Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Inne → Proxmox i firewall OPNsense
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
Witam,
mam problem z konfiguracją portów sieciowych dla OPNsense zainstalowanego w wirtualce proxmox.
Połączenia wyglądają tak:
Kombinowałem od wczoraj z różnymi wariantami i za nic nie mogę uzyskać tego co potrzebuję.
W Proxmox mam 4 karty sieciowe enp1s0, enp2s0, enp3s0 i enp4s0 i utworzone 4 mosty vmbr0 -> enp1s0, vmbr1 -> enp2s0, vmbr2 -> enp3s0, vmbr3 -> enp4s0.
Jak w OPNsense to skonfigurować, aby działało poprawnie dla moich wymagań?
Zrobiłem tak:
- zainstalowany Proxmox, a na nim w osobnych VM: Debian, HA i OPNsense
- kable spięte jak na obrazku (poza tym że między ISP a miniPC mam do testów wpięty A3000T - docelowo ma go nie być)
- w Proxmox enp1s0, enp2s0, enp3s0 i enp4s0 i utworzone 4 mosty vmbr0 -> enp1s0, vmbr1 -> enp2s0, vmbr2 -> enp3s0, vmbr3 -> enp4s0
- w OPNsense ISP (wan) -> vtnet0, AX3000T (lan) -> vtnet1, B3000 (opt1) -> vtnet2, GS308E (opt2) -> vtnet3
Chyba jednak coś jest nie halo, bo od strony AX3000T (czyli docelowo bezpośrednio ISP) mam dostęp do Proxmox 
Sprawdź tak: port wan proxmox = port lan w opnsense, a wan opnense ustaw inny. Wtedy powinieneś mieć dostęp do proxmox tylko od strony łan.
Nikt nie chce pomóc, więc próbuje sam.
Wydaje mi się, że skoro całość ma działać w jednej podsieci to potrzebuję tylko jednego mostka vmbr0 w Proxmox.
A w OPNsense wan (vtnet0) i lan (vtnet1) muszą być podłączone do vmbr0.
Ktoś to może potwierdzić lub zaprzeczyć, bo nie chcę już kombinować w ciemno.
po co aż cztery mosty? masz vlany? jak chcesz router wirtualizować to imho wystarczą dwa, w jeden wpinasz porty lan fizyczne i porty wirtulne maszyn a w drugi wpinasz fizyczny wan i wan vmki routera.jak nie ustawiles niepotrzebnego forwardowania miedzy nimi to nie ma bata zeby nie dzialalo.
100Mb/s - 25Gb/sWydaje mi się, że skoro całość ma działać w jednej podsieci to potrzebuję tylko jednego mostka vmbr0 w Proxmox.
Do tego to już doszedłem, jeśli AX3000T i B3000 mają działać jako głupie AP to potrzebuję tylko jednego mostu vmbr0 i do niego podpięte wszystkie 4 interfejsy eth 
W opnsense wszystkie 4 karty sieciowe net1-4 mam przypisane do vmbr0.
Chyba działa, ale testował będę jak się wyśpię.
No to jak masz wszystko w jednym bridge na proxie i na *sense to chyba nie tak powinno być...
100Mb/s - 25Gb/sNo to jak masz wszystko w jednym bridge na proxie i na *sense to chyba nie tak powinno być...
Poddałem się, jako główny router został AX3000T, a za nim router B3000 (jako głupi AP) i switch GS308E. Do switcha wpięty miniPC z Proxmox.
Zrezygnowałem z opnsense, bo mnie to przerasta, a nie mogę sobie pozwolić na ciągłe testy, bo tam stoi Home Assistant i brak jego działania utrudnia życie domownikom.
pisałem żebyś zrobił dwa bridge i pododawał odpowiednie porty do nich . u mnie vmbr0 to strona lan , en02 wbudowana, enp1s0f0-2 to trzy porty czteroportowej , vmbr1 to strona wan i czwarty port karty. 
nizej masz jedna jako lan zmostkowana do vmbr0, druga to wan do vmbr1
podczas instalacji widzisz adresy mac kart i ustawiasz
no i tyle, specjalnie uruchomiłem host i sprawdzilem, wsio działa jak ma działać. nie dostaniesz sie z pppoe bo terminuje opnsense , od strony isp masz firewall proxmoxa. trudne ?
to co teraz? sophos xg home (za friko pelny utm z ids i ips* prawie) ?
alternatywa jest ustawienie portu wan karty do vm jako passthru - prox jej nie dotyka wtedy.
dodatkowo można vmbr0 zmostkowac tylko z wbudowana tylko do osobnej podsieci zarządzania proxem jak masz osobna podsiec do tylko do zarzadzania, maszynami, switchami etc.
tak samo mozna utrworzyc kolejny bridge np pod osobna siec dla iot i podpiac do firewalla i na nim utworzyc osobna podsiec z bardziej restrykcyjnymi regułami firewalla.
no mnostwo mozliwosci tylko trzeba siąść i postudiować.
100Mb/s - 25Gb/sno mnostwo mozliwosci tylko trzeba siąść i postudiować.
Dzięki za opisanie możliwości, ale ja za stary jestem, aby studiować administrację sieci.
Potrzebowałem prostego firewalla do skromnej domowej sieci, pomyślałem, żeby wykorzystać porty eth tego miniPC - niestety przerosło mnie to i dlatego zostałem przy openwrt na AX3000T jako główny router z firewallem. Może kiedyś jak przesiądę się na inny sprzęt dla Home Assistant i Jellyfin to ten miniPc z 4 portami eth 2,5G przeznaczę na jakiś osobny prosty firewall, może bez proxmoxa będzie łatwiej.
Edit:
Podszedłem do tego jeszcze raz i chyba teraz działa ok. Teraz pozostaje opanować opnsense i dobrze go skonfigurować.
@ambroży5 dziękuję za cenne wskazówki, jednak nie jestem za stary na naukę 
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Inne → Proxmox i firewall OPNsense
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc
