Brauche Hilfe beim Aufbau: Fritzbox - MiniPC - ProxMox - pfsens - Heimnetz

ChristophM · 29. Dezember 2023 um 23:37

Hallo zusammen,

bin auf der Suche nach Hilfestellungen über die YouTube Videos und dem Blog hier auf das Forum gestoßen und wollte mal Fragen, ob mir jemand helfen kann.

Thema:
Aktuell nutze ich eine DSL Fritzbox und TP-Link SmartManaged Switche sowie 2 TP-Link Omada EAPs für mein Netzwerk.

Da ich einige Smarthome Geräte im Netz (größtenteils Shellys) habe und mein Netz generell aufräumen möchte, habe ich mir aus China einen MiniPC (mit 4 Netzwerk-Ports) geholt, um da pfSense drauf zu installieren und die Fritzbox nur noch als „Modem“ zu nutzen (Bridgemode oder ähnliches habe ich noch nicht aktiviert)

Da der MiniPC mehr Power hat, als nur pfSense zu betreiben habe ich ProxMox drauf gepackt und dann eine pfSense VM installiert.

In Proxmox habe ich zunächst folgende Netzwerk Konfiguration eingerichtet:
vmbr0 -enp2- WAN (IP vom Fritzbox DHCP-Server)
vmbr1 -bond0 - enp4 + enp5 Heimnetz
vmbr2 -enp3- (noch keine Verwendung)

Ziel wäre also: DSL → Fritzbox → enp2 → (Proxmox) pfSense WAN
pfsense LAN → enp4+5 → TP-Link Switch Port 1+2

Frage 1: Wie bekomme ich es hin, über PfSense das ProxMox Webinterface zu erreichen? Bzw. wie gebe ich ProxMox eine IP im pfSense LAN?

Frage 2: Da ich wie erwähnt einige SmartHome Geräte haben, und nicht alles auf einmal umstellen möchte, war mein Plan zunächst die IP-Adressen 1:1 von der Fritzbox zu übernehmen. Gibt es da ne best Practise Lösung?

Ich fand den Ansatz " Proxmox auf Rootserver mit nur 1 Public IP-Addresse + pfSense – NAT IPTables" nicht verkehrt,
also
Fitzbox liefert eine 192.168.78.2 für Proxmox und Proxmox schiebt alles über ein eigenes vmbr von 10.0.0.1/30 an 10.0.0.2/30 (pfsense WAN) weiter.
In pfsense mache ich dann ein LAN DHCP auf vLAN 1 mit 192.168.78.1/24

Habe das aber nicht 100%ig verstanden und bräuchte ne ne Hilfestellung, bzw. jemand der mich schritt für schritt unterstützt.

Finales Ziel:

eigenes VLAN für SmartHome Geräte (Lokal verfügbar, aber kein Internet zugang)
VM/Container mit dem OmadaController
Adguard/piHole/…
WireGuard vpn zugriff ins Heimnetz
Gäste WLAN mit eingeschränktem zugriff
Lösung um Zertifikate zu erstellen/einzubinden und die „Webseite ist nicht sicher“ von lokalen Servicen zu umgehen.

Also kommen da noch einige Themen über SubNetz Routing etc.
Aber erstmal Schritt 1: Ablösung der Fitzbox als Router mit einer 1:1 Netzwerk Umsetzung.

Tuxtom007 · 30. Dezember 2023 um 09:05

Das kannst vergessen, das WAN und LAN der PfSense müssen unterschiedliche IP-Netze haben, sonst bekommst du Routing-Probleme
Gebe dem Transfernetz zwischen FritzBox und PfSense ein anderes IP-Netz, z.b. 192.168.0.1 Fritzbox und 192.168.0.2. der PFSense WAN-Seite.

ChristophM · 1. Januar 2024 um 21:17

Ok, ja sehe ein, dass das nicht umproblematisch ist, also nehmen wir an:

Fritzbox schiebt alles an 192.168.0.2 (ProxMox)
Proxmox leitet alles durch von 10.0.0.1 → 10.0.0.2 (pfSenseVM)
PFSense spannt ein LAN auf 192.168.1.1/24

Bleibt die Frage: Wie komme ich von einem Client im LAN (192.168.1.###) auf das ProxMox Webinterface oder per SSH auf den Server?

aibix · 2. Januar 2024 um 14:03

Warum denn so kompliziert?

WAN Interface der pfSense auf vmbr0, dort IP von der Fritzbox beziehen und als exposed host einrichten.

Dann hast zwei Möglichkeiten:
a) Proxmox selbst bezieht auch eine IP auf vmbr0 (meinetwegen auch statisch) und ist dann sowohl über die pfSense als auch von LAN-Clients der Fritzbox aus über diese IP erreichbar

b) vmbr1 (oder was auch immer) auf dem Proxmox einrichten, dort eine DMZ auf der pfSense aufmachen und dem Proxmox die .2 geben, dann ist er nur über diese IP erreichbar (Vorsicht wenn die pfSense mal neu starten muss hast du derweil keinen Zugriff über’s Netz).

ChristophM · 2. Januar 2024 um 23:29

Danke für´s Feedback.

Ok, option b ist das was ich möchte, stehe nur gerade auf dem Schlauch wie ich das Konfiguriere.

Stand:

Fritzbox → Port 1 → VMBR0 (IP-Adresse vom Fritz-DHCP) → pfSense WAN-Port (pfSense bekommt ebenfalls eine IP vom Fritz-DHCP)

VMBR1 → pfSense LAN-Port → PC
PC bekommt IP von pfSense

Wie kann ich jetzt ProxMox sagen: „Hol dir ne IP Adresse vom VMBR1?“ Bzw. dann noch "Hör nicht auf die IP-Adresse der Fritzbox! "
Also wie muss ich die DMZ definieren? (Was muss in pfSense gemacht werden und was in ProxMox?)

aibix · 6. Januar 2024 um 17:31

Einfach einstellen.

Beispiel: du hast 10.0.0.1/24 auf dem LAN-Interface der pfSense konfiguriert, dann gibst dem Proxmox einfach 10.0.0.2/24 (oder was immer dir besser gefällt) auf dem vmbr1.

Der ist ja dann auch einfach nur im LAN.