vorab, ich habe mit meinen ersten dedizierten Server geholt, den ich gern gescheit mit OPNsense und anderem absichern möchte.
Aktuell habe ich bereits Crowdsec nach dem Video von Dennis für Proxmox installiert und mir eine 2. IP schon zugelegt, weil das von einigen bereits empfohlen wurde.
Irgendwo hatte ich mal aufgeschnappt, dass es sehr sinnvoll und sicher sei, jeglichen eingehenden Datenverkehr erst einmal zu der OPNsense VM komplett durch zuleiten und nach der Auswertung an Proxmox zurückzuleiten. The Morpheus schlägt hingegen vor, bei einer 1 IP Installation, die Ports 22 und 8006 komplett vom Proxmox verarbeiten zu lassen und nur den Rest an die OPNsense VM durchzuleiten.
Was würdet Ihr hierzu als erstes für mich empfehlen? Ich bin noch ziemlich neu in dem Thema und meine tieferen Erfahrungen sind leider schon fast 25 Jahre zurückliegend und somit nicht mehr wirklich abrufbar, geschweige dem anwendbar.
Könnte @Dennis_Admin bitte vielleicht zu diesem Thema ein Video machen, denn das einzige Video was ich zum Thema Installation von OPNsense auf Proxmox gefunden habe, ist 3 Jahre her und war meines Erachtens auf einer seiner lokalen Maschinen gewesen und somit nicht mit 2 öffentlichen IPv4-Adressen.
Nachtrag: Ich plane das natürlich dann noch mit IPv6 und mit Subdomains (über Apache2, Nginx oder Caddy) einzurichten. Was ist dabei zu beachten?
Guten morgen, warum nicht einfach eine Konzept nutzen und das einrichten und damit „spielen“. Dann noch einige Sicherheitstools und Analysen erstellen und uns daran teilhaben lassen.
Es ist inkorrekt von „Ports 22 und 8006 komplett vom Proxmox“ zu schreiben.
Als Betriebssystem ist Debian 12.6 bzw. aktuell Debian 12.7 für die Basis zuständig. Die Erweiterungen um die Virtualisierung würde ich als Proxmox VE bezeichnen.
Füt Dich ist es einfacher, iptables und so weiter, die Ports tcp/22 und tcp/8006 komplett an Debian 12 und Proxmox VE weiter zu leiten.
Evtl. gibt es noch eine Proxmox Backupserver - Proxmox BS, dann wäre es noch der tcp/8007.
Enfach machen, denn Du „baust“ keine Raumfahrtsteuerung.
Da wäre gar nichts direkt erreichbar!
Wenn man nur kurze Zusammenhänge beachtet und dabei an die Abschottung denkt, kann man es so verstehen, aber ich meinte bei der Frage das gesamte Routing der Daten.
Es sollen also, was ich früher mal in einer Anleitung gelesen oder Video gesehen hatte (was ich leider nicht mehr finden kann), alle eingehenden Daten inkl. der Proxmox verarbeitenden Daten erstmal zum reinwaschen an die OPNsense VM durchgeleitet und nach der Überprüfung an Proxmox gerichtete Daten zurückgeleitet werden.
Und die Frage ist:
Wie sinnvoll ist dies?
Wenn sinnvoll? Wie setze ich dies am besten um? (Damit ich mir keine Sicherheitslücken einbaue oder die Funktionalität zu sehr beeinträchtige.)
Ich weiß nicht was das Soll, du versuchst wohl echt jedes Haar in der Suppe zu finden? Selbst @Dennis_Admin nimmt es mit der Bezeichnung ob Proxmox oder Proxmox VE nicht so genau, daher dachte ich mir, dass es so ausreichend sein wird.
Das Learning by Doing hatte ich früher bei überschaubaren Projekten gemacht und mir auch selbst in 2 Jahren ziemlich fortgeschrittenes PHP, MySQL und natürlich HTML mit Template-Systemen lange vor CSS ohne jegliche Schulung beigebracht und dass damit verbundene Projekt ist mit PHP3 gestartet, ohne große Bugs komplett PHP4 durchgelaufen und hat sogar komplett funktionsfähig bis zum Ende von PHP5 ohne große Fehlerbehebungen weiter existieren können, jedoch ab PHP7 war es nicht mehr meine Welt.
Nur versuche ich hier kein Hobby-Projekt auf die Beine zu stellen, sondern ein Projekt wo zukünftig auch Kundendaten und Kundenprojekte drüber / drauf laufen sollen, wo die Sicherheit und Leistungsfähigkeit an 1. und 2. Stelle stehen.
Also ich finde da mehr Videos. Z.B. „Proxmox opnSense Installation and Setup“ Tutorial on „How to Install OPNsense on Proxmox.“ von Dezember 2023.
Englisch sollte man aber schon verstehen können
leider zählen generell Sprachen mit meinem mathematischen logischen Verständnis absolut nicht zu meinen Stärken, weshalb ich froh bin, dass es auch deutsche Videos zu vielen Themen gibt, wo ich nicht nur Vermutungen über das Gesagte anstelle, sondern es hoffentlich klipp und klar verstehen kann.
Gruß Matze
EDIT/Nachtrag: Ich bin hier nicht reingekommen um mich zu rechtfertigen, sondern um konstruktive Hilfe zu bekommen. (Wenn ich englisch ausreichend selbst beherrschen würde, bräuchte ich mich nicht an Euch wenden.)
Als ich als Student meinen ersten PC kaufte, einen Commodore PC 10, mit 8088 Prozessor, 640kb Arbeitsspeicher und zwei 5 1/4-Zoll Diskettenlaufwerken, ohne HDD, ich glaube das war im Jahr 1987, dem Jahr der Volkszählung, da musste man englisch ausreichend selbst beherrschen, denn MS-DOS war noch gar nicht vollständig ins deutsche übersetzt und viel der verfügbaren Software ohnehin nicht. Als deutlich später dann der Umstieg von MS-Betriebssystemen zu Linux erfolgte war es wieder das gleiche Problem. Wer kein Englisch konnte, kam nicht weit.
In der Schule hielt ich Englisch noch für überflüssig. Seitdem nicht mehr. Es geht nicht ohne.
@The_eagle Schön für dich, wenn du mir nicht helfen kannst oder willst, dann behalte das was du sonst so sagen willst, entsprechend der Forumregeln bitte für dich, damit mal keine sinnlose Diskussion draus wird, sondern ich hoffentlich irgendwann ne Antwort bekomme, die mir auch hilft. Sonst such ich mir ne andere Plattform, um Unterstützung zu bekommen.
Matze, Wenn du das oben zitierte vor hast, dann solltest du dir wirklich gut überlegen ob du das selbst macht, mit deinen offenbar begrenzten Fähigkeiten und Kenntnissen. Ich meine das wirklich nicht beleidigend!
Aber du solltest dir bewusst machen, dass bei einem Projekt, bei dem es auch um kommerziell gespeicherte Daten (Stichworte Kundendaten und Kundenprojekte) nicht nur um technische sonder auch um rechtliche Fragen geht.
Solltest du da wegen unzureichender Kenntnisse eine Sicherheitslücke einbauen, dann kann das juristisch für dich nicht unproblematisch werden, wenn die Daten der Kunden in falsche Hände geraten sollten.
Mein Rat wäre daher in so einem Fall lieber Profis damit zu beauftragen oder zumindest eine dedizierte vorinstallierte kommerzielle Firewall zu erwerben und separat auf eigener Hardware zu betrieben, statt alles in einer VM auf der selben Hardware.
Zur OPNsense kann ich dir da nicht viel schrieben, denn ich nutze pfsense. Die pfsense kann man in einer Community Edition als Gratisversion, und pfSense Plus als Bezahlversion mit offiziellem Support für Geschäftskunden erwerben. Ich mutmaße, dass das bei OPNsense genau so ist. Nutze also den offiziellen Support einer kommerziellen Version, wenn du dich nicht auf rechtlich sehr dünnes Eis begeben willst.
PS: meine pfsense nutze ich rein privat. Sie ist virtualisiert, aber nicht auf Proxmox VE, sondern direkt in einer QEMU/KVM auf einem Debian Server, denn auch Proxmox VE nutzt für die Virtualisierung KVM und auf den Klicki-Bunti-Firlefanz den Proxmox VE zusätzlich zur KVM bietet kann ich gern verzichten.
Höhere Erfolgsaussichten auf eine deinen Erwartungen entsprechende Antwort hast du vermutlich im OPNsense-Forum (forum.opnsense.org) sowie im pfsense-Forum (forum.netgate.com/). Hinsichlich Virtualisierung dürften die Unterschiede minimal sein. Im pfsense-Forum gubt es eine spezielle Rubrik Virtualization in der deine Fragen hinsichtlich Proxmox VE und Firewall mutmaßlich teilweise schon beantwortet wurden.
Ist aber leider auch wieder überwiegend auf Englisch
Beide Foren haben aber auch deutschsprachige Rubriken, die aber allgemeiner sind, nicht themenspezifisch wie die Rubrik [Virtualization]
