DMZ mit Proxmox

Es gibt 7 Antworten in diesem Thema, welches 3.521 mal aufgerufen wurde. Der letzte Beitrag () ist von hYtas.

    Hey,


    da ich manche Dienste von Außen erreichen muss, wollte ich bestimmte LXC/VMs in Proxmox in eine DMZ packen.

    Ist ja an sich kein großes Thema, nur laufen auf Proxmox auch DInge die nicht von Außen erreichbar sind.


    Macht das Sinn die Container etc. und die DMZ auf einem Proxmox Host laufen zu lassen? Eigentlich ja nicht.


    Ich kann ja entweder das Ganze per VLANs aufbauen oder einfach einen extra Flex mini oder so als DMZ Switch nutzen.

    Einmal editiert, zuletzt von hYtas ()

    Ich glaube ich werde mir einen weiteren Mini PC besorgen (z.B. einen Futro S740 gibt öfter mal um die 40€) da kommt Proxmox drauf. Für eine VM und Pihole als DNS sollte das ausreichen.

    Einen 5 Port unman. Netgear Switch habe ich noch, den würde ich an den DMZ Port meiner OPNsense klemmen.


    Dann wäre mein Haupt Proxmox PC nur für interne Dinge und alles andere was von Außen erreichbar ist, kommt auf den weiteren PC.


    Meine IP Box fürs Telefon könnte dann ja im internen Netz hängen bleiben? Ich will es nicht unnötig verkomplizieren.

    Warum so kompliziert, oder ich verstehe Dein Ziel nicht ganz.


    Du könntest Den OPNsense HAProxy verwenden um von extern auf Deine internen Dienste zuzugreifen. (Dieser ist allerdings etwas kompliziert zu konfigurieren)


    Alternativ: "Nginx Proxy Manager" auf dem Proxmox installieren und über diesen die Verbindung von extern auf Deine Internen Dienste herstellen.


    Alternative 2: Wie viele Ports hat der Proxmox? Wenn Du mehrere Ports hast: Deine virtuellen Server über den zweiten Port in ein anderes LAN/VLAN/DMZ (Du hast auf dem IPU ja genügend Ports) leiten und von außen erreichbar machen und intern über Firewall-Regeln. Aber auch hier würde ich einen Reverse Proxy vorschalten.

    Wenn Du nur einen Port auf dem Proxmox hast, per Tagged VLAN dran gehen und die Server so in ein entsprechendes VLAN packen.

    30 Sites - 500 APs - 150 Switche - EdgeRouter - UXG-Pro - UDM-Pro - USG-PRO-4 - OPNsense - IPUs

    Ich habe z.B. einige Ports offen für 3CX die direkt auf die VM zugreifen, diese wollte ich nun vom Rest trennen.

    Mein Proxmox PC hat eine RJ45 Buchse. Sicherlich könnte ich ein USB -> LAN Adapter anstecken aber immer noch laufen dann interne und externe Dienste zusammen auf einem Hypervisor.


    VLANs ginge auch, der DMZ kann ich ja auch VLANs zuweisen. Wollte der eh einen anderen Adressbereich verpassen anstatt 10er das 192er Netz.

    Ich zitriere mal:


    "Bei der Implementierung einer DMZ auf einem einzelnen Host können Sie relativ einfache Firewalls verwenden. Obwohl eine virtuelle Maschine in dieser Konfiguration keine direkte Kontrolle über eine andere virtuelle Maschine ausüben oder auf ihren Arbeitsspeicher zugreifen kann, sind die virtuellen Maschinen dennoch über ein virtuelles Netzwerk verbunden. Dieses Netzwerk kann für die Verbreitung von Viren oder für andere Angriffe missbraucht werden."


    Um dieses Dilema aufzulösen, wird ja vorgeschlagen, die virtuellen Maschinen auf dem Host, daher beide Firewalls und die zu schützenden Server in der DMZ (ob nun mit oder ohne Proxy) nicht über ein hostinternes virtuelles Netzwerk, sondern mittels physikalischer Switch zu verbinden.

    So hatte ich es verstanden.

    Die VMs/LXC laufen dann über den DMZ Port von meinem Router (dann habe ich noch ein RJ45 frei). Richtig trennen kann ich es aufgrund des 1x RJ45 Port nicht.


    So würde ich es machen. Wenn ich theoretisch 3 Switche verbinden würde, sind die Netze doch wieder miteinander verbunden, wenn ich keine VLANs vergebe. Dazu bräuchte ich aber wieder einen neuen Switch.


    Ich habe mir einen kleinen Mini PC besorgt, der für die DMZ massig ausreicht.

    3 Switche wollte ich nicht verbraten, so ist es doch auch vom Rest getrennt, wenn auch alles über eine Firewall läuft.


    Aufgebaut hatte ich es so, wie auf dem Bild über diesem Post. Ist per internen Switch verbunden und nicht virtuell.

    Die DMZ ist identisch mit den anderen Ports eingerichtet (DHCP usw.).


    Das LAN Netz und alles in VLANs läuft im 10/24er Netz und die DMZ hatte ich in den 192/24er Bereich gepackt.

    Ich kann nun nur nicht Proxmox erreichen, normal sollte die LAN to any Regel ja ausreichen, hatte aber noch eine Regeln von LAN net zu der direkten IP angelegt.

    Im Firmwall log taucht kein Block auf.


    Solange das Subnet passt sollte es ja kein Problem sein?



    EDIT:


    Läuft.

    Einmal editiert, zuletzt von hYtas ()