Proxmox erreichen hinter der OPNsense Firewall (VPN)

Hallo zusammen,

ich würde gerne Proxmox (Server steht bei mir zu hause) hinter der OPNsense via VPN erreichbar machen und nicht über mein Fritz.Box Netzwerk. Irgendwie stehe ich gerade auf dem Schlauch.

Momentane Proxmox Config:
vmbr0:
IP: 192.168.178.X/24
Gateway: 192.168.178.1
Ports / Slaves: xxx

vmbr1:
10.0.0.1/30

vmbr2:
192.168.x.x/24

Kann ich einfach den Ports/Slaves auf vmbr2 wechseln und ein Gateway setzten, sodass ich proxmox intern via 192.168.x.x erreiche anstatt 192.168.178.x ? Oder muss ich das vmbr0 anpassen auf das interne Netz?

Falls meine Firewall dann mal nicht funktioniert, würde ich ja immer noch via direct RJ45 Kabel mit der richtigen config an das Web UI kommen, oder ?

Vielen Dank!

Ich verstehe nicht so ganz, was du eigentlich vor hast? Ist die OPNsense ein eigenes Hardware-Gerät oder eine VM? Willst du den Proxmox nur noch durch die OPNsense erreichen?

So richtig verständlich haste dein Netzwerk-Konstrukt nicht erklärt. Das was du erklärt hast klingt für mich unnötig kompliziert.

Wozu ist die Fritte gut? Eine OPNsense kann die Einwahl ins Netz des ISP doch selbst regeln. Einfach direkt an den ONT (Glasfaser) oder ein Modem (DSL) und die Fritte ist überflüssig. Genau so läuft es bei meiner pfsense ohne doppeltes NAT und was du dir sonst noch für Konfigurationsprobleme bei einer Konfiguration Fritte vor eine *sense einfängst.

Ich nehme an die OPNsense ist eine VM die auf deinem Proxmox läuft?

In dem Fall kannst du das Proxmox Gateway auf vmbr2 wechseln.

Aber: ist die OPNsense VM offline, kommst du an deinen Proxmox Node nicht mehr heran.

Alternativ kannst du die Proxmox Webgui und Gateway im Fritzbox Lan belassen und die Proxmox Webgui zusätzlich im OPNsense LAN freischalten.

Dazu nur vmbr2 mit einer IP erstellen und das Gateway auf vmbr1 lassen.
In OPNsense muss eine Outbound Nat Regel erstellt werden.

VPN → Proxmox

Hallo zusammen,

sorry für die Fehlenden details.

OPNsense ist eine VM aufm Proxmox Server. Davor hängt noch eine Fritz.Box.

@Johny: Das mit der zusätzlichen Freischaltung klingt gut. Meine vmbr2 hat eine CIDR gesetzt (192.168.10.X/24). Das Gateway liegt noch auf dem vmbr0 (Fritz.Box Network - 192.168.178.X/24). Muss ich dies auf vmbr1 (WAN Network - 10.0.0.1/30) wechseln oder kann das auf dem vmbr0 bleiben?

Das mit der Outbound NAT Rule verstehe ich noch nicht so ganz. Ich habe in der OPNsense nun erstmal den Hybrid outbound NAT rule generation mode aktiviert. Welche Rule muss ich nun hinzufügen?

Etwa so ?

Interface: WAN
Source Networks: any
Source Port: *
Destination: 192.168.10.x/24
Destination Port: 8006
NAT address: WAN
NAT Port: 8006
Static Port: YES

Hi,

anbei noch ein paar Informationen.

Ich habe ein ETH Port und folgende interface configuration:

auto lo
iface lo inet loopback

iface enp3s0 inet manual
#Physical ETH

auto vmbr0
iface vmbr0 inet static
        address 192.168.178.253/24
        gateway 192.168.178.1
        bridge-ports enp3s0
        bridge-stp off
        bridge-fd 0
        post-up echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up iptables -t nat -A PREROUTING -i vmbr0 -p tcp -m multiport ! --dport 8006 -j DNAT --to 10.0.0.2
        post-up iptables -t nat -A PREROUTING -i vmbr0 -p udp -j DNAT --to 10.0.0.2
#External Network

auto vmbr1
iface vmbr1 inet static
        address 10.0.0.1/30
        bridge-ports none
        bridge-stp off
        bridge-fd 0
        post-up iptables -t nat -A POSTROUTING -s '10.0.0.0/30' -o vmbr0 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '10.0.0.0/30' -o vmbr0 -j MASQUERADE
#WAN for Firewall

auto vmbr2
iface vmbr2 inet static
        address 192.168.10.2/24
        bridge-ports none
        bridge-stp off
        bridge-fd 0
#Internal Network

source /etc/network/interfaces.d/*

Und ich würde gerne Proxmox über vmbr1 und/oder vmbr2 erreichen via VPN erreichen.

Hallo zusammen,

ich habs geschafft. Anbei ein Screenshot.

Screenshot_20250429_160107878×1222 88.9 KB

Danke euch allen!