Proxmox VE 8.4.11 OPNsense 25.7 Netzwerk Single IP (OVH)

Proxmox
, , , ,
1

Moin Leute!

Ich versuche schon länger mein Proxmox Host mit OPNsense zum Laufen zu bekommen, aber es klappt einfach nicht, ich habe es schon nach unzähligen Tutorials in Schrift und Videoform probiert. Ich bekomme aber einfach keine Verbindung von VM’s nach innen oder außen. Intern klappt es. Ich finde den Fehler einfach nicht. Firewall in RZ und PVE - Ebene sind deaktiviert. Ping aus OPNsense nach außen klappt nicht. Daher dann von anderen VM’s Containern natürlich auch nicht. Hat jemand eine Idee? Sieht den/die Fehler?

# /etc/network/interfaces
# network interface settings; autogenerated
# Please do NOT modify this file directly, unless you know what
# you're doing.
#
# If you want to manage parts of the network configuration manually,
# please utilize the 'source' or 'source-directory' directives to do
# so.
# PVE will preserve these directives, but will NOT read its network
# configuration from sourced files, so do not attempt to move any of
# the PVE managed interfaces into external files!

auto lo
iface lo inet loopback

iface lo inet6 loopback

iface eno1 inet manual

iface eno2 inet manual

auto vmbr0
iface vmbr0 inet static
	address 51.75.147.217/24
	gateway 51.75.147.254
	bridge-ports eno1
	bridge-stp off
	bridge-fd 0
	hwaddress A4:BF:01:13:56:62
	post-up iptables -t nat -A PREROUTING -i eno1 -p tcp -m multiport ! --dport 22,2266,8006 -j DNAT --to 10.10.1.1
	post-up iptables -t nat -A PREROUTING -i eno1 -p udp -j DNAT --to 10.10.1.1
# IPv6 hat hier kein DNAT/PREROUTING, da NAT66 später direkt auf eno1 stattfindet

iface vmbr0 inet6 static
	address 2001:41d0:700:20d9::1/128
	gateway 2001:41d0:700:20ff:ff:ff:ff:ff

auto vmbr1
iface vmbr1 inet manual
	address 10.10.1.0/31
	bridge-ports none
	bridge-stp off
	bridge-fd 0
	post-up iptables -t nat -A POSTROUTING -s '10.10.1.1/31' -o eno1 -j MASQUERADE
	post-down iptables -t nat -D POSTROUTING -s '10.10.1.1/31' -o eno1 -j MASQUERADE
# OPNSense WAN (IPv4 + IPv6 Bridge, IPv6 durchgereicht via NAT66)

iface vmbr1 inet6 static
	address fd00:1::2/64
	post-up ip6tables -t nat -A POSTROUTING -s 'fd00:1::/64' -o eno1 -j MASQUERADE
	post-down ip6tables -t nat -D POSTROUTING -s 'fd00:1::/64' -o eno1 -j MASQUERADE

auto vmbr2
iface vmbr2 inet static
	address 192.168.10.0/24
	bridge-ports none
	bridge-stp off
	bridge-fd 0
# OPNSense LAN (IPv4 + IPv6 Bridge)

iface vmbr2 inet6 static
	address fd00:2::1/64

source /etc/network/interfaces.d/*

Gruß Natural

2

Moin, melde mich gleich von daheim vom Rechner aus dazu. Auf dem Handy ist das doof anzuschauen😅

1 „Gefällt mir“
3

Super,danke. Ja, auf dem Smartphone ist es nicht so gut.

4

Aaalsooo: Erstmal NAT66 wofür?
Dann auf vmbr1 da muss die Konfiguration auf static gesetzt sein. Und nicht auf manual. So wie untendrunter bei inet6 auch.
Und /31 besser gegen /30 tauschen.

5

Ich teste das mal so und melde mich dann nochmal.

6

Wenn du ein /30 nimmst, ist die erste IP aber .1 und nicht .0

7

Was müsste ich denn in der Interfaces noch ändern? also bekommt die OPNsense dann 10.10.1.2 und Proxmox 10.10.1.1 ?

8

Nat66 habe ich gelesen, damit später ggf. öffentliche ipv6 zugewiesen werden können. Aber primär soll eigentlich alles an die OPNsense durchgereicht werden, sodaß später alles weitere vor allem Webserver über ipv6/ipv4 erreichbar sind.

9

Jo

Bla bla für 20 zeichen

10

Das würde ich nicht mit NAT66 machen, sondern mit einfachem Routing… Entweder Hetzner Ticket für ein /56 IPv6-Subnetz oder halt das /64 vom Server durchreichen. Da muss man aber aufpassen. Das können wir dann ja machen bei Bedarf.

11

Wie ginge denn einfaches Routing für ipv6? Und der Server ist bei OVH, da ist das leider nicht so leicht wie bei Hetzner. Da muss man dan Vracks erstellen, um ipv6 zu bekommen und die kann man erst zuweisen, wenn man drei Server dort hat :stuck_out_tongue: Daher wollte ich beim Singel IP Setup bleiben. Wie schon erwähnt, sollen ipv4/6 an OPNsense durchgereicht werden, bis auf die 2-3 Ports, das ich dort dann auch ggf. Ports weiterleiten kann für gewisse Anwendungen. Bekomme aber wie schon geschrieben, weder aus der OPNsense noch aus einer weiteren VM eine Verbindung nach Außen.

12

Moment! Du hast nur eine einzige IPv6-Addresse?!

13

ja, die unter vmb0 drin ist. genau wie eine ipv4. Verstehe jetzt die Frage nicht?

14

Weil das nicht normal ist. Normalerweise kriegst du ein /64 mindestens…

15

grafik
grafik996×888 34.4 KB
So sieht es im WI aus.

16

Tatsächlich. Saftladen! Aber erstmal zum IPv4… Hast du das jetzt drin, was ich geschrieben habe?

17

ja subnet geändert und static. Aber habe in OPNsense nichts geändert. Du hattest geschrieben, das sich die Ip’s dann um 1 ändern. Müsste ich dann beim Pre/Postrouting beim vmbr0 und vmbr1 nicht auch was ändern?

18

Ja, da musst du dann auch was ändern. Und in der OPNsense auch.

19

also auf 10.10.1.2 ändern in der interfaces und OPNsense?

20

Jo :+1:
Bla blub 20 Zeichen