Hannobal
10.04.15, 19:34
Keiner eine Idee oder einen Hinweis? Ist es vielleicht einfacher zu konfigurieren mit der Sophos UTM Home?
Failover IPs + Proxmox + PfSense
Hannobal
09.04.15, 14:43
Hallo,
ich brauche eure Hilfe.
Ich habe einen Proxmox am laufen, 5 einzelne Failover-IPs und ich will über eine VM PfSense als zentrale Firewall verwenden. Ich bin nun verschiedene "Anleitungen" zu 1:1 Nat durchgegangen, aber leider ohne Erfolg. Ich bekomme mit den VMs keine Internetverbindung. Allerdings kann ich intern die 5er IPs anpingen.
Es scheint bei einigen zu funktionieren. Von daher würde es mich freuen, wenn ich ab sofort meine Firewall auch zentral verwalten könnte.
Von mir aus kann jemand auch seine Lösung darunter posten. Aber für die Leute, die den Fehler in meiner Konfiguration finden möchten, habe ich meine Schritte darunter genauestens dokumentiert:
Angenommen meine Failover IPs wären folgende: 10.0.0.1, 10.0.0.2, 10.0.0.3, 10.0.0.4, 10.0.0.5
... und die des dedizierten Servers ist 1.2.3.4
1. Ich erstelle im SYS Manager eine virtuelle Mac für eine Failover-IP. Diese Mac weiße ich ebenfalls den übrigen 4 Failover-IPs zu. Alle Failover-IPs haben also dieselbe Mac.
2. Ich erstelle in Proxmox 3 Bridges:
3. Ich erstelle eine VM für PfSense:
Den weiteren VMs soll später das eth2 Interface zugeteilt werden, wodurch sie ins Internet kommen.
4. Anschließend erstelle ich eine weitere VM mit 2 NICs, um PfSense einzurichten:
5. Nachdem ich pfSense installiert habe, ändere ich das Netz von eth1 auf 5.0.1.254/24. Natürlich mache ich dieselben Änderungen auch in der Test VM. Dort ändere ich das Netz von eth0 auf 5.0.1.20/24. Auf das Webinterface kann ich nun zugreifen.
6. In dem Konfigurationsassistenten von PfSense lege ich den OVH DNS fest (213.186.33.99). Dem WAN Interface gebe ich eine der Failover IPs und trage zusätzlich die Mac Adresse ein, die in dem OVH Manager generiert wurde. Damit ich über das WAN ins Internet komme, gebe ich zwei Befehle über folgende Menüpunkte ein:
Über den Packetmanager lade ich mir danach Shellcmd und trage dort ebenfalls beide Befehle ein.
7. Nun lege ich für die 4 übrigen Failover IPs virtuelle IP Adressen über Firewall ----> Virtual IPs an. Jeder der 4 IP Adressen wurde als Proxy ARP konfiguriert.
8. Nur um die Funktion zu testen, erstelle ich unter Firewall ----> Rules sowohl für das WAN als auch für das eth2 Interface jeweils eine Regel, mit der ich alle Verbindungen in jede Richtung erlaube.
9. Unter Firewall ----> NAT ----> 1:1 erstelle ich für jede der 4 übrigen Failover IPs eine Regel, die folgenden Aufbau hat. Die Interne IP variiert natürlich, da es die der VM ist.
ich brauche eure Hilfe.
Ich habe einen Proxmox am laufen, 5 einzelne Failover-IPs und ich will über eine VM PfSense als zentrale Firewall verwenden. Ich bin nun verschiedene "Anleitungen" zu 1:1 Nat durchgegangen, aber leider ohne Erfolg. Ich bekomme mit den VMs keine Internetverbindung. Allerdings kann ich intern die 5er IPs anpingen.
Es scheint bei einigen zu funktionieren. Von daher würde es mich freuen, wenn ich ab sofort meine Firewall auch zentral verwalten könnte.
Von mir aus kann jemand auch seine Lösung darunter posten. Aber für die Leute, die den Fehler in meiner Konfiguration finden möchten, habe ich meine Schritte darunter genauestens dokumentiert:
Angenommen meine Failover IPs wären folgende: 10.0.0.1, 10.0.0.2, 10.0.0.3, 10.0.0.4, 10.0.0.5
... und die des dedizierten Servers ist 1.2.3.4
1. Ich erstelle im SYS Manager eine virtuelle Mac für eine Failover-IP. Diese Mac weiße ich ebenfalls den übrigen 4 Failover-IPs zu. Alle Failover-IPs haben also dieselbe Mac.
2. Ich erstelle in Proxmox 3 Bridges:
Code:
vmbr0 ----> WAN vmbr1 (5.0.1.1) ----> Zugriff PfSense Webinterface vmbr2 (5.0.2.1) ----> DMZ, Netzwerk für VMs, Internet für VMs, usw.
Code:
eth0 (WAN) (10.0.0.1) ----> vmbr0 ----> WAN, eth0 enthält die Mac aus dem OVH Manager eth1 (Web) (5.0.1.254) ----> vmbr1 ----> Zugriff auf das PfSense Webinterface eth2 (Internal) (5.0.2.254) ----> vmbr2 ----> DMZ, Netzwerk für VMs, Internet, usw., Mac generiert durch Proxmox
4. Anschließend erstelle ich eine weitere VM mit 2 NICs, um PfSense einzurichten:
Code:
eth0 (5.0.1.20) ----> vmbr1 ----> Zugriff auf das PfSense Webinterface eth1 (Extern: 10.0.0.2, Intern: 5.0.2.20) ----> vmbr2 ----> Internet Verbindung testen, Mac ist diese aus dem OVH Manager
6. In dem Konfigurationsassistenten von PfSense lege ich den OVH DNS fest (213.186.33.99). Dem WAN Interface gebe ich eine der Failover IPs und trage zusätzlich die Mac Adresse ein, die in dem OVH Manager generiert wurde. Damit ich über das WAN ins Internet komme, gebe ich zwei Befehle über folgende Menüpunkte ein:
Code:
Diagnostics ----> Command prompt route add -net 1.2.3.254/32 -iface em0 route add default 1.2.3.254
7. Nun lege ich für die 4 übrigen Failover IPs virtuelle IP Adressen über Firewall ----> Virtual IPs an. Jeder der 4 IP Adressen wurde als Proxy ARP konfiguriert.
8. Nur um die Funktion zu testen, erstelle ich unter Firewall ----> Rules sowohl für das WAN als auch für das eth2 Interface jeweils eine Regel, mit der ich alle Verbindungen in jede Richtung erlaube.
9. Unter Firewall ----> NAT ----> 1:1 erstelle ich für jede der 4 übrigen Failover IPs eine Regel, die folgenden Aufbau hat. Die Interne IP variiert natürlich, da es die der VM ist.
Code:
Interface: WAN ---- External subnet IP: 10.0.0.2 ---- Internal IP - Type: Single host - Adresse: 5.0.2.20 ---- External IP - Type: Any ---- Nat Reflection: Use system default