Przekierowania do hostów na Proxmox

(hosti) #1

Czołem, przychodzę z prośbą o poradę.
Proxmox w wersji 5.4-3 (Debian GNU/Linux 9.9 (stretch)). Domyślne ustawienie po instalacji mam

auto lo
iface lo inet loopback

iface enp3s0 inet manual

auto vmbr0
iface vmbr0 inet static
        address 10.0.32.121
        netmask 255.255.255.0
        gateway 10.0.32.1
        bridge_ports enp3s0
        bridge_stp off
        bridge_fd 0

iface enp2s0f0 inet manual

iface enp2s0f1 inet manual

Natomiast gdy robię zgodnie z dokumentacją proxmox-a https://pve.proxmox.com/wiki/Network_Configuration jako Routed Configuration za jasny gwint maszyny nie mają dostępu do neta.

Po edycji pliku mam taką sytuację.

auto lo
iface lo inet loopback

iface enp3s0 inet manual

auto vmbr0
iface vmbr0 inet static
        address 10.0.32.121
        netmask 255.255.255.0
        gateway 10.0.32.1
        bridge_ports enp3s0
        bridge_stp off
        bridge_fd 0
        post-up echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up iptables -t nat -A POSTROUTING -s '192.168.0.0/24' -o vmbr0 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '192.168.0.0/24' -o vmbr0


iface enp2s0f0 inet manual

iface enp2s0f1 inet manual

Wzorowałem się również na tym artykule https://dszymczuk.pl/blog/2015/serwer-openvz/openvz-serwer-matka/

A gdy przypiszę na sztywno adres, maskę i gw do interfejsu fizycznie (enp3s0) wtedy w ogóle nie mam połączenia z proxmoxem .

W celach testowych enp3s0 ma adresy z LAN-a ale docelowo będzie podpięty WAN. Czy gdzieś jeszcze muszę ustawiać jakieś geruły firewalla?

(roobal) #2

Nie wiem dlaczego grzebiesz pod maską, to przeważnie źle się kończy przy gotowcach. W KVM/LXD wybierze albo mostkowany tryb sieci, albo NAT. Gdy wybierasz routed, to bramą dla VM jesr adres Proxmox, czyli fizycznej maszyny.

(hosti) #3

Dokładnie tak chciałem zrobić, aby maszyny były za NAT-em lub bridge. Jednak nie w samym webie nie mogę tego zmienić. Z kolei na stronie proxmoxa jest ewidentnie podane, żeby pozmieniać bezpośrednio w /etc/network/interfaces

(hosti) #4

A dokładniej rzecz ujmując to chciałbym stworzyć sieć tak…

(sadaj72) #5

Dopisz fizyczne interfejsy do vmbr.
Dodaj dwa vmbry do opnsense, jeden będzie WAN drugi LAN i tam sobie skonfigurujesz NAT.

(roobal) #6

Czyli miałem rację, że Proxmox to straszne badziewie.

Masz tam jeszcze OpenVSwitch, możesz go wykorzystać.

(hosti) #7

@sadaj72 dopisanie niewiele dało. Owszem stworzyło wpisy w etc ale maszyna opnsense’a w ogóle nie wstaje.

To co proponujesz @roobal ? Bo furii dostanę z tym Proxmoxem. Wielka szkoda że na mojej maszynie nie mogę postawić VMware’a. Debian z KVM? Jak w przypadku instalacji FreeBSD to wygląda? Ponoć na KVM-ie bywają problemy (OPNSense i pfSense to BSD).

(sadaj72) #8

Ale wywala jakiś błąd podczas ładowania, czy co się dzieje?

Dopisujesz vmbry, wchodzisz w ustawienia maszyny, hardware i dodajesz network device, zaznaczasz stworzonego wcześniej bridge’a i tyle.

Sieciówka virtIO może robić problem przy systemach BSD, ale to już byś musiał zagłębić się w dokumentację opnsense i co tam na ten temat piszą.

(roobal) #9

Nie ma problemów z BSD na KVM. Virtio na FBSD działa bez problemu, innych nie sprawdzałem.

Gentoo KVM. Jeśli potrzebujesz GUI, to Archipel jest milion razy lepszy. Jeśli wystarczy Ci coś prostego, to WebVirtMgr.

(hosti) #10

Postawiłem właśnie Ubuntu 18.04 LTS z kvm i virt managerem. OPNsense poszedł raz dwa. Teraz muszę tylko tego archipela ogarnąć. Archipel łączy się po XMPP do serwera?

(Superkasmir) #11

Raczej tam powinno być tak

        post-down iptables -t nat -D POSTROUTING -s '192.168.0.0/24' -o vmbr0  -j MASQUERADE

Dodatkowo jak chcesz mieć LAMP to musisz przekierować port 80 czy 443 na LAMP.OPNsense ma robić z zapore? to musisz jeszcze przekierować wcześniej te porty na OPNsense i z OPNsense na LAMP.Ogólnie trochę przekombinowany ten konfig.

U siebie mam coś podobnego
Freebsd [Host][Zapora sieciowa] - Debian [LAMP][Proxy]- pod to podłączone komputery

(hosti) #12

Muszę poczytać jak to jest z tym mostem między KVM a hostami na vm, bo chyba czegoś nie rozumiem albo źle ustawiam.

(roobal) #13

Tak, wykorzystuje xmpp. Może Ci nawet na Jabbera powiadomienia wysyłać.

WebVirtMgr łączy się z hyperwizorami przez ssh, tak jak virtmanager. Możesz też łączyć się po TCP z wykorzystaniem SASL i TLS, ale z ssh jest łatwiej.