We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Failover IPs + Proxmox + PfSense


Hannobal
10.04.15, 20:34
Keiner eine Idee oder einen Hinweis? Ist es vielleicht einfacher zu konfigurieren mit der Sophos UTM Home?

Hannobal
09.04.15, 15:43
Hallo,

ich brauche eure Hilfe.

Ich habe einen Proxmox am laufen, 5 einzelne Failover-IPs und ich will über eine VM PfSense als zentrale Firewall verwenden. Ich bin nun verschiedene "Anleitungen" zu 1:1 Nat durchgegangen, aber leider ohne Erfolg. Ich bekomme mit den VMs keine Internetverbindung. Allerdings kann ich intern die 5er IPs anpingen.

Es scheint bei einigen zu funktionieren. Von daher würde es mich freuen, wenn ich ab sofort meine Firewall auch zentral verwalten könnte.

Von mir aus kann jemand auch seine Lösung darunter posten. Aber für die Leute, die den Fehler in meiner Konfiguration finden möchten, habe ich meine Schritte darunter genauestens dokumentiert:

Angenommen meine Failover IPs wären folgende: 10.0.0.1, 10.0.0.2, 10.0.0.3, 10.0.0.4, 10.0.0.5
... und die des dedizierten Servers ist 1.2.3.4

1. Ich erstelle im SYS Manager eine virtuelle Mac für eine Failover-IP. Diese Mac weiße ich ebenfalls den übrigen 4 Failover-IPs zu. Alle Failover-IPs haben also dieselbe Mac.

2. Ich erstelle in Proxmox 3 Bridges:
Code:
vmbr0    ---->    WAN
vmbr1  (5.0.1.1)  ---->    Zugriff PfSense Webinterface
vmbr2  (5.0.2.1)  ---->    DMZ, Netzwerk für VMs, Internet für VMs, usw.
3. Ich erstelle eine VM für PfSense:
Code:
eth0 (WAN) (10.0.0.1)  ---->    vmbr0    ---->    WAN, eth0 enthält die Mac aus dem OVH Manager
eth1 (Web) (5.0.1.254)  ---->    vmbr1    ---->    Zugriff auf das PfSense Webinterface
eth2 (Internal) (5.0.2.254)  ---->    vmbr2    ---->    DMZ, Netzwerk für VMs, Internet, usw., Mac generiert durch Proxmox
Den weiteren VMs soll später das eth2 Interface zugeteilt werden, wodurch sie ins Internet kommen.

4. Anschließend erstelle ich eine weitere VM mit 2 NICs, um PfSense einzurichten:
Code:
eth0  (5.0.1.20)  ---->    vmbr1    ---->    Zugriff auf das PfSense Webinterface
eth1  (Extern: 10.0.0.2, Intern: 5.0.2.20)  ---->    vmbr2    ---->    Internet Verbindung testen, Mac ist diese aus dem OVH Manager
5. Nachdem ich pfSense installiert habe, ändere ich das Netz von eth1 auf 5.0.1.254/24. Natürlich mache ich dieselben Änderungen auch in der Test VM. Dort ändere ich das Netz von eth0 auf 5.0.1.20/24. Auf das Webinterface kann ich nun zugreifen.

6. In dem Konfigurationsassistenten von PfSense lege ich den OVH DNS fest (213.186.33.99). Dem WAN Interface gebe ich eine der Failover IPs und trage zusätzlich die Mac Adresse ein, die in dem OVH Manager generiert wurde. Damit ich über das WAN ins Internet komme, gebe ich zwei Befehle über folgende Menüpunkte ein:
Code:
Diagnostics  ---->  Command prompt

route add -net 1.2.3.254/32 -iface em0
route add default 1.2.3.254
Über den Packetmanager lade ich mir danach Shellcmd und trage dort ebenfalls beide Befehle ein.

7. Nun lege ich für die 4 übrigen Failover IPs virtuelle IP Adressen über Firewall ----> Virtual IPs an. Jeder der 4 IP Adressen wurde als Proxy ARP konfiguriert.

8. Nur um die Funktion zu testen, erstelle ich unter Firewall ----> Rules sowohl für das WAN als auch für das eth2 Interface jeweils eine Regel, mit der ich alle Verbindungen in jede Richtung erlaube.

9. Unter Firewall ----> NAT ----> 1:1 erstelle ich für jede der 4 übrigen Failover IPs eine Regel, die folgenden Aufbau hat. Die Interne IP variiert natürlich, da es die der VM ist.
Code:
Interface: WAN
----
External subnet IP: 10.0.0.2
----
Internal IP
- Type: Single host
- Adresse: 5.0.2.20
----
External IP
- Type: Any
----
Nat Reflection: Use system default