients sollen an VLAN 17 hängen und sollen von der Firewall per DHCP versorgt werden.
- Die Proxmoxe arbeiten per default im Trunking Modus, somit funktioniert die Kommunikation untereinander.
- An der VM kann man sich das gewünschte VLAN rausfischen
![Bearbeiten](javascript:editDrawio("1443689018", "proxmox-fw-\u00fcbung.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Vorarbeiten
Auf dem VirtualMachineManager
- An den Maschinen pmx1, pmx2 und pmx3 folgendes tun
- Gerät hinzufügen
- Netzwerk
- Bridge Device: br0
- Type: virtio
- Netzwerk
Auf dem Proxmoxen
- An den Proxmoxen
- pmx1, pmx2 und pmx3 folgendes tun:
- Network
- Es sollte die neue Netzwerkkarte als enp7s0 erscheinen.
- Karte aktivieren
- Neue Bridge vmbr1 erstellen
- Keine IP vergeben, die Schnittstelle soll transparent bleiben
- Apply
Maschine erstellen
- Auf dem Proxmox
- Name: fw
- Aus dem debian-template (full-clone)
- Ort ist pmx2
- Speicherort
- fs2-prod
- Netzwerkkarte
- vmbr1
VM Konfiguration
- In der VM
| Name | fw.lab.int |
|---|---|
| IP | 192.168.<hs>.2<tn>/24 |
| Gateway | 192.168.<hs>.254 |
| Nameserver | 8.8.8.8 |
| Zu installierende Pakete | isc-dhcp-server |
| Netzwerkkarte | ens18 |
Firewall
- echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf
- sysctl -p
- vim /etc/nftables.conf
#!/usr/sbin/nft -f
flush ruleset
define wandev=ens18
table inet nat {
chain postrouting {
type nat hook postrouting priority 100; policy accept;
oif $wandev masquerade
}
}
- systemctl start nftables
- systemctl enable nftables
LAN
- Auf dem Proxmox
- Füge über Proxmox im laufenden Betrieb eine NIC hinzu.
- Netzwerkkarte: vmbr0
- Type: virtio
- VLAN: 17
Fertige Netzwerkkonfiguration
Die Netzwerkkarte bekommt die IP: IP 172.17.17.1/24
- In der VM
- cat /etc/network/interfaces
auto lo iface lo inet loopback auto ens18 iface ens18 inet static address 192.168.<hs>.2<tn>/24 gateway 192.168.<hs>.254 auto ens19 iface ens19 inet static address 172.17.17.1/24
- am besten ein reboot
DHCP Server
- In der VM
- vim /etc/default/isc-dhcp-server
INTERFACESv4="ens19"
- vim /etc/dhcp/dhcpd.conf
option domain-name "lab.int";
option domain-name-servers 8.8.8.8;
default-lease-time 7200;
subnet 172.17.17.0 netmask 255.255.255.0 {
range 172.17.17.50 172.17.17.100;
option routers 172.17.17.1;
}
- systemctl restart isc-dhcp-server
- systemctl enable isc-dhcp-server
Win11
- In der VM win11
- Hänge den Win11 Rechner in das VLAN 17
- Konfiguriere ihn auf DHCP
- Teste die Internetverbindung (z. B. ping 8.8.8.8 oder nslookup)
Festplatte vergrößern
- Auf dem Proxmox
- Aufgrund der zu erwartenden Logging-Daten muss die Festplatte der Firewall vergrößert werden.
- In der VM
- Vergrößere sie um 5 GB über Proxmox (qm resize), anschließend im Gast mit resize2fs erweitern.
- parted /dev/sda
(parted) print (parted) resizepart 2 100% Warning: Partition /dev/sda2 is being used. Are you sure you want to continue? Yes/No? yes (parted) quit
- resize2fs /dev/sda2