Hallo zusammen,
wie kann/sollte man am Besten einen public Proxmox Server absichern? In den ganzen Videos auf Youtube von Dennis und co geht es quasi immer um Proxmox in einem Homelab, aber wie würde man einen public Proxmox schützen? Es gibt ja nicht immer bei jedem Provider wie z.B. Hetzner eine eigene Firewall. Aber hier mal ein Beispiel, welches denke ich, die meisten User mit einem public Proxmox haben werden.
Beispiel:
Auf dem Proxmox (1 Public IP) läuft eine OPNsense/Pfsense als VM. Alle Ports (außer 22 und 8006) werden zur OPNsense weitergeleitet. Dort werden sie entsprechend gefiltert und nur die benötigten Ports wie z.B. 80 und 443 sind offen.
Aber wie sollte man in diesem Beispiel sein Proxmox möglichst gut absichern? Wäre es möglich, die Webgui und SSH nur über VPN hinter der OPNsense/Pfsense zu erreichen? Wenn ja, wie und wo kann man dies einstellen?
SSH-Key und 2FA sollten die meisten ja noch aktiviert bzw. eingerichtet bekommen. Die Frage die ich mir immer wieder stelle ist halt, welche Möglichkeiten gibt es noch, die ggf. etwas mehr Fachwissen benötigen.
Gruß
Haruzept
PS: Fröhlich Diskutieren 
PPS: Ich werfe hier nochmal iptables ein z.B.
iptables -A INPUT -p tcp --dport 8006 -s ISP/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 8006 -j DROP
das Problem ist, wenn die GUI nur über die Opnsense erreichbar ist, dann kommst du nicht mehr drauf, wenn z.B. die Opnsense bei nem Update hängen bleibt. Ich würde da eher einfach auf die eigene IP bzw IP range beschränken
Ja ich denke Jonathan Recht.
Mein Vorschlag wäre, dass du entweder die Opensense Netzwerktechnisch „nach vorne holst“ also auf einem eigenen Server läuft und der Proxmox quasi dahinter hängt wie es zu Hause auch wäre nur halt virtualisiert beim Anbieter mit der Option wie bei Hetzner auf die Recoveryfunktion zurückgreifen zu können ggf über die Website deines ANnbieters oder du gehst einen anderen Weg.
Die Idee die du hattest mittel VPN wäre durchaus eine Möglichkeit (z.B. wie von Jonathan mit der IP Restriktion) aber in beiden Varianten solltest du dir eine Maling machen wie du dir vorstellst, dass Pakete rein bzw raus gehen können. z.B. sind deine Dienste mit eigenen öffentlichen IPs versehen oder ist dein Proxmox gleichzeitig auch fürs NATing zuständig. Bei der Restriktion mittels IP Adresse bzw Range gibs ja das Problem dass die eigene öffentliche IPs zu Hause regelmäßig wechseln, bei einer VPN kannst du diese intern fixieren, hast den vollen Zugriff und nach außen nur die Ports offen ohne die es gar nicht anders geht. Die Opensense sichert dann deine Dienste ab und der Proxmox wird damit gar nicht erst groß tangiert. Die Firewall die Proxmox von Haus aus mitbringt ist auch schon ganz ordentlich zum Eigenschutz. Daher kommt es auch darauf für wie wahrscheinlich hältst du einen Angriff und wie wichtig sind die Daten und welche Maßnahmen kannst du auch nach und nach zur Erhöhung Sicherheit hinzufügen und müssen nicht sofort bereit stehen. Bin auf die grundlegenden Maßnahmen wie Fail2Ban etc und SSH Absicherung nicht extra eingegangen aber in der Betrachtung natürlich mit zu berücksichtigen.
Meine Frage war eigentlich eher allgemein gehalten. Ich habe meinen Proxmox zur Zeit über iptables abgesichert. Es dürfen nur IPs aus dem Netz meines ISP drauf zugreifen. In diesem Thread soll/sollte es eigentlich mehr um einen Erfahrungsaustausch geben, mit welchen kniffen man ein „standard“ Setup wie oben beschrieben am besten absichern kann.
@JonathanN1203 sehe ich soweit auch, die Frage ist halt, ob der Hoster eine Konsole oder andere Rescue Lösung anbietet.
@whitewings00 nicht jeder der sich einen dedi oder sogar V-Server mietet hat die Möglichkeit oder das Geld sich noch x IPv4 vom Anbieter zu holen. Aber auch mit einer zweiten IP für die OPNsense/Pfsense ist der Proxmox doch immer noch über das Internet erreichbar oder stehe ich hier auf dem Schlauch bzw. wie meinst du das mit "hinter die OPNsense ziehen?
Ich habe in der Hetzner Cloud eine OPNsense laufen und über private Netzwerke die Verbindung zum Proxmox auf einem Dedi Server realisiert. Somit kann ich einen Wireguard Tunnel von zu Hause für die Administration nutzen. Zum andern habe ich eine vollwertige Firewall mit der ich den Zugriff auf sehr granular auf die Proxmox regeln kann.
Schlussendlich hängt es aber davon ab, ob auf dem Proxmox Server VMs laufen, die aus dem Internet erreichbar sein sollen oder nur ein LAB welches Internetzugriff benötigt.
Moin ich meinte es so wie 336522430 es beschrieben hat über internes Netzwerk. und ich bin da ganz bei dir, dass man nicht xIPv4 Adressen kaufen kann. Meines Erachtens aber auch nicht nötig. Eine öffentliche reicht für viele Anwendungen jenachdem wie du es dir gerne aufbauen möchtest. Ich hab auch nur eine aber mehrere öffentliche IPv6 ( bei Hetzner meine ich immer noch kostenlos). Hier könnte man wahrscheinlich auch auf Grund der zur Verfügung stehenden Größe sogar mehrere eigene Subnetzte im öffentlichen Bereich bauen. Die kann ebenfalls fast jeder heutzutage erreichen wird aber bisher eher wenig genutzt. Ich hatte früher ne Nextcloud zu hause auch über meine damalige öffentliche IPv4 eingerichtet. tja dann kam Dualstack lite und ich musste mir was anderes überlegen und hab mich etwas mit IPv6 beschäftigt ist im Grunde etwas einfacher, wenn man mal von der hexadezimalen Schreibweise und der Länge absieht. Da mittlerweile mir nicht mal ein Provider in Deutschland bekannt ist der in seinem mobilen Internet (LTE 5G, etc) kein IPv6 mehr anbietet funktioniert das entsprechend gut und wenn ich mal in einem veralteten Hotel WLAN bin nutze ich halt meinen Wireguard-Server über die eine IPv4 und bin wieder mit beiden Welten verbunden. Und 
ich hatte schon verstanden dass es etwas allgemeiner gehalten war und du nur Ideen sammeln wolltest.
Das wird beim aktuellen Netzwerk Design bei Hetzner vermutlich schwierig bis unmöglich. Denn bei privaten Netzwerken ausschließlich IPv4 Subnetze unterstützt
1 „Gefällt mir“