pfSense -> VLAN

    Hallo und ein Gutes Neues.


    Setup:

    Als Testumgebung habe ich folgendes aufgebaut:

    Netcup-Server mit Wireguard

    Proxmox: pfSense VM, 3x Container (Web1 Web2 Web3)


    Verbindung:

    Web1 und Web2 sind per Wireguard mit Netcup-Server verbunden, sind auch über die Ports 80, 88 erreichbar und haben öffentliche IP des Netcup Servers.

    Web3 hängt im Tagged VLAN an der pfSense und hat öffentliche IP der FritzBox

    pfSense hat auch eine Wireguard Verbindung, Gegenseite lässt sich auch anpingen.


    Ziel:

    mein Ziel ist mit Hilfe der HA-Proxy (auf pfSense) eine Weiterleitung z.B. web1.domain.de -> Web1, web2.domain.de -> Web2 und so weiter.


    Problem:

    in meinem Setup handelt es sich um ein Doppel-NAT, ich habe schon so vieles probiert und bekomme es einfach nicht hin Web3 erreichbar zu machen (ip:888)

    Grund warum pfSense nicht direkt auf dem Netcup-Server installiert ist, pfSense bekommt keine IPv6 Adresse.


    Eventuell hab jemand von euch schon ähnliches am laufen und könnte mir auf die Sprünge helfen, ich wäre sehr dankbar.


    pfs.PNG


    Test-Net.PNG



    Ziehl.PNG

    Die Erklärungen sind doch sehr verwirrend. Wo ist denn das Proxmox Setup? Bei dir zu Hause?


    Zitat von Sub7

    Web3 hängt im Tagged VLAN an der pfSense und hat öffentliche IP der FritzBox

    Wenn es doch eine öffentliche Fritzbox-IP gibt, warum dann der ganze Aufstand? Und warum das tagged VLAN? Web3 ist doch genau so ein Container, wie die anderen?


    Zitat von Sub7

    pfSense hat auch eine Wireguard Verbindung, Gegenseite lässt sich auch anpingen.

    Ist das die gleiche WG Verbindung wie für Web1 und Web2? Wofür ist die?


    Zitat von Sub7

    in meinem Setup handelt es sich um ein Doppel-NAT,

    Wieso Doppel-NAT? Erst mal ist da ja nur die Fritzbox. Was du danach machst, ist ja deine Sache und entsprechend relativ leicht einzurichten.


    Zitat von Sub7

    ich habe schon so vieles probiert und bekomme es einfach nicht hin Web3 erreichbar zu machen (ip:888)

    Das Setup ist natürlich auch reichlich verschroben. Wofür überhaupt die pfSense? Wofür VLANs?


    Zitat von Sub7

    Grund warum pfSense nicht direkt auf dem Netcup-Server installiert ist, pfSense bekommt keine IPv6 Adresse.

    Die bekommt sie doch jetzt auch nicht, oder? Aber das könnte man sowohl auf dem Netcup Server als auch hier ändern.


    Ich verstehe nicht: Wenn die Fritzbox eine öffentliche IP hat, warum dann überhaupt der Netcup Server? Und wenn alle 3 Container einfach als Webservice erreicht werden sollen, warum dann eine pfSense mit VLAN, und nicht einfach ein banaler Proxy?


    1. Ja, Proxmox steht zu Hause.
    2. Wegen der Festen IP für den Mailserver hinter VPN (habe getestet,funktioniert), VLAN um Heimnetze zu trennen, ich will mit meiner Domain drauf zugreifen, Dyndns wird bei Mailserver nicht funktionieren.
    3. Jeder Server hat eigene WG Verbindung
    4. NAT Nr.1 auf Netcup -> Interface "wg0" -> NAT Nr.2 pfSense Interface "vtnet1" -> VLAN
    5. Hast recht, chaotisches Setup, habe auch einiges nicht erwähnt, verzeiht mir. Ziel ist alles von der festen IP des Netcupservers zur pfSense "durch-NAT-en", dann Filtern und Weiterleiten.
    6. Auf Netcup läuft Ubuntu was im Gegensatz zur pfSense IPv6 bekommt, beim Test Ubuntu+WG ->Proxmox (zu Hause) -> Mailserver, alles Top auch Zertifikate. Frank, dieses Problem hatten wir schon besprochen, ich folge deinem Rat (wenn ich nicht weiter komme) und notiere mir Routings usw. vom Ubuntu und versuche es nochmal mit pfSense direkt auf Netcup Server.
    7. müsste glaube ich beantwortet sein.

    Entschuldigt für Irreführung und fehlende Informationen, ich gelobe Besserung.

    Zitat von Sub7

    Wegen der Festen IP für den Mailserver hinter VPN (habe getestet,funktioniert)

    Es ist problematisch, wenn die Anforderungen häppchenweise verraten werden.

    Zitat von Sub7

    VLAN um Heimnetze zu trennen

    Das VLAN ist intern auf dem Proxmox, nicht in deinem Heimnetz.

    Zitat von Sub7

    ich will mit meiner Domain drauf zugreifen

    Das geht auch ohne VLAN.

    Zitat von Sub7

    Dyndns wird bei Mailserver nicht funktionieren.

    Doch, das geht problemlos. Die verwendeten IPs fürs DNS sind eher das Problem.


    Zitat von Sub7

    Jeder Server hat eigene WG Verbindung

    Warum das?

    Zitat von Sub7

    Ziel ist alles von der festen IP des Netcupservers zur pfSense "durch-NAT-en", dann Filtern und Weiterleiten.

    Aber warum bauen dann die Container die VPN Tunnel auf? Und warum ein extra Router dafür?


    Zitat von Sub7

    ich folge deinem Rat (wenn ich nicht weiter komme) und notiere mir Routings usw. vom Ubuntu und versuche es nochmal mit pfSense direkt auf Netcup Server.

    Auch auf dem netcup Server hat pfSense nicht das geringste verloren.


    Keep it simple. Ein VPN Tunnel von netcup zum Proxmox. Ein Proxy auf dem Proxmox. Kein pfSense, kein VLAN.

    Zitat von frank_m

    Das VLAN ist intern auf dem Proxmox, nicht in deinem Heimnetz.

    Ist mir klar, ich will nur mehr Kontorolle darüber welches Netz was darf und was nicht.

    Zitat von frank_m

    Aber warum bauen dann die Container die VPN Tunnel auf? Und warum ein extra Router dafür?

    Damit ich jeden einzeln per Port oder Subdomain ansprechen kann.

    Web1 und Web2 waren nur ein Test, hat auch funktioniert, so wie ich es wollte.

    Zitat von frank_m

    Doch, das geht problemlos. Die verwendeten IPs fürs DNS sind eher das Problem.

    Mir ist nicht bekannt wie man mit Dyndns und eigener Domain nicht im Spamordner landet oder blockiert wird.

    Zitat von Sub7

    Ist mir klar, ich will nur mehr Kontorolle darüber welches Netz was darf und was nicht.

    Wir reden über einen (!) Container auf einem Proxmox. Da hast du andere Möglichkeiten, den Zugriff zu kontrollieren, dafür braucht es wahrlich kein VLAN. Willst du rumspielen oder ein produktives Setup?


    Zitat von Sub7

    Damit ich jeden einzeln per Port oder Subdomain ansprechen kann.

    Das geht auch über einen gemeinsamen Tunnel, da jeder Container immer noch eine eigene IP hat. Hilft dir aber so oder so nicht weiter, weil die öffnentliche IP am Ende über die verfügbaren Ports entscheidet.


    Zitat von Sub7

    Mir ist nicht bekannt wie man mit Dyndns und eigener Domain nicht im Spamordner landet oder blockiert wird.

    Wie gesagt, DNS hat nichts damit zu tun. Dyndns ist auch nur ein ganz normales DNS mit kurzer TTL. Über SPAM oder nicht entscheidet die IP des Mailservers. Da rettet einen auch ein ordentliches DNS nicht.

    Zitat von Sub7

    pfSense bekommt keine IPv6 Adresse

    Wenn pfSense nicht auf ICMPv6 und auf router advertisements hören möchte, macht IPv6 sicher Probleme. Falls es das doch tut, kannst Du einen IP-Alias auf dem Ethernet-Interface einrichten und als IPv6 Gateway fe80::1 anlegen, wie sonst bei manueller Konfiguration auch.


    Funktioniert auch das nicht, versuch es mit dem Rettungssystem. Geht IPv6 auch dort nicht, liegt es am Host und nicht an der pfSense... kommt zeitweise vor und kann vom Support behoben werden.

    Zitat von eripek

    Funktioniert auch das nicht, versuch es mit dem Rettungssystem.

    Mit Ubuntu anstatt pfSense hat er ja kein Problem mit IPv6 auf dem Netcup Server. Siehe seinen anderen Thread.


    Ich frag mich halt immer noch, wofür überhaupt pfSense? Und vor allem: Wofür auf dem Proxmox?


    Das Ziel ist ja offenbar, per VPN die öffentliche IP zum Heimnetz zu tunneln und Serverdienste darüber anzubieten. Kann man so machen. Wenn es mit Ubuntu funktioniert, wofür was anderes nutzen? Aber wofür mehrere VPN Verbindungen? Wofür das VLAN intern im Proxmox? Ein VPN Tunnel reicht, um die Ports der öffentlichen IP in den Proxmox zu tunneln und dort auf die Container zu verteilen. Wenn es unterschiedliche Ports für die Container sind, wie angedeutet (80, 88, 888), dann ist man hier schon fertig. Möchte man mehrere Dienste auf denselben HTTP/S Ports anbieten, dann baut man einen Proxy auf den Proxmox, oder meinetwegen alternativ auf den Netcup Server. Kommt aufs gleiche raus. Aber wieder kein Grund für mehrere VPN Tunnel oder VLANs.


    Offenbar gibt es ja Probleme, die Dienste von außen erreichbar zu machen, und zwar gerade bei dem Container, der hinter der pfSense sitzt. Meines Erachtens liegt es einfach daran, dass das Setup für den Anwendungsfall viel zu komplex gewählt wurde. Das geht einfacher, und damit auch weniger fehleranfällig.