+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Wireguard для подключения Proxmox?, Proxmox Виртуальная Среда

bilm

Guest

10.02.2024 17:55:00

Привет! Я новичок в proxmox и гипервизорах такого типа. Раньше я просто запускал дома очень простые сервисы или использовал устройства вроде yunohost. Я нарисовал схему, чтобы визуализировать инфраструктуру, которую хочу настроить:

Я уже установил proxmoxve8 и настроил VPN-туннель wireguard wg0 как клиент прямо на машине proxmox. Этот туннель вроде работает — я смог до него дотянуться пингом, и когда проверяю через онлайн-сервисы, возвращается IP VPN, а не публичный IP самой машины.

Но когда я создал виртуальную машину, которая подключена к интерфейсу по умолчанию vmbr0, эта ВМ получила IP от фрибокса 82.65.XXX.XX, а не VPN (80.67.XXX.XX). Я бы хотел, чтобы сетевой трафик моей локальной сети шел через VPN wireguard wg0, чтобы сервисы на ВМ внутри LAN были доступны по VPN-IP (80.67.XXX.XX), а не по IP самой коробки (82.65.XXX.XX).

Возможно ли создать сетевой интерфейс vmbr с публичным IP от VPN (80.67.XXX.XX)? Или я вообще не в том направлении копаю и надо сделать как-то иначе? Как думаете?

Спасибо за помощь и извините за мой плохой английский!

Bilm

+DS_DV+

Guest

29.09.2025 15:08:00

Тебе удалось это настроить? Я пытался по инструкции с https://pve.proxmox.com/wiki/Network_Configuration#sysadmin_network_masquerading, но в итоге попал в ситуацию, которую описал @_gabriel — либо гости не используют VPN, либо обходят его

Я не особо разбираюсь в сетях Linux, но заметил, что ip link показывает интерфейс wireguard, хотя в /etc/network/interfaces его нет.

stamox Guest	#3 0 29.09.2025 16:42:00 Привет, можешь дать больше информации? Конфигурация и так далее. На каком шаге у тебя возникли проблемы?

+DS_DV+

Guest

29.09.2025 17:35:00

Что именно тебе нужно? Я попробовал на чистой установке Proxmox, следуя нескольким гайдам, и у меня получилось сделать рабочее соединение WireGuard на хосте, так что весь интернет-трафик идёт через него. Локальная сеть, естественно, в этом случае исключение. Но как только я настраиваю LXC, он «пробрасывает» VPN и подключается напрямую к интернету. Сейчас пытаюсь решить проблему, создав LXC с VPN внутри и использовать его как своего рода VPN-шлюз. Но читал, что это может работать только в виде виртуальной машины (а это слишком много лишних ресурсов, если честно).

_gabriel

Guest

29.09.2025 19:11:00

Это ожидаемо, ведь гость ничего не знает о хосте. Вот как устроена сетевая топология для понимания: каждый гость (VM или LXC) — это как отдельный компьютер, подключённый к вашему реальному свитчу. VPN должен быть настроен на основном роутере, если вы хотите, чтобы все устройства, включая гостей, использовали VPN.

Если VPN нужен только для выбранных гостей, то потребуется базовое понимание сетей для следующего:
- создать новую отдельную локальную подсеть, например, как LAN2 с выделённым мостом типа vmbr2;
- создать гостя, выполняющего функции роутера/DHCP-сервера, например OpenWrt, с двумя интерфейсами — один подключён к vmbr0 для WAN, другой — к vmbr2 для LAN2;
- добавить VPN в гостевой роутер, например OpenWrt, тогда гости, подключённые к мосту vmbr2/LAN2, будут использовать VPN.

Это скорее вопрос сетевой настройки, чем виртуализации, ведь для всех гипервизоров всё устроено одинаково.

+DS_DV+

Guest

29.09.2025 20:06:00

Большое спасибо за ваш ответ. Вы описали именно то, как я себе это и представлял, и почему решил настроить VPN на хосте, чтобы каждый гость мог или даже должен был его использовать. К сожалению, я не могу разобраться с конфигурацией, чтобы гость использовал VPN хоста

Думаю, что сделать это через отдельную виртуальную машину было бы «проще», хоть вы и правы, что с сетью тогда сложнее. Именно поэтому я предпочёл бы оставить всё на хосте и просто заставить LXC-гостей использовать VPN хоста (если кто-то знает, как это настроить, буду благодарен). Если это невозможно, попробую сначала настроить шлюз LXC, прежде чем переходить к виртуальной машине.

_gabriel Guest	#7 0 29.09.2025 20:27:00 Как и все: как только понял, это несложно. Не поймите неправильно, я не особо шарю в сетях. Это то же самое, я даже бы сказал, что настроить VPN внутри виртуальной машины, например OpenWrt или IPFire, даже проще.

Johannes S Guest	#8 0 29.09.2025 20:27:00 Так это не работает. У тебя может быть WireGuard на хосте, но это не значит, что гость обязан его использовать. Чтобы добиться такого эффекта, тебе нужно добавить второй мостовой интерфейс на хост (я бы рекомендовал SDN, но, насколько я знаю, это не обязательно) и разрешить гостям работать только через эту сеть. Чтобы связать эту сеть с внешним миром, тогда понадобится WireGuard-шлюз (который может быть как на хосте, так и на госте внутри этой сети). И раз уж тебе всё равно понадобится DNS или DHCP сервер для гостевой сети, я настоятельно советую использовать что-то вроде OpenWRT или OPNSense для гостевой сети. Если это слишком много мороки — можно обойтись контейнером pihole. Также можно полностью отказаться от WireGuard и просто поставить маршрутизатор подсети Tailnet на одном или нескольких гостях этой сети (вместе с headscale можно хостить это самостоятельно, если не хочешь доверять компанию, стоящую за Tailscale). Лично я не стал бы использовать WireGuard напрямую на хосте — так лучше разделяются уровни и не мешаешь конфигурации сети хоста. Но в конце концов, каждый выбирает своё "ядовитое зелье".

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры