Das Zusammenklicken von Serverinstanzen beim Cloudanbieter Hetzner geschieht denkbar einfach. So stehen Betriebssysteme wie Debian oder auch Firewall Appliances wie pfsense zur Verfügung, welche man je nach eigenen Bedürfnissen eingebunden werden können. Das Hinzufügen weitere Server geschieht in Sekunden, genauso können snapshots angelegt werden, die uns im Notfall wieder zur vorherigen Konfiguration zurückführen. Der nächste logische Schritt ist es nun all diese Vorteile mit der heimischen Proxmox Umgebung zu verbinden. Im Ergebnis entsteht eine Hybrid-Cloud, dessen Server man beliebig und je nach Zweck ausrollen und verwenden kann.

Site-to-Site VPN Verbindungen sind meist da zu finden, wo zwei oder mehr Standorte über eine verschlüsselte Verbindung miteinander verbunden werden sollen. Am häufigsten zum Einsatz kommen IPsec VPNs oder der quelloffene OpenVPN Standard. In diesem Beispiel sollen zwei Standorte per OpenVPN einen Tunnel aufspannen. OpenVPN unterscheidet zwischen Client und Server. Wird der Verbindungsaufbau von Site A initiiert, tritt dieser als Client in Erscheinung. Site B, welcher die Anfrage entgegennimmt, übernimmt die Severrolle. Die Authentifizierung kann über Benutzername und entsprechendem Passwort vollzogen werden, welches die unsicherste Variante darstellt. Sicherer stellt sich die Verbindung über einen gemeinsamen Schlüssel dar. Am sichersten ist die Verwendung von Zertifikaten, bei dessen Verwendung der administrative Aufwand jedoch höher ausfällt. In unserem Beispiel verwenden wir einen Pre-shared-Key. Sowohl an Site A als auch an Site B werden OPNsense Firewall Appliances eingesetzt, die sich an verschiedenen Standorten befinden. Es gilt zu beachten, dass eine Portweiterleitungsregel im Router eingerichtet werden muss, damit der Server clientseitige Anfragen entgegennehmen kann. Ist die Firewall ohne vorgeschalteten Router in Betrieb, entfällt diese Maßnahme.

Wer regelmäßig Änderungen an der Konfiguration einer OPNsense Firewall durchführt, der tut gut daran diese zu sichern. Das einfachste wäre die schon vorhandene Option zum Download der Konfigurationsdatei über die GUI durchzuführen, doch das wird schnell etwas mühselig, gerade dann, wenn der Bedarf an Sicherungen hoch ist. Die anderen Methoden etwa mit Hilfe von Google Drive oder Nextcloud sind meines Erachtens nicht optimal. Eine Nextcloud Instanz besitzt nicht jeder und ein Aufsetzten ist mühselig. Und auch das Hochladen der Konfiguration in die Google Cloud ist nicht jedermanns Sache. Wünschenswert wäre eher eine flexiblere Lösung etwa über einen secure Shell Dienst wie scp. Damit lässt sich ein z.B. ein Ziel im heimischen Netzwerk ansteuern, etwa ein ungenutzter Raspberry pi. Eine Implementierung dieser Art in der OPNsense ist zwar seit längerem vorgesehen, bisher aber nicht umgesetzt worden. Selbst in dem Buch "Der OPNsense Praktiker" wird der Vorschlag diskutiert.

Seit einer Weile läuft in meiner Heimnetzumgebung ein Proxmox Server mit unterschiedlichen VMs, welche zwar alle ihre Funktionen erfüllen, aber alle recht unspektakulär vor sich hin laufen. Nun bot es sich an, den Grundaufbau neu zu strukturieren und weitere Funktionen einzusetzen, die Proxmox zusätzlich zur Verfügung stellt, etwa die Verwendung von VLANs und virtuellen Switches.

In einem anderen Tutorial schrieb ich damals über die Nutzung der OPNsense Firewall auf einem Single NIC Device. Diesmal soll es darum gehen OPNsense in Proxmox zu virtualisieren und wieder in einer Router on a Stick Topologie zu betreiben. Die dazu notwenigen Werkzeugte bringt Proxmox gleich mit und die Einrichtung sollte recht zügig zu bewerkstelligen sein. Da dies meine ersten Gehversuche mit Proxmox sind, muss auf geeignete Literatur zurückgegriffen werden. Zur Umsetzung meines Vorhabens dient eine Anleitung, welche die Sache recht gut trifft und die ich weiter unten verlinkt habe. Statt der dort verwendeten pfSense soll jedoch eine OPNsense Firewall den Dienst verrichten. Dazu sind an manchen Stellen Änderungen vorzunehmen, die allgemeine Methodik ist aber die Gleiche. Zusätzlich soll zum Ende des Tutorials aufgezeigt werden, wie sich eine VM von außen erreichbar machen lässt, um so sinnvolle Anwendungen bereitzustellen.

Bei dem folgenden Setup ersetzt eine zentrale Bridge den Switch. Diese Bridge führt die VLANS von den unterschiedlichen VMs zusammen. Die OPNsense Firewall, welche das Routing übernimmt, ist mit einem Trunk Port mit dem Switch verbunden. Jede VM bildet in diesem Beispiel ein eigenes VLAN mit den Bezeichnung 10, 20 und 30.

Im diesem Tutorial soll eine OPNsense Firewall Installation auf einem Single-NIC Device beschrieben werden. In unserem Fall bildet ein ausgedienter Z83V Mini PC und ein VLAN fähiger Netgear ProSAFE Switch die Basis für unser Vorhaben. Vor der Konfiguration ist es nötig die OPNsense Software auf unseren Mini PC zu installieren. Die einzelnen Schritte hierfür sind in anderen Tutorials im Internet nachzulesen. Die während des Bootvorgangs auftauchende Fehlermeldung

Ist ein VPN Netzwerk einmal eingerichtet, bietet sich die Möglichkeit einige Einstellungen serverseitig nach Wunsch nachträglich zu bearbeiteten. In dem hier dargestellten Beispiel läuft ein OpenVPN Server, der lediglich ein einzelnes lokales ipv4 Netzwerk einem Endpunkt zugänglich gemacht wird. Oft ist es jedoch so, dass weitere Subnetze existieren, die ebenfalls durch das openVPN Netz weitergereicht werden sollen. Läuft beispielsweise ein der Firewall vorgeschalteter Router, so können dort angeschlossene Geräte recht einfach durch Modifikation des OpenVPN Servers durch das VPN geroutet werden. Dazu sind folgende Schritte auf der OPNsense nötig:

We use cookies on our website. Some of them are essential for the operation of the site, while others help us to improve this site and the user experience (tracking cookies). You can decide for yourself whether you want to allow cookies or not. Please note that if you reject them, you may not be able to use all the functionalities of the site.