Hilfe beim ersten Heim-Netzwerk

bienchen

New member
Hallo liebe Freunde von heimnetz.de,
ich komme leider seit einer Woche mit meinem Projekt "mein erstes homenetwork" nicht mehr weiter. Deshalb dachte ich, ich registriere mich hier mal bei euch, da ich anscheinend 'stuck' bin.
Es wird mein erstes Setup, deshalb bitte nicht böse sein, falls es zu noobig ist.

Das Setup wollte ich wie folgt einrichten:
1. Ein alter Laptop mit geringem Stromverbrauch der 24/7 laufen kann.
2. Darauf Proxmox (bereits installiert, keine Probleme)
3. pfSense in einer virtuellen Maschine auf Proxmox (läuft bereits, keine Probleme. Zugriff nur über WAN Interface da nur ein RJ45 vorhanden, WAN wird später "in production" dauerhaft deaktiviert sein)
4. Nun möchte ich weitere Maschinen (Linux Container, virtuelle Maschinen, Docker etc.) in Proxmox erstellen. Diese sollen über das Internet erreichbar sein, über pfSense.

Mein Problem:
Da ich noch wenig Erfahrung mit den beiden Tools habe und der Zugang auch sicher sein soll - was wäre die beste Vorgehensweise?

Was ich versucht habe:
Über einen eigenen OpenVPN in pfSense einen Zugang einzurichten, leider hat das nicht geklappt (wahrscheinlich habe ich einen Fehler bei der Einrichtung des VPN gemacht).
Sicherlich wäre auch ein Zugang über ssh (mit Keys) möglich, aber ich verstehe noch nicht ganz wie ich bridgen kann von Router-->pfSense-->Hostmaschine
Domain & DynDNS habe ich bereits, lasse ich aber noch nicht auf mein Netzwerk zeigen, weil es ja noch nicht eingerichtet ist.
Ich würde mich über Hilfestellung sehr freuen.

Ich habe auch zu den einzelnen Problemen mich mit etlichen Anleitungen beschäftigt, dennoch geht immer irgendetwas schief. Sicherlich würde das mit exposed Host sofort laufen, die sicherste Lösung wäre das aber nicht.
Deshalb meine Frage: Kennt ihr eine gute Anleitung (Guide) wo genau dieses Problem behandelt wird (sicher hosten über pfSense in virtuelle Maschinen) oder könnt selber weiterhelfen?
Darauf soll zum Beispiel auf einer virtuellen Maschine Kanboard wo ich meine Studienplanung mache etc.
Vielen Dank und tut mir leid falls es ein zu simples Problem ist, wie gesagt ich beginne erst damit (und evtl. ist das als erstes Projekt wirklich etwas zu groß, aber meine Studienplanung überall dabei zu haben ist auch ein "real life" Problem für mich).

Gerne revanchiere ich mich hier im Forum, sobald ich mehr Erfahrung habe.

Liebe Grüße
 

blurrrr

Well-known member
PVE:
bridge0 - an physikalische NIC gebunden
bridge1 - nirgendwo angebunden (das bildet dann die grundlage für Dein rein virtuelles Netz)

bridge0 <WAN - pfSense - LAN> bridge1

Alle folgenden VMs dann an ebenfalls an bridge1.

Da das ganze ja anscheinend innerhalb Deines vorhandenen LAN läuft, kannst Du auch auf NAT und Co. auf der Firewall verzichten. Trag bei Deinem Client die Route für das "virtuelle Netz" ein (Gateway WAN-IP der pfSense) und dann regelst Du die Zugriffe ausschliesslich über die Firewall-Regeln (z.B. "<nur Deine Client-IP> -> Kanban-VM"), alternativ halt intern via OpenVPN (ist aber ein wenig... fragwürdig 😉).
Dann bräuchtest Du allerdings ebenfalls eine statische Route auf Deinem Router, welche auf das virtelle Netz zeigt (s.o.).

EDIT: "Zettel und Stift" hilft auch oftmals bei der Planung, vielleicht zeigst Du uns einfach mal anhand einer Skizze oder anhand eines Netzwerkplan, wie Du Dir das so vorgestellt hast? 🙃
 

bienchen

New member
Vielen Dank für deine Antwort. Ich habe hier mal eine Skizze erstellt:
Also würde ich jegliche Anfragen aus dem Internet - an die IP von pfSense leiten? Sorry falls das eine blöde Frage ist. Der Schritt zwischen Router nach pfSense ist halt für mich der am schwersten nachvollziehbare.
22cfb2c6-ecf3-4f1d-b883-9462dcb1176a.jpeg
 

blurrrr

Well-known member
Also würde ich jegliche Anfragen aus dem Internet - an die IP von pfSense leiten?
Nein, was Du meinst, ist dass die pfSense sich ebenso verhält wie Dein Router (mit IP-Maskierung / NAT). Das brauchst Du dort aber nicht (je nachdem, ob Dein Router mit statische Routen umgehen kann, eine Fritzbox z.B. kann das).

Ist vom Prinzip her eigentlich auch einfacher als dieses schäbige Router-NAT-Geraffel (und mit IPv6 entfällt das sowieso alles). Es gibt allerdings noch ein Konstrukt, wo die Weiterleitung (wie auch immer) eben "nicht" an die eigentlichen VMs geht, sondern an etwas "davor". Das nennt sich dann Reverse-Proxy. Hat den Vorteil, dass der Reverse-Proxy Dein Ansprechpunkt von aussen ist (nicht die VMs!) und man eigentlich nur mit dem Reverse-Proxy spricht, welcher wiederum mit den eigentlichen Ziel-VMs spricht.

In der Regel übernimmt der Reverse-Proxy dann auch die SSL-Terminierung (zwecks https) und kann "intern" dann einfach unverschlüsselt laufen. Die pfSense hat übrigens "haproxy" mit an Board, das wäre z.B. so ein Reverse-Proxy.

Für ein besseres Verständnis skizzier ich auch mal kurz etwas... Sekunde.
 

blurrrr

Well-known member
Das hier wäre erstmal der grundlegende Aufbau...

1667918177906.png
... ich spreche hier auch von "Apps" und nicht von "VMs", da Du sicherlich nicht für jede "App" eine eigene "VM" brauchst. Als kleines Beispiel dazu: Vielerlei Software lässt sich einfach als "Web-App" installieren, dafür braucht es i.d.R. nur eine Datenbank, ein bisschen Webspace und einen FQDN (z.B. wiki.deine-domain.de). Jeder Webserver unterscheidet anhand von "vHost"-Einträgen auf welche Anfrage, er welchen Ordnerinhalt ausliefert. Glück für Dich: Es gibt auch kostenlose Hosting-Panel, die das direkt alles mitbringen. Also hast Du ein System, auf welchem Du selbst Domains, Subdomains, etc. anlegen kannst und musst nicht für jede App komplett alles neu aufsetzen.

Jetzt haben wir auf der einen Seite eine VM, die - theoretisch - bestimmte Ordnerinhalte ausliefern würde, wenn sie korrekt angesprochen werden. Jut, jetzt kommt der Reverse-Proxy ins Spiel: Der Router leitet die Anfrage an die pfSense weiter bzw. konkreter an den dort laufenden Reverse-Proxy. Dieser schaut sich den Eintrag nun an (z.B. wiki.deine-domain.de), schaut in seine Config und stellt fest: "Alles klar, das Paket muss zum Webserver!" und leitet das Paket entsprechend weiter an den Webserver. Dieser wiederum schaut in seine Config und liefert den Inhalt aus dem (zum FQDN passenden) Ordner aus. In diesem Fall hast Du also "2" Systeme, welche entsprechend auf den FQDN reagieren. Ein Client spricht in diesem Fall niemals "direkt" mit dem eigentlichen Ziel (wie bei einer Portweiterleitung auf das Zielsystem), sondern immer nur mit dem Reverse-Proxy, welcher wiederum - als quasi Vermittler im Stille-Post-Prinzip - mit dem Zielsystem spricht.

Weil Du nun so "flexibel" bist, kannst Du Dir an FQDNs auch anlegen was Du lustig bist... board.deine-domain.de, wiki.deine-domain.de, www.deine-domain.de, was auch immer Du willst. Der Reverse-Proxy (bzw. konkreter in diesem Fall die pfSense) kümmert sich dann noch um die Lets-Encrypt-Zertifikate, so dass jegliche Kommunikation bis zum Reverse-Proxy (der pfSense) auch verschlüsselt abläuft. DNS-technisch könntest Du auch einfach einen Wildcard-Record setzen (*.deine-domain.de -> CNAME -> deine.dyndnsadresse.de) und musst Dich nur noch um die Einträge auf dem Reverse-Proxy und Zielsystem kümmern.

Somit wäre der Stand vorerst jener:


1667918627385.png
Ich hab jetzt einfach mal noch einen Docker-Host und irgendwas anderes dazu gebastelt, gibt ja auch Apps, die lieber als Container laufen, oder eine komplett eigene VM in Anspruch nehmen. Da es sich hierbei (bisher jedenfalls) wohl nur um "Web"-Sachen handelt, würdest Du im Router nur Port 80 (HTTP für Lets Encrypt) und Port 443 (HTTPS) an die pfSense weiterleiten.

Damit jetzt keine Verwirrung zum zuvor gesagten entsteht (was es vermutlich schon ist), will ich das auch gern mit dem Routing nochmal erklären:

So wie das jetzt grade beschrieben wurde, spricht die IP des Routers (z.B. 192.168.0.1) mit der WAN-IP der pfSense im gleichen Netz (192.168.0.2). Die Geräte sind im gleichen Netzsegment und können - ohne Router oder sonstwas dazwischen - einfach direkt miteinander kommunizieren (wie 2 Personen im gleichen Raum).

Das ändert sich allerdings, sobald man etwas aus einem anderen Netz ansprechen möchte (Du bist in einem Raum, Dein Gesprächspartner in einem anderen). Wie will man nun (unbekannterweise!) dem Partner die Dinge zukommen lassen, welche man kommunizieren möchte? Klar, man muss wissen "wohin" es gehen muss.

Jeder Netzteilnehmer hat grundsätzliche Informationen (meistens) über das Netzwerk und welche Möglichkeiten gegeben sind. In der Regel sind das a) IP, b) Netzmaske, c) Gateway und d) ggf. noch DNS. Entscheidend ist hier das Gateway. Ein ganz normaler Client verhält sich wie folgt:

- Liegt mein Ziel innerhalb meines Netzes? Wenn ja, sende ich die Nachricht direkt ans Ziel, denn ich weiss ja, dass wir im gleichen Netz sind
- Liegt mein Ziel NICHT innerhalb meines Netzes und habe ich auch "keine weitere Information darüber", werde ich die Nachricht an mein Standard-Gateway schicken (quasi "fire'n forget"), das Standardgateway wird schon wissen wohin die Reise geht (und falls nicht, schickt das lokale Standardgateway das Paket weiter an sein Standardgateway, usw.)

Jetzt kommt noch ein wesentlicher Punkt... "keine weitere Information darüber" (wie o.a.). Hier dreht es sich jetzt um "zusätzliche" Routing-Informationen. Dein Computer in Deinem Netz (s. Skizze) weiss von Haus aus erstmal "garnichts" von dem Netz hinter der pfSense. Wenn Du Deinem PC allerdings eine zusätzliche Route mitgibst á la "192.168.99.0/24 ist über 192.168.0.2 zu erreichen", wird Dein PC die Pakete eben "nicht" an sein Standardgateway (Router) schicken, sondern direkt an die pfSense (die muss ja schliesslich wissen, wie es mit den Paketen weiter geht).

Das meinte ich vorhin auch mit den "statischen Routen" beim Router. Wenn es ohne NAT auf der pfSense und ohne Reverse-Proxy von statten gehen soll, könntest Du die Portweiterleitung auf dem Router (sofern er die Route ins 99er Netz kennt) auch direkt auf z.B. die 192.168.99.10 einrichten (anstatt auf die IP der pfSense). Zur Veranschaulichung auch hier nochmal ein Bild:

1667919760660.png

So... würde mal sagen: Erstmal sacken lassen und sorry, dass ich etwas weiter ausgeholt habe, aber lieber so, als zu wenig ☺️
 

bienchen

New member
Tut mir leid, falls meine Antworten länger dauern, ich muss es tatsächlich immer erst "sacken" lassen und Sachen nachschlagen d:
Vielen, vielen Dank erstmal für deine Hilfe und deine Arbeit die du in die Antworten investiert hast! :)
In meinem Router (Vodafone Station) habe ich die Option für statisches DHCP Netzwerk. Entweder ist es das oder es wird kein statisches Routing unterstützt, dann würde ich mir aber wenn nötig eine Fritzbox Kabel anschaffen.
Es stört mich sowieso das man bei der Firewall keine Einstellungen vornehmen kann in dem Router, sondern nur an oder ausschalten.
Router.png

Ich würde mir wenn ich zu Hause bin:
1. Eine neue (nicht kaputt konfigurierte) Maschine mit dem Dienst im gleichen Netzsegment anlegen
2. haproxy nach folgendem Tutorial einrichten:
https://www.youtube.com/watch?v=VEx4AVogXCU

Mich dann zum Fortschritt melden =)
Und wie gesagt, vielen Dank :)
 

blurrrr

Well-known member
In meinem Router (Vodafone Station) habe ich die Option für statisches DHCP Netzwerk. Entweder ist es das oder es wird kein statisches Routing unterstützt, dann würde ich mir aber wenn nötig eine Fritzbox Kabel anschaffen.
Statische Routen haben nichts mit "DHCP" zu tun, das ist etwas völlig anderes. Beim Routing geht es um die "Strecken" (oder auch wenn man so will "Wegweiser" (anhand der Gateways)), bei DHCP geht es nur um die Netzinformationen (bei SOHO-Routern halt IP, Netzmaske, Standardgateway, DNS). Das was Du da hast, hat mit der "statischen" Zuordnung von festgelegten IP-Adressen zu MAC-Adresen zu tun, so dass der Client immer die gleiche IP vom DHCP-Dienst zugewiesen bekommt. Fritzboxen können auf jeden Fall mit statischen Routen umgehen:

1667923028072.png

Sieht dann z.B. so aus:

1667923176796.png

1. Eine neue (nicht kaputt konfigurierte) Maschine mit dem Dienst im gleichen Netzsegment anlegen
Wie meinen? Was ist denn "kaputt"?

Aber so oder so... Braucht sicherlich seine Zeit, ich wünsche vorab schon mal viel Erfolg! ☺️
 

FSC830

Active member
Für den Betrieb einer pfSense würde ich aber eher eine kleine Hardware Lösung vorziehen als eine VM.
Die braucht nicht soviel an Ressourcen, jedenfalls, solange man nicht dutzende packages und pfBlockerNG verwendet.

Gruss
 

bienchen

New member
Okay, Dankeschön 1000 mal :)
Also dann kann ich mit Sicherheit sagen, dass statische Routingtabellen von meiner Vodafone Station nicht unterstützt werden.
Mit kaputt konfiguriert meine ich, versucht zu konfigurieren ohne mehr genau nachvollziehen zu können, was ich getan habe - deshalb ist mir dann ein "sauberer" Neustart lieber, dann kann ich das auch gleich ordentlich dokumentieren und dann nachvollziehen wenn etwas nicht funktioniert.

Ja, ich denke sobald ich es erfolgreich einmal zum laufen bringe, würde ich auch eine Hardware Lösung anstreben. Nur im Moment wo ich dann noch alles verstehen und lernen muss, wollte ich nicht gleich in Hardware investieren (studentin mit magerem Bafög lmao)😅
 

the other

Well-known member
Moinsen,
hier laufen zuerst eine Fritzbox und dahinter dann eine pfsense (als standalone hardware Lösung auf einem günstigen APU 2 board).
Für Zugriffe von außen nutze ich ausschließlich openVPN, der VPN Server wird durch die pfsense bereit gestellt.

Wenn ich nun von außen zugreife, dann zeigt die eingerichtete DDNS Adresse auf die Fritzbox, die leitet alle Anfragen für den VPN Port weiter an die pfsense, hier endet dann der VPN Tunnel und ich kann auf alle Geräte HINTER der pfsense sicher zugreifen.

Ich würde dir den Tip geben, am Anfang gar nicht so viel konkret einzurichten, sondern eher erstmal ganz ruhig zu überlegen:
- welche Funktionen der pfsense willst du / brauchst du?
- diese dann einrichten und deren Arbeitsweise verstehen
- es simpel zu halten (KISS Prinzip)

Sicherlich ist auch ein günstiges APU Board mit Gehäuse für Bafög Verhältnisse heutzutage nicht billig (ca. 200 Euro). Dafür bekommst du dann aber ein Gerät, dass direkt 3 NICs mitbringt, 4 GB RAM und 16 GB Speicher. Du kannst dich voll auf die pfsense konzentrieren ohne den ganzen VM Überbau.

Und bei Fragen natürlich gerne hier melden...
;)
 

blurrrr

Well-known member
Wenn es erstmal nur um's "gucken" und "lernen" geht, geht das in einer VM sicherlich auch. Dedizierte Hardware ist natürlich schöner und sicherlich auch performanter und mit 3 Ports kann man sicherlich auch mehr machen, als nur mit 1 Port, aber sei's drum... ☺️
 

the other

Well-known member
Moinsen @blurrrr
genau so meinte ich das auch: die VM Variante zum "Beschnuppern" nutzen, aber vielleicht nicht schon "schnell schnell" konkret was einrichten, eher so ein spielerisches Kennenlernen.
Dann Liste machen, dann versuchsweise konkreter werden...dann Hardware zulegen und umsetzen.

Aaaaber, den EINEN Weg gibbet es eh nicht...
:)
 

bienchen

New member
Genau der Weg mit OpenVPN war der den ich als erstes probiert hatte. Dann zu Testzwecken die VPN config aufs Handy kopiert aber eine Verbindung kam nicht zustande. Das ist jetzt nicht sonderlich präzise Problembeschreibung, aber ich könnte das auch nochmal Schritt für Schritt durchgehen und sagen was ich getan habe…Vielen Dank euch allen vorerst :)

Ich setze mich aber erst einmal lieber nochmal dran und versuche das genauer zu schildern.
Ganz liebe Grüße
 

the other

Well-known member
Moinsen,
wie gesagt: mach alles in Ruhe.
Ich habe damals ohne viel Vorahnungen erst mal ewig im Netz gelesen zu VPN, VLAN, Firewall. Da ich nix mit der Materie am Hut hatte vorher (mal gehört) hat das auch recht lange gedauert.
Dann erst die pfsense eingerichtet.

Du kannst ja erstmal wirklich ganz relaxed direkt spielerisch ausprobieren. Einstellungen testen usw.
In der pfsense bietet es sich zB für den Anfang durchaus an, den openVPN Wizard zu nutzen, der dich durch die Konfiguration führt.
Mit dem Addon zum Exportieren kannst du dann die Konfiguration verteilen.

Bei deinem Setting kommt halt immer der VM Knoten dazu...vielleicht wäre es daher "leichter", mit einem eigenen Gerät zu arbeiten. Andererseits: steile Lernkurve und dann sind gleich ein paar grundlegende Netzwerkdinge geklärt (weil gelernt und verstanden).
Viel Erfolg jedenfalls und wie gesagt: dafür ist das Forum ja auch da.
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
1.334
Beiträge
17.778
Mitglieder
843
Neuestes Mitglied
smartloftnrw
Oben