Beiträge von KosMos

GW

Okay danke für die Info, dann bist du den gleichen Weg gegangen und nutzt die proxmox-Firewall nicht. Ich hab das auch so und lasse das so.

Hast du da auch ein nat Setup und nutzt du die in Proxmox integrierte Firewalllösung ?

Ja ich gebe dir Recht, was nicht öffentlich sein muss, sollte man auch nicht öffentlich zugänglich machen.

Genau genommen ist es bei mir nicht öffentlich, da der Proxmox-Server in einem Unternehmensnetzwerk steht. Die Rechner im Unternehmen haben zwar öffentliche IP-Adressen, aber da gibt es noch eine Firewall, sodass die Weboberfläche nur im Unternehmensnetzwerk erreichbar ist.

Proxmox unterstützt glaub noch 2 Faktor Authentisierung evtl. mache ich das noch zusätzlich.

Ich glaube ich habe den Fehler gefunden. Die Proxmox-Firewall legt haufenweise Chains an, wo man dann schnell mal den Überblick verliert.

Mein POSTROUTING und PREROUTING durchläuft in jedem Fall noch die FORWARD Chain und diese wird default auf DROP gestellt.

Ich habe iptables jetzt manuell konfiguriert und nach außen hin nur das Webinterface freigegeben. Ich sehe keinen Grund https noch über VPN zu tunneln.

Hey zusammen,

Nutzt jemand Proxmox in Verbindung mit einem nat-Setup? Alle meine VMs haben IPs aus dem Bereich 10.0.0.0/24 zugewiesen, damit diese auch untereinander kommunizieren können.

Auf dem Host mit der öffentlichen IP habe ich manuell folgende iptables-Regel hinzugefügt

iptables -t nat -A POSTROUTING -s '10.0.0.0/24' -o vmbr0 -j MASQUERADE

Damit wird jeglicher ausgehender Verkehr maskiert und die privaten Adressen ersetzt. Das klappt auch wunderbar. Nur wenn ich die Firewall von Proxmox aktiviere, dann klappt das POSTROUTING nicht mehr.

Alternativ würde es mir auch reichen, wenn ich iptables komplett manuell auf dem Host konfiguriere und die Proxmox-Lösung einfach nicht benutze, aber dafür müsste ich wissen, welche Ports Proxmox nutzt.

Mit masquerade änderst du quasi die Absenderip bzw ein Router setzt z.B seine IP rein, nennt sich dann NAT.

Das muss man nicht in jedem Fall machen.

Die policy mit input accept braucht keine Regel, aber dann braucht man auch keine Firewall

Ich habe das so verstanden, dass er einen Dienst auf dem VPS nutzen will und das dieser nur über VPN erreichbar sein soll.

jo, das ist dann die Erklärung dazu.

Die Dienste auf dem VPS oder Root können dann mit der privaten Adresse angesprochen werden.

Im Fall vom Threadersteller wäre das die IP: 10.8.0.1.

Vervollständigt könnte ein Regelwerk so aussehen:

# Standardverhalten der Firewall setzen d.h. wenn keine Regel zutrifft, dann wird entweder DROP oder ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP


# Antwortpakete erlauben
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# openVPN Verbindung erlauben
iptables -A INPUT -m state --state NEW -m udp -p udp --dport <openVPN-Port> -j ACCEPT


# Was rein geht auf dem Interface wg0 mit Ziel 10.8.0.0/24 wird akzeptiert. Man könnte auch 10.8.0.1 einsetzen.
iptables -A INPUT -m state --state NEW -i wg0 -d 10.8.0.0/24 -j ACCEPT

Das gleiche auch für ipv6, denn dort stehen die Policy default auch auf ACCEPT.

# Alles droppen oder alternativ wie bei ipv4
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP

Ich habe das so und das funktioniert einwandfrei

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m state --state NEW -m udp -p udp --dport <openVPN-Port> -j ACCEPT

iptables -A INPUT -m state --state NEW -i wg0 -d 192.168.206.0/24 -j ACCEPT

Das private IP-Netz muss natürlich an die gegebenheiten angepasst werden, ebenso den openVPN-Port.

Die Policys wie folgt:

INPUT Drop

OUTPUT ACCEPT

FORWARD DROP

Es braucht eine INPUT Regel mit der öffentlichen IP des Servers und dem Port von openVPN bzw. Wireguard und intern kannst du doch alles erlauben mit einer weiteren Regel z.B. quelle <openVPN-Netz>, dest. <openVPN-Netz>, ports any ?

Für das was du willst, brauchst du nur eine Input Regel. Ich würde Wireguard empfehlen, da das flüssiger läuft und du kannst direkt die fritzbox damit verbinden.

Dann kann dein ganzes Heimnetz die Dienste auf dem Server nutzen.

Hatte das mal mit resize irgendwas gemacht

Ich setze garantiert nicht aus, warum auch?

Habt ihr ein Helfersyndrom oder wie?

1. Ist eine Bewertung nicht möglich, da keiner weiß, was der Threadersteller vor hat. Weiterhin wird die Bewertung eindeutig nicht gefordert. Also sind 75% der Beiträge in diesen Thread sinnfrei und nicht zielführend.

2. Hat der Threadersteller geschrieben, dass er evtl upgradet, wenn die Ressourcen nicht ausreichen.

3. Werden hier irgendwelche Lösungen vorgeschlagen und Mutmaßungen angestellt, ohne das Problem zu kennen. Warum?

Ist doch egal, was er damit macht. Sehr oft liegen bessere Lösungen auch im Auge des Betrachters.

Der Threadersteller fragt hier aber nicht nach einer Lösung für ein Problem x, sondern will einfach jemanden finden, der Mint installiert.

Mindestanforderungen, siehe Screenshot.

Der vps hat 2 GB RAM und 40 GB Speicher. Also wo ist da was nicht erfüllt, Herr Klugscheißer?

Die Frage nach der Sinnigkeit wird hier ja nicht gestellt Er wird schon einen Grund haben, warum er es so haben will.

Die empfohlenen Voraussetzungen werden erfüllt und die Mindestvoraussetzung weit übertroffen. Damit müsste es im Grunde nach gehen.

Kann man ja über VPN schützen. Mit ner fritzbox und wireguard oder halt einer

Zusatzsoftware z.B. Openvpn aufm PC.

Könnte ich evtl. machen, Firewall evtl auch.

Reicht der Speicher für den desktop Kram?

Kaspersky macht SSL-Inspektion und stammt aus Russland. Ich würde das nicht nutzen

Bei Patientendaten ist so einiges mehr verpflichtend, siehe auch KBV und BSI Vorgaben.

Der Blaue für 1 Euro ist aber schlecht bewertet. Akzeptiert Kündigungen nicht, treibt Geld mit Inkasso ein etc, siehe Trustetpilot.

Mir ist klar, dass es häufig nur negatives zu lesen gibt, weil zufriedene Kunden keine Bewertung schreiben. Aber Kündigungen, die nicht akzeptiert werden, das geht garnicht. Da ist der 1 Euro Server eher eine Abofalle