+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Одна сетевая карта — два IP-адреса: OPNsense на дополнительном IP, Proxmox Виртуальная Среда

crankshaft

Guest

29.11.2024 13:32:00

Работал над этим весь день и никак не могу заставить это работать. Это рекомендованная настройка, когда у тебя один сетевой интерфейс и два IP-адреса с использованием маршрутизируемой конфигурации. Всё это на «голом» сервере в дата-центре. Мне нужно изолировать веб-консоль управления Proxmox (enp1s0f0np0) от гостевых машин так, чтобы публичный IP гостя не мог получить доступ к хосту. Идея в том, чтобы vmbr0 маршрутизировал трафик к гостю с opnsense на vmbr0, а потом он уже управлял маршрутизацией для остальных гостей.

https://pve.proxmox.com/wiki/Network_Configuration

Код:
auto lo
iface lo inet loopback

auto enp1s0f0np0
iface enp1s0f0np0 inet static
address 1XX.235.225.170/32
gateway 1XX.64.0.1
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
post-up echo 1 > /proc/sys/net/ipv4/conf/eno0/proxy_arp

auto vmbr0
iface vmbr0 inet static
address 1XX.99.84.229/32
bridge-ports none
bridge-stp off
bridge-fd 0

При том что я могу пинговать через основной интерфейс enp1s0f0np0, через vmbr0 пинг не проходит:

Код:
# ping -I enp1s0f0np0 8.8.8.8
PING 8.8.8.8 (8.8.8.8) from xxx.235.225.170 enp1s0f0np0: 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=54 time=0.858 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=54 time=0.856 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=54 time=0.852 ms

ping -I vmbr0 8.8.8.8
PING 8.8.8.8 (8.8.8.8) from xxx.99.84.229 vmbr0: 56(84) bytes of data.
>> Ответа нет

Также добавил маршруты:

Код:
# ip route
default via xxx.64.0.1 dev enp1s0f0np0 proto kernel onlink
10.0.0.0/24 dev mynet proto kernel scope link src 10.0.0.1
xxx.64.0.1 dev vmbr0 scope link
192.168.100.0/24 dev xnet proto kernel scope link src 192.168.100.1

Я уже получил кучу советов от chatGPT, перечитал кучу веток на форумах и примеров на GitHub, пробовал разные варианты, но ни один не помог настроить маршрутизацию vmbr0 через основной шлюз. Буду благодарен за любую помощь или рекомендации. Спасибо.

jameshsi

Guest

15.01.2025 06:28:00

Вау~ Мне просто нужно, чтобы моя виртуальная машина/контейнер имели приватный IP и подключались к интернету через главный IP хоста с пробросом портов, например, для uptime kuma это будет порт 3001. Но после того, как я прочитал всю эту тему, понял, что всё гораздо сложнее, чем я думал~ Буду очень благодарен, если кто-то сможет подсказать пошаговую инструкцию или страницу для выполнения. Я использую дешевый выделенный сервер OVH (тот, что без приватной сети).

crankshaft

Guest

15.01.2025 06:36:00

Вот моя рабочая версия. Код:
auto lo
iface lo inet loopback

iface enp1s0f0np0 inet manual
pre-up ethtool --offload enp1s0f0np0 generic-receive-offload off

iface enp1s0f1np1 inet manual

auto vmbr0
iface vmbr0 inet static
address <MAIN_IP>/32
gateway 100.64.0.1
bridge-ports enp1s0f0np0
bridge-stp off
bridge-fd 0
# bridge-disable-mac-learning 0
# bridge-maxwait 0
address 10.0.0.1/24
up ip route add <ALT_IP1>/32 dev $IFACE
up ip route add <ALT_IP2>/32 dev $IFACE

iface vmbr0 inet6 static
address <IP_V6>
gateway fe80::1

auto vmbr1
iface vmbr1 inet manual
address <OPNSENSE_WAN>
bridge-ports enp1s0f1np1
bridge-stp off
bridge-fd 0
bridge-disable-mac-learning 1

source /etc/network/interfaces.d/*

Это заняло у меня 3 недели, чтобы найти, и если этого нет, скорость скачивания гостей opnsense (если вы его используете) упадёт до < 2%.

Код:
pre-up ethtool --offload enp1s0f0np0 generic-receive-offload off

исключить
Код:
bridge-ports enp1s0f1np1 если у вас нет LAN NIC.

Надеюсь, это поможет, как я и говорил, у меня ушло 3 недели, чтобы всё это понять.

jameshsi

Guest

15.01.2025 08:49:00

Привет~ crankshaft: Потрясающе, такой быстрый ответ! Спасибо за это, но я реально полный новичок в Proxmox VE и OPNsense. Ты хочешь сказать, что мне просто нужно скопировать и вставить твой пример в мой /etc/network/interfaces, а потом изменить main_ip и ALT_IP1, а также создать IP для OPNSENSE wan?

crankshaft

Guest

16.01.2025 09:30:00

Ну да, должно работать именно так, но тебе стоит сделать резервную копию текущих настроек. Если что-то пойдет не так и тебя заблокирует, придется пользоваться консолью восстановления OVH. Так что, боюсь, это на твой страх и риск — у меня получилось, но гарантировать, что у всех так будет, не могу.

jameshsi Guest	#6 0 16.01.2025 15:41:00 В любом случае спасибо за вашу доброту~ Желаю вам хорошего дня.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры