Proxmox mit nur einer public IP betreiben.

  • Hallo erstmal, ich hab mir mal wieder für einen Monat einen RS1000 geholt (wird evtl irgendwann mal daheim als Kiste ersetzt), um ein wenig mit Proxmox zu basteln (Owncloud, OpenVPN, Terraria, MC Vanilla Server).

    Da man ja keine VMs ohne Aufpreis nutzen kann halt LXC Container, ist zwar eine neue Erfahrung für mich aber ok.

    Dann aber ein Problem, für das ich mich einfach zu schlecht mit Netzwerken auskenne. Proxmox hat ja eine Public IP mit einer Firewall und ich hab ein starkes pw drinne von daher denke ich, eine public Ip für Proxmox und die LXC Container ist in meinem kleinen Einsatzfeld ok.

    Jetzt aber der Punkt. Der MC Server soll z.b. aus dem Internet erreichbar sein. Dafür denke ich würde es gehen, wenn man einfach den Port der Public IP auf den LXC weiterleitet.

    Aber ich muss ja erstmal ein "Subnet" erstellen, in dem sich alle LXC Container befinden, da aktuell keiner Internetzugriff hat.

    Kann mir da jemand einen Tip geben, wie ich das richtige Interface erstelle und dann auch in meinem Ubuntu Container nutze ?

    Grüße Nicolai.

  • Moinsen,


    grundsätzlich ist das hier dein erster Anlaufpunkt, wenns ums Netzwerken in ProxMox geht.

    Das was du haben magst, ist vermutlich ein NAT. ;)


    Probier das mal. Wenn du dann noch Fragen hast, melde dich einfach nochmal. :)

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Das geht IMHO nur über die Konsole - ich hab mich grob an diese Anleitung gehalten.


    https://techlr.de/proxmox-nat-vms-einrichten/


    Damit bekommst Du ein vmbr1-Interface eingerichtet, an das Du Deine Container hängen kannst, sodass die per NAT raustelefonieren können.

    Schauste in den Absatz "Erreichbarkeit der Dienste" - da siehst Du, wie Du das weiter anpassen kannst, damit die Dienste von Extern erreichbar sind (was ich selbst nicht nutze).



    Nebenbei: halte ich das für ein bischen viel Einrichtungsaufwand, wenn Du eh mit dem Gedanken spielst, das nur temporär zu machen. Da gehen ja schnell paar Stunden bei drauf. Wäre mir ggf. zu viel verschwendete Zeit.


    Nebenbei 2: Ich bin mir nicht sicher, ob OpenVPN im Container funktioniert. Hab ich noch nie gemacht... ich würd das zum vorher prüfen. Grund ist, dass das ja ein Netzwerkinterface erzeugt...

  • Nebenbei 2: Ich bin mir nicht sicher, ob OpenVPN im Container funktioniert. Hab ich noch nie gemacht... ich würd das zum vorher prüfen. Grund ist, dass das ja ein Netzwerkinterface erzeugt...

    Ich tendiere verdammt stark zu nein, das wird nicht gehen.


    Er kann es aber evtl. auf dem Host direkt betreiben. Ist halt etwas aufwendig in der Einrichtung und könnte gemeinhin etwas Pain in the Ass werden, aber man wächst ja bekanntlich mit seinen Herausforderungen. ^^

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Erstmal danke euch beiden, ich werde mir das ganze mal anschauen. :)


    Zum Thema viel Aufwand, Ich denke für die Leistung müsste ich Zuhause halt ordentlich was hinblättern, auch an Stromkosten. Daher will ich es erstmal hier halten, die Gen 8 Microserver von HPE sehen z.b. ganz gut aus, die sind aber sacken teuer. Hab auch mal überlegt selbst was zu bauen, aber naja ... Denke unter 400€ komme ich da nicht raus. Vor allem wenn da Proxmox mit ein paar Vms/Containern drauf laufen soll.

    Das mit OpenVPN ist jetzt keine Priorität, war nur so eine Idee. :)

  • Nebenbei: halte ich das für ein bischen viel Einrichtungsaufwand, wenn Du eh mit dem Gedanken spielst, das nur temporär zu machen. Da gehen ja schnell paar Stunden bei drauf. Wäre mir ggf. zu viel verschwendete Zeit.

    Achja. Er meinte doch er will das ggf. mal gegen nen Server daheim eintauschen. Meines Wissens machen die Container auf Klick *hüpf* und werden rübergezogen. Von daher ist das in meinen Augen recht unproblematisch. ;)

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Erstmal danke euch beiden, ich werde mir das ganze mal anschauen.


    Zum Thema viel Aufwand, Ich denke für die Leistung müsste ich Zuhause halt ordentlich was hinblättern, auch an Stromkosten. Daher will ich es erstmal hier halten, die Gen 8 Microserver von HPE sehen z.b. ganz gut aus, die sind aber sacken teuer. Hab auch mal überlegt selbst was zu bauen, aber naja ... Denke unter 400€ komme ich da nicht raus. Vor allem wenn da Proxmox mit ein paar Vms/Containern drauf laufen soll.

    Das mit OpenVPN ist jetzt keine Priorität, war nur so eine Idee.

    Selfbuild mit ITX Board. Habe ich auch, läuft sogar auch ProxMox drauf (aktuell 14 Debian Container & eine CentOS VM). :)


    Mein Build:

    - ITX Board mit Intel Celeron J4105

    - 12GB Crucial SO DIMM RAM (8+4)

    - 2x WD Red 3,5" 3TB im Software RAID 1 (NAS/Daten)

    - 1x Toshiba Platte 3TB als Backupplatte

    - 1x WD Red 2,5" 750GB für etwas größere Container (Stichwort reposync & apt-mirror)

    - 3x Intel DC S4500 SSD 240GB, 1x OS & 2x im zraid1 für Container und VMs

    - bequiet! TFX Power 2 Gold

    - bequiet! Pure Base 600


    Stromverbrauch habe ich nie gemessen, aber so hoch sollte der nicht sein. Preislich ist man auf jeden Fall ein ganzes Stück über 400€, aber du kannst da ja prinzipiell einiges wegsparen für deinen Use Case.


    Hab dir grad mal auf die Schnelle was bei Mindfactory zusammengeklickert [Warenkorb], ohne Garantie versteht sich - ich komme da bei ca. 360€ raus. ;)

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • [Blockierte Grafik: https://cdn.discordapp.com/attachments/287592334781317121/618897489889853480/unknown.png]Ich überlegs mir mal, im RZ lässt sich das halt auch angenehm auf mehrere Hosts oder mehr Resourcen skalieren ^^.


    2 Fragen hätte ich noch.

    1: Solange ich Die Firewall bei Proxmox aktiviere macht der alles zu außer 22 und 8006 richtig ? (Bild). Ich glaube es lohnt sich hier dann noch, 22 auch zu zu machen, ssh brauche ich ja dank webinterface, sowohl von Proxmox als auch Netcup, nicht.

    2. Kannst du mir evtl mal ein Beispiel für eine IPTables Regel schreiben, mit der man Port xy von Außen auf Port xy im 2. Netz weiterleitet ? :)

    Wäre nett.

  • Selfbuild mit ITX Board. Habe ich auch, läuft sogar auch ProxMox drauf (aktuell 14 Debian Container & eine CentOS VM). :)


    Mein Build:

    [...] ;)

    Ich will jetzt nicht unnötig den Thread sprengen - aber meine Erfahrungen bzgl. LXC/VZ-Container waren bisher immer Kundenseitig (Miete bei Anbietern) - sonst betreibe ich zwei vSphere Cluster mit 6 Hosts (nicht privat) und ~20 Docker Container...

    Kontakt mit Proxmox und den steuerbaren LXC-Containern ist für mich daher neu.


    Vielleicht weisst Du das, wenn Du das schon länger betreibst:

    Angenommen, ich setze einen Container mit Ubuntu 16.04 Template auf, mach mir den fein, installier den durch... kann ich dann später ein release-upgrade machen - wie in einer VM - auf Ubuntu 18?


    Ich frage, weil ich das früher als Kunde beim Hoster NICHT konnte, und das so der Hauptgrund für mich ist, die LXC Container nicht weiter zu verfolgen. Konfiguration der ganzen Kisten ist ja nicht unerheblich. Allerdings spart man natürlich auch ne Menge Ressourcen ein, wenns geht.


    Vielleicht probier ichs einfach mal aus

  • Wenn wir schon mal dabei sind, wenn ich die Proxmox Firewall jetzt auf Datacenter Level anmache, dann blockt sie einfach alles, selbst das WebUI. Gibt es da irgendwas von Proxmox, wie man die Firewall Einstellen soll, dass nur das nötigste rein und raus darf oder muss ich das selbst rausfinden ? :D

    Wie gesagt, bin nicht so der Netzwerk Profi leider hehe :)

  • Ok und direkt nochwas :) Kann man nicht einfach einen pfsense Container machen, allen traffic direkt auf den Umleiten, und dann alles hinter die PFsense stellen ? Dann hätte ich auch direkt meinen VPN in das Netzwerk.

    Ich entschuldige mich auch für meine ganzen blöden Fragen, aber ich hab leider wenig Erfahrung mit Networking, und will das System da es ja direkt im Internetz hängt so sicher wie möglich zumachen. Grundlegend sind mir die Vorgänge grob bekannt, aber ich hab halt keinen Plan von der ganzen Software dazu :)

  • pfSense im Container, d.h. mit einem Linux-Kernel, etc? pfSense ist BSD und nutzt heftigst dessen Features.


    Bei mir funktioniert gut ein haproxy auf dem Proxmox. TCP kannst du damit so weiterleiten, bei HTTP(s) machst du gleich auch noch SSL-Offloading und leitest je nach Hostnamen weiter. Die Container lässt du dann in einem VLAN laufen.

    "Security is like an onion - the more you dig in the more you want to cry"

  • pfSense im Container, d.h. mit einem Linux-Kernel, etc? pfSense ist BSD und nutzt heftigst dessen Features.


    Bei mir funktioniert gut ein haproxy auf dem Proxmox. TCP kannst du damit so weiterleiten, bei HTTP(s) machst du gleich auch noch SSL-Offloading und leitest je nach Hostnamen weiter. Die Container lässt du dann in einem VLAN laufen.

    Wäre auch ein gutes Webinterface für Iptables auf dem Proxmox host eine Option, und wie verhält sich das dann mit der Datacenter Firewall von Proxmox ?

  • Puh. Also wenn du die interne Firewall nutzen magst, musst du einerseits auf jeden Fall für deinen Knoten mit dem Webinterface eine entsprechende Regel in der Firewall im Web GUI anlegen. Andererseits beißt sich das ganze bei mir zuhause mit einer custom iptables Firewall. Also davon am besten die Finger lassen.

    Netzwerken tu ich auf Basis einer direkten Bridge, die Container und VM's hängen im selben Netz wie der Rest des Heimnetzes.


    Wie das mit NAT läuft, weiß ich leider nicht. Denke mal, da muss man entweder mit Prerouting oder mit sowas wie HaProxy oder so arbeiten. Hab grad kurz gesucht und das hier könnte dir vielleicht helfen.


    Bzgl. des Upgrades - keinen Plan, probiere ich heute Abend mal. Betreibe das Setup noch nicht mal nen Monat - würde mich aber auch interessieren. :)

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Ich hab jetzt gelesen, man soll IPTables und die PVE Firewalls nicht mischen, dazu gibt es noch Firewalls auf DZ und Host Ebene . uff.

    Ich denke ich bewege mich mal Richtung Proxmox Forum, da das hier langsam zu allgemein wird. Vielen Dank nochmal an alle ^^.

  • Offtopic bzgl Upgrade von Containern:


    Habs gestern ausprobiert.... Ubuntu 16.04.1 installiert, Update auf 16.04.4 (war glaube .4) ... danach Release-Upgrade auf 18.04.3


    Also die Bedenken konnte ich mir selbst schonmal nehmen. Funktioniert als wär nie was gewesen. Vielleicht ist das der Unterschied zw. OpenVZ und LXC auf Proxmox.

  • Proxmox mit einer Public IP ist kein Problem. Hier das Netzwerk was du nutzen könntest.

    Beim erstellen des CT dann einfach eine IP setzten (zB 10.21.21.80/32) und Gateway.


    Dann nutzt der Server die öffentliche IP.


    Code
    auto vmbr1
    iface vmbr1 inet static
            address  10.11.11.254
            netmask  255.255.255.0
            bridge-ports none
            bridge-stp off
            bridge-fd 0
            post-up echo 1 > /proc/sys/net/ipv4/ip_forward
            post-up iptables -t nat -A POSTROUTING -s '10.11.11.0/24' -o vmbr0 -j MASQUERADE
            post-down iptables -t nat -D POSTROUTING -s '10.11.11.0/24' -o vmbr0 -j MASQUERADE


    Um ein Port weiter zu leiten nutzt du


    Code
    post-up iptables -t nat -A PREROUTING -d DeineIP/24 -i vmbr0 -p tcp -m tcp --dport 5601 -j DNAT --to-destination 10.11.11.51:3389
    post-down iptables -t nat -D PREROUTING -d DeineIP/24 -i vmbr0 -p tcp -m tcp --dport 5601 -j DNAT --to-destination 10.21.21.51:3389

    Für Windows Remoteport zB.

  • Das hab ich soweit auch, nur dass post-up und post-down nicht gefunden werden ?

    Vorrausgesetzt du meinst, dass man das in der Shell der pve node ausführt. Kann ich das einfach bedenkenlos mit apt installieren ?


    Ich habe außerdem gelesen, dass man Iptables und die Proxmox firewall nicht mischen soll, aber die Proxmox Firewall unterstützt soweit ich das sehe gar kein Prerouting etc.