1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. DMZ na Proxmoxe
« předchozí další »
Stran: [1]

DMZ na Proxmoxe

  • 3 Odpovědí
  • 547 Zhlédnutí

darebacik

  • *****
  • 941
    • Zobrazit profil
    • E-mail
DMZ na Proxmoxe
« kdy: 28. 10. 2025, 16:17:29 »
Topologia
Kód: [Vybrat]
Proxmox -- vmbr0 -- enp2s0 -- rb5009ug (eth2) -- internet (eth1)
Kód: [Vybrat]
LAN siet 192.168.100.0/24
IP PVE 192.168.100.2vmbr0 je sietovy bridge pre VM a CT.

Chcem vytvorit novu siet (192.168.200.0/24), teda novy bridge pre server/y, ktore budu izolovane od 192.168.100.0/24.
Neviem ci je to najlepsia moznost, ale zrejme bude idelane pouzit VLAN (podporu ma MK ROS7 aj PVE 9).

Takze na MK

Kód: [Vybrat]
/interface vlan add name=vlan200_dmz interface=bridge1 vlan-id=200 comment="DMZ VLAN"
/ip address add address=192.168.200.1/24 interface=vlan200_dmz comment="DMZ network"
/ip firewall nat add chain=srcnat out-interface=pppoe-out1 src-address=192.168.200.0/24 action=masquerade comment="DMZ internet access"
/ip firewall filter add chain=forward src-address=192.168.200.0/24 dst-address=192.168.100.0/24 action=drop comment="Block DMZ -> LAN"Pre zaklad by to malo stacit.

PVE

do /etc/network/interfaces pridavam

Kód: [Vybrat]
auto vmbr200
iface vmbr200 inet manual
    bridge-ports enp2s0.200
    bridge-stp off
    bridge-fd 0
Jediny problem je ze som geograficky od PVE dalej a siet na proxmoxe po reboote padla (divne je, ze LXC a VM bezia bez problemov dalej).

Viete ma nakopnut ci idem dobrym smerom a kde robim chybu ?
IP zaznamenána

Reklama

  • * * * * *

panpanika

  • ***
  • 232
    • Zobrazit profil
    • E-mail
Re:DMZ na Proxmoxe
« Odpověď #1 kdy: Dnes v 13:50:45 »
bud zdrav s proxmoxem zacinam.. ale tim spis to mam ted cerstve vozkouseny. mam proxmox 9.
Kód: [Vybrat]
pve-manager/9.0.11/3bf5476b8a4699e2 (running kernel: 6.14.11-4-pve)

na trunk interface mam
Kód: [Vybrat]
auto sfpplus
iface sfpplus inet manual
        bridge-ports ens1f0np0 ens1f1np1
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2 5 10 20 30 40 50 60 70 80 90 100 110 120

a na jednotlivejch hostech do sitovky si napises jaky vlan ID chces a proxmox zaridi zbytek sam. tzn bridge primo pro vlany nevyrabis, pokud tam nepotrebujes mit management if.
Kód: [Vybrat]
net0: virtio=BC:24:11:EC:D6:99,bridge=sfpplus,firewall=1,tag=10

pokud bys tam chtel mit mgmt if udelas neco takovyho
Kód: [Vybrat]
auto vlan2
iface vlan2 inet static
        address 10.1.2.4/24
        gateway 10.1.2.1
        bridge-ports sfpplus.2
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2

stalo se mi ze se proxmoxu nejak kouslo sitovani pri nastavovani z guicka a musel jsem ho protocit z iDracu z local console. nevylucuju, ze moji chybou.

je zajimavy ze to co maj v dokumentaci mi nefungovalo
zatim to mam takhle v testovacim provozu a zda se to delat co od toho cekam.
IP zaznamenána

František Ryšánek

  • *****
  • 1 658
    • Zobrazit profil
    • E-mail
Re:DMZ na Proxmoxe
« Odpověď #2 kdy: Dnes v 16:12:37 »
Citace: panpanika  Dnes v 13:50:45
na trunk interface mam
Kód: [Vybrat]
auto sfpplus
iface sfpplus inet manual
        bridge-ports ens1f0np0 ens1f1np1
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2 5 10 20 30 40 50 60 70 80 90 100 110 120

a na jednotlivejch hostech do sitovky si napises jaky vlan ID chces a proxmox zaridi zbytek sam. tzn bridge primo pro vlany nevyrabis, pokud tam nepotrebujes mit management if.
Kód: [Vybrat]
net0: virtio=BC:24:11:EC:D6:99,bridge=sfpplus,firewall=1,tag=10

Souhlas, jenom dávat bridgi jméno "sfpplus" mi přijde potenciálně poněkud matoucí :-)
Defaultní vmbr0 mi přijde přehlednější.
Jinak ale logika té konfigurace je myslím v pořádku.

Citace: panpanika  Dnes v 13:50:45
pokud bys tam chtel mit mgmt if udelas neco takovyho
Kód: [Vybrat]
auto vlan2
iface vlan2 inet static
        address 10.1.2.4/24
        gateway 10.1.2.1
        bridge-ports sfpplus.2
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2

Opět to pojmenování... interface jménem "vlan2", ale typu bridge... jasně, je to věc subjektivního vkusu.
Navíc vlan-aware (= bridguje včetně tagů) ale nakonec omezený na tag2...
Vytvořil jste druhý bridge, do kterého přiřazujete VLAN subinterface z prvního bridge... err...
dejte mi někdo pohlavek, jestli nevím o nějaké skryté samočinné eleganci :-)

Sečteno podtrženo, co třeba takto?
V tom prvním iface bloku si jenom přejmenuju defaultní bridge na defaultní jméno, čistě pro svoje egoistické uspokojení:

Kód: [Vybrat]
auto vmbr0
iface vmbr0 inet manual
        bridge-ports ens1f0np0 ens1f1np1
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes        # toto v defaultu tuším není, správně jste to přidal
        bridge-vids 2 5 10 20 30 40 50 60 70 80 90 100 110 120

auto vmbr0.2
iface vmbr0.2 inet static
        address 10.1.2.4/24
        gateway 10.1.2.1

...vytvoří ten VLANový subinterface s VID=2 pro hostitele automaticky nad defaultním vmbr0.
A pokud byste potřeboval, aby do mngt VLANy viděli taky někteří guesti, tak přiřadit tag v Proxmox GUI jak správně píšete... není potřeba tam pečovat o další bridge, všechno to zvládne bridgovat ten jeden defaultní VLAN-aware.

Mimochodem ty dva tagované fyzické porty... nezasloužily by si spíš LACP bond? (záleží, jaký je jejich smysl v navazující topologii)
« Poslední změna: Dnes v 16:15:23 od František Ryšánek »
IP zaznamenána

Jose D

  • *****
  • 914
    • Zobrazit profil
Re:DMZ na Proxmoxe
« Odpověď #3 kdy: Dnes v 17:28:32 »
Citace: darebacik  28. 10. 2025, 16:17:29
Kód: [Vybrat]
Proxmox -- vmbr0 -- enp2s0 -- rb5009ug (eth2) -- internet (eth1)

mám tu skoro identickej setup. už jsi to rozjel?
IP zaznamenána
Stran: [1]
« předchozí další »
  1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. DMZ na Proxmoxe