+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

ProxMox + pfSense — как получить доступ к серверу pfSense?, Proxmox Виртуальная Среда

spccat

Guest

03.11.2013 23:30:00

Привет! Я хочу получить доступ к своему pfSense через веб-интерфейс, но после прочтения кучи разной информации, честно говоря, я в полной растерянности и не понимаю, как это сделать. Мой файл интерфейса выглядит так:

Код:
# Этот файл описывает доступные в системе сетевые интерфейсы и как их активировать. Полезная информация — в interfaces(5).

# Локальный интерфейс
auto lo
iface lo inet loopback

# Основной сетевой интерфейс
auto vmbr0
iface vmbr0 inet static
address 8x.1x.3x.2x
netmask 255.255.255.0
network 8x.1x.3x.0
broadcast 8x.1x.3x.255
gateway 8x.1x.3x.1
bridge_ports eth0
bridge_stp on
bridge_fd 0

## Это для DMZ — pfSense
auto vmbr10
iface vmbr10 inet manual
bridge_ports eth1
bridge_stp off
bridge_fd 0

В установке pfSense я указал em0 как WAN-интерфейс, а em1 — как локальный. Только локальный интерфейс имеет IP 192.168.1.1. Учти, что у моего ProxMox всего один публичный адрес (8x.1x.3x.2x).

Так как же мне получить доступ к серверу pfSense через веб-интерфейс и по ssh, если я не могу зайти с моего ProxMox на 192.168.1.1?

Буду очень благодарен за любую помощь!

martink Guest	#2 0 29.09.2014 09:04:00 Нам нужно как-то передать официальный интернет-адрес с сервера Proxmox на pfsense. У тебя есть доступ к консоли шелла сервера Proxmox через KVM?

martink Guest	#3 0 29.09.2014 09:32:00 Проверьте, установлена ли в вашем сервере только одна сетевая карта (NIC). Большинство серверов в дата-центрах имеют две сетевые карты, но используется только одна.

cacheguard Guest	#4 0 02.10.2014 20:35:00 У меня есть только один...

spccat

Guest

29.12.2013 01:11:00

Спасибо за ваш ответ. Я запускаю pfSense-LiveCD-2.1-RELEASE-amd64.iso на proxmox 3.1-24/060bd5a6. Начал с чистого листа, и мои интерфейсы на proxmox выглядят так:

# Этот файл описывает доступные сетевые интерфейсы вашей системы
# и как их активировать. Для подробностей смотрите interfaces(5).

# Интерфейс петли обратной связи
auto lo
iface lo inet loopback

iface eth0 inet manual

iface eth1 inet manual

auto vmbr0
iface vmbr0 inet static
address 8x.1x.3x.2x
netmask 255.255.255.0
gateway 8x.1x.3x.x
bridge_ports eth0
bridge_stp off
bridge_fd 0

Я также добавил скриншот вывода ifconfig с машины pfsense.
В конфигурации pfsense я назначил WAN — em0, для LAN пока ничего не прописывал.
Что делать дальше? Я прочитал целую кучу разной информации и теперь совершенно запутался и потерялся. Хотелось бы попасть в веб-интерфейс pfsense из вне, так как машина размещена в датацентре, но сейчас я даже не могу пропинговать внешние адреса. Не подскажете, куда копать? Спасибо!

skurg Guest	#6 0 31.12.2013 14:45:00 Вам нужно включить доступ к WebGUI на интерфейсе WAN в WebGUI pfsense.

spccat Guest	#7 0 09.01.2014 09:59:00 Спасибо, дружище, хотел бы я быть на таком уровне. Сначала нужно добраться до сервера...

skurg Guest	#8 0 09.01.2014 10:16:00 Можешь нарисовать свою сеть? Попробуй вот это: http://forum.proxmox.com/threads/17309-Network-setup-with-VLANs

spccat

Guest

09.01.2014 10:46:00

Честно говоря, я вообще не знаю, как это нарисовать, так как есть один физический бокс с одним Ethernet на публичном IP, и я хочу, чтобы pfsense был полностью доступен из интернета, а потом создать на pfsense приватную сеть, куда смогу подключить другие ВМ.

Схема:
WAN
|
EHT0 (публичный IP)
|
PFSENSE
|
ETH1 (приватный IP)
|
----------
| | |
другие ВМ

rengiared Guest	#10 0 09.01.2014 15:10:00 Так не получится, сначала у тебя должна быть виртуальная машина, которая может достучаться до приватного IP pfSense, то есть небольшой клиент на XP или Linux, который может достичь стандартного IP 192.168.1.1.

spccat Guest	#11 0 09.01.2014 20:40:00 Ок, спасибо. Не мог бы ты подсказать, как примерно должен выглядеть конфигурационный файл? Спасибо!

rengiared

Guest

#12

09.01.2014 21:58:00

Тебе не нужен специальный конфиг, vmbr0 будет твоим WAN, подключённым к eth0 на хосте.
vmbr1 — это внутренняя сеть, так что на гостевой системе pfsense у тебя будут vmbr0 и vmbr1.
На клиенте с XP/Linux нужен только vmbr1, а в виртуальной машине назначаешь IP 192.168.1.2 и затем заходишь в браузере на 192.168.1.1.

Я так понимаю, твой хост-сервер — это хостинговое решение?
Если нет, то достаточно присвоить eth1 (если во втором интерфейсе сети есть, конечно) к vmbr1, и тогда это можно сделать с ноутбука, компьютера или вообще что угодно.

cacheguard

Guest

#13

28.09.2014 11:31:00

Привет! В такой конфигурации я предполагаю, что хост подключён к vmbr0 и получает публичный IP, верно? Тогда как быть с IP, выделенным для pfSense на его vmbr0? (Кстати, у меня на хосте proxmox только один IP-адрес). С наилучшими пожеланиями,

martink

Guest

#14

28.09.2014 19:02:00

Мы используем pfsense с proxmox на всех наших серверах в дата-центре. Ваш сервер должен иметь 2 физические сетевые карты: одна — для интернета, вторая — для интранета.

Наша процедура установки:

1) Установка Proxmox с использованием официального интернет-адреса на vmbr1
2) Выполнение всех обновлений Proxmox
3) Используем vmbr0 для внутренней сети, например, с адресом 10.10.10.10 для сервера proxmox
4) Устанавливаем небольшой Ubuntu, например, lubuntu на 10.10.10.20 для внутренних целей веб-администрирования
5) Устанавливаем pfsense с двумя сетевыми картами: внутренняя должна указывать на vmbr0, внешняя — на vmbr1
6) Запускаем pfsense и меняем стандартный IP с 192.168.1.1 на 10.10.10.1

Официальный IP-адрес остается на интерфейсе proxmox, но теперь мы готовы получить доступ к внутреннему веб-интерфейсу через 10.10.10.1. Мы предпочитаем использовать pfsense, чтобы полностью изолировать proxmox от интернета и использовать pfsense как брандмауэр для всех наших виртуальных машин.

Если у вас есть диапазон IP-адресов для вашей сети, назначьте pfsense официальный IP (отличающийся от официального IP proxmox).

Следующий шаг — создать правило NAT для доступа к веб-интерфейсу:

Если вы используете 127.0.0.1 в Redirect target IP, очень просто изменить внутреннюю LAN-сеть извне через веб-интерфейс.

Дальше — создать VPN к pfsense. После этого вы сможете менять интернет-адрес через интранет, и при этом будете защищены.

cacheguard Guest	#15 0 28.09.2014 20:18:00 Спасибо за ваш пост. Моя конфигурация совершенно другая. Мой сервер proXmoX размещён в дата-центре. У меня всего одна сетевая карта с одним публичным IP-адресом. С уважением.

jora

Guest

#16

08.10.2014 00:38:00

Здравствуйте, извините за вопрос, но почему такие сложности с pfSense? Вы хотите использовать pfSense как удобный способ управления пакетным фильтром? Лично я бы не стал делать DMZ и открывать GUI на WAN-порту и так далее. Для меня это слишком много потенциальных уязвимостей. Если где-то ошибиться, могут возникнуть серьёзные проблемы. Даже если ваша идея хорошо выглядит на бумаге, нет гарантии, что она будет стабильно работать в реальной эксплуатации. Разработчики pfSense — не единственные, кто советует не использовать pfSense в виртуализированной среде, если только это не тесты. И речь ведь о LAN, а не о каком-то сервере в дата-центре. У вас же Debian с Proxmox, верно? Не проще ли просто правильно настроить iptables вместе с OpenVPN (либо внутри виртуальной машины, либо на хосте) и работать дальше? Я не вижу особого смысла использовать pfSense только как пакетный фильтр и OpenVPN-сервер/клиент. Если вы сейчас скажете, что командная строка iptables — это слишком сложно, тогда используйте отдельные цепочки для каждой ВМ. Или настройте iptables внутри самих ВМ. Или и то, и другое: базовые правила на хосте и более точечные внутри ВМ. Веб-интерфейс сейчас предлагает удобную вкладку для настройки фаервола. В общем, мой вариант такой: iptables на хосте (базовые правила + отдельная цепочка для каждой ВМ), OpenVPN-сервер на хосте. Открывать в INPUT только порт OpenVPN (который лучше не 1194) для новых и уже установленных соединений. Можно даже поставить ограничение, например, 5 новых подключений в минуту, а для уже установленных — без ограничений. При желании можно добавить portknocking, если вы параноик (что по умолчанию не считаю чем-то плохим).

cacheguard Guest	#17 0 20.10.2014 10:12:00 Привет, Jora. Спасибо за твой пост и извиняюсь за задержку с ответом. Согласен с тобой, что не стоит ставить pfSense перед proxmox в виде виртуальной машины, управляемой proxmox (как ты сказал, это может привести к серьёзным проблемам, если что-то пойдёт не так). Наверное, действительно хорошая идея использовать Linux/Netfilter прямо на хосте proxmox для фильтрации сети и, почему бы и нет, применить port knocking для особо параноидальных пользователей. Но откуда у тебя информация, что никто не рекомендует использовать pfSense в виде виртуальной машины? (Конечно, всё зависит от уровня безопасности, который даёт система виртуализации, и от того, какой уровень защиты требуется для твоих приложений). На самом деле меня волнует не наличие веб-интерфейса для моего файрвола, а использование технологии, отличной от Linux, чтобы защитить мои Linux-машины. В этом контексте pfSense — отличный кандидат, как и Linux/Netfilter (ведь pfSense основан на FreeBSD). Вот почему pfSense меня и интересует. С наилучшими пожеланиями,

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры