Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Inne → Proxmox i firewall OPNsense
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
Witam,
mam problem z konfiguracją portów sieciowych dla OPNsense zainstalowanego w wirtualce proxmox.
Połączenia wyglądają tak:
Kombinowałem od wczoraj z różnymi wariantami i za nic nie mogę uzyskać tego co potrzebuję.
W Proxmox mam 4 karty sieciowe enp1s0, enp2s0, enp3s0 i enp4s0 i utworzone 4 mosty vmbr0 -> enp1s0, vmbr1 -> enp2s0, vmbr2 -> enp3s0, vmbr3 -> enp4s0.
Jak w OPNsense to skonfigurować, aby działało poprawnie dla moich wymagań?
Zrobiłem tak:
- zainstalowany Proxmox, a na nim w osobnych VM: Debian, HA i OPNsense
- kable spięte jak na obrazku (poza tym że między ISP a miniPC mam do testów wpięty A3000T - docelowo ma go nie być)
- w Proxmox enp1s0, enp2s0, enp3s0 i enp4s0 i utworzone 4 mosty vmbr0 -> enp1s0, vmbr1 -> enp2s0, vmbr2 -> enp3s0, vmbr3 -> enp4s0
- w OPNsense ISP (wan) -> vtnet0, AX3000T (lan) -> vtnet1, B3000 (opt1) -> vtnet2, GS308E (opt2) -> vtnet3
Chyba jednak coś jest nie halo, bo od strony AX3000T (czyli docelowo bezpośrednio ISP) mam dostęp do Proxmox 
Sprawdź tak: port wan proxmox = port lan w opnsense, a wan opnense ustaw inny. Wtedy powinieneś mieć dostęp do proxmox tylko od strony łan.
Nikt nie chce pomóc, więc próbuje sam.
Wydaje mi się, że skoro całość ma działać w jednej podsieci to potrzebuję tylko jednego mostka vmbr0 w Proxmox.
A w OPNsense wan (vtnet0) i lan (vtnet1) muszą być podłączone do vmbr0.
Ktoś to może potwierdzić lub zaprzeczyć, bo nie chcę już kombinować w ciemno.
po co aż cztery mosty? masz vlany? jak chcesz router wirtualizować to imho wystarczą dwa, w jeden wpinasz porty lan fizyczne i porty wirtulne maszyn a w drugi wpinasz fizyczny wan i wan vmki routera.jak nie ustawiles niepotrzebnego forwardowania miedzy nimi to nie ma bata zeby nie dzialalo.
100Mb/s - 25Gb/sWydaje mi się, że skoro całość ma działać w jednej podsieci to potrzebuję tylko jednego mostka vmbr0 w Proxmox.
Do tego to już doszedłem, jeśli AX3000T i B3000 mają działać jako głupie AP to potrzebuję tylko jednego mostu vmbr0 i do niego podpięte wszystkie 4 interfejsy eth 
W opnsense wszystkie 4 karty sieciowe net1-4 mam przypisane do vmbr0.
Chyba działa, ale testował będę jak się wyśpię.
No to jak masz wszystko w jednym bridge na proxie i na *sense to chyba nie tak powinno być...
100Mb/s - 25Gb/sNo to jak masz wszystko w jednym bridge na proxie i na *sense to chyba nie tak powinno być...
Poddałem się, jako główny router został AX3000T, a za nim router B3000 (jako głupi AP) i switch GS308E. Do switcha wpięty miniPC z Proxmox.
Zrezygnowałem z opnsense, bo mnie to przerasta, a nie mogę sobie pozwolić na ciągłe testy, bo tam stoi Home Assistant i brak jego działania utrudnia życie domownikom.
pisałem żebyś zrobił dwa bridge i pododawał odpowiednie porty do nich . u mnie vmbr0 to strona lan , en02 wbudowana, enp1s0f0-2 to trzy porty czteroportowej , vmbr1 to strona wan i czwarty port karty. 
nizej masz jedna jako lan zmostkowana do vmbr0, druga to wan do vmbr1
podczas instalacji widzisz adresy mac kart i ustawiasz
no i tyle, specjalnie uruchomiłem host i sprawdzilem, wsio działa jak ma działać. nie dostaniesz sie z pppoe bo terminuje opnsense , od strony isp masz firewall proxmoxa. trudne ?
to co teraz? sophos xg home (za friko pelny utm z ids i ips* prawie) ?
alternatywa jest ustawienie portu wan karty do vm jako passthru - prox jej nie dotyka wtedy.
dodatkowo można vmbr0 zmostkowac tylko z wbudowana tylko do osobnej podsieci zarządzania proxem jak masz osobna podsiec do tylko do zarzadzania, maszynami, switchami etc.
tak samo mozna utrworzyc kolejny bridge np pod osobna siec dla iot i podpiac do firewalla i na nim utworzyc osobna podsiec z bardziej restrykcyjnymi regułami firewalla.
no mnostwo mozliwosci tylko trzeba siąść i postudiować.
100Mb/s - 25Gb/sno mnostwo mozliwosci tylko trzeba siąść i postudiować.
Dzięki za opisanie możliwości, ale ja za stary jestem, aby studiować administrację sieci.
Potrzebowałem prostego firewalla do skromnej domowej sieci, pomyślałem, żeby wykorzystać porty eth tego miniPC - niestety przerosło mnie to i dlatego zostałem przy openwrt na AX3000T jako główny router z firewallem. Może kiedyś jak przesiądę się na inny sprzęt dla Home Assistant i Jellyfin to ten miniPc z 4 portami eth 2,5G przeznaczę na jakiś osobny prosty firewall, może bez proxmoxa będzie łatwiej.
Edit:
Podszedłem do tego jeszcze raz i chyba teraz działa ok. Teraz pozostaje opanować opnsense i dobrze go skonfigurować.
@ambroży5 dziękuję za cenne wskazówki, jednak nie jestem za stary na naukę 
No i przyszedł czas zmian. Powyższy hardware juz nie wyrabiał, więc zmieniłem na firebata AM02 z Ryzenem 255 pod domowe media (HA, Frigate, jellyfin itp). Ten na N100 przeznaczam jako pierwszy router w sieci z firewallem z zainstalowanym systemem "bare metal" - ktoś poleci coś sensownego, czy jednak pozostać na opnsense?
OpenWrt . A tak serio, jak się do niego przyzwyczaiłeś to go zostaw.
OpenWrt
Szczerze to biorę pod uwagę też lekki OpenWrt (bo do domowych potrzeb to pewnie więcej nie potrzebuję), oraz zastanawiałem się nad przetestowaniem Sophos, ale zniecheciły mnie te procedury rejestracji.
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Inne → Proxmox i firewall OPNsense
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc
