Proxmox Hardware hinzufügen und ändern Aufgabe

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Ziel

  • Wir wollen auf den Proxmoxen eine Hochverfügbare Firewall einrichten.
  • Diese soll direkt an dem Saalnetz hängen.
  • Die Proxmoxschnittstelle selbst soll aus Sicherheitsgründen transparent bleiben.
  • In der realen Welt müssten wir 3 neue Netzwerkkarten in die PMXe verbauen.
  • In der virtuellen können wir sie per Klick hinzufügen.
  • Wir wollen später die Firewall in den HA-Cluster aufnehmen.
  • Wenn die Node auf der die Firewall läuft crashed, soll sie auf einer anderen wieder hochfahren.
  • Die Clients sollen an VLAN 17 hängen.
  • Die Proxmoxe arbeiten per default im Trunking Modus, somit funktioniert die Kommunikation untereinander.
  • An der VM kann man sich das gewünschte VLAN rausfischen

Vorarbeiten

Auf dem VirtualMachineManager

An den Maschinen pmx1, pmx2 und pmx3 folgendes tun
  • Gerät hinzufügen
    • Netzwerk
      • Bridge Device: br0
      • Type: virtio

Auf dem Proxmoxen

An den Proxmoxen
pmx1, pmx2 und pmx3 folgendes tun:
  • Network
Es sollte die neue Netzwerkkarte als enp7s0 erscheinen.
  • Karte aktivieren
  • Neue Bridge vmbr1 erstellen
  • Keine IP vergeben, die Schnittstelle soll transparent bleiben
  • Apply

Maschine erstellen

  • Name: fw
Aus dem debian-template (full-clone)
Ort ist pmx2
Speicherort
fs2-prod

VM Konfiguration

In der VM
VM Einstellungen
Name fw.lab.int
IP 192.168.7.213/24
Gateway 192.168.7.254
Nameserver 8.8.8.8
Zu installierende Pakete isc-dhcp-server

Firewall

  • echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf
  • sysctl -p
  • vim /etc/nftables.conf
#!/usr/sbin/nft -f
flush ruleset
define wandev=ens18

table inet nat {
    chain postrouting {
        type nat hook postrouting priority 100; policy accept;
        oif $wandev masquerade
    }
}

LAN

Auf dem Proxmox
  • Füge über Proxmox im laufenden Betrieb eine NIC hinzu.
    • Type: virtio
    • VLAN: 17
  • IP 172.17.17.1/24

Fertige Netzwerkkonfiguration

In der VM
  • cat /etc/network/interfaces
auto lo
iface lo inet loopback

auto ens18
iface ens18 inet static
 address 192.168.<hs>.2<tn>/24
 gateway 192.168.<hs>.254

auto ens19
iface ens19 inet static
 address 172.17.17.1/"4
am besten ein reboot

DHCP Server

In der VM
  • vim /etc/default/isc-dhcp-server
INTERFACESv4="ens19"
  • vim /etc/dhcp/dhcpd.conf
option domain-name "lab.int";
option domain-name-servers 8.8.8.8;
default-lease-time 7200;

subnet 172.17.17.0 netmask 255.255.255.0 {
        range 172.17.17.50 172.17.17.100;
        option routers 172.17.17.1;
}
  • systemctl restart isc-dhcp-server
  • systemctl enable isc-dhcp-server

Win11

  • Hänge den Win11 Rechner in das VLAN 17
  • Konfiguriere ihn auf DHCP
  • Teste die Internetverbindung (z. B. ping 8.8.8.8 oder nslookup)

Festplatte vergrößern

Aufgrund der zu erwartenden Logging-Daten muss die Festplatte der Firewall vergrößert werden.
Vergrößere sie um 5 GB über Proxmox (qm resize), anschließend im Gast mit resize2fs erweitern.
  • parted /dev/sda
(parted) print
(parted) resizepart 2 100%                                               
Warning: Partition /dev/sda2 is being used. Are you sure you want to continue?
Yes/No? yes  
(parted) exit
  • resize2fs /dev/sda2
Abgerufen von „http://wiki.ixheim.de/index.php?title=Proxmox_Hardware_hinzufügen_und_ändern_Aufgabe&oldid=62642