Proxmox mit nur einer public IP betreiben.

  • Hallo erstmal, ich hab mir mal wieder für einen Monat einen RS1000 geholt (wird evtl irgendwann mal daheim als Kiste ersetzt), um ein wenig mit Proxmox zu basteln (Owncloud, OpenVPN, Terraria, MC Vanilla Server).

    Da man ja keine VMs ohne Aufpreis nutzen kann halt LXC Container, ist zwar eine neue Erfahrung für mich aber ok.

    Dann aber ein Problem, für das ich mich einfach zu schlecht mit Netzwerken auskenne. Proxmox hat ja eine Public IP mit einer Firewall und ich hab ein starkes pw drinne von daher denke ich, eine public Ip für Proxmox und die LXC Container ist in meinem kleinen Einsatzfeld ok.

    Jetzt aber der Punkt. Der MC Server soll z.b. aus dem Internet erreichbar sein. Dafür denke ich würde es gehen, wenn man einfach den Port der Public IP auf den LXC weiterleitet.

    Aber ich muss ja erstmal ein "Subnet" erstellen, in dem sich alle LXC Container befinden, da aktuell keiner Internetzugriff hat.

    Kann mir da jemand einen Tip geben, wie ich das richtige Interface erstelle und dann auch in meinem Ubuntu Container nutze ?

    Grüße Nicolai.

  • Moinsen,


    grundsätzlich ist das hier dein erster Anlaufpunkt, wenns ums Netzwerken in ProxMox geht.

    Das was du haben magst, ist vermutlich ein NAT. ;)


    Probier das mal. Wenn du dann noch Fragen hast, melde dich einfach nochmal. :)

    VPS 1000 G8 Plus | VPS 200 G8 | selbstgebautes NAS


    Wer im Netz Anstand und Respekt verliert, der ist auch im realen Leben für nichts zu gebrauchen! ;)

  • Das geht IMHO nur über die Konsole - ich hab mich grob an diese Anleitung gehalten.


    https://techlr.de/proxmox-nat-vms-einrichten/


    Damit bekommst Du ein vmbr1-Interface eingerichtet, an das Du Deine Container hängen kannst, sodass die per NAT raustelefonieren können.

    Schauste in den Absatz "Erreichbarkeit der Dienste" - da siehst Du, wie Du das weiter anpassen kannst, damit die Dienste von Extern erreichbar sind (was ich selbst nicht nutze).



    Nebenbei: halte ich das für ein bischen viel Einrichtungsaufwand, wenn Du eh mit dem Gedanken spielst, das nur temporär zu machen. Da gehen ja schnell paar Stunden bei drauf. Wäre mir ggf. zu viel verschwendete Zeit.


    Nebenbei 2: Ich bin mir nicht sicher, ob OpenVPN im Container funktioniert. Hab ich noch nie gemacht... ich würd das zum vorher prüfen. Grund ist, dass das ja ein Netzwerkinterface erzeugt...

  • Nebenbei 2: Ich bin mir nicht sicher, ob OpenVPN im Container funktioniert. Hab ich noch nie gemacht... ich würd das zum vorher prüfen. Grund ist, dass das ja ein Netzwerkinterface erzeugt...

    Ich tendiere verdammt stark zu nein, das wird nicht gehen.


    Er kann es aber evtl. auf dem Host direkt betreiben. Ist halt etwas aufwendig in der Einrichtung und könnte gemeinhin etwas Pain in the Ass werden, aber man wächst ja bekanntlich mit seinen Herausforderungen. ^^

    VPS 1000 G8 Plus | VPS 200 G8 | selbstgebautes NAS


    Wer im Netz Anstand und Respekt verliert, der ist auch im realen Leben für nichts zu gebrauchen! ;)

  • Erstmal danke euch beiden, ich werde mir das ganze mal anschauen. :)


    Zum Thema viel Aufwand, Ich denke für die Leistung müsste ich Zuhause halt ordentlich was hinblättern, auch an Stromkosten. Daher will ich es erstmal hier halten, die Gen 8 Microserver von HPE sehen z.b. ganz gut aus, die sind aber sacken teuer. Hab auch mal überlegt selbst was zu bauen, aber naja ... Denke unter 400€ komme ich da nicht raus. Vor allem wenn da Proxmox mit ein paar Vms/Containern drauf laufen soll.

    Das mit OpenVPN ist jetzt keine Priorität, war nur so eine Idee. :)

  • Nebenbei: halte ich das für ein bischen viel Einrichtungsaufwand, wenn Du eh mit dem Gedanken spielst, das nur temporär zu machen. Da gehen ja schnell paar Stunden bei drauf. Wäre mir ggf. zu viel verschwendete Zeit.

    Achja. Er meinte doch er will das ggf. mal gegen nen Server daheim eintauschen. Meines Wissens machen die Container auf Klick *hüpf* und werden rübergezogen. Von daher ist das in meinen Augen recht unproblematisch. ;)

    VPS 1000 G8 Plus | VPS 200 G8 | selbstgebautes NAS


    Wer im Netz Anstand und Respekt verliert, der ist auch im realen Leben für nichts zu gebrauchen! ;)

  • Erstmal danke euch beiden, ich werde mir das ganze mal anschauen.


    Zum Thema viel Aufwand, Ich denke für die Leistung müsste ich Zuhause halt ordentlich was hinblättern, auch an Stromkosten. Daher will ich es erstmal hier halten, die Gen 8 Microserver von HPE sehen z.b. ganz gut aus, die sind aber sacken teuer. Hab auch mal überlegt selbst was zu bauen, aber naja ... Denke unter 400€ komme ich da nicht raus. Vor allem wenn da Proxmox mit ein paar Vms/Containern drauf laufen soll.

    Das mit OpenVPN ist jetzt keine Priorität, war nur so eine Idee.

    Selfbuild mit ITX Board. Habe ich auch, läuft sogar auch ProxMox drauf (aktuell 14 Debian Container & eine CentOS VM). :)


    Mein Build:

    - ITX Board mit Intel Celeron J4105

    - 12GB Crucial SO DIMM RAM (8+4)

    - 2x WD Red 3,5" 3TB im Software RAID 1 (NAS/Daten)

    - 1x Toshiba Platte 3TB als Backupplatte

    - 1x WD Red 2,5" 750GB für etwas größere Container (Stichwort reposync & apt-mirror)

    - 3x Intel DC S4500 SSD 240GB, 1x OS & 2x im zraid1 für Container und VMs

    - bequiet! TFX Power 2 Gold

    - bequiet! Pure Base 600


    Stromverbrauch habe ich nie gemessen, aber so hoch sollte der nicht sein. Preislich ist man auf jeden Fall ein ganzes Stück über 400€, aber du kannst da ja prinzipiell einiges wegsparen für deinen Use Case.


    Hab dir grad mal auf die Schnelle was bei Mindfactory zusammengeklickert [Warenkorb], ohne Garantie versteht sich - ich komme da bei ca. 360€ raus. ;)

    VPS 1000 G8 Plus | VPS 200 G8 | selbstgebautes NAS


    Wer im Netz Anstand und Respekt verliert, der ist auch im realen Leben für nichts zu gebrauchen! ;)

  • [Blocked Image: https://cdn.discordapp.com/attachments/287592334781317121/618897489889853480/unknown.png]Ich überlegs mir mal, im RZ lässt sich das halt auch angenehm auf mehrere Hosts oder mehr Resourcen skalieren ^^.


    2 Fragen hätte ich noch.

    1: Solange ich Die Firewall bei Proxmox aktiviere macht der alles zu außer 22 und 8006 richtig ? (Bild). Ich glaube es lohnt sich hier dann noch, 22 auch zu zu machen, ssh brauche ich ja dank webinterface, sowohl von Proxmox als auch Netcup, nicht.

    2. Kannst du mir evtl mal ein Beispiel für eine IPTables Regel schreiben, mit der man Port xy von Außen auf Port xy im 2. Netz weiterleitet ? :)

    Wäre nett.

  • Selfbuild mit ITX Board. Habe ich auch, läuft sogar auch ProxMox drauf (aktuell 14 Debian Container & eine CentOS VM). :)


    Mein Build:

    [...] ;)

    Ich will jetzt nicht unnötig den Thread sprengen - aber meine Erfahrungen bzgl. LXC/VZ-Container waren bisher immer Kundenseitig (Miete bei Anbietern) - sonst betreibe ich zwei vSphere Cluster mit 6 Hosts (nicht privat) und ~20 Docker Container...

    Kontakt mit Proxmox und den steuerbaren LXC-Containern ist für mich daher neu.


    Vielleicht weisst Du das, wenn Du das schon länger betreibst:

    Angenommen, ich setze einen Container mit Ubuntu 16.04 Template auf, mach mir den fein, installier den durch... kann ich dann später ein release-upgrade machen - wie in einer VM - auf Ubuntu 18?


    Ich frage, weil ich das früher als Kunde beim Hoster NICHT konnte, und das so der Hauptgrund für mich ist, die LXC Container nicht weiter zu verfolgen. Konfiguration der ganzen Kisten ist ja nicht unerheblich. Allerdings spart man natürlich auch ne Menge Ressourcen ein, wenns geht.


    Vielleicht probier ichs einfach mal aus

  • Wenn wir schon mal dabei sind, wenn ich die Proxmox Firewall jetzt auf Datacenter Level anmache, dann blockt sie einfach alles, selbst das WebUI. Gibt es da irgendwas von Proxmox, wie man die Firewall Einstellen soll, dass nur das nötigste rein und raus darf oder muss ich das selbst rausfinden ? :D

    Wie gesagt, bin nicht so der Netzwerk Profi leider hehe :)

  • Ok und direkt nochwas :) Kann man nicht einfach einen pfsense Container machen, allen traffic direkt auf den Umleiten, und dann alles hinter die PFsense stellen ? Dann hätte ich auch direkt meinen VPN in das Netzwerk.

    Ich entschuldige mich auch für meine ganzen blöden Fragen, aber ich hab leider wenig Erfahrung mit Networking, und will das System da es ja direkt im Internetz hängt so sicher wie möglich zumachen. Grundlegend sind mir die Vorgänge grob bekannt, aber ich hab halt keinen Plan von der ganzen Software dazu :)

  • pfSense im Container, d.h. mit einem Linux-Kernel, etc? pfSense ist BSD und nutzt heftigst dessen Features.


    Bei mir funktioniert gut ein haproxy auf dem Proxmox. TCP kannst du damit so weiterleiten, bei HTTP(s) machst du gleich auch noch SSL-Offloading und leitest je nach Hostnamen weiter. Die Container lässt du dann in einem VLAN laufen.

  • pfSense im Container, d.h. mit einem Linux-Kernel, etc? pfSense ist BSD und nutzt heftigst dessen Features.


    Bei mir funktioniert gut ein haproxy auf dem Proxmox. TCP kannst du damit so weiterleiten, bei HTTP(s) machst du gleich auch noch SSL-Offloading und leitest je nach Hostnamen weiter. Die Container lässt du dann in einem VLAN laufen.

    Wäre auch ein gutes Webinterface für Iptables auf dem Proxmox host eine Option, und wie verhält sich das dann mit der Datacenter Firewall von Proxmox ?

  • Puh. Also wenn du die interne Firewall nutzen magst, musst du einerseits auf jeden Fall für deinen Knoten mit dem Webinterface eine entsprechende Regel in der Firewall im Web GUI anlegen. Andererseits beißt sich das ganze bei mir zuhause mit einer custom iptables Firewall. Also davon am besten die Finger lassen.

    Netzwerken tu ich auf Basis einer direkten Bridge, die Container und VM's hängen im selben Netz wie der Rest des Heimnetzes.


    Wie das mit NAT läuft, weiß ich leider nicht. Denke mal, da muss man entweder mit Prerouting oder mit sowas wie HaProxy oder so arbeiten. Hab grad kurz gesucht und das hier könnte dir vielleicht helfen.


    Bzgl. des Upgrades - keinen Plan, probiere ich heute Abend mal. Betreibe das Setup noch nicht mal nen Monat - würde mich aber auch interessieren. :)

    VPS 1000 G8 Plus | VPS 200 G8 | selbstgebautes NAS


    Wer im Netz Anstand und Respekt verliert, der ist auch im realen Leben für nichts zu gebrauchen! ;)

  • Offtopic bzgl Upgrade von Containern:


    Habs gestern ausprobiert.... Ubuntu 16.04.1 installiert, Update auf 16.04.4 (war glaube .4) ... danach Release-Upgrade auf 18.04.3


    Also die Bedenken konnte ich mir selbst schonmal nehmen. Funktioniert als wär nie was gewesen. Vielleicht ist das der Unterschied zw. OpenVZ und LXC auf Proxmox.

  • Proxmox mit einer Public IP ist kein Problem. Hier das Netzwerk was du nutzen könntest.

    Beim erstellen des CT dann einfach eine IP setzten (zB 10.21.21.80/32) und Gateway.


    Dann nutzt der Server die öffentliche IP.


    Code
    1. auto vmbr1
    2. iface vmbr1 inet static
    3.         address  10.11.11.254
    4.         netmask  255.255.255.0
    5.         bridge-ports none
    6.         bridge-stp off
    7.         bridge-fd 0
    8.         post-up echo 1 > /proc/sys/net/ipv4/ip_forward
    9.         post-up iptables -t nat -A POSTROUTING -s '10.11.11.0/24' -o vmbr0 -j MASQUERADE
    10.         post-down iptables -t nat -D POSTROUTING -s '10.11.11.0/24' -o vmbr0 -j MASQUERADE


    Um ein Port weiter zu leiten nutzt du


    Code
    1. post-up iptables -t nat -A PREROUTING -d DeineIP/24 -i vmbr0 -p tcp -m tcp --dport 5601 -j DNAT --to-destination 10.11.11.51:3389
    2. post-down iptables -t nat -D PREROUTING -d DeineIP/24 -i vmbr0 -p tcp -m tcp --dport 5601 -j DNAT --to-destination 10.21.21.51:3389

    Für Windows Remoteport zB.

  • Das hab ich soweit auch, nur dass post-up und post-down nicht gefunden werden ?

    Vorrausgesetzt du meinst, dass man das in der Shell der pve node ausführt. Kann ich das einfach bedenkenlos mit apt installieren ?


    Ich habe außerdem gelesen, dass man Iptables und die Proxmox firewall nicht mischen soll, aber die Proxmox Firewall unterstützt soweit ich das sehe gar kein Prerouting etc.